Welche datenschutzrechtlichen Anforderungen gelten, wenn ein Cloud Provider „nach Hause telefonieren“ will (also Daten an staatliche Stellen in Drittländer übermitteln könnte)? Die Datenschutzkonferenz hat jüngst einen neuen Beschluss gefasst, der sich mit extraterritorialen Zugriffe durch öffentliche Stellen in einem Drittland befasst. Ein Überblick.
Der Beschluss der DSK vom 03.02.2023 ist hier abrufbar. Danach müssen Verantwortliche die Zuverlässigkeit von Cloud Providern prüfen. Wenn diese personenbezogenen Daten an Behörden in Drittländern herausgeben könnten, weil sie nach den dortigen lokalen Gesetzen dazu verpflichtet sind, gelten besondere Anforderungen.
Was steht drin?
- Die bloße Gefahr, dass eine Muttergesellschaft im Drittland (also, außerhalb des EWR, z.B. in den USA) eine europäische Tochtergesellschaft anweist, personenbezogene Daten an eine dortige Behörde zu übermitteln, führt noch nicht zu einer Drittlandsübermittlung. Diese Position ist zu begrüßen. Sie entspricht dem aktuellen Stand der Rechtsprechung (siehe OLG Karlsruhe, Beschluss vom 07.09.2022 – 15 Verg 8/22). Danach steht die Tatsache, dass ein Tochterunternehmen eines US-amerikanischen Konzerns beauftragt wird, einer datenschutzkonformen Verarbeitung nicht entgegen. Ein Kunde nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.
- Diese Gefahr kann aber zur fehlenden Zuverlässigkeit des Anbieters führen.
- Die Gefahr von Übermittlungen lässt sich nicht dadurch ausschließen, dass eine in der EU belegene Tochtergesellschaft genutzt wird. Wenn die abstrakte Gefahr einer Drittlandsübermittlung besteht, sind besonders hohe Anforderungen an die Zuverlässigkeit des Auftragsverarbeiters zu stellen. Dies steht im Widerspruch zu der bereits genannten Entscheidung des OLG Karlsruhe. Die DSK begründet ihre Auffassung leider nicht näher.
- Laut DSK sind sämtliche Umstände des Einzelfalls zu berücksichtigen, um bewerten zu können, ob hinreichende Garantien für einen Ausschluss von Übermittlungen bestehen. Dies umfasse unter anderem:
- Die Prüfung der extraterritorialen Anwendbarkeit des Drittland-Rechts, einschließlich der Bewertung der Rechtslage und -praxis des Drittlands. Das dürfte regelmäßig nur durch einen im Drittland als Rechtsanwalt zugelassenen Experten möglich sein – wie das KMUs umsetzen sollen, bleibt ein Rätsel.
- Es ist zu prüfen, ob der AV-Vertrag nach europäischen Maßstäben unzulässige Verarbeitungen auf der Grundlage von Drittlands-Recht erlaubt, und – wenn der Vertrag „etwaige Zusicherungen“ enthält – ob die „Zusicherungen“ auch tatsächlich eingehalten werden. Hier ist der Beschluss in seiner Formulierung sehr vage und unklar, da er nicht genau darauf eingeht, welche Zusicherungen gemeint sind. Die DSK dürfte sich hier wohl auf Zusicherungen zur Einhaltung des EU-Rechts beziehen.
- In der Vergangenheit festgestellte Datenschutzverstöße. Auch hier ist nicht klar, was ein in der Vergangenheit festgestellter Datenschutzverstoß mit einer Drittlandsübermittlung zu tun hat. Was, wenn der Verstoß einen ganz anderen Bereich betrifft? Außerdem: Wo soll dieses Kriterium in der DSGVO stehen?
- Fehlen hinreichende Garantien, müssen die Defizite, die zu der mangelnden Zuverlässigkeit führen, durch technische und organisatorische Maßnahmen (TOM )ausgeglichen werden.
- Die Nachweispflicht für die Zuverlässigkeit des Auftragsverarbeiters liegt beim Verantwortlichen. Hier winkt die DSK wohl mit dem Zaunpfahl – wer die hohen Anforderungen nicht erfüllt und dennoch einen Cloud Provider nutzt, der „nach Hause telefoniert“, dem kann Ärger drohen.
Bewertung
Insgesamt sind die Kriterien der DSK nicht völlig neu. Sie dürften der bisherigen Rechtsprechung entgegenstehen, nach der vertragliche Zusicherungen grundsätzlich ausreichen, um das Risiko von Übermittlungen zu begrenzen.
Die DSK scheint sich aber immerhin einem risikobasierten Ansatz anzunähern. Denn die Prüfung der Zuverlässigkeit setzen eine Prognose der Eintrittswahrscheinlichkeit einer Übermittlung und die Bewertung der möglichen Auswirkungen voraus. Das ist ein Schritt in die richtige Richtung und ermöglicht nach einer vorherigen datenschutzrechtlichen sorgfältigen Bewertung dann ggf. doch den Einsatz von Cloud Providern, auch wenn diese z.B. US-amerikanische Muttergesellschaften besitzen.
Wenn Sie erwägen, einen Cloud Service einzusetzen, der von einem Provider mit Sitz in einem Drittland oder einer EU-Tochtergesellschaft angeboten wird, sprechen Sie uns gerne an.