Dass die Übermittlung personenbezogener Daten an US-Unternehmen aus datenschutzrechtlichen Gründen aktuell kritisch zu bewerten ist, ist spätestens seit dem Schrems II-Urteil den meisten Unternehmen bekannt. Vermehrt werden daher z.B. Hosting-Verträge mit den europäischen Tochterunternehmen von in den USA ansässigen Konzernen geschlossen, die eine Datenverarbeitung ausschließloch innerhalb des Europäischen Wirtschaftsraums (EWR) vorsehen. Aber auch diese Vertragskonstruktion birgt datenschutzrechtliche Risiken.

Hintergrund

Eine Übermittlung von personenbezogenen Daten in ein Drittland (d.h. außerhalb des EWR) ist nur zulässig, wenn für das jeweilige Drittland ein angemessenes Schutzniveau mittels Angemessenheitsbeschluss der EU Kommission festgestellt wurde oder durch geeignete Garantien (z.B. Abschluss der EU-Standardvertragsklauseln, verbindliche interne Vorschriften (sog. Binding Corporate Rules) etc.) ein ausreichendes Datenschutzniveau in dem Empfängerland gewährleistet werden kann (Art. 44 ff. DSGVO).

Mit dem sog. Schrems II-Urteil hat der EuGH das EU-US-Privacy Shield für ungültig erklärt. Ferner hat das Gericht festgestellt, dass allein der Abschluss der EU-Standardvertragsklauseln für einen Datentransfer in die USA nicht genügt. Vielmehr müssten zusätzliche Maßnahmen ergriffen werden, die die Daten im konkreten Einzelfall angemessen vor dem unbeschränkten Zugriff vor US-Behörden schützen. Gegenwärtig verhandeln die EU und die USA ein Nachfolgeabkommen zum Privacy Shield. Bis dahin bleibt ein Datentransfer in die USA regelmäßig mit erheblichen Risiken verbunden.

Was ist das Problem bei Verträgen mit EU-Tochterunternehmen?

Wo ist dann aber das Problem, wenn ein Unternehmen den Vertrag mit der EU-Tochtergesellschaft eines US-Konzerns abschließt und die Daten auch nur auf Servern im EWR verarbeitet werden? Ein Datentransfer in ein Drittland findet in diesem Fall nicht statt. Man kann also argumentieren, dass die Art. 44 ff. DSGVO hier keine Anwendung finden – es also keiner geeigneten Garantie für ein angemessenes Schutzniveau bedarf.

Angesichts der Unternehmensstruktur liegt es aber nahe, dass US-amerikanische Behörden nach dem US-Recht auch die Möglichkeit haben, Zugriff auf die Daten der EU-Tochterunternehmen zu erhalten (insbesondere nach dem sog. Cloud-Act). Folgt man dieser Argumentation, müssen Unternehmen auch in diesem Fall durch vertragliche und technische Maßnahmen gewährleisten, dass die an die EU-Tochtergesellschaft übersandten Daten einem angemessenen Datenschutzniveau unterliegen, auch wenn die Daten zunächst innerhalb des EWR verbleiben. Maßgeblich wäre damit nicht die tatsächliche Übermittlung in die USA, sondern allein die Möglichkeit eines Zugriffs der US-Behörden.

Entscheidung des französischen Conseil d‘Etat

Zwar ist diese Frage bisher rechtlich noch nicht eindeutig entschieden. Allerdings hat sich das oberste französische Verwaltungsgericht (Conseil d’Etat) im März 2021 zu dieser Frage (AWS Hosting bei einem Tochterunternehmen in Luxemburg) geäußert. Da es nicht ausgeschlossen sei, dass US-amerikanische Behörden auf diese Daten zugreifen könnten (das EU-Tochterunternehmen also dem Recht eines Drittstaates – hier USA – unterliege), sei im Hinblick auf das Schrems II-Urteil zu prüfen, ob ein angemessenes Datenschutzniveau bei der Verarbeitung personenbezogener Daten vorläge. Im Ergebnis hatte das französische Gericht ein angemessenes Datenschutzniveau bejaht (keine sensiblen Daten, kurze Speicherdauer, Daten verschlüsselt, wobei der Schüssel nicht beim Auftragnehmer lag).

Entscheidung des OLG Karlsruhe im Vergaberecht

In eine ähnliche Richtung weist das kürzlich erlassene Urteil des OLG Karlsruhe (Beschluss vom 07.09.2022, Az. 15 Verg 8/22) im Vergaberecht. Demnach dürfen Tochterunternehmen von US-Konzernen (vorliegend ging es um einen US-Cloud-Anbieter) nicht pauschal von Vergabeverfahren ausgeschlossen werden. Demnach müssen Kunden nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen komme bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrige Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten werden. Bei Nachprüfung einer Vergabeentscheidung sei grundsätzlich davon auszugehen, dass ein Bieter seine vertraglichen Zusagen erfüllen werde. Erst wenn sich aufgrund konkreter Anhaltspunkte Zweifel daran ergäben, müsse der öffentliche Auftraggeber ergänzende Informationen einholen und die Erfüllbarkeit des Leistungsversprechens prüfen. Allein die pauschale Zugriffsmöglichkeit der US-Behörden reicht demnach nicht aus. Vielmehr ist eine Einzelfallprüfung maßgeblich.

Fazit

Die Problematik des Datentransfers in die USA kann leider aktuell nicht durch den Vertragsschluss/Datentransfer an ein Tochterunternehmen innerhalb des EWR vollständig gelöst werden. Zwar besteht kein pauschales Transferverbot, vielmehr bedarf es stets einer Einzelfallprüfung. Rechtlich ist daher zu empfehlen durch vertragliche und technische Maßnahmen möglichst sicher zu stellen, dass ein Zugriff US-amerikanischer Behörden verhindert wird. In Betracht kommen hier insbesondere vertragliche Zusagen sowie eine Verschlüsselung der Daten.