Behörden-Ausschreibungen für Cloud-Dienste dürfen in Baden-Württemberg nicht an US-amerikanische Tochterfirmen vergeben werden, auch wenn diese in der EU registriert sind.
Offenbar ist die Vergabekammer mit ihrem Beschluss zu weit gegangen und sollte ihn nun revidieren.
Pauschale Verbote sind unangebracht.
Anlass war die fehlende Angemessenheit der Übertragung personenbezogener Daten in die USA, die seit dem Fall des Privacy-Shields mit dem EuGH-Urteil „Schrems 2“ in 2020 fehlt. Die von der der EU Kommission in 2021 vorgelegten neuen Standardvertragsklauseln genügen nicht – datenschutzrechtlich erforderlich sind zusätzliche Schutzmaßnahmen „supplementary measures“ wie bspw. Verschlüsselung.
Die EU Kommission arbeitet zwar an einem Privacy-Shield-Nachfolgeabkommen, bis auf Absichtserklärungen hat mensch davon allerdings wenig erfahren. Es steht zudem zu befürchten, das dieses ebensowenig rechtlichen Bestand haben wird, sofern seitens der USA die mit FISA und dem Cloud-Act gewährten Zugriffsrechte der US-Behörden nicht beschnitten werden.
Der oberste Landesdatenschützer stellt nun klar, dass der generelle Ausschluss US-amerikanischer Tochterunternehmen unzulässig ist. Wiewohl der Beschluss als fachlich qualifiziert eingeschätzt wird, sind einige Aspekte nicht korrekt betrchtet worden, u.a. hält er die von der Vergabekammer vorgenommene Gleichsetzung von Zugriffsrisiko und Übermittlung (als Verarbeitungsform nach Art. 4 Nr. 2 DSGVO) für rechtlich zweifelhaft.
Das trifft insbesondere zu, wenn die Daten innerhalb der EU verarbeitet werden, da dann eine Übermittlung in die USA im Regelfall nicht stattfindet.
Letztlich muss jeweils im Einzelfall geprüft werden, inwieweit die personenbezogenen Daten ausreichend geschützt sind. Er verweist dafür auf die Orientierungshilfe seiner Behörde zum internationalen Datentransfer.
Weitere Informationen
- LfDI Baden-Württemberg:
- heise.de:
- Cloud: Datenschützer hält Ausschluss von US-Firmentöchtern für zweifelhaft (Hinweis: die Webseite bindet externe Inhalte ein)
- Privacy Shield 2.0: Viele offene Fragen zum Datenverkehr mit den USA (v. 31.3.2022; Hinweis: die Webseite bindet externe Inhalte ein)
- Blogbeitrag – Safe Harbour ade. Privacy Shield ade. What’s next?