OLG Karlsruhe kassiert DSGVO-Bedenken

Behörden dürfen US-Services mit Servern in Deutschland nutzen

12. September 2022, 8:09 Uhr | Michaela Wurm | Kommentar(e)
Recht und Gesetz
© de Art - AdobeStock

Deutsche Behörden dürfen weiterhin auf US-Clouds wie Amazon, Microsoft oder Google zurückgreifen – zumindest, wenn die Anbieter zusichern, dass die Daten in Deutschland verarbeitet werden. Das hat das OLG Karlsruhe in einem Vergabeverfahren entschieden.

Behörden dürfen Services von US-Cloud-Anbietern wie Amazon, Microsoft oder Google weiter nutzen, wenn die Daten auf Servern in Deutschland bleiben. Das hat das OLG Karlsruhe in einem Vergabeverfahren entschieden, wie Rechtsanwalt Christian Solmecke, Partner der Kanzlei „Wilde Beuger Solmecke“, berichtet.

Hintergrund war das Vergabeverfahren zweier Krankenhausgesellschaften für ein digitales Entlassmanagement. Dabei wurde die Einhaltung der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) hinsichtlich der personenbezogenen Daten zu entlassenen Patienten vorausgesetzt. Die Vergabekammer hatte allerdings eine Anbieterin, die die Tochtergesellschaft eines US-amerikanischen Unternehmens als Hosting-Dienstleisterin einbinden wollte, wegen datenschutzrechtlicher Bedenken ausgeschlossen. Dabei handelte es sich ausgerechnet um die Anbieterin, der die Gesellschaften den Zuschlag hatten geben wollen.

Grund für die Rechtsauffassung der Vergabekammer ist laut Solmecke das „Schrems II“-Urteil des Europäischen Gerichtshofs (EuGH, Urt. 16.07.2020, Rs. C‑311/18). Seitdem können sich EU-Unternehmen bei der Datenübermittlung in die USA nicht mehr auf das transatlantische „Privacy Shield“ berufen. Denn die Luxemburger Richter urteilten, dass es US-Überwachungsgesetze amerikanischen Sicherheitsbehörden ermöglichen, auch auf Daten von EU-Bürgern zuzugreifen. Damit entspreche der Datenschutzstandard in den USA nicht dem in der EU. Seitdem setzen europäische und US-Unternehmen beim transatlantischen Datenaustausch zwar auf die sogenannte Standardvertragsklauseln, welche die EU-Kommission Anfang Juni 2021 in aktualisierter Version herausgegeben hat. Doch auch deren Wirksamkeit wird aufgrund derselben Sicherheitsbedenken gerade angezweifelt.

Wegen der schwierigen Lage im Hinblick auf die Datenübermittlung in die USA hatten verschiedene Cloud-Anbieter mit europäischen Tochtergesellschaften bereits Serverfarmen mit Standorten in Deutschland oder dem europäischen Ausland eingeführt, die den strengen Anforderungen deutscher Datenschützer gerecht werden sollten. Dementsprechend sicherte auch die Anbieterin in diesem Fall zu, das von ihr eingebundene luxemburgische Tochterunternehmen des US-amerikanischen Konzerns sei vertrauensvoll, weil der Auftrag ausnahmslos auf einem in Frankfurt am Main stehenden Server einer deutschen GmbH verarbeitet werde.

Nach erfolgter Nachprüfung hegte die Vergabekammer wegen potenzieller Verstöße gegen die DSGVO jedoch weiterhin Zweifel und schloss die ausgewählte Anbieterin aus dem Vergabeverfahren aus. Die Nutzung von Diensten des Konzerns gehe mit einer unzulässigen Datenübermittlung in die USA als Drittland einher. Zumindest bestehe das „latente Risiko“, dass amerikanische Behörden auf die personenbezogenen Daten europäischer Bürger zugreifen könnten. 

Das sah das OLG nun allerdings anders. Es sei davon auszugehen, dass ein Bieter seine vertraglichen Zusagen erfülle und nicht unmittelbar und ohne konkrete Anhaltspunkte Zweifel an dem Leistungsversprechen entstehen dürften.

Im entschiedenen Fall habe die Anbieterin die eindeutige und vertrauensvolle Zusicherung abgegeben, der Inhalt des Vertrages werde ausnahmslos von der luxemburgischen Gesellschaft in Deutschland verarbeitet. Sofern die ausschließliche Verarbeitung in Deutschland zugesichert werde, dürften die Krankenhausgesellschaften darauf vertrauen, dass keine vertragswidrigen oder gegen europäisches Recht verstoßenden Weisungen befolgt würden, so das OLG. Eine bloße Konzernbindung genüge jedenfalls nicht, um die Erfüllbarkeit des Leistungsversprechens zu bezweifeln.

Nach dieser Rechtsauffassung dürfen deutsche Behörden damit trotz datenschutzrechtlicher Probleme weiterhin US-Anbieter wie Amazon, Microsoft oder Google nutzen, sofern die Daten innerhalb der EU bleiben und nicht in die USA abwandern. 

Die Entscheidung des OLG ist rechtskräftig.

Anbieter zum Thema

zu Matchmaker+

Das könnte Sie auch interessieren

Verwandte Artikel

ICT-CHANNEL

IT-Recht

IT-Services