Drittlandübermittlungen: Aktuelle Entwicklungen und Fragen

https://datenschutzgesetze.eu/dsgvo-art-13/#in-6Mit dem Thema der Drittlandtransfers haben wir uns nach dem sogenannten Schrems II-Urteil des EuGH bereits häufiger in unseren Artikeln auseinandergesetzt  (siehe hierzu insbesondere unsere Beiträge vom 18.09.2020; 11.12.2020; 07.07.2021; 18.05.2022; 02.06.2022).

Doch dieses Thema ist und bleibt spannend und es gibt immer wieder Neuigkeiten zu berichten. Insbesondere, solange der Nachfolger des Privacy Shields, das Trans Atlantic Data Privacy Framework (TADPF) auf sich warten lässt, bleibt die Rechtslage nach wie vor unklar und es gibt weiterhin viele offene Fragen im Zusammenhang mit der Übermittlung personenbezogener Daten in ein Drittland und insbesondere in die USA.

In diesem Artikel möchten wir uns mit einer recht kuriosen und vieldiskutierten Situation beschäftigen, die sich in Baden-Württemberg ereignet hat.

Zudem möchten wir auf die Frage eingehen, worüber im Rahmen der Erfüllung von Informationspflichten bezüglich der Datenübermittlung in ein Drittland zu informieren ist, denn hier herrscht häufig große Unsicherheit bezüglich der zu erteilenden Informationen.

Beschluss der Vergabekammer Baden-Württemberg

Die Vergabekammer Baden-Württemberg fasste im Zusammenhang mit einem Vergabeverfahren am 13.07.2022 (Az.: 1 VK 23/22) einen Beschluss, in dem sie ein bloßes Zugriffsrisiko durch einen US-Dienstleister auf personenbezogene Daten, die dem Schutz der DSGVO unterliegen, als eine Übermittlung wertete. Aufgrund dieser Überlegung kam sie zu dem Schluss, dass Infrastrukturdienste von europäischen Tochtergesellschaften US-amerikanischer Cloud-Anbieter in dem Vergabeverfahren, zu dem der Beschluss gefasst wurde, nicht in Anspruch genommen werden dürfen. Im Klartext: Wollte ein Dienstleister ein Rechenzentrum aus Subauftragnehmer zur Verarbeitung der personenbezogenen Daten beauftragen, dessen Gesellschaft zu einem US-Konzern gehörte, dann war dieser Dienstleister von dem Vergabeverfahren ausgeschlossen. In den Vergabebedingungen war dies deutlich klargestellt.

Nach Auffassung der Vergabekammer waren diese Übermittlungen nicht zulässig. Weder die verwendeten Klauseln zur vertraulichen Behandlung von Kundendaten noch die Klauseln zur Verpflichtung, zu weit gehende oder unangemessene Anfragen staatlicher Stellen anzufechten, könnten die Risiken für betroffene Personen hinreichend eindämmen, so dass die entsprechenden Datenübermittlungen auf der Grundlage der (auch angepassten) Standarddatenschutzklauseln zulässigerweise nicht durchgeführt werden könnten, so die Vergabekammer.

Diese Entscheidung der Vergabekammer stieß nicht nur in Fachkreisen überwiegend auf Ablehnung. Auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) äußerte im Rahmen seiner Stellungnahme zu dem vorgenannten Beschluss Kritik. Er stellte im Ergebnis fest, dass auch nach der Entscheidung der Vergabekammer Baden-Württemberg an den Maßgaben seiner Orientierungshilfe zu Datentransfers festgehalten werden könne. Eine derart pauschale Betrachtung wäre nach seiner Auffassung unzulässig und es seien nach wie vor jeweils einzelfallbezogene Alternativprüfungen vorzunehmen.

Der Fall landete schließlich vor dem Oberlandesgericht Karlsruhe (OLG Karlsruhe), das sich daraufhin mit der Thematik von Drittlandübermittlungen bei Cloud-Diensten und den entsprechenden vergaberechtlichen Anforderungen auseinanderzusetzen hatte. Mit Beschluss vom 07. September 2022 (Az.: 15 Verg 8/22) schloss sich das Gericht im Ergebnis der Auffassung des LfDI BW an und stellte fest, dass das bloße, theoretisch bestehende Risiko eines Zugriffs von US-Amerikanischen Behörden für sich genommen nicht ausreicht, um einen Datentransfer für unzulässig zu erklären.

Der Vergabesenat des OLG Karlsruhe hob die o.g. Entscheidung der Vergabekammer BW auf.

Diese Entscheidung des OLG Karlsruhe ist unseres Erachtens. zu begrüßen, denn sie trägt wesentlich zur Rechtssicherheit beim Einsatz von Dienstleistern mit insbesondere US-amerikanischen Konzernmüttern bei und macht deutlich, dass pauschale Übermittlungsverbote nicht das Mittel der Wahl sein können, um die datenschutzrechtlichen Vorgaben bestmöglich umzusetzen. Um Missverständnissen vorzubeugen: Das Urteil bedeutet nicht, dass Dienstleister problemlos beauftragt werden können, deren US-Mutterkonzern Zugriffsmöglichkeiten auf die verarbeiteten Daten hat. Es bedeutet lediglich, dass ein pauschaler Ausschluss solcher Dienstleister vom Vergabeverfahren unzulässig ist. Für jeden Einzelfall ist vielmehr eine Risikobewertung (TIA) durchzuführen.

Zu beachten ist unseres Erachtens insbesondere, dass der Einsatz von Dienstleistern aus der EU, deren Konzernmutter beispielsweise in den USA sitzt, noch keine Datenübermittlung in einen Drittstaat darstellt. Auch hierzu hatten sich in der Vergangenheit

Angaben in den Datenschutzhinweisen im Zusammenhang mit Drittlandtransfers

Kommt ein Verantwortlicher zu dem Ergebnis, dass eine Drittlandübermittlung stattfinden darf, stellt sich häufig die Frage, wie genau und in welchem Umfang müssen die betroffenen Personen darüber informiert werden. Insbesondere stellen sich die folgenden Fragen:

  • Muss das Drittland konkret angegeben werden, in welches die personenbezogenen Daten übermittelt werden?
  • Wenn es mehrere Drittländer gibt, müssen die Informationen aufgeteilt werden, so dass erkennbar ist, welcher Empfänger welche Daten bekommt?
  • Müssen in den Datenschutzhinweisen die Rechtsgrundlagen zur Datenübermittlung genannt werden?

Angaben in Bezug auf das Drittland bzw. die Drittländer

Art. 13 Abs. 1 lit. f DS-GVO schreibt Folgendes vor:

„(1) Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:
[…]
„f)           gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.“

Die Verordnung spricht von einem Drittland, so dass der reine Gesetzeswortlaut eher keine konkreten Angaben zum Drittland, in welches die Daten zu übermitteln sind, verlangt.

Auch der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) vertritt die Auffassung, dass Art. 13 Abs. 1 lit. f DSGVO nicht verlangt, dass das betreffende Drittland oder die betreffende internationale Organisation namentlich genannt werden muss (siehe hierzu die Orientierungshilfe des BayLfD „Informationspflichten des Verantwortlichen“, S. 20 Rn. 37). Dennoch empfiehlt er, entsprechende Angaben zu machen und macht in seiner Orientierungshilfe einen Formulierungsvorschlag.

Als Argument gegen eine Pflicht zur Nennung eines Drittlandes wäre noch aufzuführen, dass wenn der Gesetzgeber es gewollt hätte, dass konkrete Angaben erfolgen sollen, würde er auch nicht nur „ein Drittland“ in Art. 13 formulieren, sondern würde von dem „betreffenden Drittland“ sprechen. An anderer Stelle wird diese (genauere) Terminologie in der DSGVO nämlich durchaus verwendet und zwar in Art. 44 DSGVO. In diesem Artikel werden die allgemeinen Grundsätze der Datenverarbeitung geregelt. Anderes Beispiel ist Art. 30 Abs. 1 lit. e DSGVO, der im Rahmen der Beschreibung einer Verarbeitungstätigkeit in einem Verzeichnis der Verarbeitungstätigkeiten ausdrücklich Informationen zu dem „betreffenden Drittland“ verlangt.

Auch der Europäische Datenschutzausschuss (EDSA; ehemals die Artikel-29-Datenschutzgruppe) stellt in den Leitlinien für Transparenz gemäß der DSGVO fest: „Im Einklang mit dem Grundsatz von Treu und Glauben sollten die zu Datenübermittlungen in Drittländer bereitgestellten Informationen den betroffenen Personen so zweckdienlich wie möglich sein; normalerweise bedeutet dies, dass die Drittländer namentlich angegeben werden“ (hierzu vgl. das Workingpaper „WP 260 rev.01“, S. 47). Das bedeutet, dass auch der EDSA nicht von einer Pflicht zur Angabe eines konkreten Drittlandes ausgeht.

Damit dürften konkrete Angaben zu einem Drittland keine Pflicht, sondern eine Option für die Verantwortlichen wären, um die Verarbeitung transparenter zu gestalten.

Wenn die Datenübermittlung jedoch in mehrere Länder erfolgt, so ist es auch ohne eine ausdrückliche gesetzliche Verpflichtung im Sinn der Transparenz der Datenverarbeitung sinnvoll, die Länder, in die die Daten übermittelt werden, jeweils zu nennen und Angaben zu den Daten zu machen, welche Daten in das betreffende Drittland übermittelt werden. Darüber hinaus würde sich eine Formulierung der Art „Wir übermitteln Ihre Daten in Drittländer, für zwei davon existieren Angemessenheitsbeschlüsse der EU-Kommission, für das dritte haben wir die Standardvertragsklauseln abgeschlossen“ aus Sicht der betroffenen Personen so lesen, als würde man mit aller Macht verhindern wollen, die Zielländer offenzulegen und damit nicht gerade für gesteigertes Vertrauen sorgen.

Angaben in Bezug auf die Rechtsgrundlagen für die Datenübermittlung

Ferner stellt sich die Frage, inwiefern die Rechtsgrundlage für die Datenübermittlung jeweils anzugeben ist. Für die Übermittlung an sich (unabhängig davon, dass sie in ein Drittland erfolgt) muss die Rechtsgrundlage gemäß Art. 13 Abs. 1 lit. c DSGVO zwingend angegeben werden, sofern es sich nicht um eine nach Art. 28 DSGVO privilegierte Auftragsverarbeitung handelt. Erfolgt diese Übermittlung dann in ein Drittland, wird durch den Art. 13 Abs. 1 lit. f DSGVO geregelt, dass darüber zu informieren ist, ob ein Angemessenheitsbeschluss der Kommission besteht oder nicht besteht und sofern die Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 DSGVO durchgeführt werden, jeweils ein Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind, zu erfolgen hat. Eine gesonderte Rechtsgrundlage für die Übermittlung in ein Drittland wird also nicht benötigt und somit muss darüber auch nicht informiert werden.

Fazit

Die Datenübermittlung in ein Drittland kann grundsätzlich auf die Standardvertragsklauseln gestützt werden und ein bloßes Zugriffsrisiko durch einen US-Dienstleister auf personenbezogene Daten, die in einem in der EU ansässigen Rechenzentrum durch die EU-Tochter des US-Dienstleisters verarbeitet werden, führt nicht automatisch dazu, dass eine Datenübertragung an diese EU-Tochter unzulässig wäre. Bis zum tatsächlichen Zugriff auf die Daten durch die US-Mutter, findet noch nicht einmal ein Drittlandtransfer statt. Allerdings dürfte bei unterschiedlichen Dienstleistern das Zugriffsrisiko durch die US-Mutter unterschiedlich ausfallen. Die Zulässigkeitsprüfung hat daher immer einzelfallbezogen im Rahmen einer TIA zu erfolgen.

Dabei ist im Rahmen der Erfüllung der Informationspflichten gemäß Artt. 12 ff. DSGVO zu beachten, dass ergänzend zu den regelmäßig zu machenden Angaben im Fall der Datenübermittlung in ein Drittland weitere Angaben hinsichtlich der Rechtsgrundlagen zur Datenübermittlung erforderlich sind. Sinnvoll, jedoch nicht verpflichtend, sind auch konkrete Angaben zum betreffenden Drittland.

______________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.

Und einen Podcast haben wir auch. Gemeinsam mit der Mauß Datenschutz GmbH veröffentlichen wir alle zwei Wochen jeweils donnerstags eine neue Folge. Hören Sie doch einfach mal rein oder abonnieren Sie uns – zum Beispiel hier.