Die Ăbermittlung personenbezogener Daten an Dienste in den USA ist derzeit eins der kompliziertesten Themen im Datenschutz. Seit dem Wegfall des Privacy Shield Abkommens und den Entscheidungen der Aufsichtsbehörden zu Standarddatenschutzklauseln sind europĂ€ische Unternehmen rechtlicher Unsicherheit ausgesetzt, wenn sie US-amerikanische Tools und Services einsetzen möchten. FĂŒr etwas Optimismus sorgte zuletzt ein Urteil des OLG Karlsruhe. Danach dĂŒrfen europĂ€ische Unternehmen darauf vertrauen, dass personenbezogene Daten die EU nicht verlassen, wenn dies vertraglich zugesichert wird.Â
 Hintergrund:
Aufgrund der weitreichenden Auswirkungen des Schrems-II-Urteils des EuGH (Urt. v. 16.07.2020, Rs. Câ311/18), hatten einige groĂe amerikanische Anbieter von Software und Cloud-Diensten europĂ€ische Tochtergesellschaften gegrĂŒndet und Serverstandorte in Deutschland oder anderen EU-Staaten eingerichtet. Hierdurch sollten die hohen HĂŒrden eines sogenannten Drittland-Transfers entschĂ€rft werden, weil die Daten mutmaĂlich nie die EU verlassen wĂŒrden. Nach wie vor bestehen jedoch erhebliche Zweifel an der RechtmĂ€Ăigkeit der Verarbeitung durch solche Anbieter, da sie gemÀà des US-Patriot Acts indirekt ĂŒber ihre amerikanischen Muttergesellschaften zur Offenlegung von Daten von EU-BĂŒrgern (beispielsweise zur Terrorabwehr) an US-Geheimdienste gezwungen werden könnten. Es wird zudem von Aufsichtsbehörden vertreten, dass die Nutzung solcher Dienste ebenfalls als Drittlandtransfer zu bewerten sei, da nicht ausgeschlossen werden könne, dass die Daten (auch) auf Servern mit Standorten in den USA durch die amerikanischen Muttergesellschaften verarbeitet wĂŒrden.
Dieser Auffassung, die das bloĂe Risiko einer DatenĂŒbermittlung in die USA faktisch als Drittlandtransfer ansah, ist das OLG Karlsruhe nun entgegengetreten.
Urteil:
Das OLG stellte in seinem Beschluss vom 07.09.2022, Az. 15 Verg 8/22, fest, dass eine vertragliche Zusage des Anbieters, keine Daten in die USA zu ĂŒbertragen, grundsĂ€tzlich ausreiche. Voraussetzung sei, dass keine unmittelbaren Zweifel oder Anhaltpunkte fĂŒr einen VerstoĂ gegen dieses Leistungsversprechen bestehen. Hierauf dĂŒrfe das europĂ€ische Unternehmen, das den Dienst nutzen möchte, redlicher Weise vertrauen.
Eine Konzernbindung der Tochtergesellschaft an die US-amerikanische Muttergesellschaft begrĂŒnde dabei noch keine ausreichenden Zweifel an der Einhaltung von EU-Normen. Die rein theoretische Zugriffsmöglichkeit der Unternehmensmutter im Drittstaat stelle gerade keine Ăbermittlung personenbezogener Daten und damit auch keinen VerstoĂ gegen Art. 44 ff. DSVGO dar. Deshalb sei es in diesen Konstellationen auch nicht erforderlich, dass der Diensteanbieter zusĂ€tzliche technische und organisatorische MaĂnahmen, beispielsweise im Hinblick auf eine sichere VerschlĂŒsselung, zusichert, wie dies der EuGH im Schrems-II-Urteil gefordert hatte. Dies gelte nĂ€mlich eben nur fĂŒr echte Drittlandtransfers.
Das Urteil ist fĂŒr Unternehmer insofern ein Lichtblick, da es den Einsatz zahlreicher Anbieter wie Google, Facebook, Microsoft oder Adobe erleichtert, die in der Regel europĂ€ische Tochtergesellschaften (insbesondere in Irland) betreiben. Es scheint jedoch so, als sei das letzte Wort hierzu noch nicht gesprochen. Am Ende könnte es sich um eine Frage handeln, die der EuropĂ€ische Gerichtshof zu klĂ€ren hĂ€tte.
Photo by Ian Battaglia on Unsplash