Neues zum Datenschutzrecht

3.3.2023

Datenschutzaufsicht: Datenzugriff aus Drittländern und die Auswahl von Auftragsverarbeitern

Die Datenschutzkonferenz (DSK), das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat einen Beschluss „Zur datenschutzrechtlichen Bewertung von Zugriffsmöglichkeiten öffentlicher Stellen von Drittländern auf personenbezogene Daten“ veröffentlicht. Diese Bewertung erfolgt vor dem Hintergrund des Abschlussberichts zu Microsoft 385 der DSK (dazu s. Datenschutz-News v. 9.12.2022).

Der DSK-Beschluss erfolgt aber auch vor dem Hintergrund der Entscheidung des OLG Karlsruhe zum Einsatz von Cloud-Providern innerhalb der EU mit US-Konzernmutter (Beschluss v. 7.9.2022, Az. 15 Verg 8/22). Das Gericht hatte seinerzeit entschieden, dass ein Anbieter aus einem Vergabeverfahren zweier kommunaler Krankenhausgesellschaften nicht aus dem Grund ausgeschlossen werden durfte, dass er im Rahmen seines Angebots die luxemburgische Tochtergesellschaft eines US-amerikanischen Unternehmens als Hosting-Dienstleister einsetzt. Das bloße Risiko eines Zugriffs auf personenbezogene Daten durch US-Behörden reicht nicht aus, um von einem Verstoß gegen die DSGVO und damit von einem Abweichen von den Datenschutzanforderungen der Ausschreibung auszugehen. Das OLG Karlsruhe hat lediglich entschieden, dass in Angeboten abgegebene Leistungsversprechen bzw. Garantien im Rahmen von Vergabeverfahren nicht ohne begründete Zweifel negiert werden dürfen und aus diesem Grund zu einem Ausschluss vom Vergabeverfahren führen können. Im Rahmen der Nachprüfung einer Vergabeentscheidung ist grundsätzlich davon auszugehen, dass ein Anbieter seine im Rahmen des Angebots gemachten vertraglichen Zusagen erfüllen wird. Daher dürfen auch Anbieter, die sich US-Unternehmen zur Erbringung von Hostings-Dienstleistungen etc. bedienen, nicht generell von Vergabeverfahren ausgeschlossen werden, wenn sie zusichern, die Daten in der EU zu verarbeiten. Nur wenn sich aufgrund konkreter Anhaltspunkte Zweifel ergeben, muss der öffentliche Auftraggeber ergänzende Informationen einholen. Das Vorliegen etwaiger Anhaltspunkte hat das Gericht geprüft und verneint (dazu s. Datenschutz-News v. 16.9.2022).

Inhalt

In der Sache an sich wenig überraschend, aber als DSK-Position durchaus beachtlich😉, wird als erstes festgestellt, dass die Gefahr allein, dass – etwa über gesellschaftsrechtliche Weisungsrechte – die in einem Drittland ansässige Muttergesellschaft eines Unternehmens in der EU oder im Europäischen Wirtschaftsraum (EWR) dieses anweisen könnte, oder dass öffentliche Stellen von Drittländern unmittelbar EU-/EWR-Unternehmen anweisen könnten, personenbezogene Daten in ein Drittland zu übermitteln, nicht genügt, um eine Übermittlung in ein Drittland i.S.d. Art. 44 ff. DSGVO anzunehmen.

Weiter stellt die DSK fest, dass eine solche Gefahr jedoch dazu führen kann, dass Auftragsverarbeitern die Zuverlässigkeit im Sinne von Art. 28 Abs. 1 DSGVO fehlt, soweit nicht diese – oder auch der Verantwortliche – technische und/oder organisatorische Maßnahmen ergriffen haben, die hinreichend Garantien dafür bieten, dass der Auftragsverarbeiter seinen Pflichten nachkommt, insbesondere was das Unterlassen von Verarbeitungen personenbezogener Daten ohne oder gegen die Weisung des Verantwortlichen angeht, im Speziellen auf der Grundlage von Verpflichtungen aus drittstaatlichem Recht.

Es wird die Zuverlässigkeit des Auftragsverarbeiters in den Mittelpunkt gestellt:

• Soweit das Risiko besteht, dass eine Norm oder Praxis, die nach EU-Recht unzulässige Verarbeitungen personenbezogener Daten verlangen kann, auch auf EU-/EWR-Tochtergesellschaften von Drittlands-Unternehmen anwendbar ist, genügt die Verarbeitung durch eine EU-/EWR-Tochtergesellschaft als Auftragsverarbeiter für sich genommen nicht, um eine Zuverlässigkeit im Sinne von Art. 28 Abs. 1 DSGVO zu erreichen.
• Soweit eine Norm oder Praxis eines Drittlands die abstrakte Gefahr einer nach EU-Recht unzulässigen Übermittlung personenbezogener Daten aus dem EWR in ein Drittland durch eine als Auftragsverarbeiter tätige Stelle in dem EWR – z.B. die EU-/EWR-Tochtergesellschaft eines Drittlands-Unternehmens – begründet, sind an die Sorgfalt der Zuverlässigkeitsprüfung im Sinne von Art. 28 Abs. 1 DSGVO besonders hohe Anforderungen zu stellen, die dieser Gefahr Rechnung tragen.

In diesen Fällen ist nach Ansicht der deutschen Datenschutzaufsichtsbehörden zunächst eine Bewertung sämtlicher Umstände des Einzelfalls angezeigt, ob der Auftragsverarbeiter und/oder die von ihm verarbeiteten Daten unter diese drittstaatliche Norm oder Praxis fallen und wenn ja, ob der Auftragsverarbeiter dennoch hinreichend Garantien dafür bietet, dass es nicht zu Verarbeitungen kommt, die nach den Maßstäben der DSGVO bzw. des anwendbaren mitgliedstaatlichen Rechts unzulässig sind. Dabei sind nach Auffassung des DSK insbesondere die folgenden Punkte zu berücksichtigen:

• bei einer extraterritorialen Anwendbarkeit und/oder Anwendung: das Ergebnis einer Prüfung, ob das Recht oder die Praxis des Drittlands die Verpflichtungen aus dem Auftragsverarbeitungsvertrag beeinträchtigen könnten (in Anlehnung an die Empfehlungen 01/2020 des Europäischen Datenschutzausschusses),
• das Risiko, dass die Drittlands-Muttergesellschaft eines EWR-Tochterunternehmens dieses anweisen könnte, personenbezogene Daten in ein Drittland zu übermitteln (Prüfung der Erkenntnisse zur Rechtslage/-praxis),
• ob der Auftragsverarbeitungsvertrag nach europäischen Maßstäben unzulässige Verarbeitungen auf der Grundlage von Drittlands-Recht erlaubt,
• etwaige Zusicherungen der Drittlands-Muttergesellschaft und des EWR-Unternehmens zum Umgang mit kollidierenden Anforderungen des Rechts eines Drittstaates und der EU,
• eine Bewertung der Rechtslage und -praxis des Drittlands, ob derartige Zusicherungen auch tatsächlich eingehalten werden können,
• eine Bewertung aller weiteren Aspekte, ob derartige Zusicherungen auch tatsächlich eingehalten werden,
  etwaige in der Vergangenheit festgestellte Datenschutzverstöße,
• die Schwere und Wahrscheinlichkeit einer Sanktionierung von Zuwiderhandlungen nach EU-Recht und dem Recht des Drittlands sowie
• der Ausschluss unzulässiger Übermittlungen durch geeignete technische und organisatorische Maßnahmen.

Sollte der Auftragsverarbeiter nach dieser Prüfung keine hinreichenden Garantien bieten, sind die Risiken der europarechtswidrigen Datenverarbeitung durch technische und/oder organisatorische Maßnahmen auszugleichen, die genau diejenigen Defizite der Rechtslage oder -praxis des drittstaatlichen Rechts ausgleichen, die zu der mangelnden Zuverlässigkeit des Auftragsverarbeiters geführt haben. Für die insoweit heranzuziehenden Maßstäbe verweist die DSK grundsätzlich auf die „Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten“ des Europäischen Datenschutzausschusses (EDSA). Dabei ist zu berücksichtigen, dass diese Empfehlungen für die Übermittlung konzipiert wurden, so dass abweichende Bewertungen und Ergebnisse für die Eignung bestimmter Maßnahmen im Rahmen der Auftragsverarbeitung möglich sind.

Schließlich wird in Punkt 5 des DSK-Beschlusses darauf hingewiesen, dass der Verantwortliche in der Lage sein muss, den Nachweis zu führen, dass ein Auftragsverarbeiter die Anforderungen aus Art. 28 Abs. 1 DSGVO an Fachwissen, Zuverlässigkeit und Ressourcen erfüllt.

Fazit

Die DSK lässt wissen, dass das bloße Risiko einer Anweisung an ein EU-/EWR-Unternehmen durch eine Muttergesellschaft oder staatlichen Stellen in Drittländern, personenbezogene Daten in ein Drittland zu übermitteln, (noch) keine unzulässige Datenübermittlung darstellt. Dazu, ob eine theoretische Datenzugriffsmöglichkeit der Muttergesellschaft von den Aufsichtsbehörden als Datenübermittlung qualifiziert wird oder nicht, schweigt der Beschluss bzw. die DSK.

Beachtet werden sollte die Positionierung der Aufsicht, dass die im Zusammenhang mit dem Drittlandstransfer diskutierten Fragen des Zugriffs bzw. der Zugriffsmöglichkeit durch Konzerngesellschaften in Drittländern bzw. staatliche Stellen von Drittländern explizit in der Zuverlässigkeitsprüfung des Auftragsverarbeiters platziert werden und insoweit auch ausdrücklich auf die Dokumentation sowie Nachweisbarkeit dieser Prüfung hingewiesen wird.

Es ist nicht ausreichend, eine Vereinbarung über eine Auftragsverarbeitung abzuschließen. Vielmehr erfordert die abstrakte Gefahr einer unzulässigen Datenübermittlung eine besonders strenge Prüfung der Zuverlässigkeit des Auftragsverarbeiters, die mit einer umfassenden Prüfung mit besonders hohen Anforderungen einhergehen muss. Die hierbei insbesondere zu berücksichtigen Kriterien werden in dem DSK-Beschluss aufgeführt.

Schließlich muss die Rechenschaftspflicht des Verantwortlichen beachtet werden. Der Verantwortliche muss in der Lage sein, den Nachweis zu führen, dass der Auftragsverarbeiter die Anforderungen aus Art. 28 Abs. 1 DSGVO und hier insbesondere die Zuverlässigkeit auch mit Blick auf etwaige Zugriffsmöglichkeiten öffentlicher Stellen von Drittländern auf personenbezogene Daten erfüllt.

Bei den Beschlüssen, Hinweisen und Orientierungshilfen der DSK ist wie immer zu beachten, dass es sich um die Auffassung und Empfehlung der deutschen Datenschutzaufsichtsbehörden handelt. In diesem Sinne sollte den Verlautbarungen der Aufsicht gebührend Beachtung geschenkt werden.

Sollten Sie Fragen zur Datenübermittlung in die USA oder andere Drittländer oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.

Zurück zur Übersicht