Ist der US-Datentransfer in Deutschland illegal?

Image of Carlo Cilento

Veröffentlicht am 9. Aug. 2022 und bearbeitet am 15. Aug. 2023 von Carlo Cilento

(Aktualisierung: Der Fall wurde später in der Berufung aufgehoben. Eine Zusammenfassung des Berufungsurteils finden Sie auf gdprhub)

Am 13. Juli hat die Vergabekammer des Landes Baden-Württemberg über ein öffentliches Vergabeverfahren für eine digitale Verwaltungssoftware entschieden. Dabei stellte sie fest, dass die Übermittlung personenbezogener Daten in die USA auf der Grundlage von Standardvertragsklauseln gegen die Datenschutz-Grundverordnung verstößt.

Es ist anzumerken, dass die Kammer keine Datenschutzbehörde ist und dass es sich bei dem Fall streng genommen nicht um einen Datenschutzfall handelt. Dennoch ist die Entscheidung von großer Bedeutung. Mehrere europäische Datenschutzbehörden haben bei der Bearbeitung der 101 Beschwerden von noyb einen strengen Ansatz für Datenübermittlungen gewählt. Die vorliegende Entscheidung deutet darauf hin, dass die strikte Haltung gegenüber Datenübermittlungen nun auch außerhalb der engen Grenzen des Datenschutzrechts an Bedeutung gewinnen könnte.

Darüber hinaus konzentriert sich die Entscheidung hauptsächlich auf den verwaltungsrechtlichen Aspekt. Die datenschutzrechtlichen Aspekte, die hier eine Rolle spielen, werden nicht sehr klar erläutert, und die Argumentation der Kammer in einigen entscheidenden Punkten muss vom Leser erschlossen werden. Die Entscheidung ist nicht leicht zu entziffern, aber wir haben unser Bestes getan, um den Kern der Entscheidung präzise und lesbar darzustellen.

  1. Der zugrunde liegende Fall
  2. Die wichtigsten Punkte des Urteils
  3. Die Folgen des Urteils
  4. Abschließende Überlegungen
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Lasst uns eintauchen!

Der zugrunde liegende Fall

Eine öffentliche Behörde schrieb die Beschaffung von Software für die digitale Verwaltung aus. Zu den Zuschlagskriterien gehörten Datenschutz- und Sicherheitsanforderungen: Insbesondere mussten alle Daten in Übereinstimmung mit der Datenschutz-Grundverordnung und dem Bundesdatenschutzgesetz verarbeitet werden. Den Zuschlag erhielt die EU-Tochter eines US-Unternehmens (die Namen der Unternehmen werden nicht genannt).

Ein anderes Unternehmen, das sich an der Ausschreibung beteiligt hatte, forderte die Kammer auf, die Entscheidung zu prüfen, da der von dem siegreichen Unternehmen angebotene Dienst Datenübermittlungen in die USA beinhaltet, die gegen die Datenschutz-Grundverordnung verstoßen. Tatsächlich stützte sich das siegreiche Unternehmen auf das EU-Spin-off-Unternehmen von AWS (Amazon Web Services EMEA SARL) als Auftragsverarbeiter. AWS EMEA bot die Möglichkeit, Daten in der EU zu speichern, würde aber in bestimmten Szenarien dennoch personenbezogene Daten an die Muttergesellschaft weitergeben:

  1. Zur Aufrechterhaltung des Dienstes oder zur Bereitstellung von Support.
  2. Zur Einhaltung von Gesetzen oder einer rechtsverbindlichen Anordnung.

Standardvertragsklauseln (SCCs) waren der Datenübertragungsmechanismus unter der DSGVO. Als zusätzliche Schutzmaßnahme verschlüsselte das Unternehmen die Daten und verpflichtete sich, alle "überzogenen oder übertriebenen" Datenzugriffsanfragen von Behörden abzulehnen.

Die Kammer kam zu dem Schluss, dass die Datenübermittlung tatsächlich gegen Kapitel V der Datenschutz-Grundverordnung verstieß. Die Behörde wurde angewiesen, die Angebote erneut zu bewerten, da die Einhaltung der DSGVO eine der in der Ausschreibung festgelegten Anforderungen war.

Die wichtigsten Punkte des Urteils

  • DieSCCs gewährleisten keinen angemessenen Schutz für die Übermittlung personenbezogener Daten in die USA.
  • Die zusätzlichen Sicherheitsvorkehrungen wurden als unzureichend erachtet (Argumente zur Verschlüsselung wurden von der Kammer aus verfahrenstechnischen Gründen jedoch nicht berücksichtigt)
  • Die bloße Zugänglichkeit personenbezogener Daten von einem US-Anbieter bedeutet, dass eine Datenübermittlung stattfindet und die Vorschriften der Datenschutz-Grundverordnung für Datenübermittlungen gelten. Tatsächlich waren die Daten im vorliegenden Fall in der EU lokalisiert. Dennoch konnte die US-amerikanische Muttergesellschaft auf sie zugreifen (der Fall ähnelt in dieser Hinsicht der jüngsten Datatilsynet-Entscheidung zu Google Workspace ).

Die Begründung dieses Urteils entspricht der Logik mehrerer europäischer Datenschutzbehörden und beruht auf der Tatsache, dass US-Unternehmen, die als "Anbieter elektronischer Kommunikationsdienste" eingestuft werden, verpflichtet sind, den US-Geheimdiensten auf Anfrage Daten zu übermitteln.

german authority rules data transfer unlawful

Die Folgen des Urteils

Einige Punkte müssen hervorgehoben werden. Erstens ist die Vergabekammer weder eine Datenschutzbehörde noch ein Gericht, sondern eine unabhängige Behörde, die sich mit Verwaltungsrecht befasst. Daher wird die Entscheidung wahrscheinlich nicht so viel Gewicht haben wie eine Entscheidung einer Datenschutzbehörde. Zweitens ist die Kammer nur für das deutsche Bundesland Baden-Württemberg zuständig; andere deutsche Behörden können einen anderen Ansatz verfolgen.

Nichtsdestotrotz ist die Entscheidung von großer Bedeutung. Die Vergabekammer gehört nicht zu den zentralen Akteuren bei der Durchsetzung des EU-Datenschutzrahmens und ist in der Regel nicht an der Auslegung der Datenschutz-Grundverordnung beteiligt. Die Entscheidung steht jedoch im Einklang mit dem Ansatz, den mehrere europäische Datenschutzbehörden bei der Bearbeitung der 101 Beschwerden von noyb (die auf die Koordinierungsbemühungen des Europäischen Datenschutzausschusses zurückzuführen sind) befürwortet haben. Dies könnte ein Zeichen dafür sein, dass eine harte Haltung gegenüber Datenübermittlungen an Dynamik gewinnt und Behörden beeinflusst, die weniger an der Durchsetzung der Datenschutz-Grundverordnung beteiligt sind.

Abschließende Überlegungen

Datenschutz ist ein Menschenrecht und sollte auch so behandelt werden. Die EU-Regulierungsbehörden zeigen endlich ihre Zähne. Für Unternehmen, die sich an das Gesetz halten wollen, gibt es zahlreiche europäische Alternativen, die die von Ihnen derzeit genutzten US-Pendants ersetzen könnten.

Wir haben Simple Analytics als Alternative zu Google Analytics entwickelt, bei der der Datenschutz im Vordergrund steht. Wir glauben, dass es nicht nur darum geht, sich an die Gesetze zu halten. Es geht auch darüber hinaus. Wir glauben an ein unabhängiges Web, das freundlich zu den Website-Besuchern ist. Deshalb haben wir Simple Analytics ohne Tracking-Mechanismen und ohne die Möglichkeit, persönliche Daten zu sammeln, entwickelt, um Ihnen dennoch die gewünschten Erkenntnisse zu liefern. Wenn Sie sich davon angesprochen fühlen, können Sie uns gerne ausprobieren.

GA4 ist komplex. Versuchen Sie Simple Analytics

GA4 ist wie im Cockpit eines Flugzeugs zu sitzen, ohne einen Pilotenschein zu haben

14-Tage-Testversion starten