Und wieder eine richtungsweisende Entscheidung, die verdeutlicht, wo bislang Augenwischerei betrieben wurde, um den Schutz von Daten zu umgehen.
Die Vergabekammer Baden-Württemberg hat am 2022-07-13 (Az. 1 VK23/22) eine wichtige Entscheidung getroffen, die hoffentlich aufrüttelt. Zwar bezieht sich die Entscheidung der Vergabekammer auf personenbezogene Daten, die durch die DSGVO geschützt werden, doch belegt sie ein weiteres Mal, dass die US-Mutterkonzerne jederzeit auf die Server ihrer deutschen und europäischen Tochtergesellschaften zugreifen können.
Die Motivation solcher Zugriffe kann sowohl durch das eigene unternehmerische Interesse der Anbieter motiviert sein als auch durch das Interesse US-amerikanischer Behörden bzw. der umfangreichen Intelligence Community (Geheimdienste). Ihnen wird durch den US Cloud Act sowie weiteren Gesetzen und Direktiven ein großer Spielraum eingeräumt. Ob es dabei „nur“ um personenbezogene Daten und Verbindungsdaten geht, bleibt dem Dateninhaber verborgen. Er ist schlichtweg nicht mehr datensouverän und hat auch keine Auskunftsrechte gegenüber den US-amerikanischen Behörden.
„Es sollte stets sehr gut überlegt werden, ob es für das eigene Unternehmen sinnvoll und schadlos ist, bei US-Tech-Anbietern Daten und Workloads zu hosten, da aufgrund der US-Gesetze das Schutzniveau für Vertraulichkeit und Datensouveränität dort deutlich geringer ist als bei unabhängigen deutschen Hostern. Ein Rechenzentrum in Europa alleine ist nicht ausreichend, um Datensouveränität und Datenschutz zu begründen.“, so Rolf Heßling, Geschäftsführer der Uptime IT GmbH, der auch zu Skepsis bei Cloud-Anbietern aus China oder Russland rät.
Der mögliche Zugriff durch US-Nachrichtendienste wird nicht nur von Uptime IT gesehen. Auch die Datenschutzbehörden Österreichs und Frankreichs sehen die weitreichenden Befugnisse der Dienste und bemängeln die Verwendung bekannte Tools amerikanischer Tech-Konzerne als nicht vereinbar mit der DSGVO.
Was hat die Vergabekammer entschieden und wie begründet?
Nach Ansicht der Experten der Vergabekammer liegt eine datenschutzrechtlich unzulässige Übermittlung personenbezogener Daten in ein Drittland (außerhalb der EU) auch dann vor, wenn der entsprechende Server von einer in der EU ansässigen Gesellschaft betrieben wird, die ihrerseits Teil eines US-Konzerns ist.
Für die Vergabekammer führt allein die Möglichkeit, dass auf personenbezogene Daten durch die nichteuropäische Muttergesellschaft zugegriffen werden könne zu einer sogenannten „Weitergabe“ im Sinne der DSGVO.
Bezogen auf personenbezogene Daten ist die Weitergabe solcher Daten nach Wegfall des US-Privacy-Shields unzulässig und kann auch nicht durch Standardvertragsklauseln, also Persilscheine, die ermöglichen sollten, Daten weiterzugeben, obwohl tatsächlich die Datenschutzbelange nicht erfüllt sind, rechtlich legitimiert (weißgewaschen) werden. Abgeflossen und ausgewertet können die Daten trotzdem sein.