UPDATE: „Schrems III“ und der „Ehrbare Kaufmann“ kommt zurück.
Seit unserer Veröffentlichung am 01. April 2022 zum Thema DSGVO (Datenschutz-Grundverordnung) und M365 – der sichere Kompass „Schrems III“ ist in Sicht – hat sich wieder Einiges getan.
Am 7. Oktober 2022 hat US-Präsident Joe Biden den Nachfolger des Privacy Shields, das „European Union-U.S. Data Privacy Framework“ (EU-U.S. DPF) unterzeichnet. Hier die Presseerklärung. Die EU- Kommission ist nun aufgerufen zu prüfen, ob sie auf dieser Grundlage einen Angemessenheitsbeschluss erlassen kann. Es gibt hierzu bereits Stellungnahmen der EU-Kommission. Eines ist sicher: Schrems III kommt. Aber bis der neue Urteilsspruch des EuGHs (Europäischer Gerichtshof) vorliegt, können wir dann zumindest zeitweise, wieder den Datenaustausch mit den USA betreiben.
Was uns beeindruckt hat, ist der Beschluß des Oberlandgerichts Karlsruhe zum Thema „Kein Ausschluss von US-Cloudanbietern.“ Dem war folgende Entscheidung vorausgegangen: Die Vergabekammer Baden-Württemberg hat Mitte Juli 2022 verkündet, dass öffentliche Stellen keine Angebote von Tochtergesellschaften US-amerikanischer Cloud-Anbieter berücksichtigen dürften, was beispielsweise den Ausschluss von Cloud-Diensten wie Amazon Web Services (AWS), Microsoft 365 oder Google aus öffentlichen Ausschreibungen zur Folge gehabt hätte (vgl. Vergabekammer Baden-Württemberg, Beschluss vom 13. Juli 2022). Diesen Beschluß hat das OLG (Oberlandesgericht) Karlsruhe aufgehoben. Obwohl der Cloud Anbieter zugesichert hatte, dass personenbezogene Daten der EU-Kunden allein auf Servern in Frankfurt am Main verarbeitet würden, reichten diese Zusagen der Vergabekammer nicht. Sie sah das latente Risiko eines Zugriffs von staatlichen und privaten Stellen außerhalb der Europäischen Union. Das OLG stellt nun in der Aufhebung der Entscheidung des Untergerichts klar, dass öffentliche Auftraggeber sich auf bindende Zusagen der europäischen Tochtergesellschaften verlassen dürfen, wonach die personenbezogenen Daten allein in Deutschland verarbeitet würden und keine Übermittlung in Drittländer erfolge. Grundsätzlich ist also zunächst mal davon auszugehen, dass die Anbieter ihre vertraglichen Zusagen erfüllen. Erst wenn sich aufgrund konkreter Anhaltspunkte Zweifel ergeben, müsse der öffentliche Auftraggeber ergänzende Informationen einholen und die Erfüllbarkeit des Leistungsversprechens prüfen. Das klingt danach, dass der schon abgehängt geglaubte „Ehrbare Kaufmann“ zumindest bei den Obergerichten dem Defätisten sichtbar näherkommt. Das „Zero Trust Model“ gilt nicht für das OLG Karlsruhe. Und das ist gut so.
München, den 31. Oktober 2022