https://www.faz.net/aktuell/politik/staat-und-recht/behoerden-gehen-wegen-datenschutz-gegen-us-cloud-anbieter-vor-18244148.html

Kritik am Datenschutz : US-Cloudanbieter ausgegrenzt

Eingezäunt: Amazon Web Services betreibt in Europa mehrere Server – wie hier im schwedischen Kjula. Bild: Picture Alliance

Im Namen des Datenschutzes geht es jetzt bei der Auftragsvergabe von Behörden pauschal gegen amerikanische Anbieter von Cloud-Diensten. Selbst Datenschützern geht das zu weit.

          3 Min.

          Der Streit um Maß und Mitte im Datenschutz ist in Deutschland schon lange im vollen Gange, aber manchmal wird es sogar Datenschützern zu viel. Eine ungewöhn­liche Gegenwehr kommt derzeit aus dem Südwesten der Republik, wo die Vergabekammer Baden-Württemberg den Behörden bei der Wahl von Cloud-Anbietern en­ge Fesseln angelegt hat. In Ausschreibungen sollen diese künftig keine US-amerikanischen Cloud-Anbieter berücksichtigen dürfen, selbst wenn diese ihre Dienste über Tochtergesellschaften in Europa anbieten (Az.: 1 VK 23/22). Hätte diese Entscheidung Bestand, würden große Cloud-Anbieter wie Amazon Web Services (AWS), Mi­crosoft oder Google von der künftigen Zu­sam­men­arbeit mit deutschen Behörden ka­te­gorisch ausgeschlossen.

          Corinna Budras
          Wirtschaftskorrespondentin in Berlin.

          Sie stieß in Fachkreisen deshalb schon auf heftige Kritik. Mit dem baden-württembergischen Datenschützer Stefan Brink meldet sich jetzt allerdings auch ei­ne Aufsichtsbehörde mit deutlicher Kritik. Einige Einschätzungen der Vergabekammer seien „rechtlich zweifelhaft“, heißt es in einer Stellungnahme, die der F.A.Z. vorliegt. Pauschale Transferverbote lehnt die Behörde ab.

          Konkret geht es um einen Beschluss von Mitte Juli, der nach Brinks Ansicht jenseits des konkreten Vergabeverfahrens Bedeutung hat. Bei ihrer ablehnenden Entscheidung stützt sich die Vergabekammer auf das „latente Risiko“ eines Zugriffs auf personenbezogene Daten durch US-Behörden, das in Vertragsklauseln nicht hinreichend eingedämmt werden könne. Sie bezieht sich dabei auf ein Grundsatzurteil des Europäischen Gerichtshofs (EuGH), das seit rund zwei Jahren den Datenverkehr zwischen Europa und den Vereinigten Staaten deutlich erschwert – und schon weitreichende praktische Auswirkungen hatte. Damals erklärten die Eu­roparichter in ihrem Grundsatzurteil „Schrems II“, das den Namen des Klägers trägt, dass die Daten europäischer Bürger weitgehend schutzlos vor dem Zugriff amerikanischer Behörden wie dem FBI seien.

          Unternehmen, die Daten transferieren wollen, müssen deshalb zusätzliche Vorsichtsmaßnahmen vorsehen. Cloud-Diensteanbieter aus den USA wie AWS und Microsoft stellten deshalb ihr Ge­schäftsmodell um und boten nunmehr über europäische Tochtergesellschaften Serverfarmen mit Standorten in Deutschland oder dem europäischen Ausland an. Dies geschah auch, um den strengen An­forderungen deutscher Datenschützer ge­recht zu werden. Nach Ansicht der Vergabekammer reicht dies jedoch nicht aus. Sie fürchtet auch in diesen Konstellationen, dass amerikanische Behörden auf die personenbezogenen Daten europäischer Bürger zugreifen könnten. Nach Einschätzung der Vergabekammer könne sich dieses latente Risiko „jederzeit realisieren“.

          Datenschützer Stefan Brink
          Datenschützer Stefan Brink : Bild: dpa

          Dem widersprechen nun allerdings et­liche Datenschutzrechtler, unter anderem Brink. Er stört sich daran, dass hier das bloße Risiko gleichgesetzt werde mit ei­nem Szenario, in dem die Daten auch tatsächlich an die Behörden übermittelt wür­den. Dies könnte mit guten Gründen bestritten werden, findet er. Diese Argumentation übersehe, dass gegen solche Zu­griffsrisiken wirksame Gegenmittel über technisch-organisatorische Maßnahmen eingesetzt werden könnten, die jedes Risiko ausschlössen.

          Das sieht auch der Datenschutzrechtler Stephan Schmidt von der Mainzer Kanzlei TCI Rechtsanwälte so. Er hält die Entscheidung für „überzogen und schlecht begründet“. Die Richter gingen offenbar davon aus, in Tochtergesellschaften von US-Unternehmen gebe es Mitarbeiter, die Daten einfach so herausgäben oder Zu­griffsmöglichkeiten einräumten. „Damit würden diese Gesellschaften und deren Mitarbeiter jedoch gegen die europä­ische Datenschutzgrundverordnung verstoßen und würden damit selbst mindestens eine Ordnungswidrigkeit begehen“, betont Schmidt. „Das ist wenig wahrscheinlich.“

          In der Branche sorgt die Entscheidung für große Aufregung, wäre dies doch das Ende einer Lösung, mit der die Unternehmen versuchen, die viel kritisierte Schrems-Rechtsprechung des EuGH um­zu­setzen. Wegen der in seinen Augen schlechten Begründung rechnet Schmidt nicht damit, dass sie Bestand hat. Auch Brink schaut „mit Spannung“ auf das Oberlandesgericht Karlsruhe, das sich in nächster Instanz damit beschäftigen wird.

          In der Zwischenzeit zieht die Auffassung, amerikanische Clouddienste müssten aus deutschen oder europäischen Behörden verschwinden, weitere Kreise: Die Eu­ropäische Gesellschaft für Datenschutz, die regelmäßig Kläger in Datenschutzklagen vor Gericht vertritt, ist jüngst selbst gegen die Europäische Kommission vorgegangen, unter anderem weil sie die Dienste von AWS nutzt. Das Argument: Beim Aufruf der Seite https://fu­tureu.europa.eu gelangten durch den Cloud-Dienst in seiner Funktion als Webhost automatisch personenbezogene In­formationen wie die IP-Adresse in ein „un­sicheres Drittland ohne angemessenes Datenschutzniveau“ und würden dort verarbeitet. Kritik gibt es auch Blick auf den derzeit laufenden Zensus 2022. Das Statistische Bundesamt setzt in diesem Zu­sammenhang auf die Dienste des amerikanischen Anbieters Cloudflare. Brink hält von solchen pauschalen Vorwürfen we­nig. „Cloudflare ist kein idealer Partner für deutsche Behörden“, räumt auch er ein. „Aber solche Einschätzungen müssen konkret, nicht pauschal erfolgen.“

          Weitere Themen

          Topmeldungen

          Finanzminister Christian Lindner (FDP) und Wirtschaftsminister Robert Habeck (Grüne)

          F.A.Z.-exklusiv : Ampel-Koalition wird Gasumlage kippen

          Nach F.A.Z.-Informationen wird die umstrittene Zusatzzahlung der Verbraucher heute oder morgen gekippt. Als Alternative soll die Gaspreisbremse kommen, aber daran knüpfen die Liberalen drei Bedingungen.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Die wichtigsten Nachrichten direkt in Ihre Mailbox. Sie können bis zu 5 Newsletter gleichzeitig auswählen Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.