Der Datenschutz kann eine Hürde sein, die Unternehmen von der Cloud-Nutzung abhält. Besonders bei Cloud-Diensten von US-Anbietern sind einige Entscheider skeptisch. Manchmal wird vermutet, die Nutzung solcher Dienste würde zwangsläufig zu Datenschutzverstößen führen. Wie das Oberlandesgericht Karlsruhe nun entschieden hat, ist bei Tochterfirmen von US-Cloud-Diensten jedoch kein genereller DSGVO-Verstoß gegeben.
Kernproblem: Übermittlung personenbezogener Daten in Drittstaaten
Das Feld der Cloud-Dienste wird von US-Anbietern dominiert. Doch sobald ein Cloud-Anbieter in den USA ansässig ist, besteht das Risiko eines unzureichenden Datenschutzes. Grund sind die im Vergleich zur DSGVO schwächeren Datenschutzbestimmungen, die z.B. Ermittlungsbehörden den Zugriff auf personenbezogene Daten gestatten. Sollten folglich Daten mit Personenbezug auf Servern in den USA verarbeitet werden, kann ein Datenschutzverstoß drohen.
Mehrere US-Anbieter haben europäische Tochterfirmen, um DSGVO-konforme Leistungen anbieten zu können. Doch einige Datenschützer halten derartige Lösungen nicht für ausreichend. Besonders wenn öffentliche Einrichtungen Interesse an der Nutzung solcher Dienste haben, können bestimmte Organe ihn untersagen.
OLG Karlsruhe befasst sich mit der Situation
Das OLG Karlsruhe musste sich mit der Frage befassen, wie europäische Tochterfirmen von US-Cloud-Anbietern zu bewerten sind. Im konkreten Fall ging es um Aufträge, die von zwei kommunalen Krankenhausgesellschaften ausgeschrieben waren. Die zuständige Vergabekammer hatte das Tochterunternehmen eines US-Anbieters mit Verweis auf den Datenschutz kategorisch ausgeschlossen.
Vor Gericht galt es zu klären, ob ein solch pauschaler Ausschluss zulässig ist. Laut dem gefällten Urteil sei nicht davon auszugehen „ … dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.“
Was bedeutet das für Unternehmen?
Zunächst ist anzumerken, dass kein vollständiger Bezug zur Wirtschaft besteht, weil das Urteil den Fall aus der Perspektive eines öffentlichen Auftraggebers berücksichtigt. Jedoch verdeutlicht die Entscheidung des Gerichts, dass bei der Nutzung von Cloud-Diensten durch US-Anbieter keine automatischen Datenschutzverstöße drohen.
Vielmehr müssen sich Unternehmen, die Interesse an einem konkreten Cloud-Dienst haben, genau mit ihm auseinandersetzen. Sollte die europäische Tochtergesellschaft eines US-Anbieters ein angemessenes Datenschutzniveau in Aussicht stellen, empfiehlt sich eine gründliche Prüfung. Es ist unter anderem zu prüfen, wohin personenbezogene Daten übermittelt werden und welche Schutzmaßnahmen bestehen. Womöglich stellt sich dabei heraus, dass eine Nutzung der Dienste möglich ist.