Die Datenschutzgrundverordnung (DSGVO) ist eine EU-Verordnung, die im Mai 2018 in Kraft getreten ist und die Vorschriften zum Schutz personenbezogener Daten in der EU harmonisiert hat. Die Verordnung regelt, welche Rechte Personen in Bezug auf ihre personenbezogenen Daten haben und welche Pflichten Unternehmen und Organisationen haben, wenn sie personenbezogene Daten verarbeiten.

Datenverarbeitung in den USA

Seit dem Inkrafttreten der DSGVO ist die Verarbeitung personenbezogener Daten auf Servern außerhalb der EU ein heikles Thema. Die Verordnung legt fest, dass personenbezogene Daten nur in Ländern verarbeitet werden dürfen, die ein angemessenes Schutzniveau für personenbezogene Daten bieten. In der Praxis bedeutet dies, dass personenbezogene Daten nur dann auf Servern in Ländern außerhalb der EU gespeichert werden dürfen, wenn diese Länder ein angemessenes Datenschutzniveau haben. Vor einigen Jahren entschied der EuGH, dass dies für die USA nicht automatisch der Fall ist und erklärte den entsprechenden Angemessenheitsbeschluss "Privacy Shield" für rechtswidrig. Wenn dies nicht der Fall ist, muss eine rechtliche Grundlage für die Übermittlung personenbezogener Daten geschaffen werden.

Dies hat Auswirkungen auf Unternehmen, die in der EU tätig sind, aber ihre Daten auf Servern außerhalb der EU speichern. Insbesondere Tochterunternehmen von US-amerikanischen Muttergesellschaften sind davon betroffen, da die USA kein angemessenes Datenschutzniveau haben und daher besondere Vorkehrungen getroffen werden müssen, um eine rechtmäßige Datenübermittlung zu gewährleisten.

Töchter verarbeiten Daten in den USA

Aber die Diskussion geht nocht weiter. Es wird auch als Problematisch angesehen, wenn das Tochterunternehmen in der EU die Datenverarbeitung auf Servern in der EU realisiert, aber die Muttergesellschaft in den USA sitzt.

Hintergrund ist zunächst der Cloud-Act der USA. Danach gelte für global agierende Unternehmen mit Niederlassungen außerhalb der USA ein Vorrang des US-Rechts, wenn in Konflikte mit bestehenden Gesetzen vor Ort der Niederlassung bestünden. Das Unterliegen unter die US-Gerichtsbarkeit werde durch die US-Gerichte sehr weit ausgelegt. Danach genüge das Vorhandensein einer US- amerikanischen Muttergesellschaft über ein Tochterunternehmen außerhalb der USA, denn dann werde von der Kontrolle des Mutterunternehmens über das Tochterunternehmen ausgegangen. Europäischen Tochterunternehmen sei es dabei nicht möglich, Rechtsmittel gegen Anordnungen unter dem Cloud-Act einzulegen.

Zu nennen ist auch§ 702 des Foreign Intelligence Surveillance Act von 1978 (FISA 702) über die Erlangung bestimmter ausländischer Informationen durch amerikanische Geheimdienste von Anbietern elektronischer Kommunikationsdienste. Dieser Begriff wird in den USA sehr weit verstanden. Es sei nicht möglich, sich gegen eine solche Anordnung mit entgegenstehenden Rechten wie der DSGVO zur Wehr zu setzen.

Meinung des Bundeskartellamts

Im Februar 2023 hat das Bundeskartellamt (Zweite Vergabekammer des Bundes, Beschluss vom 13.02.2023 - VK 2 – 114/22) eine Entscheidung zu dem Thema verkündet. Das Bundeskartellamt hat entschieden, dass Datenverarbeitungsangebote deutscher Tochterunternehmen von US-amerikanischen Muttergesellschaften nicht wegen datenschutzrechtlicher Bedenken von Vergabeverfahren ausgeschlossen werden dürfen. Dies hat Auswirkungen auf die Praxis von Unternehmen und Organisationen, die personenbezogene Daten verarbeiten.

Die Begründung des Bundeskartellamts für diese Entscheidung ist, dass die Datenverarbeitung auf Servern in der EU durch ein Tochterunternehmen in der EU nicht problematisch ist, wenn die Muttergesellschaft in den USA sitzt. Die Auftragsdatenverarbeitung erfolgt nach dem Angebot der deutschen Tochtergesellschaft ausschließlich in Deutschland, was bedeutet, dass kein Angemessenheitsbeschluss für die USA erforderlich ist. Das Bundeskartellamt betont auch, dass eine Art von eigenmächtigem, zwangsweisen Datenzugriff amerikanischer Behörden in Deutschland nicht realisierbar ist.

Die Auftragsdatenverarbeitung sollte im fraglichen Fall ausschließlich in Deutschland durchgeführt werden, daher sei ein Angemessenheitsbeschluss für die USA irrelevant. Auf das Leistungsversprechen könnte man sich verlassen und es gäbe keinen Anlass zu der Annahme, dass die Zusagen nicht eingehalten werden. Es sei nicht möglich, dass amerikanische Behörden eigenmächtig und zwangsweise auf die Daten zugreifen, da sie keine Staatsgewalt in Deutschland haben. Es sei auch nicht möglich, dass die deutsche Auftragnehmerin gezwungen wird, Daten an ihre Muttergesellschaft in den USA herauszugeben, da dies sowohl vertragswidrig als auch rechtswidrig wäre.

In der Übermittlung an die in den USA ansässige amerikanische Muttergesellschaft läge bei der entschiedenen Konstellation einer Auftragsverarbeitung eine im Verhältnis zum Auftraggeber weisungs- und damit vertragswidrige Datenherausgabe. Im Fall vor der zweiten Vergabekammer wäre dies zudem ein Verstoß gegen § 80 Abs. 2 SGB X. Eine Datenübermittlung an die amerikanische Muttergesellschaft wäre nach dieser Vorschrift rechtswidrig, denn die Datenübermittlung stellt eine Form der Verarbeitung dar, die nur – 4. Variante von § 80 Abs. 2 SGB X – zulässig ist, wenn ein Angemessenheitsbeschluss für das Drittland vorliegt, in das die Daten übermittelt werden. Eine Weisung der Muttergesellschaft nach § 37 Abs. 1 GmbHG zur Datenherausgabe wäre damit unbeachtlich für die deutsche Tochtergesellschaft.

Das Bundeskartellamt meint zudem, dass wenn es generelle Bedenken gibt, Daten würden bei Auftragsdatenverarbeitung durch europäische Tochterunternehmen amerikanischer Konzerne aufgrund der amerikanischen Rechtslage nicht sicher seien, müsste zu diesem Thema eine gesonderte Rechtsgrundlage auf der Ebene der EU geschaffen werden, um solche Unternehmen vom Vergabewettbewerb auszuschließen.

Die EU-Kommission plant dagegen einen neuen Angemessenheitsbeschluss in Bezug auf die Vergleichbarkeit der Datenschutzniveaus in den USA, dessen Inkrafttreten in nächster Zeit erwartet wird.

Fazit

Die Entscheidung der Vergabekammer ist teilweise vor dem Hintergrund der noch einmal expliziet strengen Regelungen des SGB X zu lesen. Sie enthält allerdings auch einige Argumente, die genereller angewendet werden können. Unternehmen sollten allerdings weiterhin vorsichtig sein, wen sie beauftragen, denn eine gefestigte Rechtsansicht im Sinne der Entscheidung des Bundeskartellamts lässt sich derzeit nicht feststellen.

Die Ausführungen stellen erste Informationen dar, die zum Zeitpunkt der Erstveröffentlichung aktuell waren. Die Rechtslage kann sich seitdem geändert haben. Zudem können die Ausführungen eine individuelle Beratung zu einem konkreten Sachverhalt nicht ersetzen. Bitte nehmen Sie dazu Kontakt mit uns auf.

Anwälte finden