OLG Karlsruhe: Nutzung amerikanischer Cloud-Dienste mit EU-Servern erleichtert

Die √úbermittlung personenbezogener Daten an Dienste in den USA ist derzeit eins der kompliziertesten Themen im Datenschutz. Seit dem Wegfall des Privacy Shield Abkommens und den Entscheidungen der Aufsichtsbeh√∂rden zu Standarddatenschutzklauseln sind europ√§ische Unternehmen rechtlicher Unsicherheit ausgesetzt, wenn sie US-amerikanische Tools und Services einsetzen m√∂chten. F√ľr etwas Optimismus sorgte zuletzt ein Urteil des OLG Karlsruhe. Danach d√ľrfen europ√§ische Unternehmen darauf vertrauen, dass personenbezogene Daten die EU nicht verlassen, wenn dies vertraglich zugesichert wird.¬†

 Hintergrund:

Aufgrund der weitreichenden Auswirkungen des Schrems-II-Urteils des EuGH (Urt. v. 16.07.2020, Rs. C‚ÄĎ311/18), hatten einige gro√üe amerikanische Anbieter von Software und Cloud-Diensten europ√§ische Tochtergesellschaften gegr√ľndet und Serverstandorte in Deutschland oder anderen EU-Staaten eingerichtet. Hierdurch sollten die hohen H√ľrden eines sogenannten Drittland-Transfers entsch√§rft werden, weil die Daten mutma√ülich nie die EU verlassen w√ľrden. Nach wie vor bestehen jedoch erhebliche Zweifel an der Rechtm√§√üigkeit der Verarbeitung durch solche Anbieter, da sie gem√§√ü des US-Patriot Acts indirekt √ľber ihre amerikanischen Muttergesellschaften zur Offenlegung von Daten von EU-B√ľrgern (beispielsweise zur Terrorabwehr) an US-Geheimdienste gezwungen werden k√∂nnten. Es wird zudem von Aufsichtsbeh√∂rden vertreten, dass die Nutzung solcher Dienste ebenfalls als Drittlandtransfer zu bewerten sei, da nicht ausgeschlossen werden k√∂nne, dass die Daten (auch) auf Servern mit Standorten in den USA durch die amerikanischen Muttergesellschaften verarbeitet w√ľrden.

Dieser Auffassung, die das blo√üe Risiko einer Daten√ľbermittlung in die USA faktisch als Drittlandtransfer ansah, ist das OLG Karlsruhe nun entgegengetreten.

Urteil:

Das OLG stellte in seinem Beschluss vom 07.09.2022, Az. 15 Verg 8/22, fest, dass eine vertragliche Zusage des Anbieters, keine Daten in die USA zu √ľbertragen, grunds√§tzlich ausreiche. Voraussetzung sei, dass keine unmittelbaren Zweifel oder Anhaltpunkte f√ľr einen Versto√ü gegen dieses Leistungsversprechen bestehen. Hierauf d√ľrfe das europ√§ische Unternehmen, das den Dienst nutzen m√∂chte, redlicher Weise vertrauen.

Eine Konzernbindung der Tochtergesellschaft an die US-amerikanische Muttergesellschaft begr√ľnde dabei noch keine ausreichenden Zweifel an der Einhaltung von EU-Normen. Die rein theoretische Zugriffsm√∂glichkeit der Unternehmensmutter im Drittstaat stelle gerade keine √úbermittlung personenbezogener Daten und damit auch keinen Versto√ü gegen Art. 44 ff. DSVGO dar. Deshalb sei es in diesen Konstellationen auch nicht erforderlich, dass der Diensteanbieter zus√§tzliche technische und organisatorische Ma√ünahmen, beispielsweise im Hinblick auf eine sichere Verschl√ľsselung, zusichert, wie dies der EuGH im Schrems-II-Urteil gefordert hatte. Dies gelte n√§mlich eben nur f√ľr echte Drittlandtransfers.

Das Urteil ist f√ľr Unternehmer insofern ein Lichtblick, da es den Einsatz zahlreicher Anbieter wie Google, Facebook, Microsoft oder Adobe erleichtert, die in der Regel europ√§ische Tochtergesellschaften (insbesondere in Irland) betreiben. Es scheint jedoch so, als sei das letzte Wort hierzu noch nicht gesprochen. Am Ende k√∂nnte es sich um eine Frage handeln, die der Europ√§ische Gerichtshof zu kl√§ren h√§tte.

 

Photo by Ian Battaglia on Unsplash

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply

Your email address will not be published.