DSGVO für IT-Dienstleister*innen – kommt nun die Wende?

Worum geht es?

Im Juli 2020 wurde durch den europäischen Gerichtshof das bis dahin bestehende Abkommen des Privacy Shields zwischen den USA und Europa aufgehoben.
Dieses sicherte bis dahin den ungehinderten Datenverkehr zwischen US-ansässigen Firmen und ihren Kund*innen in Europa und andersherum. Die Aufhebung erfolgte aufgrund erheblicher, belastbarer Zweifel an der Vereinbarkeit mit der DSGVO.

Nach dieser Entscheidung blieben jedoch viele Fragen für die freie wirtschaft und öffentliche Einrichtungen ungeklärt. Eine dieser Fragen war, ob es weiterhin zulässig ist, dass US-Anbieter von Cloud- und Serverleistungen über ihre europäischen Tochterfirmen weiterhin für eine Zusammenarbeit in Frage kommen. Bislang war nicht eindeutig geklärt, ob dies im Rahmen der DSGVO zulässig ist.

Doch nun scheint sich Bewegung in dieser Sache anzudeuten: Die in Leipzig, Jena und Berlin ansässige Kanzlei “gruendelpartner” konnte, laut Aussage der eigenen Homepage, eine Entscheidung der Vergabekammer Baden-Württemberg erwirken. Die soll nun klären, ob eine Zusammenarbeit der öffentlichen Hand mit US-Firmen weiterhin erlaubt sein kann.
Dabei entschied die Vergabekammer, dass die Zusammenarbeit mit IT-Anbietern aus sogenannten Drittländern, also Ländern außerhalb der EU, potenziell unzulässig ist.

Wie geht es nun weiter?

Natürlich stellt sich sogleich die Frage nach möglichen Konsequenzen. Zwar ist das Urteil noch nicht rechtskräftig, es könnte aber als Präzedenzfall für weitere, ähnlich gelagerte Fälle dienen.
Deshalb haben wir unseren IOTIQ IT-Experten, Managing Director Sven Noack, gefragt, wie es nun weitergehen könnte.

IOTIQ Redaktion:

Bislang beschränkt sich diese noch nicht rechtskräftige Entscheidung auf öffentliche Vergabeverfahren, also Ausschreibungen der öffentlichen Hand. Welche Folgen können sich hieraus für öffentliche Einrichtungen ergeben?

Sven Noack, Managing Director IOTIQ:

Wie Du schon gesagt hast, ist das Urteil noch nicht rechtlich bindend. Bei der deutschen Rechtsprechung ist es aber so, dass sich Gerichte gerne an bereits erfolgten Entscheidungen orientieren. Das heißt, wo ein Vergabeurteil gesprochen wurde, ist es höchstwahrscheinlich, dass in ähnlichen Fällen dieselbe Argumentation als Grundlage für das Urteil hergenommen wird und somit zum gleichen Ergebnis führt. Natürlich muss dies nicht so sein, da es das aber in der Vergangenheit bei vielen DSGVO-Verfahren gegeben hat, ist es ziemlich wahrscheinlich.

IOTIQ Redaktion:

Welche weiteren Folgen können sich daraus ergeben, wenn sich noch weitere Bundesländer entscheiden diesem Urteil zu folgen?

Sven Noack, Managing Director IOTIQ:

Wenn andere Bundesländer sich dafür entscheiden, wird es irgendwann eine nationale Rechtsprechung. Also nicht, weil das dann nationales Recht ist, sondern weil sich dann in einem Bundesland an einem anderen orientiert wird und sich das in Zukunft so durchsetzt. (Anm.d.R: Der Datenschutz wird in den einzelnen Bundesländern geregelt.)

Wichtig ist, dass es eine Signalwirkung hat. Normalerweise ist es in der deutschen Rechtsprechung so, dass diese sehr logisch aufgebaut ist: wenn gewisse Voraussetzungen für ein Urteil bestehen und diese Voraussetzungen dann später auch so zutreffen, ist es ein logischer Schluss. Gibt es also eine Vorgabe, und diese trifft in der Wirklichkeit auch zu, folgt daraus ein Urteil.
Wenn es einmal begründet wurde und ein Gericht zu einem Urteil gekommen ist, kann dieses in der nächsten Instanz resümiert werden. Wenn dieses aber zum gleichen Ergebnis kommt, weil die Argumente und die daraus folgenden Maßnahmen die gleichen sind, kommt man wieder zum selben Urteil.
Es ist sehr unwahrscheinlich, dass wenn einmal ein Urteil gefällt wurde und das in der nächsten Instanz auch bestätigt wird ist, es bei einem anderen Gericht mit einer anderen Argumentation gekippt wird.
Das ist so selten, weil in der deutschen Rechtsprechung weniger Einzelfallentscheidungen vorliegen, als zum Beispiel im anglo-amerikanischen Raum.
Es wird in der Regel sehr genau überlegt, wie ein Urteil so gefällt werden kann, dass es möglichst viele Fälle abdeckt.
Daraus ergibt sich eine weitere Orientierung für andere Gerichte, die schauen, ob es schon mal einen Präzedenzfall gab, als den man die jetzige Entscheidung durchaus bezeichnen kann.
Daraus kann man schließen, dass in anderen Bundesländern eine ähnliche Rechtsprechung  getroffen wird.

IOTIQ Redaktion: 

Bei den öffentlichen Einrichtungen ist natürlich so, dass diese besonders starken Wert auf den Datenschutz legen müssen. Aber eigentlich gilt das ja auch für alle anderen Unternehmen. Also denkst Du, dass die Entscheidung, die sich jetzt auf öffentliche Einrichtungen beschränkt, auch auf Unternehmen der freien Wirtschaft übertragen wird?

Sven Noack, Managing Director IOTIQ:

Das muss es. 2019 hatte ich bei einer kurzen Reise ins Silicon Valley mit der Verantwortlichen der Europäischen Kommission, eine Deutsche, über die DSGVO-Einführung in Europa generell gesprochen. Ich hatte ihr aus unserer täglichen Arbeit berichtet, wo die Unternehmen sagen: “Ach, die DSGVO; brauche ich nicht, kenne ich nicht, ist nicht so relevant.” Sie entgegnete ganz einfach: “Ja, es ist aber geltendes Recht.”
Die DSGVO ist eine Rechtsprechung, die in Gesetze umgemünzt wurde und wer dagegen verstößt, bricht Recht. Die Frage ist, ob oder wann die Verfolgung dieser Gesetzesbrüche so regelmäßig und so bedeutend werden, dass die Unternehmen handeln. Es gibt ein paar Fälle, zum Beispiel die “Deutsche Wohnen”, die 2019 in Berlin zu einer hohen Geldstrafe verurteilt wurde, weil sie gegen DSGVO Grundannahmen verstoßen hat.
[Anm.d.R.: Der Fall “Deutsche Wohnen” wird noch immer beim EuGh geprüft. Ein abschließendes Urteil liegt noch nicht vor.]
Auch große Unternehmen à la Google oder Facebook kann man da nennen.
Es wird sich aber auch zusätzlich immer mehr auf kleinere Unternehmen übertragen. 

IOTIQ Redaktion: 

Man hat ja jetzt schon so ein bisschen das Gefühl, dass das Thema gerade bei kleineren Unternehmen unter den Teppich gekehrt wird und das aber auch keiner so richtig verfolgt. Denkst Du, dass mit so einer Entscheidung, wenn diese sich wirklich auf die Wirtschaft überträgt, das in der Zukunft zunehmen wird?

Sven Noack, Managing Director IOTIQ:

Das ist keine Frage des ob, sondern eine Frage des wann. Die Institutionen bauen sich ja jetzt ihre Mitarbeiter*innen auf, die den Datenschutz später überwachen und einhalten.
Und das ist jetzt meiner Meinung nach ganz wichtig, wenn im Rahmen der neuen Cyberangriffe, die aus Russland, China oder Nordkorea kommen, Daten geschützt werden müssen.
Wenn ein Unternehmen solche Datenlecks offenlegt, dann wird es natürlich kritisch. Wenn man dann feststellt, da sind noch DSGVO-Verstöße per se, ist das Unternehmen in doppelter Erklärungsnot. Zum einen Punkt besteht das Cyberrisiko, zum anderen stellt sich die Frage: Warum wurden die Daten nicht richtig geschützt? Das geht ja Hand in Hand.

IOTIQ Redaktion:

Negative Folgen für Unternehmen sind dann in dem Sinne wahrscheinlich hohe Strafzahlungen?

Sven Noack, Managing Director IOTIQ:

Absolut! Hohe Strafzahlungen sowieso, dann aber auch der Gesichtsverlust, weil die DSGVO jetzt schon festlegt, dass bei Verlust der Daten von potenziellen und bestehenden Kund*innen diese informiert werden müssen.

Und bei mir persönlich hat sich noch kein Unternehmen gemeldet, obwohl es meine Daten verloren hat. Ein ganz prominentes Beispiel ist das Marketing Tool Canva, die 2019 gehackt wurden. Da waren auch meine Daten mit dabei, was ich online eingesehen habe. Von denen habe ich bislang keine Entschuldigung bekommen.
Gut, Canva unterliegt wohl nicht dem europäischen Datenschutzrecht. Aber das ist auch so ein Streitfall: Die bieten ihr Produkt im europäischen Markt an, dementsprechend sollte das europäische Datenschutzrecht gelten.

IOTIQ Redaktion: 

Das ist ja im Grunde jetzt das, was dieses Urteil aussagt: Wenn Du Services auch in einem europäischen Land anbietest, dann unterliegen diese auch dem europäischen Recht.

Sven Noack, Managing Director IOTIQ:

Schon, aber das ist nicht ganz der Kern. Konkret bedeutet das: wenn die amerikanische Muttergesellschaft durch ihre europäische Tochtergesellschaft rein theoretisch die Möglichkeit besitzt, auf Daten, die in Europa erhoben und gespeichert wurden, zuzugreifen, wird bereits gegen die DSGVO verstoßen.

Microsoft hat zum Beispiel sehr erfolgreich die German Cloud betrieben und durch dieses Urteil werden solche Services gekontert. German Cloud war ein
Rechenzentrum in der Nähe von Magdeburg zusammen mit der Deutschen Telekom, wo trotz amerikanischer Dienstleistung oder Software der Datenschutz “Made in Germany” quasi propagiert wurde.
Das Urteil sagt nun, dem ist nicht so – die Daten sind nicht genug abgesichert.
Früher lief das ja unter dem amerikanischen Privacy Shield.

IOTIQ Redaktion:

Genau, der Privacy Shield wurde 2020 von der EU als nicht mit der europäischen Datenschutzverordnung vereinbar abgeschafft.

Sven Noack, Managing Director IOTIQ:

Das meinte ich, denn der Knackpunkt war, dass die amerikanischen Unternehmen sich im Zweifelsfall mit ihrem Staat austauschen. Das heißt, dass die CIA und das FBI einen gewissen Druck auf die Unternehmen haben und auf die Daten zugreifen können.
Das betrifft alle. Zwar hat sich z.B. Apple bislang ganz erfolgreich gewehrt, aber früher oder später auf irgendeinem Level gehen die Daten dann doch zum Staat über.

Aber es geht ja gar nicht nur um das aktuell herrschende Szenario:
Es ist ja immer auch ein Ausblick in die Zukunft, denn wir wissen nicht, wie die Welt in fünf Jahren oder in zehn Jahren aussieht und wer mit wem befreundet oder verfeindet ist. Das kann schnell gehen und da muss natürlich eine rechtliche Sicherheit her.

IOTIQ Redaktion:

Das stimmt. Außer, die Unternehmensrichtlinien an die DSGVO anzupassen, gibt es deiner Meinung nach noch andere Maßnahmen, die Unternehmen ergreifen können?

Sven Noack, Managing Director IOTIQ:

Also da wo Regelungen gesetzt sind, sollte man schon versuchen, diese einzuhalten.
Man sollte auch gucken, ob man wirklich jeden Service aufgrund von Bequemlichkeit in einer ausländischen Cloud betreibt, oder ob man nicht einen guten Mix aus Services hinbekommt, die beispielsweise auf den eigenen Servern gehostet werden können. Und um mal ganz konkret auf Microsoft Office zu sprechen zu kommen, das ja auch in der Cloud betrieben wird, mit Microsoft 365, da gibt es beispielsweise auch genug Alternativen. Auch aus Deutschland. Also da ist man nicht an Microsoft gebunden.

Fazit

Nach dem Wegfall des Privacy Shields, welches den ungehinderten Datenverkehr zwischen den USA und Deutschland sicherte, war lange unklar, wie deutsche Tochterfirmen von amerikanischen IT-Anbietern mit der Datenübermittlung an ihre amerikanischen Mutterunternehmen umgehen sollen.
Laut der Entscheidung der Vergabekammer Baden-Württemberg ist die Teilnahme von deutschen Tochterfirmen amerikanischer Unternehmen an Ausschreibungen der öffentlichen Hand in Zukunft möglicherweise unzulässig. Grundlage dieser Entscheidung ist die Tatsache, dass die amerikanischen IT-Anbieter über ihre deutschen Töchter an die Daten deutscher Staatsbürger gelangen könnten. Dies ist aber laut DSGVO unzulässig.
Sollte diese Entscheidung im zweiten Schritt rechtskräftig werden, könnte sie als Orientierung für die weitere Gerichtsentscheidungen dienen. Eine Übertragung dieser Praxis auf die freie Wirtschaft ist demnach auch denkbar. So könnten Unternehmen, sofern sie erstens ihren Stammsitz in den USA  haben und zweitens nicht über ausreichend nachweisbare Datenschutzmechanismen verfügen, nicht nur hohe Strafzahlungen erwarten, sondern in Zukunft gänzlich von der Zusammenarbeit mit deutschen Firmen ausgeschlossen werden.