Die Übermittlung personenbezogener Daten an Dienste in den USA ist derzeit eins der kompliziertesten Themen im Datenschutz. Seit dem Wegfall des Privacy Shield Abkommens und den Entscheidungen der Aufsichtsbehörden zu Standarddatenschutzklauseln sind europäische Unternehmen rechtlicher Unsicherheit ausgesetzt, wenn sie US-amerikanische Tools und Services einsetzen möchten. Für etwas Optimismus sorgte zuletzt ein Urteil des OLG Karlsruhe. Danach dürfen europäische Unternehmen darauf vertrauen, dass personenbezogene Daten die EU nicht verlassen, wenn dies vertraglich zugesichert wird.
Hintergrund:
Aufgrund der weitreichenden Auswirkungen des Schrems-II-Urteils des EuGH (Urt. v. 16.07.2020, Rs. C‑311/18), hatten einige große amerikanische Anbieter von Software und Cloud-Diensten europäische Tochtergesellschaften gegründet und Serverstandorte in Deutschland oder anderen EU-Staaten eingerichtet. Hierdurch sollten die hohen Hürden eines sogenannten Drittland-Transfers entschärft werden, weil die Daten mutmaßlich nie die EU verlassen würden. Nach wie vor bestehen jedoch erhebliche Zweifel an der Rechtmäßigkeit der Verarbeitung durch solche Anbieter, da sie gemäß des US-Patriot Acts indirekt über ihre amerikanischen Muttergesellschaften zur Offenlegung von Daten von EU-Bürgern (beispielsweise zur Terrorabwehr) an US-Geheimdienste gezwungen werden könnten. Es wird zudem von Aufsichtsbehörden vertreten, dass die Nutzung solcher Dienste ebenfalls als Drittlandtransfer zu bewerten sei, da nicht ausgeschlossen werden könne, dass die Daten (auch) auf Servern mit Standorten in den USA durch die amerikanischen Muttergesellschaften verarbeitet würden.
Dieser Auffassung, die das bloße Risiko einer Datenübermittlung in die USA faktisch als Drittlandtransfer ansah, ist das OLG Karlsruhe nun entgegengetreten.
Urteil:
Das OLG stellte in seinem Beschluss vom 07.09.2022, Az. 15 Verg 8/22, fest, dass eine vertragliche Zusage des Anbieters, keine Daten in die USA zu übertragen, grundsätzlich ausreiche. Voraussetzung sei, dass keine unmittelbaren Zweifel oder Anhaltpunkte für einen Verstoß gegen dieses Leistungsversprechen bestehen. Hierauf dürfe das europäische Unternehmen, das den Dienst nutzen möchte, redlicher Weise vertrauen.
Eine Konzernbindung der Tochtergesellschaft an die US-amerikanische Muttergesellschaft begründe dabei noch keine ausreichenden Zweifel an der Einhaltung von EU-Normen. Die rein theoretische Zugriffsmöglichkeit der Unternehmensmutter im Drittstaat stelle gerade keine Übermittlung personenbezogener Daten und damit auch keinen Verstoß gegen Art. 44 ff. DSVGO dar. Deshalb sei es in diesen Konstellationen auch nicht erforderlich, dass der Diensteanbieter zusätzliche technische und organisatorische Maßnahmen, beispielsweise im Hinblick auf eine sichere Verschlüsselung, zusichert, wie dies der EuGH im Schrems-II-Urteil gefordert hatte. Dies gelte nämlich eben nur für echte Drittlandtransfers.
Das Urteil ist für Unternehmer insofern ein Lichtblick, da es den Einsatz zahlreicher Anbieter wie Google, Facebook, Microsoft oder Adobe erleichtert, die in der Regel europäische Tochtergesellschaften (insbesondere in Irland) betreiben. Es scheint jedoch so, als sei das letzte Wort hierzu noch nicht gesprochen. Am Ende könnte es sich um eine Frage handeln, die der Europäische Gerichtshof zu klären hätte.
Photo by Ian Battaglia on Unsplash