Drittlandtransfer: Gleichsetzung von Zugriffsrisiko und Übermittlung?

Vergabekammer

Der Beschluss der Vergabekammer Baden-Württemberg (Az. 1 VK 23/22) vom 13. Juli 2022 adressiert u.a. auch die Frage, ob US-Anbieter digitaler Server- und Cloud-Leistungen ihre Dienstleistungen über europäische Tochtergesellschaften erbringen können. Die Vergabekammer scheint davon auszugehen, dass eine Zusammenarbeit mit US-Anbietern nach Wegfall des Privacy-Shields-Abkommens mit der EU (vgl. EuGH, Urteil vom 16. Juli 2020 – Az. C-311/18; „Schrems-II“) trotz der Verwendung sog. Standarddatenschutzklauseln per se unzulässig ist.

Der Beschluss führte auf Blogs und Sozialen Medien zu kontroversen Diskussionen. Auch der LfDI Baden-Württemberg fühlte sich auf den Plan gerufen und schaltete sich in dieser Fragestellung mit einer ausführlichen Stellungnahme ein.

Der LfDI merkte an, dass zum einen das Verfahren Klauseln zum Prüfungsgegenstand hatte, die aus Sicht der Vergabekammer noch hinter den Anforderungen der aktuell einsetzbaren Standarddatenschutzklauseln zurückbleiben. Noch deutlicher und kritischer wird der LfDI, wenn er anmerkt, dass die von der Vergabekammer vorgenommene Gleichsetzung von Zugriffsrisiko und Übermittlung (als Verarbeitungsform nach Art. 4 Nr. 2 DS-GVO) als rechtlich zweifelhaft einzustufen sein dürfte.
Dass ein Zugriffsrisiko ohne weiteres einen Übermittlungstatbestand erfülle, könne mit guten Gründen bestritten werden. Dass die DS-GVO einen „risikobasierten Ansatz“ zugunsten Verantwortlicher eingeführt habe, werde von interessierten Kreisen zwar immer wieder (und in dieser Pauschalität wenig überzeugend) vorgebracht. Dass dieser Ansatz jetzt aber zu Lasten von Verantwortlichen und Auftragsverarbeitern umgedreht werden dürfte, überzeuge wenig.

Die wesentliche Argumentation der Vergabekammer im Wortlaut ist wie folgt:
Allein die Möglichkeit, dass auf personenbezogene Daten durch die nichteuropäische Muttergesellschaft zugegriffen werden kann, führt zu einer sog. „Weitergabe“ im Sinne der DSGVO, dies unabhängig davon, ob ein solcher Zugriff durch die US-Muttergesellschaft tatsächlich erfolgt. Diese Weitergabe ist nach Ansicht der Vergabekammer nach Wegfall des US-Privacy-Shields unzulässig, sie konnte in dem Verfahren insbesondere nicht durch den Abschluss von Standardvertragsklauseln (sog. SCC’s) legitimiert werden.

Der LfDI macht auch auf einen anderen Schwachpunkt in der Argumentation der Vergabekammer aufmerksam:
Die Vergabekammer übersehe, dass gegen solche Zugriffsrisiken wirksame Gegenmittel in Gestalt sog. „technisch-organisatorischer Maßnahmen“ existieren, die letztlich jedes Risiko ausschließen könnten. Gerade dieser Aspekt wurde aber von der Vergabekammer überhaupt nicht betrachtet, so der LfDI.

(Foto: N. Theiss – stock.adobe.com)

Letztes Update:25.08.22

  • Data Agenda Podcast Folge 95 mit Prof. Dr. Schwartmann, Sebastian Gutknecht und Jörg Schieb im Experten-Talk über aktuelle Datenthemen

    Folge 95: Ein „KI-Seepferdchen“ für alle – Befähigung und Schutz in der digitalen Welt

    Das „KI-Seepferdchen“ wurde von der unabhängigen Expertenkommission „Kinder und Jugendschutz in der digitalen Welt“ im Juni 2026 als Maßnahme vorgeschlagen. Es geht darum, Kinder schon im Grundschulalter mit den Möglichkeiten und Risiken von KI in Form von Chatbots vertraut zu machen. Die Vermittlung von KI-Kompetenz ist eine Rechtspflicht auch für Schulen und Schulträger. Die Expertenkommission

    Mehr erfahren
  • Vier Expertenporträts und Logo des Data Agenda Podcasts, Folge 94 mit Prof. Dr. Schwartmann, Markus Beckedahl, Lucia Burkhardt und Felix Sahm.

    Folge 94: KI-Reallabore, Kinder und Gesundheit

    Die unabhängige Expertenkommission „Kinder- und Jugendschutz in der digitalen Welt“ hat am 24. Juni 2026 ihre Handlungsempfehlungen vorgelegt. Der Bericht trägt den Titel „Entwicklung stärken, Verantwortung übernehmen“ und befasst sich insbesondere mit den Auswirkungen Künstlicher Intelligenz auf Kinder und Jugendliche. Markus Beckedahl, der Gründer des Zentrums für Digitalrechte und Demokratie, diskutiert das „KI-Seepferdchen“ (HE 12),

    Mehr erfahren
  • Datenschutz Entbürokratisierung

    Koalitionsausschuss beschließt „Vereinfachung“ des Datenschutzrechts

    Koalitionsausschuss beschließt Vereinfachung des Datenschutzrechts Im Rahmen des am 2. Juli 2026 vorgestellten Reformpakets „Ein Programm für Aufschwung und Beschäftigung“ haben CDU/CSU und SPD unter Punkt 14 weitreichende Änderungen im Bereich Datenschutz angekündigt. Unter der Überschrift „Moderner Datenschutz für mehr Wachstum“ kündigt die Koalition an, den nationalen Datenschutz zu vereinfachen und die in der DS-GVO

    Mehr erfahren
WordPress Cookie Hinweis von Real Cookie Banner