THEO VAN GOGH: DEUTSCHE PERSONALDATEN DIREKT AN USA! – Kritik am Datenschutz : US-Cloudanbieter ausgegrenzt
Corinna Budras FAZ – 15.8.2022 – Amazon Web Services betreibt in Europa mehrere Server – wie hier im schwedischen Kjula.
Im Namen des Datenschutzes geht es jetzt bei der Auftragsvergabe von Behörden pauschal gegen amerikanische Anbieter von Cloud-Diensten. Selbst Datenschützern geht das zu weit.
Der Streit um Maß und Mitte im Datenschutz ist in Deutschland schon lange im vollen Gange, aber manchmal wird es sogar Datenschützern zu viel. Eine ungewöhnliche Gegenwehr kommt derzeit aus dem Südwesten der Republik, wo die Vergabekammer Baden-Württemberg den Behörden bei der Wahl von Cloud-Anbietern enge Fesseln angelegt hat. In Ausschreibungen sollen diese künftig keine US-amerikanischen Cloud-Anbieter berücksichtigen dürfen, selbst wenn diese ihre Dienste über Tochtergesellschaften in Europa anbieten (Az.: 1 VK 23/22). Hätte diese Entscheidung Bestand, würden große Cloud-Anbieter wie Amazon Web Services (AWS), Microsoft oder Google von der künftigen Zusammenarbeit mit deutschen Behörden kategorisch ausgeschlossen.
Sie stieß in Fachkreisen deshalb schon auf heftige Kritik. Mit dem baden-württembergischen Datenschützer Stefan Brink meldet sich jetzt allerdings auch eine Aufsichtsbehörde mit deutlicher Kritik. Einige Einschätzungen der Vergabekammer seien „rechtlich zweifelhaft“, heißt es in einer Stellungnahme, die der F.A.Z. vorliegt. Pauschale Transferverbote lehnt die Behörde ab.
Konkret geht es um einen Beschluss von Mitte Juli, der nach Brinks Ansicht jenseits des konkreten Vergabeverfahrens Bedeutung hat. Bei ihrer ablehnenden Entscheidung stützt sich die Vergabekammer auf das „latente Risiko“ eines Zugriffs auf personenbezogene Daten durch US-Behörden, das in Vertragsklauseln nicht hinreichend eingedämmt werden könne. Sie bezieht sich dabei auf ein Grundsatzurteil des Europäischen Gerichtshofs (EuGH), das seit rund zwei Jahren den Datenverkehr zwischen Europa und den Vereinigten Staaten deutlich erschwert – und schon weitreichende praktische Auswirkungen hatte. Damals erklärten die Europarichter in ihrem Grundsatzurteil „Schrems II“, das den Namen des Klägers trägt, dass die Daten europäischer Bürger weitgehend schutzlos vor dem Zugriff amerikanischer Behörden wie dem FBI seien.
Unternehmen, die Daten transferieren wollen, müssen deshalb zusätzliche Vorsichtsmaßnahmen vorsehen. Cloud-Diensteanbieter aus den USA wie AWS und Microsoft stellten deshalb ihr Geschäftsmodell um und boten nunmehr über europäische Tochtergesellschaften Serverfarmen mit Standorten in Deutschland oder dem europäischen Ausland an. Dies geschah auch, um den strengen Anforderungen deutscher Datenschützer gerecht zu werden. Nach Ansicht der Vergabekammer reicht dies jedoch nicht aus. Sie fürchtet auch in diesen Konstellationen, dass amerikanische Behörden auf die personenbezogenen Daten europäischer Bürger zugreifen könnten. Nach Einschätzung der Vergabekammer könne sich dieses latente Risiko „jederzeit realisieren“.
Dem widersprechen nun allerdings etliche Datenschutzrechtler, unter anderem Brink. Er stört sich daran, dass hier das bloße Risiko gleichgesetzt werde mit einem Szenario, in dem die Daten auch tatsächlich an die Behörden übermittelt würden. Dies könnte mit guten Gründen bestritten werden, findet er. Diese Argumentation übersehe, dass gegen solche Zugriffsrisiken wirksame Gegenmittel über technisch-organisatorische Maßnahmen eingesetzt werden könnten, die jedes Risiko ausschlössen.
Das sieht auch der Datenschutzrechtler Stephan Schmidt von der Mainzer Kanzlei TCI Rechtsanwälte so. Er hält die Entscheidung für „überzogen und schlecht begründet“. Die Richter gingen offenbar davon aus, in Tochtergesellschaften von US-Unternehmen gebe es Mitarbeiter, die Daten einfach so herausgäben oder Zugriffsmöglichkeiten einräumten. „Damit würden diese Gesellschaften und deren Mitarbeiter jedoch gegen die europäische Datenschutzgrundverordnung verstoßen und würden damit selbst mindestens eine Ordnungswidrigkeit begehen“, betont Schmidt. „Das ist wenig wahrscheinlich.“
In der Branche sorgt die Entscheidung für große Aufregung, wäre dies doch das Ende einer Lösung, mit der die Unternehmen versuchen, die viel kritisierte Schrems-Rechtsprechung des EuGH umzusetzen. Wegen der in seinen Augen schlechten Begründung rechnet Schmidt nicht damit, dass sie Bestand hat. Auch Brink schaut „mit Spannung“ auf das Oberlandesgericht Karlsruhe, das sich in nächster Instanz damit beschäftigen wird.
In der Zwischenzeit zieht die Auffassung, amerikanische Clouddienste müssten aus deutschen oder europäischen Behörden verschwinden, weitere Kreise: Die Europäische Gesellschaft für Datenschutz, die regelmäßig Kläger in Datenschutzklagen vor Gericht vertritt, ist jüngst selbst gegen die Europäische Kommission vorgegangen, unter anderem weil sie die Dienste von AWS nutzt. Das Argument: Beim Aufruf der Seite https://futureu.europa.eu gelangten durch den Cloud-Dienst in seiner Funktion als Webhost automatisch personenbezogene Informationen wie die IP-Adresse in ein „unsicheres Drittland ohne angemessenes Datenschutzniveau“ und würden dort verarbeitet. Kritik gibt es auch Blick auf den derzeit laufenden Zensus 2022. Das Statistische Bundesamt setzt in diesem Zusammenhang auf die Dienste des amerikanischen Anbieters Cloudflare. Brink hält von solchen pauschalen Vorwürfen wenig. „Cloudflare ist kein idealer Partner für deutsche Behörden“, räumt auch er ein. „Aber solche Einschätzungen müssen konkret, nicht pauschal erfolgen.“