Cloud: Datenschützer hält Ausschluss von US-Firmentöchtern für zweifelhaft

Die Vergabekammer Baden-Württemberg hat Dienste auch von EU-Ablegern von US-Cloud-Anbietern für tabu erklärt. Der Landesdatenschutzbeauftragte kritisiert das.

In Pocket speichern vorlesen Druckansicht 55 Kommentare lesen

(Bild: mixmagic/Shutterstock.com)

Lesezeit: 4 Min.
Inhaltsverzeichnis

Datenschutzstreit im Südwesten Deutschlands: Der baden-württembergische Datenschutzbeauftragte Stefan Brink stellt eine jüngst veröffentlichte Entscheidung der Vergabekammer des Bundeslands infrage. Die hatte im Juli entschieden, dass bei einer öffentlichen Ausschreibung für IT-Dienstleistungen Angebote von europäischen Töchtern der US-Anbieter nicht berücksichtigt werden dürften. Im Konzern-Verbund bestehe die akute Gefahr, dass ein unzulässiger Datentransfer in die USA erfolge.

In dem Fall geht es um die Beschaffung einer Software durch die öffentliche Hand. Den Zuschlag auf das Angebot erhielt ein US-Konzern, der die Server- und Hostingleistung durch eine in der EU ansässige Tochtergesellschaft erbringen wollte. Die Infrastruktur für die Cloud-Lösung sollte dabei in Deutschland stehen. Diese Entscheidung rügte ein unterlegener Konkurrent. Er sah in der Vergabe einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO).

Die Vergabekammer ordnete nun an, die Ausschreibung unter Beachtung der Entscheidung zu wiederholen (Az. 1 VK 23/22). Sie stützt sich dabei vor allem auf das latente Risiko eines Zugriffs auf personenbezogene Daten durch US-Behörden wie die NSA. Das Risiko werde weder durch die verwendete Klausel zur Vertraulichkeit von Kundendaten noch die Zusage, zu weit gehende oder unangemessene Anfragen staatlicher Stellen anzufechten, hinreichend eingedämmt.

In der Entscheidung stützt sich die Kammer auf das "Schrems II"-Urteil des Europäischen Gerichtshofs (EuGH) vom Sommer 2020. Die Luxemburger Richter hatten damit den transatlantischen "Privacy Shield" für ungültig erklärt. Seitdem fehlt dem Transfer von Kundendaten aus der EU in die USA die wichtigste rechtliche Grundlage.

Die EU-Kommission bemühte sich in Folge, die sogenannten Standardvertragsklauseln als verbliebenes alternatives Instrument für Datenübermittlungen an die EuGH-Rechtsprechung anzupassen und veröffentlichte eine neue Version. Zusätzliche technische und verfahrensmäßige Absicherungen sind dabei aber nötig.

In der Auseinandersetzung kritisierte die Kammer die Vereinbarungen des Konzerns, der zunächst den Zuschlag erhalten hatte, als "generalklauselartig gestaltet". Sie eröffneten "sowohl staatlichen als auch privaten Stellen außerhalb der EU und insbesondere in den USA" eine "Möglichkeit, in bestimmten Situationen" auf bei dem Mutterunternehmen gespeicherte Daten zuzugreifen. Die eingesetzte Verschlüsselungstechnik allein spiele dabei keine Rolle. Zuvor hatte auch das Verwaltungsgericht Wiesbaden im Dezember in einem Urteil "schlicht auf den Standort der Unternehmenszentrale in den USA" abgestellt.

Die Entscheidung der Vergabekammer ist noch nicht rechtskräftig: Sie wird derzeit vom Oberlandesgericht Karlsruhe überprüft. Sollte sie Bestand haben, würden die größten Cloud-Anbieter wie Amazon Web Services (AWS), Microsoft und Google trotz neuer Modelle mit Rechenzentren in der EU von der künftigen Kooperation mit deutschen Behörden weitgehend ausgeschlossen.

Der oberste baden-württembergische Datenschützer Brink bezeichnet den Beschluss nun zwar als "sachlich qualifiziert". Dieser habe eine über ein behördliches Vergabeverfahren hinausweisende Bedeutung. Zugleich bringt er aber Einwände vor.

Demnach hatte das Verfahren Vereinbarungen zum Gegenstand, die aus Sicht der Vergabekammer noch hinter den Anforderungen der aktuell einsetzbaren Standarddatenschutzklauseln zurückblieben. Hier scheine "nicht durchgängig der Zugriff auf die jeweils einschlägige Vertragsklausel gelungen zu sein". Das sei angesichts der Komplexität der einzubeziehenden Regularien auch nicht verwunderlich.

Zudem ist es laut Brink "rechtlich zweifelhaft", dass die Kammer das Zugriffsrisiko und eine Datenweitergabe an US-Behörden gleichsetze. Dass die DSGVO einen "risikobasierten Ansatz" zugunsten Verantwortlicher eingeführt habe, werde von interessierten Kreisen zwar immer wieder pauschal vorgebracht. Es überzeuge aber nicht, dass ein solcher auch noch zulasten von Daten verarbeitenden Stellen "umgedreht werden dürfte". Ferner habe die Kammer übersehen, dass gegen die erwähnten Zugriffsrisiken wirksame Gegenmittel in Gestalt "technisch-organisatorischer Maßnahmen" existierten, die letztlich jede einschlägige Gefahr ausschließen könnten. Dazu gibt es eine Orientierungshilfe der Aufsichtsbehörde.

Der Rechtsanwalt Stephan Schmidt von der Mainzer Kanzlei TCI hält die Entscheidung ebenfalls für "überzogen und schlecht begründet". Der Frankfurter Allgemeinen Zeitung sagte Schmidt: Die Juristen der Kammer hätten nicht berücksichtigt, dass US-Firmen und deren Mitarbeiter gegen die DSGVO verstießen und so selbst mindestens eine Ordnungswidrigkeit begingen, sollten sie personenbezogene Informationen einfach herausgeben. Der österreichische Aktivist Max Schrems, der das EuGH-Grundsatzurteil auslöste, beklagt derweil, dass bislang getroffene Vorkehrungen zum Ergänzen von Standardvertragsklauseln meist nicht ausreichten.

(olb)