Viele unserer Mandanten bieten digitale Software über eigene online Plattformen an („Software-as-a-Service“). Die Geschäftsmodelle sind hierbei vielfältig und reichen von digitalen Gesundheitsplattformen bis hin zu cloudbasierten Personalmanagement-Tools. Verarbeitet werden dabei regelmäßig auch personenbezogene Daten (nämlich insbesondere die Daten der Plattformnutzer).
Bisherige Ansicht: Theoretische Zugriffsmöglichkeit = Datentransfer
Die für den Betrieb der Software erforderliche Server-Infrastruktur („Hosting“) wird in der Praxis sehr häufig durch amerikanische Konzerne bereitgestellt, die als Unterauftragnehmer des Plattform-Providers fungieren. Die international führenden Unternehmen kommen dabei allesamt aus den USA (z.B. Amazon Web Services, Google Cloud Platform, Microsoft Azure) und bieten ihre Leistungen meist über Niederlassungen in Europa an. Mir sind bislang jedenfalls keine europäischen Hosting-Provider bekannt, die preislich oder technisch mit den großen amerikanischen Hosting-Providern mithalten könnten.
Europäische Unternehmen, die die besagten US-Hosting-Provider nutzen, sehen sich häufig gegenüber Kunden und Behörden mit der Frage konfrontiert, ob ihre Services datenschutzkonform nutzbar sind.
Denn mitunter wird davon ausgegangen, dass eine solche Nutzung immer mit einem Drittlandtransfer von personenbezogenen Daten (in die USA) einhergeht. Zur Erinnerung, eine Übermittlung von personenbezogenen Daten ist nach dem sog. Schrems II Urteil des Europäischen Gerichtshofes („EuGH“) nur unter strengen Voraussetzungen möglich, die etwaige Zugriffsrechte durch amerikanische Geheimdienste berücksichtigen, die durch den EuGH als nicht mit dem europäischen Datenschutzrecht vereinbar angesehen werden.
Bereits in der Übermittlung von Daten an die europäische Entität (z.B. „Amazon Web Services EMEA SARL, Avenue John F. Kennedy 38, 1855 Luxembourg“) eines amerikanischen Mutterunternehmens (z.B. „Amazon.com, Inc., 410 Terry Ave N, Seattle 98109, WA, USA“), sahen einige Behörden eine Datenübermittlung in die USA als gegeben an.
Denn die amerikanische Muttergesellschaft, die die europäische Entität beherrscht, könne (bzw. müsse) nach anwendbaren US-Gesetzen die europäische Entität zur Herausgabe von Daten verpflichten. Allein ein solcher potenzieller Zugriff wurde bereits als Übermittlung in die USA bewertet.
Dies wiederum würde bedeuten, dass die strengen Vorgaben für Drittlandtransfers nach der DSGVO greifen würden. Hierfür wäre nach dem Urteil des EuGH (Schrems II) und den Umsetzungsleitlinien des europäischen Datenschutzausschusses neben dem Abschluss von Standardvertragsklauseln ein sog. Transfer Impact Assessment durchzuführen (oftmals mit dem Ergebnis, dass eine Übermittlung datenschutzrechtlich unzulässig gewesen wäre).
Im Ergebnis bedeutete dies häufig, dass ein vermeintlicher Datentransfer in die USA nur schwer datenschutzkonform durchgeführt werden konnte. Die unsichere Rechtslage riefs teils erhebliche Unsicherheit bei potenziellen Kunden hervor, die zum Teil davon ausgingen, dass ein Datentransfer an ein großes US-Techunternehmen datenschutzrechtlich immer unzulässig sei.
Das Ergebnis dieser strengen Auslegung mündete häufig in dem faktischen Zwang, auf einen europäischen Hosting-Anbieter zurückzugreifen, um datenschutzkonform zu handeln. Als Konsequenz hatte dies jedoch für EU-Unternehmen einen Wettbewerbsnachteil gegenüber der internationalen Konkurrenz zur Folge. Denn auf der Basis dieser Datenschutzanforderungen müssten europäische Unternehmen weniger performantere EU-Hosting-Anbieter zu höheren Preisen in Anspruch nehmen und hätten dies letztlich auch an die eigenen Kunden weiterzugeben. Dies würde sich dann nachteilig auf die Preis- und Produktqualität auswirken, wodurch EU-Anbieter im internationalen Wettbewerb zurückfallen würden.
Aktuelle Ansicht: Hypothetischer Zugriff = Kein Drittlandtransfer
Europäische Unternehmen können nun allerdings aufatmen. Soweit Daten an ein EU-Tochterunternehmen (sei es „Google Irland“, „Amazon Luxembourg“, oder „Microsoft Irland“) übermittelt werden, liegt allein dadurch noch kein Drittlandtransfer in die USA vor. Die Quintessenz der Rechtsauffassung ist dabei, dass ein rein hypothetischer Zugriff dem Wortlaut nach keine „Übermittlung durch Offenlegung“, im Sinne des Art. 44 ff. DSGVO, darstellt.
Diese Auffassung hat nun jedenfalls die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK-Datenschutzkonferenz) in Ihrem Beschluss vom 31.01.2023 (abrufbar hier) und auch die Vergabekammer des Bundeskartellamtes vertreten (abrufbar hier). [Aber Achtung: Sowohl Vergabekammer als auch Datenschutzkonferenz sind keine Gerichte, sodass ihre Entscheidungen keine Rechtskraft entfalten.]
Sowohl die DSK als auch das Bundeskartellamt vertreten nunmehr die Ansicht, dass allein die Beherrschung durch ein amerikanisches Mutterunternehmen nicht zu einem Drittlandtransfer nach den Art. 44 ff. DSGVO führt. Dies bedeutet, dass auch kein Transfer Impact Assessment durchzuführen ist und der Datentransfer regelmäßig als rein innereuropäisch und damit „sicher“ einzustufen ist.
Europäische Unternehmen die entsprechende Unterauftragnehmer nutzen, können nun getrost auf die Entscheidung der Datenschutzkonferenz und der Vergabekammer des Bundeskartellamtes verweisen.
Worauf zu achten ist
Der Vollständigkeit halber sei noch erwähnt, dass nach Ansicht der DSK allerdings die Möglichkeit des Zugriffs durch öffentliche Stellen im Rahmen der allgemeinen Zuverlässigkeitsprüfung nach Art. 28 Abs. 1 DSGVO zu berücksichtigen ist.
In diesem Rahmen ist die abstrakte Gefahr von möglichen Zugriffen zu bewerten und hierbei (unter anderem) auch die extraterritoriale Anwendbarkeit des Drittland-Rechts, das Risiko von Anweisungen von Drittland-Muttergesellschaften sowie geeignete technische und organisatorische Maßnahmen zur Verhinderung von Zugriffen heranzuziehen. Solange die EU-Kommission noch keinen Angemessenheitsbeschluss erlassen hat, müssen Unternehmen an die Sorgfalt der Zuverlässigkeitsprüfung besonders hohe Anforderungen stellen.
Durch die aktuelle Stellungnahme (Opinion 5/2023) des Europäischen Datenschutzausschusses (EDSA) ist ein Angemessenheitsbeschluss der Europäischen Kommission zum EU-US-Datenschutzrahmen (EU-U.S. Data Privacy Framework) allerdings wieder in greifbare Nähe gerückt worden. Der EDSA hatte sich grundsätzlich positiv zum Entwurf des Angemessenheitsbeschlusses der EU-Kommission geäußert, äußerte gleichzeitig aber auch Bedenken und bittet um Klarstellung zu mehreren Punkten. Soweit der Angemessenheitsbeschluss erlassen wird, dürfen Unternehmen personenbezogene Daten ohne besondere Einschränkungen in die USA übermitteln, da das Datenschutzniveau der USA damit dem der EU entspricht.
Zu beachten ist weiterhin, dass bei einer Weitergabe von Daten an EU-Tochterunternehmen ein Drittlandtransfer auch dadurch eintreten kann, dass dieses wiederum Unterauftragnehmer aus Drittländern einschaltet (z.T. kann dies aber ausgeschlossen werden in dem nur „regional services“ beschränkt auf EMEA genutzt werden). Eine genaue rechtliche Prüfung des jeweiligen Verarbeitungssituation ist daher anzuraten.
Wir empfehlen zudem zu prüfen, ob der abgeschlossene Auftragsverarbeitungsvertrag (EN: Data Processing Agreement) mit dem Hosting-Provider aktuell ist. Hierbei ist darauf zu achten, dass sich das DPA auch auf den richtigen Service bezieht.
Dies lässt sich oft schon durch eine Google-Recherche überprüfen (z.B. „Microsoft aktuelles Data Processing Agreement“) und sollte ansonsten bei dem Hosting-Dienstleister angefragt werden. Üblicherweise können Anfragen über die Datenschutz-E-Mail-Adresse erfolgen, die meist in den Datenschutzerklärungen zu finden sind.
Das Data Processing Agreement sollte eigenständig auf Wirksamkeit und Passgenauigkeit überprüft werden und – jedenfalls im Zusammenhang mit anderen Vertragsteilen – eine EU-Gesellschaft als Vertragspartner enthalten. Zum Teil stellen die Anbieter die aktuellen DPAs über ihre Admin-Konsole zum Download bereit.