Es ist weiter Bewegung in der Diskussion um den Einsatz von Cloud-Produkten wie Microsoft 365 (kurz MS 365).
Vor kurzem hatte sich die Konferenz der deutschen Datenschutzaufsichtsbehörden (kurz DSK) zum Einsatz von MS 365 geäußert. Das Ergebnis: Die Rechtmäßigkeit des Einsatzes von MS 365 könne nicht anhand der vertraglichen Dokumente von Microsoft geführt werden. Dies bedeutet allerdings nicht, dass MS 365 in Deutschland nicht rechtskonform eingesetzt werden kann. Hierzu mehr in unserem Beitrag zu MS 365.
Nun hat sich die DSK allgemeiner zu Cloud-Diensten von Anbietern wie AWS, Google oder Microsoft geäußert, die ihre Dienste durch europäische Tochtergesellschaften erbringen:
DSK-Beschluss zu Zugriffsmöglichkeiten von Behörden in Drittstaaten
Mit Beschluss vom 31. Januar 2023 beschäftigt sich die DSK mit der datenschutzrechtlichen Bewertung von Zugriffsmöglichkeiten öffentlicher Stellen von Drittländern. Gemeint sind hierbei insbesondere die Zugriffsmöglichkeiten unter dem „Cloud-Act“ der USA.
Dieser Beschluss knüpft an die von der Vergabekammer Baden-Württemberg aufgeworfene Frage an, ob bei Einsatz einer europäischen Tochter eines US-Konzerns (dort war es AWS) eine Übermittlung von Daten in ein Drittland gemäß Art. 44 ff. DSGVO vorliegt. Die wesentliche Frage hierbei ist, ob die (abstrakte) Zugriffsmöglichkeit der US-Behörden eine „Übermittlung“ in die USA darstellt oder nicht. Denn das US-Recht verpflichtet über den „Cloud Act“ die in den USA ansässigen Unternehmen dazu, den US-Behörden auch Zugriff auf Daten, die bei ausländischen Konzerngesellschaften liegen, zu gewähren. Damit sitzen transatlantisch tätige Konzerne zwischen den Stühlen. Sollen sie Sanktionen nach dem US-Strafprozessrecht oder Bußgelder nach dem europäischen Datenschutzrecht zahlen?
In der viel beachteten Entscheidung der Vergabekammer wurde die mögliche Einwirkung des verpflichteten US-Unternehmens auf das hiesige Management einer tatsächlichen Übermittlung in die USA gleichgestellt. Die Konsequenz dieser Auffassung ist, dass beispielsweise die ernsthaften Bemühungen von Microsoft, aufwändig die Infrastruktur im Rahmen der EU-Data-Boundary zu trennen, ins Leere gingen. Dabei will Microsoft hierdurch die Bedenken der europäischen Aufsichtsbehörden gerade berücksichtigen. Es blieben aber die gleichen hohen rechtlichen und tatsächlichen Hürden.
Diese Entscheidung der Vergabekammer hat das aus vergaberechtlicher Gesichtspunkten durch das OLG Karlsruhe aufgehoben. Die datenschutzrechtlich relevante Frage, ob es sich um eine Übermittlung handelt, blieb allerdings offen. Das OLG Karlsruhe musste zu dieser Frage nicht Stellung nehmen.
Die DSK hat jetzt mit ihrem Beschluss festgestellt, dass keine Datenübertragung vorliegt. Diese Klarstellung ist zu begrüßen. Allerdings verlagert die DSK die mit dem Cloud Act verbundenen Fragestellungen jetzt auf die Ebene der „Zuverlässigkeit“ des Auftragsverarbeiters nach den Voraussetzungen des Art. 28 Abs. 1 DSGVO.
In diesem Zusammenhang verfolgt die DSK offenkundig einen risikobasierten Ansatz und verlangt nun eine Risikoabwägung, die den Anforderungen einer Transferfolgenabschätzung nach Schrems II im Wesentlichen entspricht. Dies bedeutet, dass die gesetzlichen Vorschriften im Land der Muttergesellschaft des europäischen Anbieters sowie vorhandene zusätzlichen Schutzmaßnahmen zu berücksichtigen sind. So wird für die Durchführung ausdrücklich auf die Empfehlung 01/2020 des Europäischen Datenschutzausschusses verwiesen, die speziell für die Transferfolgenabschätzung entwickelt wurden. Unternehmen müssen insbesondere technische und organisatorische Maßnahmen treffen, um die Zugriffsmöglichkeiten der US-Strafverfolgungsbehörden zu beschränken.
Was bedeutet das zum Beispiel für Microsoft 365?
Microsoft bietet selbst eine Reihe von Möglichkeiten, diese Zugriffe zu unterbinden, etwa mit kundenseitiger Verschlüsselung. Auf der vertraglichen Ebene hat sich Microsoft in Anhang C des DPA verpflichtet, die entsprechenden Anfragen (der US-Behörden) anzufechten. Microsoft gibt an, dies zu tun. Im Bereich der Anfragen von Strafverfolgungsbehörden gibt Microsoft an, dass sich diese weltweit hauptsächlich auf Konten von Privatkunden bezögen. Gewerbliche Nutzer sowie öffentlichen Stellen innerhalb der Europäischen Union seien bisher nicht betroffen gewesen. D.h. das maßgebliche Risiko dürfte vergleichsweise gering sein.
In jedem Fall bedeutet dies, dass die Verantwortlichen - bevor sie mit einem Tochterunternehmen von US-Anbietern Verträge über Datenverarbeitung abschließen - sich über die potenziellen Gefahren informieren und ggf. zusätzliche Schutzmaßnahmen umsetzen müssen. Damit geht die Pflicht aus Art. 5 Abs. 2 DSGVO einher, diese Prozesse auch hinreichend zu dokumentieren. Bei der Bewertung des Risikos, dem Erarbeiten und Implementieren von Schutzmaßnahmen sowie der Dokumentation dieser Vorgänge, können wir Sie gerne unterstützen.
Ergänzend können Sie auf die technische Erfahrung und unseres Kooperationspartners BDO Digital zurückgreifen.
Abonnieren Sie die neuesten Nachrichten von BDO Legal!
Please fill out the following form to access the download.