… sich seine Dienstleiser genau anzusehen, denn der Einsatz von Clouddienstleistern aus den USA wird wieder einfacher. Warum, wieso und weshalb wir das so sehen, lesen Sie im heutigen Informationsschreiben.
Alte Rechtsauffassung der Aufsichtsbehörden in Bezug auf die Nutzung von Clouddiensten amerikanischer Unternehmen
Bis 2020 konnten personenbezogene Daten auf Grundlage des Abkommens „Privacy Shield“ zwischen der EU und den USA ausgetauscht werden. Dieses Abkommen wurde durch die so genannte „Schrems II“-Entscheidung des EuGH für ungültig erklärt.
Fortan waren Datenübermittlungen in die USA auf die anderen Maßnahmen zur Schaffung eines angemessenen Datenschutzes im Empfängerland angewiesen. Zu diesen Maßnahmen zählen unter anderen die EU-Standardvertragsklauseln.
Diese EU-Standardvertragsklauseln hatten jedoch einen Haken:
Selbst wenn man als Unternehmen den Vertrag mit einer europäischen Tochtergesellschaft des US-Unternehmens geschlossen hatte, mussten diese Vertragsklauseln zwischen dem eigenen Unternehmen als Datenexporteur und dem US-Unternehmen als Datenimporteur geschlossen werden. Eine Vertragskette, wie in der Auftragsverarbeitung nach Art. 28 DSGVO üblich, kannten diese Vertragsklauseln nicht. Gleichzeitig hat der EuGH an die Nutzung der Standardvertragsklauseln weitere Anforderungen gebunden, die notwendigerweise zu erfüllen waren, damit eine Vereinbarung auf dieser Grundlage wirksam werden konnte.
Zu diesen weiteren Maßnahmen gehört die Durchführung einer Risikobewertung, dem so genannten Transfer Impact Assessment und die Schaffung weiterer technischer und organisatorischer Maßnahmen zum Schutz der vom Transfer betroffenen personenbezogenen Daten.
Was damit wieder ein wahrscheinlich angemessenes Datenschutzniveau realisieren sollte, war den Aufsichtsbehörden in Bezug auf US-Unternehmen jedoch nicht genug. Denn der EuGH stellte auch fest, dass die Zugriffsberechtigungen bzw. Auskunftsrechte der US-Geheimdienste durch die Gesetzgebungen CloudAct und FISA702 zu weitreichend sind und den betroffenen Personen jede Möglichkeit seine Rechte zu verteidigen fehlt. Gleichzeitig sind die US-Unternehmen zur Herausgabe der Daten verpflichtet, selbst wenn die Datenverarbeitung und -Speicherung nicht in den USA, sondern in der EU erfolgt. Dass die Daten also innerhalb der EU gespeichert wurden, brachte zumindest im Zusammenhang mit US-Dienstleistern leider nichts. Dazu liegt seitens der Datenschutzkonferenz auch ein Rechtsgutachten vor, welches diesen Umstand grundsätzlich bestätigt.
Kurz um: Die allein potenziell vorhandene Datenübermittlung in die USA auf Grund der Rechte der US-Behörden führte bereits dazu, dass eine datenschutzkonforme Datenverarbeitung nicht möglich erschien.
Während im Bereich der öffentlichen Verwaltung, allen voran an Schulen, nach der Schonfrist durch die Corona-Pandemie nun aktiv durch die Aufsichtsbehörden darauf hingewirkt wurde, dass die aus Sicht der Aufsichtsbehörden unzulässigen Datenübermittlungen zu beenden seien, wurde bei den Unternehmen großzügig weggesehen. Abgesehen von ein paar, vielleicht nicht ausreichend durchdachten Äußerungen einiger Landesbeauftragten für den Datenschutz, wurde selten gegen Unternehmen vorgegangen, wenn US-Dienstleister im Spiel waren. In der Regel nur dann, wenn sich jemand beschwert hat, denn dann müssen die Aufsichtsbehörden aktiv werden. Denn, auch den Aufsichtsbehörden ist im Grunde genommen klar, dass die Marktdominanz der US-Anbieter einfach zu groß ist. Europäische Ansätze, wie GAIA-X sind ein interessanter Ansatz, aber wirkliche Lösungen gibt es bisher nicht.
Die wohl deutlichste Aussage zum Schrems II-Urteil kam von der damaligen Landesbeauftragten für den Datenschutz in Berlin, Fr. Smoltczyk: „Die Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.“
Seit diesen Entscheidungen ist einige Zeit vergangen und auch im Bereich des Datenschutzes hat sich etwas getan!
Zum einen wurden die EU-Standardvertragsklauseln modernisiert. Diese kennen nun auch eine Vertragsbeziehung beispielsweise zwischen zwei Auftragsverarbeitern. Damit ergibt sich fortan, denn ab Dezember gelten nur noch die neuen EU-Standardvertragsklauseln, folgende Vertragskette: Das Unternehmen hat einen normalen Vertrag zur Auftragsverarbeitung gem. Art. 28 DSGVO mit dem europäischen Tochterunternehmen des US-Dienstleisters.
Dieses Tochterunternehmen handelt dann die EU-Standardvertragsklauseln mit dem US-Unternehmen aus. Folglich ist die Realisierung weiterer Maßnahmen und die Durchführung eines Transfer Impact Assessments (TIA) zukünftig Aufgabe der europäischen Tochtergesellschaft des US-Unternehmens und nicht mehr im Aufgabenbereich des eigenen Unternehmens. Aktuell ist jedoch noch unklar, ob man sich das Vorhandensein des TIA bestätigen lassen muss, ob man es anfordern muss, oder ob es vielleicht sogar geprüft und bewertet werden muss. Diese Frage wird wahrscheinlich zukünftig geklärt.
Derzeit gilt: Als Auftraggeber muss man sich in dieser Situation derzeit keine Sorgen bezüglich des TIA machen, die Pflicht liegt bei dem EU-Tochterunternehmen des US-Dienstleisters.
Sollte sich an dieser Sachlage etwas ändern, werden wir Sie natürlich unverzüglich durch ein nachfolgendes Informationsschreiben darüber informieren!
Des Weiteren hat sich aber auch gesetzlich etwas getan. Zusätzlich zu den neuen EU-Standardvertragsklauseln wurde in Deutschland das TTDSG (Telekommunikation-Telemedien-Datenschutz-Gesetz) verabschiedet. Durch dieses neue Gesetz werden einige Dienste neu bewertet und gelten fortan als Telekommunikationsdienst. Dazu zählen auch so genannte Over-The-Top-Dienste, wie E-Mail, Messaging und (Video-)Telefonie. Dadurch, dass diese Dienste nun als Telekommunikationsdienst betrachtet werden, fällt die Zuständigkeit für die Bewertung der Datenschutzkonformität in den Bereich des BfDI (der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) und nicht mehr in die Zuständigkeit der Aufsichtsbehörden der Länder. Wir erwarten hiervon aber keine besonders große Auswirkung, denn der BfDI ist Teil der Datenschutzkonferenz und im Rahmen der Datenschutzkonferenz werden Meinungen in der Regel gemeinschaftlich mehrheitlich gefasst. Zudem bleibt das jeweilige Unternehmen für die Zwecke und Mittel der Datenverarbeitung verantwortlich und damit im Dunstkreis der Aufsichtsbehörden der Länder.
Aber was ist jetzt mit den Zugriffsmöglichkeiten der US-Behörden
Im Grunde hat sich hier nichts verändert. CloudAct und FISA702 gelten weiterhin und ein Angemessenheitsbeschluss, der die USA zum sicheren Datenempfänger macht, liegt aktuell auch weiterhin nicht vor.
Auch wenn durch die Vertragsgestaltung erst einmal keine Datenübermittlung ins Drittland vorhanden und vorgesehen ist, haben die US-Behörden die Möglichkeit des Zugriffs auf die Daten. Natürlich versichern alle Dienstleister in Ihren Verträgen, dass entsprechende Anforderungen der US-Behörden geprüft und abgewehrt werden und dass die Betroffenen informiert werden und ggf. sogar eine Entschädigung gezahlt werden würde. Auf der anderen Seite dürfen die Unternehmen aber nicht offen über eventuelle Auskunftsersuchen der US-Behörden sprechen. Eine so genannte „gag order“ verbietet eine offene Kommunikation darüber.
Leider ergibt sich daraus folgender Streit, der auch die Datenschützer entzweit und zu dem man folgende provokante Frage stellen kann: Wenn eine EU-Tochter durch die US-Muttergesellschaft eine Datenanforderung der US-Behörden weitergereicht bekommt, über die nicht gesprochen werden darf; was hält die EU-Tochter davon ab, dieses Ersuchen zu bearbeiten und zu beantworten? Oder anders gefragt: Vertragsbruch in der EU und keiner bekommt es mit, oder Rechtsbruch in den USA und Strafe durch die US-Behörden?
Natürlich möchten wir hier kein US-Unternehmen und die EU-Tochtergesellschaften verdächtigen, aber dieser Gedankengang ist durchaus nachvollziehbar.
Und so verwundert es auch nicht, dass beispielsweise die Vergabekammer Karlsruhe eine EU-Tochtergesellschaften von US-Unternehmen von einer Vergabe ausschließen wollte, denn es war Anforderung der Vergabe, dass der Datenschutz zu wahren sei und eine Datenübermittlung in die USA war daher auszuschließen. Ob das Vorgehen der Vergabekammer nun korrekt und angemessen war, darüber wollen wir hier nicht entscheiden. Zumindest hat es aber eine Diskussion über die „Vertragstreue“ von EU-Tochtergesellschaften losgetreten.
Vorteil der aktuellen Diskussion zur Vertragstreue
Für deutsche (und andere europäische) Unternehmen ist es schwer, sich in den aktuellen Datenschutzregeln zurecht zu finden. Sind wir mit Einführung der DSGVO von 3-5 Jahren der Rechtsunsicherheit ausgegangen, haben wir diese Schätzung mittlerweile auf 10 Jahre erhöht.
Zu viel Bewegung ist noch in der aktuellen Entwicklung des Datenschutzrechts. Es ist daher normal und manchmal auch unumgänglich, dass man eine andere Rechtsauffassung als die Aufsichtsbehörde vertritt. In solchen Situationen ist es dann hilfreich, wenn man nachweisen kann, dass man das Thema aktiv bearbeitet hat und auf Grund eigener Bewertungen und Entscheidungen zu einem Ergebnis gekommen ist.
Bei dieser Bewertung spielen auch äußerliche Einflussfaktoren eine wichtige Rolle. Auch wenn wir als Datenschutzbeauftragte eine Meinung vertreten, muss das Unternehmen sich nicht daranhalten, sondern kann uns „überstimmen“. Auch wenn wir prinzipiell zum sichersten Weg beraten müssen, unterstützen wir unsere Mandanten aktiv bei der eigenen Meinungsbildung.
Daher ist es von Vorteil, dass derzeit folgende Beschlüsse des Verwaltungsgerichts Neustadt und des OLG Karlsruhe vorliegen:
Verwaltungsgericht Neustadt: Hosting durch US-Unternehmen führt nicht automatisch zum Rechtsverstoß (Beschluss vom 27. Oktober 2022 (Az. 3 L 763/22.NW))
Tenor: Grundsatz der Vertragstreue auch im Datenschutzrecht
OLG Karlsruhe hebt Vergabekammer BW-Beschluss auf (OLG Karlsruhe, Beschluss vom 07.09.2022, Az. 15 Verg 8/22)
Tenor: Öffentliche Auftraggeber dürften sich auf bindende Zusagen der europäischen Tochtergesellschaften verlassen, wonach die personenbezogenen Daten allein in Deutschland verarbeitet würden und keine Übermittlung in Drittländer erfolge.
Beide Beschlüsse gehen im Kern auf die von uns oben genannte Abwägung ein, welcher Rechtsverstoß für ein US-Unternehmen und die EU-Tochtergesellschaften wohl angenehmer sein könnte. Jedoch sehen beide Beschlüsse die Feder mächtiger als das Schwert und bestätigen, dass der vertraglich zugesicherte Ausschluss einer Datenübermittlung in die USA wirksam und vertrauenswürdig ist.
Die Beschlüsse zeigen, dass sich der Verantwortliche bei Vertragsschluss mit Tochtergesellschaften innerhalb der EU von einer datenschutzkonformen Datenverarbeitung ausgehen kann und nicht automatisch einen Verdacht haben muss, welcher darauf beruht, dass eine Datenübermittlung in die USA stattfinden könnte.
Wie geht es nun weiter?
Alle Dienstleister außerhalb der EU müssen bis zum 27.12.2022 mit ihren Kunden die neuen EU-Standardvertragsklauseln vereinbart haben. Sofern mit den Kunden innerhalb der EU die Verträge über eine EU-Tochtergesellschaft geschlossen werden, wird auf ein normales Vertragsverhältnis gem. Art. 28 DSGVO umgestellt werden. Als Kunde ist man damit nicht mehr der Datenexporteur und kann sich argumentativ auf die oben genannten Beschlüsse beziehen.
Zudem ist derzeit ein neues Datenschutzrahmenabkommen in Verhandlung, welches einen Transfer personenbezogener Daten in die USA wieder erleichtern soll. Dazu hatte die USA rechtliche Anpassungen vorgenommen, wodurch die Rechte der Betroffenen gewährleistet werden sollen. Aktuell gibt es allerdings keine neuen Gesetze in den USA, sondern nur eine „Executive Order“, als so gesehen eine Anweisung des Präsidenten, wie die Regelungen aus CloudAct und FISA702 an die EU harmonisiert anzuwenden sind. Auf Basis dieser „Executive Order“ wird es wohl bald (Frühling 2023 laut Didier Reynders (EU-commissioner for justice) auf einem Vortrag) einen Angemessenheitsbeschluss der EU geben, wir rechnen allerdings auch mit neuen Klagen vor dem EuGH, so dass der Datentransfer für ein paar Jahre vereinfacht wird, bevor (vermutlich) Schrems III kommt.
Sonderfall „Zoom“:
Schwieriger wird es bei Vertragsbeziehungen direkt mit dem US-Unternehmen. So ist man bei Zoom direkter Kunde der Zoom Video Communications, Inc. in den USA und führt damit die Datenübermittlung selbst durch. Hier bleibt der Sachstand derzeit unklar. Zoom ist durch die Neuregelungen aus TKG und TTDSG fortan als Verantwortlicher zu betrachten, dies wird auch durch das LDI NRW bestätigt.
Dazu das LDI NRW im 27ten Tätigkeitsbericht: „Auch Videokonferenzdienste, die bis zum 1. Dezember 2021 als Telemediendienste eingeordnet wurden, sind nunmehr als Telekommunikationsdienste zu bewerten. Das führt unter anderem dazu, dass Stellen, die Videokonferenzdienste einsetzen, keinen Auftragsverarbeitungsvertrag mehr mit den Videokonferenzanbieter/innen abschließen müssen und für die aufgrund der Übertragung des Videochats verarbeiteten personenbezogenen Daten nicht mehr verantwortlich sind.“
Aber auch bei einem Datentransfer zwischen zwei Verantwortlichen sind die EU-Standardvertragsklauseln anzuwenden. Mit der Notwendigkeit der Standardvertragsklauseln wird auch die Pflicht zum TIA bestehen bleiben. Damit bleibt es auch unter Berücksichtigung der „neuen“ Rolle von Zoom als Verantwortlicher bei einer Datenübermittlung ins Drittland. Damit kann man sich nicht auf mögliche Zusicherungen zur datenschutzkonformen Datenverarbeitung verlassen.
Weitere Handlungsempfehlungen erhalten unsere Mandanten im Rahmen dieser Veröffentlichung als Informationsschreiben!