Sie befinden sich hier:

Nutzung des europäischen Tochterunternehmens eines US-amerikanischen Cloud-Anbieters

Gemäß einem Beschluss der Vergabekammer Baden-Württemberg liegt eine unzulässige Übermittlung von personenbezogenen Daten in ein Drittland vor, wenn der entsprechende Cloud-Server von einem in der EU ansässigen Tochterunternehmen eines US-Konzerns betrieben wird.

Nach der Begründung der Vergabekammer ist gemäß Art. 44 Satz 1 DSGVO jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, nur zulässig, wenn einer der besonderen Erlaubnisgründe der Art. 44 ff. DSGVO vorliegt. Zulässig ist eine Datenübermittlung in ein Drittland und an ausländische Organisationen hiernach insbesondere dann, wenn die Kommission in einem Beschluss das angemessene Schutzniveau des Drittlands festgestellt hat (sog. Angemessenheitsbeschluss, vgl. Art. 45 Abs. 1 DSGVO), wenn der Verantwortliche oder Auftragsverarbeiter geeignete Garantien zum Schutz personenbezogener Daten vorgesehen hat (Art. 46 Abs. 1 DSGVO) oder wenn ein Ausnahmetatbestand des Art. 49 DSGVO vorliegt.

In dem Einsetzen einer Tochterfirma eines US-Konzerns als Hosting-Dienstleister ist nach Auffassung des Gerichts eine Übermittlung im Sinne der Art. 44 ff. DSGVO zu sehen.

Der Begriff der Übermittlung ist als solcher in der DSGVO nicht definiert. Zwar findet er in den in Art. 4 Abs. 2 DSGVO aufgezählten Beispielen von Verarbeitungen Erwähnung. Danach umfasst die „Verarbeitung" unter anderem die „Offenlegung durch Übermittlung". Allerdings geht die DSGVO nicht von einer Gleichsetzung der „Offenlegung durch Übermittlung" im Sinne des Art. 4 Abs. 2 DSGVO und der „Übermittlung" im Sinne der Art. 44 ff. DSGVO aus.

An einen Auftragsverarbeiter, der „Empfänger" im Sinne des Art. 4 Nr. 9 DSGVO, nicht aber Dritter im Sinne des Art. 4 Nr. 10 DSGVO ist, werden Daten nicht „übermittelt"; sie werden ihm gegenüber stattdessen „offengelegt". Da die Art. 44 ff. DSGVO aber ausschließlich von einer „Übermittlung" und nicht etwa von einer „Übermittlung an einen Dritten" sprechen, sind die Art. 44 ff. DSGVO auch bei einer Offenlegung von personenbezogenen Daten an einen Auftragsverarbeiter in einem Drittland anwendbar.

Der Übermittlungsbegriff ist im Lichte des weit gefassten Wortlauts des Art. 44 S. 1 DSGVO sowie der in Art. 44 S. 2 DSGVO niedergelegten Anweisung in Bezug auf die Normanwendung auszulegen und damit umfassend zu verstehen: Übermittlung ist jede Offenlegung personenbezogener Daten gegenüber einem Empfänger in einem Drittland oder einer internationalen Organisation, wobei es weder auf die Art der Offenlegung, noch auf die Offenlegung gegenüber einem Dritten ankommt.

Eine in diesem Zusammenhang berücksichtigungsfähige Offenlegung ist auch dann anzunehmen, wenn eine Einstellung personenbezogener Daten auf eine Plattform erfolgt, auf die von einem Drittland aus zugegriffen werden kann, und zwar unabhängig davon, ob der Zugriff tatsächlich erfolgt. Dabei ist unerheblich, ob der Server, über den die Daten zugänglich gemacht werden, innerhalb der EU gelegen ist. Für ein derartiges Verständnis streitet Art. 44 S. 2 DSGVO: Eine Zugriffsmöglichkeit - etwa durch Einräumung von Zugriffsrechten konstituiert ein latentes Risiko, dass eine unzulässige Übermittlung personenbezogener Daten stattfinden kann, ohne dass hierfür die in der DSGVO normierten rechtlichen Grundlagen gegeben sind.

Gemessen an diesen Maßstäben führe der beabsichtigte Einsatz einer europäischen Gesellschaft, deren Muttergesellschaft die in den USA ansässig ist, zu einer unzulässigen Datenübermittlung in ein Drittland.

Im vorliegenden Fall liegt nach Ansicht des Gerichts kein besonderer Erlaubnisgrund nach Art. 44 ff. DSGVO vor. So fehle es hier an einem Angemessenheitsbeschluss im Sinne des Art. 45 Abs. 1 DSGVO. Auch Art. 46 Abs. 2 c), d) DSGVO greife hier nicht ein. Standarddatenschutzklauseln im Sinne dieser Vorschrift sind nicht geeignet, Übermittlungen per se zu legitimieren; vielmehr bedarf es insofern einer Einzelfallprüfung. Diese führt – wie dargelegt – zur Annahme der datenschutzrechtlichen Unzulässigkeit. Ein Ausnahmetatbestand nach Art. 49 DSGVO ist hier ebenfalls nicht gegeben.

Fundstelle:
Beschluss der Vergabekammer Baden-Württemberg vom 13.07.2022, Az. 1 VK 23/22 – veröffentlicht im Internet unter https://rewis.io/urteile/urteil/ocw-13-07-2022-1-vk-2322/

nach oben