Auch mehr als 4,5 Jahre nach in Kraft treten der DSGVO herrscht große Unsicherheit beim Datenschutz. Wem können Unternehmen und Behörden noch sensible personenbezogene Daten anvertrauen?

DSGVO

 Eine Antwort darauf gestaltet sich tatsächlich zunehmend schwieriger. Unternehmen und Kommunen stellt das vor große Herausforderungen.

Nachdem der Europäische Gerichtshof (EuGH) im Juli 2020 mit dem „Schrems II-Urteil“ die bestehende Regelung zum sogenannten „Privacy Shield“ gekippt hat, arbeiten US-Behörden und EU-Kommission an einem Nachfolgemodell. Eine Übereinkunft scheiterte bislang allerdings an den möglichen Zugriffsrechten auf die Daten durch US-Geheimdienste.

Seit 2021 schon fordern die Landesdatenschutzbeauftragte aus Baden-Württemberg, Hessen und Mecklenburg-Vorpommern und immer vehementer Microsoft 365 und Teams aus Behörden und Schulen zu verbannen.

Während ein neues Abkommen zum Datenaustausch mit den USA auf sich warten lässt, schaffen Richter vorerst Fakten. 

 Die Vergabekammer Baden-Württemberg hat zuletzt mit einer Entscheidung zu einer Vergabe (Beschluss vom 13.07.2022 – 1 VK 23/22) für Aufsehen gesorgt. Die Richter in Karlsruhe entschieden, dass eine Übermittlung personenbezogener Daten in ein Drittland auch dann vorliege, wenn der Server von einem in der EU ansässigen Unternehmen betrieben werde, das zu einem amerikanischen Konzern gehört. Es reichen also allein „denkbare“ Zugriffsmöglichkeiten durch den Mutterkonzern.

Datenschutzverordnung

 Ganz anders nun die Entscheidung des OLG Karlsruhe (Beschluss vom 7. September 2022 (Az. 15 Verg 8/22): Das Gericht kommt zum Ergebnis, dass die Nutzung von Clouddiensten eines europäischen Unternehmens, hinter dem ein US-Konzern steht; noch keine Zweifel an der Erfüllbarkeit des Leistungsversprechens (DSGVO-konforme Verarbeitung) weckt. Vielmehr, so das OLG weiter, darf die ausschreibende Stelle auf die Einhaltung der vertraglichen Vereinbarungen vertrauen.

DSGVO und dazugehörige Bereiche

 Der Bundesdatenschutzbeauftragte (BfDI) wollte die Entscheidung des Gerichts nicht kommentieren. Ein Sprecher verwies darauf, dass öffentliche Stellen nur Dienstleister einsetzen dürften, die ausreichende Garantien bieten, dass die DSGVO eingehalten wird.

Der aktuelle Beschluss des OLG Karlsruhe entschärft die datenschutzrechtliche Diskussion um die Voraussetzungen für eine Drittlandsübermittlungen und daraus resultierende Anforderungen der DSGVO kaum.

Unternehmen und Körperschaften bleibt weiterhin nur, zu prüfen, ob diese Gefahr tatsächlich besteht. Im Detail hängt das von der „konkreten Datenverarbeitung“ ab.

All das geht nahezu zeitgleich mit der Veröffentlichung von Unternehmens- und Personendaten durch das neue Online-Handelsregister einher. Mit Browsern können sensible Daten wie Personalausweise von Geschäftsführern, Unternehmenssatzungen mit Personendaten und Unterschriften seit dem 01.08.2022 von überall aus der Welt ohne Registrierung abgerufen und herunter geladen werden. Nach einer schnellen Protestwelle von Unternehmen und Verbänden zieht sich nun die Prüfung, ob der Zugriff wieder eingeschränkt werden müsse, Wochen hin.