in möglicherweise richtungsweisendes Urteil hat am 07. September 2022 das OLG Karlsruhe in einer Vergabeentscheidung gefällt. Demnach stellt die Beauftragung eines europäischen Tochterunternehmens eines US-amerikanischen Konzerns, das personenbezogene Daten seiner Auftraggeber ausschließlich in Europa verarbeitet trotz des Cloud-Acts nicht zwingend einen Verstoß gegen die DSGVO dar.
Die zugrundeliegende Problematik
Viele US-amerikanische Dienstleister sind, insbesondere dann, wenn Sie als Auftragsverarbeiter im Sinne des Art. 28 DSGVO tätig werden, zu einer verhältnismäßig einfachen Lösung der Problematik der Verarbeitung personenbezogene Daten in nicht sicheren Drittstaaten (hierzu gehören auch die USA) gekommen: Sie gründeten Tochterunternehmen mit Sitz innerhalb der EU nach europäischem Recht, die ihren Kunden vertraglich zusichern, personenbezogene Daten ausschließlich innerhalb der EU zu verarbeiten. Allerdings können, wenn auch nur in seltenen und schwerwiegenden Einzelfällen die Mutterunternehmen in den USA aufgrund dortiger Gesetze gezwungen werden, US-Behörden Zugriffe auch auf in Europa durch Konzerntöchter gespeicherte Daten Zugriff zu gewähren. Aufgrund des weit gefassten Verarbeitungsbegriffs des Art. 4 Nr. 2 DSGVO, wonach Verarbeiten u.a. auch die „Offenlegung durch Übermittlung“ oder das „Bereitstellen“ personenbezogener Daten zum Zugriff darstellt, sowie der Regelung des Art. 44 S. 1 DSGVO, wonach jede Übermittlung personenbezogener Daten in ein Drittland nur bei vollständiger Einhaltung der im fünften Kapitel der DSGVO festgelegten Anforderungen zulässig ist, wurde diese Lösung aber bislang als nicht tragfähig betrachtet.
Der zugrundeliegende Fall
Konkret wurde vor dem OLG Karlsruhe die Entscheidung der Vergabekammer Baden-Württemberg verhandelt. Ein Krankenhausbetreiber hatte die Vergabe einer Softwarebeschaffung zum elektronischen Entlassungsmanagement von Patienten ausgeschrieben und in der Ausschreibung die ausdrückliche Bedingung formuliert, dass alle Anforderungen der DSGVO und des BDSG eingehalten werden müssen.
Den Zuschlag erhielt ein Unternehmen, das ein Tochterunterhemen eines US-Konzerns mit Sitz innerhalb der EU als Subdienstleister in Anspruch nehmen wollte. Der Subdienstleister sicherte vertraglich zu, dass die Daten des Auftraggebers ausschließlich auf Servern innerhalb der EU verarbeitet werden würden. Da es sich dabei um Patientendaten handelte, waren auch besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO betroffen.
Gegen diese Entscheidung wandte sich eine unterlegende Mitbieterin in einem Nachprüfungsverfahren. Sie argumentierte, dass die Unterbeauftragung der Tochter eines US-Konzerns ein Verstoß gegen europäisches Datenschutzrecht und damit auch gegen die Ausschreibungsbedingungen wäre, da aufgrund der oben geschilderten Rechtslage eine Übermittlung personenbezogener Daten in die USA, bzw. ein Zugriff aus den USA auf diese Daten nicht völlig ausgeschlossen werden könne. Die Anforderungen des fünften Kapitels der DSGVO wären damit nicht erfüllt. Dem schloss sich die Vergabekammer an und hob die ursprüngliche Vergabeentscheidung auf. Hiergegen wandte sich wiederum die zunächst erfolgreiche Bieterin und erhob Klage gegen die Entscheidung der Vergabekammer.
Das Urteil des OLG Karlsruhe
Das OLG Karlsruhe argumentierte hingegen gänzlich anders: es stellt fest, dass der Begriff des „Verarbeitens“ zwar die Offenlegung durch Übermittlung sowie die Bereitstellung personenbezogener Daten miterfasst, dass aber Art. 44 DSGVO eine Übermittlung und eine Verarbeitung personenbezogener Daten zugrunde legt. Der Begriff der Übermittlung ist in der DSGVO jedoch nicht legaldefiniert. Das Gericht ging, wenn das auch nicht ausdrücklich im Urteil thematisiert wurde, offenkundig davon aus, dass ein tatsächlicher Datenfluss oder ein tatsächlicher Zugriff auf personenbezogene Daten erfolgen muss, um von einer Übermittlung im Sinne des Art. 44 DSGVO sprechen zu können. Die bloße theoretische Möglichkeit einer Übermittlung reiche jedoch jedenfalls dann nicht aus, wenn der Vertragspartner ausdrücklich zusichert, die Daten nur innerhalb der EU zu verarbeiten. Solange keine begründeten Zweifel an der Einhaltung dieser Zusage bestehen, verstoße die Einbindung eines Tochterunternehmens eines US-Konzerns mit Sitz innerhalb der EU nicht gegen die DSGVO. Jedoch könne, wenn es dann doch zu einem Zugriff aus den USA kommen sollte, dies eine Vertragsverletzung darstellen. Im konkreten Fall hatte das Unternehmen entsprechende Zusicherungen abgegeben und es gab keinerlei Hinweise auf Zugriffe aus, bzw. Übermittlungen in die USA. Hierzu das Gericht: „Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.“
Folgen für die Praxis
Urteile sind immer Einzelfallentscheidungen. Dennoch lassen sich natürlich Schlussfolgerungen für ähnlich gelagerte Fälle daraus ziehen. Voreilig und falsch wäre aber in jedem Fall der Schluss, dass die Einbindung von US-Unternehmen oder ihrer europäischen Töchter in Leistungsketten, die der DSGVO unterliegen, ab sofort völlig unproblematisch wären. Vielmehr gilt es zu betonen, dass das Gericht
- den vertraglichen Vereinbarungen und insbesondere der Zusicherung des Subunternehmers, personenbezogene Daten des Auftraggebers ausschließlich innerhalb der EU zu verarbeiten und alle Anforderungen der DSGVO dabei einzuhalten, einen besonders hohen Stellenwert eingeräumt hat und
- dem Auftraggeber indirekt diesbezügliche Prüfpflichten auferlegt hat. Allerdings genügen theoretische Risiken von Datenübermittlungen in die USA nicht, um das Vertrauensverhältnis zu zerstören, es müssen vielmehr Tatsachen oder konkrete Verdachtsmomente dahingehend bestehen.
Zu beachten ist ferner, dass das Urteil in einem Vergabeverfahren gefällt wurde und dass höchstrichterliche Rechtsprechung zu dieser Thematik noch aussteht. Ferner sollte beachtet werden, dass die Einbindung von EU-Tochterunternehmen von US-Konzernen unter Berufung auf das Urteil auch ein Stück Risikoverlagerung bedeuten kann. Denn wenn es zu einem späteren Zeitpunkt tatsächlich doch zu einem Zugriff aus oder einer Übermittlung in die USA kommen sollte, könnte dies einen Verstoß gegen die Regelungen des Auftragsverarbeitungsvertrags darstellen mit entsprechenden zivilrechtlichen Konsequenzen wie Schadensersatz oder Vertragsstrafen.