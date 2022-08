Eine der dringendsten IT-Fragen, die sich derzeit Unternehmen und Kommunen gleichermaßen stellen, lautet: Wem kann ich sensible Daten anvertrauen? Eine Antwort darauf gestaltet sich zunehmend schwierig, vor allem vor dem Hintergrund, dass es derzeit keine Regelung für den Datentransfer zwischen Europa und den USA gibt.

Nachdem der Europäische Gerichtshof (EuGH) im Juli 2020 die bestehende Regelung zum sogenannten „Privacy Shield“ gekippt hat, arbeiten US-Behörden und EU-Kommission an einem Nachfolgemodell. Eine Übereinkunft scheiterte bislang allerdings an den möglichen Zugriffsrechten auf die Daten durch US-Geheimdienste.

Doch ohne eine gültige Regelung herrscht große Rechtsunsicherheit, was in Sachen Datenverarbeitung erlaubt ist und was nicht. Eine Reihe von Gerichtsurteilen schafft jetzt Fakten – und könnte so die Digitalisierungsvorhaben von Unternehmen und Verwaltung weiter erschweren.

Denn alle Unternehmen, Behörden, aber auch Schulen, die ihre Daten irgendwie verarbeiten wollen, sind von der Problematik potenziell betroffen. Schließlich sind US-Anbieter wie AWS, Microsoft und Google Marktführer für IT-Infrastruktur aus der Cloud, ihre Dienste versprechen Skalierbarkeit und Innovation.

Es besteht aber auch die Gefahr, dass Geheimdienste in den USA auf die Daten zugreifen könnten. Die deutsche Datenschutz-Grundverordnung (DSGVO) verbietet daher jede Übermittlung personenbezogener Daten an ein Nicht-EU-Land. Es sei denn, ein Land kann ein „angemessenes Schutzniveau“ dieser Daten garantieren. In den USA ist das derzeit nicht der Fall.

Vergabekammer äußert sich zu heikler Frage bei der Datenübermittlung

Doch was bedeutet das konkret? Die Vergabekammer Baden-Württemberg hat zuletzt einen Vorstoß in ein datenschutzrechtlich heikles Terrain gewagt und sich der Frage angenähert. Die Richter in Karlsruhe entschieden, dass eine Übermittlung personenbezogener Daten in ein Drittland auch dann vorliege, wenn der Server von einem in der EU ansässigen Unternehmen betrieben werde, das zu einem amerikanischen Konzern gehört. Es reichen also allein „denkbare“ Zugriffsmöglichkeiten durch den Mutterkonzern.

Thilo Weichert, ehemaliger Datenschutzbeauftragter von Schleswig-Holstein und heute Experte des Netzwerks Datenschutzexpertise, sieht das ähnlich: Die Übermittlung der Daten in die USA sei ein Problem, die dortigen Datenschutzbestimmungen stünden nicht im Einklang mit der DSGVO.

Und auch die Speicherung der Daten auf einem Server in Deutschland oder Europa reiche nicht aus, denn die USA hätten aufgrund von Gesetzen wie dem „Patriot Act“ Zugriff auf die Daten „ohne Rechtskontrolle“. Er bezeichnet die Entscheidung der Vergabekammer Baden-Württemberg daher als „nicht ganz überraschend“.

Auch andere Gerichte bestätigten auf Grundlage des EuGH-Urteils, dass der Datenschutz streng gefasst werden müsse. Das Landgericht München etwa urteilte im Januar dieses Jahres, dass Schriftarten von Google auf einer Internetseite nicht angewendet werden durften, weil der Konzern so die IP-Adresse der Nutzer erlangen könnte.

„Der Einsatz von IT-Dienstleistern mit US-Bezug kann dazu führen, dass der IT-Dienstleister diese Garantien nicht erfüllt, wenn die personenbezogenen Daten nicht ausreichend vor dem Zugriff durch US-Behörden geschützt sind.“ Ein Sprecher des Bundesdatenschutzbeauftragten

Im Dezember vergangenen Jahres hatte das Verwaltungsgericht Wiesbaden bereits die Nutzung eines US-Cookiemanagers untersagt. In höherer Instanz war das konkrete Verbot zwar aufgehoben worden, die Unsicherheit bei den Nutzern über die Datenschutzkonformität von US-Diensten blieb allerdings bestehen.

Bei der jetzigen Entscheidung der Vergabekammer ging es darum, dass eine Plattform für digitales Entlassmanagement für Krankenhäuser, die Recare Deutschland GmbH, den Zuschlag bei einem öffentlichen Vergabeverfahren erhalten hatte, obwohl sie eine Tochtergesellschaft eines großen US-Tech-Anbieters zur Datenverarbeitung nutzte.

Dagegen klagte ein Konkurrent, die Pflegeplatzmanager GmbH, die mit ihrem Angebot versprach, keine Daten von Patienten und Pflegebedürftigen in ein Drittland zu übermitteln. Das Gericht erklärte, Recare hätte von dem öffentlichen Vergabeverfahren ausgeschlossen werden müssen. Es sei „unerheblich, ob der Server, über den die Daten zugänglich gemacht werden, innerhalb der EU gelegen ist“, lautete die Begründung.

Nun muss das Oberlandesgericht die Frage klären

Die Entscheidung ist bisher noch nicht rechtskräftig, Recare hat die nächsthöhere Instanz, das Oberlandesgericht (OLG) Karlsruhe, angerufen. Das OLG hat eine mündliche Verhandlung auf den 31. August 2022 angesetzt, danach soll eine Entscheidung getroffen werden.

Genau prüfen, ob diese Dienstleister nach US-amerikanischem Recht zur Herausgabe der Daten verpflichtet werden könnten. (Foto: IMAGO/Metodi Popow) Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)

Der Bundesdatenschutzbeauftragte (BfDI) will die Entscheidung des Gerichts auf Anfrage nicht kommentieren. Ein Sprecher weist allerdings darauf hin, dass öffentliche Stellen nur Dienstleister einsetzen dürften, die ausreichende Garantien bieten, dass die DSGVO eingehalten wird.

„Der Einsatz von IT-Dienstleistern mit US-Bezug kann dazu führen, dass der IT-Dienstleister diese Garantien nicht erfüllt, wenn die personenbezogenen Daten nicht ausreichend vor dem Zugriff durch US-Behörden geschützt sind“, heißt es.

Ob diese Gefahr tatsächlich bestehe, hänge von der „konkreten Datenverarbeitung“ ab. Der BfDI rät daher dazu, genau zu prüfen, ob diese Dienstleister nach US-amerikanischem Recht zur Herausgabe der Daten verpflichtet werden könnten.

Stephan Schuldt, Rechtsanwalt der Kanzlei Gruendelpartner, die die Pflegeplatzmanager GmbH während des Verfahrens in Baden-Württemberg vertritt, sagt: „Die Herausforderung wird sein, im Einzelfall gesetzeskonforme Grundlagen und Lösungen zu schaffen.“ Es stehe nicht im Raum, dass eine Beauftragung von US-Anbietern und deren europäischen Tochtergesellschaften per se nicht mehr zulässig wäre.

Kommunen fühlen sich alleingelassen

Doch die Pflicht sicherzustellen, dass ein Datenzugriff durch US-Geheimdienste ausgeschlossen ist, liegt bei denjenigen, die diese Dienste in Anspruch nehmen – bei Unternehmen, Kommunen oder Schulen. Eine Mammutaufgabe, vor allem wenn IT-Aufgaben nur nebenbei erledigt werden können, wie etwa bei Schulen oder in kleinen Rathäusern.

Philipp Stolz leitet die Stabsstelle für Digitalisierung in der knapp 8000 Einwohner großen Gemeinde Salach in Baden-Württemberg. Seine Kommune leistet sich einen externen Datenschutzbeauftragten, der bei DSGVO-Fragen konsultiert werden kann.

„Bei kleinen Kommunen, die nur fünf Mitarbeiter haben, wird man sich nicht um Datenschutz kümmern können.“ Philipp Stolz, Stabsstelle für Digitalisierung in Salach, Baden-Württemberg

„Aber bei kleinen Kommunen, die nur fünf Mitarbeiter haben, wird man sich nicht um Datenschutz kümmern können“, sagt Stolz. Von 38 Kommunen in seinem Landkreis hätten nur sieben überhaupt jemanden, der sich hauptberuflich um Digitalfragen kümmere. Sonst werde das Thema oft nebenbei mitbetreut – vom Bürgermeister zum Beispiel.

Viel Unterstützung vom Bund oder dem Land gebe es nicht, berichtet Stolz. Verbote gibt es allerdings immer mehr: Der Landesdatenschutzbeauftragte hat jüngst den Cloud-Dienst MS Office 365 für alle Schulen im Land untersagt.

Damit die betroffenen IT-Konzerne ihre Produkte weiterhin verkaufen können, reagieren einige von ihnen auf die Datenschutzbedenken. Sie entwickeln Angebote mit besonderer Absicherung, im Marketingjargon als „souveräne Clouds“ bezeichnet.

Kunden von Google beispielsweise können die Infrastruktur des amerikanischen Konzerns nutzen, Betrieb und Kontrolle jedoch T-Systems überlassen. So sollen Mitarbeiter der Telekom-Tochter den Zugang zu den Servern kontrollieren.

Microsoft verfolgt ein ähnliches Konzept: Delos Cloud, ein Gemeinschaftsunternehmen von SAP und Arvato, soll künftig die Cloud-Dienste des US-Konzerns in einem eigenen Rechenzentrum betreiben, beispielsweise für Kunden aus dem öffentlichen Sektor.

Das Ziel: Behörden aus den USA sollen durch dieses Konstrukt keinen Zugriff auf die Daten europäischer Bürger und Unternehmen haben. Der Datenschutz, so versprechen es die Unternehmen, seien so schon miteingebaut.

