OLG Karlsruhe zur Nutzung von US-Clouddiensten
Klarheit, Einfachheit oder doch nur neues Chaos?
Vorgeschichte – was war der Auslöser?
Eine Entscheidung der Vergabekammer Baden-Württemberg (Entscheidung vom 13.7.2022, Aktenzeichen: 1 VK 23/22) hat in den letzten Wochen für Aufsehen gesorgt. In dieser Entscheidung wurde ein Bieter in einem Vergabeverfahren abgelehnt, weil dieser die Amazon-Cloud als Unterauftragnehmer nutzen wollte. Es wurde damit argumentiert, dass die Nutzung von US-Cloudanbietern das latente Risiko eines Datenzugriffs der US-Strafverfolgung beinhalten würden, und dass damit eine unerlaubte Datenübermittlung ins Drittland nicht auszuschließen sei.
Ein Blick in die Vergangenheit!
Im Grunde folgte die Vergabekammer damit der strikten Auslegung der DSGVO, wie es der EuGH in seiner “Schrems II”-Entscheidung festgelegt hat. In 2020 wurde dadurch das Datenschutzabkommen “Privacy Shield” zwischen der EU und den USA für nichtig erklärt, weil eben dieser Datenzugriff möglich ist und der Betroffene keine Möglichkeit hat sich dagegen zu wehren.
Was daraus folgte, war der andauernde Kampf zwischen den US-Cloudanbietern auf der einen und den Datenschutz-Aufsichtsbehörden auf der anderen Seite. Auch mit den neuen EU-Standardvertragsklauseln und den damit verbundenen weiteren Maßnahmen war den Aufsichtsbehörden die Nutzung von US-Cloudanbietern ein Dorn im Auge. Im Grunde kann man sagen, dass die Aufsichtsbehörden kein Restrisiko aus Sicht der Betroffenen zulassen wollten.
Dabei gingen die ersten Meinungen nach dem EuGH-Urteil von “sofort abschalten” bis “komplexe Aufgabe”. Noch zuletzt am 05.09.2022 hat die Berliner Datenschutzbeauftragte die Freie Universität aufgefordert, bis zum 30. September 2022 die Nutzung von Cisco Webex zu beenden.
Was sagt denn nun das OLG Karlsruhe?
Das OLG Karlsruhe hat in seiner Entscheidung nun darauf hingewiesen, dass eine pauschale Ausgrenzung von Angeboten nur wegen der Nutzung eines US-Cloudanbieters nicht zulässig ist. Wenn der Bieter vertraglich zusichere, dass es keine Datenübermittlung ins Drittland geben und diese vertragliche Vereinbarung auch mit der europäischen Tochtergesellschaft eines US-Cloudanbieters geschlossen wird, kann man sich erst einmal auf den Vertrag verlassen.
Wörtlich hat der Senat ausgeführt: „Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.“
Leider liegt der Volltext der Entscheidung noch nicht vor, im Blog der Vergabeplattform cosinex wird jedoch noch darauf hingewiesen, dass das OLG Karlsruhe in Bezug auf Zweifel angemerkt hat, dass Zweifel “… aufgrund konkreter Anhaltspunkte …” dazu führen, dass “… der öffentliche Auftraggeber ergänzende Informationen einholen und die Erfüllbarkeit des Leistungsversprechens prüfen” muss.
Und jetzt?
Was das OLG Karlsruhe, zumindest in den bisher für uns verfügbaren Informationen, offengelassen hat: Welche Anhaltspunkte sind denn konkret genug, um Zweifel an der Erfüllbarkeit des Leistungsversprechens zu verursachen? Reicht dafür das Bauchgefühl, oder bedarf es dazu stärkerer Anhaltspunkte, wie beispielsweise eines EuGH-Urteils? Oh, Moment, wir hatten da doch das EuGH-Urteil aus dem Jahr 2020, welches im Grunde der Auslöser für die gesamte Problematik mit der Nutzung von US-Cloudanbietern war. Sind also die Zweifel, die das höchste europäische Gericht geäußert hat, ausreichend stark um damit eigene Zweifel zu begründen?
Damit wir uns nicht falsch verstehen
, die Entscheidung des OLG Karlsruhe kann durchaus so akzeptiert werden. Denn der Anbieter recare argumentiert in seinem eigenen Blog über die Entscheidung, dass durch die “Kombination von Ende-zu-Ende-Verschlüsselung und Pseudonymisierung kann weder unser Clouddienstleister noch wir eine Zuordnung der verarbeiteten Daten zu natürlichen Personen durchführen… ” und selbst “… wenn US-amerikanische Muttergesellschaften oder gar US-Behörden auf die Daten zugreifen wollen würden, hätten sie keine realistische Chance, einen Personenbezug herzustellen.”Argumentativ folgt der Anbieter also dem EuGH-Urteil und auch den Forderungen der neuen EU-Standardvertragsklauseln, wonach weitere Maßnahmen getroffen worden sind, die eine Kenntnisnahme Dritter wirkungsvoll verhindern. Auch wir gehen in unserer Beratung davon aus, dass die Nutzung von Cloudanbietern relativ unkritisch ist, wenn die Daten verschlüsselt abgelegt werden und der Schlüssel nur in Ihrer Hand bleibt.
Fazit:
Die Entscheidung des OLG Karlsruhe wird durch die immer neuen veröffentlichten Informationen deutlicher und auch verständlich(er). Solange die Daten verschlüsselt sind, oder anderweitig kein Bezug zu einer identifizierbaren Person getroffen werden kann, dürfte die Nutzung von Cloudanbietern aus Sicht der Unternehmen unkritisch und ungefährlich sein.
Gerade bei der Nutzung weitergehender Dienste, wie z.B. Mailpostfächern, ist eine verschlüsselte Speicherung in dieser Form jedoch nicht möglich, denn der Cloudanbieter muss mindestens zum Zweck des Transports der Nachricht auf diese Informationen zugreifen können.
Als Beispiel dafür verweisen wir auf die Aufforderung der Berliner Datenschutzbeauftragte, wonach die Freie Universität bis zum 30. September 2022 die Nutzung von Cisco Webex beenden soll.
Diese Entscheidung sollte daher nicht als “Freibrief” für alle Clouddienste genutzt oder betrachtet werden.
Und solange die Datenschutzaufsichtsbehörden die Nutzung von US-Cloudanbietern weiterhin kritisch betrachten und von “Duldung” sprechen, werden wir in unseren Beratungen auch weiterhin auf das mögliche Restrisiko hinweisen. Das EuGH-Urteil logisch und konsequent ausgelegt, kann man unserer Meinung nach auch nur zu diesem Ergebnis kommen. Wir warten weiter auf die im März von den USA angekündigten Reformen und auf das neue Datenschutzrahmenabkommen mit den USA (hoffentlich OHNE Schrems III).
Dieser Sachverhalt wird nun medial genutzt werden, um Cloud-Dienste als datenschutzkonform zu bewerben, was aus unserer Sicht falsch ist, denn es ist wieder nur eine weitere Einzelfallentscheidung, wonach die Nutzung in diesem konkreten Sachverhalt wohl erstmal nicht zu beanstanden sein wird.
Unsere Empfehlung / Handlungsempfehlung:
Wenn Sie US-Cloudanbieter nutzen, dann bitte IMMER über eine europäische Tochtergesellschaft oder über einen Zwischenhändler. Mit diesem Zwischenhändler schließen sie einen korrekten AV-Vertrag ab und dokumentieren die Auftragsverarbeitung vollständig in Ihren Unterlagen. Wo es geht, sollten die Daten verschlüsselt abgelegt werden. Legen Sie die Entscheidung des OLG Karlsruhe dazu, denn auch wenn Baden-Württemberg vielleicht nicht Ihr Bundesland ist, können Sie zumindest argumentativ darauf hinweisen, dass der Vertrag nicht auf einen Verstoß gegen den Datenschutz schließen lässt und gem. aktueller Rechtsprechung kein Grund zur Annahme besteht, dass gegen den Vertrag verstoßen wird.
Kanzlei Plutte: OLG Karlsruhe hebt Vergabekammer BW-Beschluss auf
Golem: Freie Universität soll Webex-Einsatz “vollständig” beenden
cosinex: OLG Karlsruhe hebt Entscheidung der VK Baden-Württemberg auf
Recare: Recare gewinnt Vergabeverfahren mit Signalwirkung vor dem Oberlandesgericht Karlsruhe
FAZ: Oberlandesgericht Karlsruhe hegt den Datenschutz ein
Der Beitrag OLG Karlsruhe zur Nutzung von US-Clouddiensten erschien zuerst auf CompliPro GmbH.