von | Aug. 23, 2022 | Datenschutz

Daten im Drittland: Zugriffsrisiko schon datenschutzwidrig?

Daten im Drittland: Zugriffsrisiko schon datenschutzwidrig?

Zuletzt aktualisiert am 7. April 2026

Spätestens seit dem Schrems-II-Urteil ist klar, dass die Übermittlung von Daten in Länder außerhalb der EU (Drittländer) datenschutzrechtlich problematisch sein kann. Doch reicht dafür schon die Gefahr der Übermittlung in ein Drittland aus? Dieser Ansicht ist zumindest die Vergabekammer Baden-Württemberg.

Den aktuellen Stand der datenschutzrechtlichen Debatte erfahren Sie hier.

Vergabekammer: Zugriffsrisiko im Drittland ist Verarbeitung im Drittland

Die Vergabekammer Baden-Württemberg ist der Ansicht, dass eine Übermittlung (und damit Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO) bereits vorliegt, wenn die Gefahr besteht, dass die Daten in ein Drittland übermittelt werden.

Externen Datenschutzbeauftragten beauftragen — bundesweit ab 250 € / Monat

DATUREX GmbH stellt Ihnen einen externen Datenschutzbeauftragten nach Art. 37 DSGVO — inklusive Audit, Schulungen, VVT-Pflege und Datenpannen-Meldung. Kostenlose Ersteinschätzung in 30 Minuten.

→ Leistungen ansehenErsteinschätzung anfragen

Rolle von Vergabekammern

Die Vergabekammern der Länder sind genauso wie die Landesdatenschutzbeauftragten unabhängige Kontrollbehörden (§ 157 GWB). Vergabekammern haben dabei nicht die Funktion einer Aufsichtsbehörde, sondern fungieren vielmehr gerichtsähnlich. Sie überprüfen die Vergabe von öffentlichen Aufträgen, wenn ein Mitwettbewerber Beschwerde einreicht (§ 155 GWB).

Standpunkt der Vergabekammer

Der Vergabekammer Baden-Württemberg wurde ein Sachverhalt vorgelegt, bei dem es um den Zuschlag zu einer Softwareanschaffung für digitales Einlassmanagement für Krankenhäuser ging. Ein erfolgloser Mitbewerber, der damit warb, die Daten nur auf deutschen Servern zu speichern, legte Beschwerde ein. Der Konkurrent, der den Zuschlag erhielt, hielt sich nach Ansicht des erfolglosen Mitbewerbers nicht an das Datenschutzrecht. Er würde nämlich die Dienste einer EU-Tochtergesellschaft eines großen US-Clouddienstes nutzen, was die Gefahr mit sich brächte, dass der Mutterkonzern von amerikanischer Seite auf die in der EU gespeicherten Daten zugreife und diese dann nicht mehr so sicher sind, wie es die DSGVO fordert.

Die Vergabekammer schloss sich dieser Ansicht an und hob den Zuschlag auf. Sie führte dazu aus, dass der Übermittlungsbegriff in Art. 4 Nr. 2 und Art. 44 DSGVO nicht der gleiche sei. Eine Übermittlung im Sinne einer Verarbeitung nach Art. 44 DSGVO liege vielmehr schon dann vor, wenn die Gefahr der Übermittlung in ein Drittland bestünde.

Dazu führt die Vergabekammer aus: „Der Übermittlungsbegriff ist im Lichte des weil [gemeint ist hier wohl „weit“] gefassten Wortlauts des Art. 44 S. 1 DS-GVO sowie der in Art. 44 S. 2 DS-GVO niedergelegten Anweisung in Bezug auf die Normanwendung auszulegen und damit vollständig zu verstehen: Übermittlung ist jede Offenlegung personenbezogener Daten gegenüber einem Empfänger in einem Drittland oder einer internationalen Organisation, wobei es weder auf die Art der Offenlegung, noch auf die Offenlegung gegenüber einem Dritten ankommt.“ Eine Offenlegung in diesem Sinne liege schon vor, wenn die Möglichkeit besteht, dass ein Drittland zugreift, unabhängig vom tatsächlichen Zugriff.

Datenschutzbehörde: TOM´s sind zur Risikominimierung da

Nach diesem Beschluss hat sich auch der Landesdatenschutzbeauftragte zum Beschluss der Vergabekammer positioniert: Er stimmt der Auslegung nicht zu.

Der Landesdatenschutzbeauftragte bemängelt, dass in der Argumentation der Vergabekammer übersehen wird, dass es gerade die technischen und organisatorischen Maßnahmen (TOM´s) gibt, die das aufgezeigte Risiko des Zugriffes minimieren (Art. 32 DSGVO). Diese seien „wirksame Gegenmittel“. Sie könnten anhand einer einzelfallbezogenen Risikoabschätzung ein optimales Datenschutzniveau schaffen.

Problematisch an dem Beschluss sei vor allem die unterschiedliche Auslegung der Übermittlung in Art. 4 Nr. 2 und Art. 44 DSGVO. Dies sei weder aus dem Wortlaut noch aus den Erwägungsgründen ersichtlich.

Eine pauschale Ausgrenzung von Unternehmen mit Verbindungen zu amerikanischen Dienstleistern sei weder elegant noch wirtschaftlich. Die Ansicht der Vergabekammer würde lediglich dazu führen, dass keine amerikanischen Dienstleister in Anspruch genommen werden können, selbst wenn diese Serverfarmen in der EU betreiben.

Und jetzt?

Wie die Debatte sich letztlich auflöst, bleibt abzuwarten. Der Beschluss der Vergabekammer wird nun vom Oberlandesgericht Karlsruhe überprüft. Die Stellungnahme des Landesdatenschutzbeauftragten lässt vermuten, dass das Gericht den Beschluss kippen wird. Noch gibt es kein pauschales Transferverbot, sondern es werden vielmehr Einzelfallprüfungen vorgenommen.

Gegenstimmen zur Entscheidung der Vergabekammer

Die Entscheidung der Vergabekammer Baden-Württemberg ist nicht unumstritten. Zahlreiche Datenschutzexperten und IT-Rechtler haben Kritik an der weiten Auslegung des Übermittlungsbegriffs geübt. Sie argumentieren, dass die bloße theoretische Möglichkeit eines Zugriffs nicht mit einer tatsächlichen Datenübermittlung gleichgesetzt werden könne.

Auch der Europäische Datenschutzausschuss (EDSA) hat sich in seinen Empfehlungen zur Bewertung des Schutzniveaus in Drittländern differenzierter geäußert. Er betont, dass eine Einzelfallprüfung erforderlich sei, die unter anderem die Wahrscheinlichkeit eines behördlichen Zugriffs, die rechtlichen Rahmenbedingungen im Drittland und die ergriffenen ergänzenden Maßnahmen berücksichtigt.

Das OLG Karlsruhe hat die Entscheidung der Vergabekammer in der Folge aufgehoben und eine engere Auslegung des Übermittlungsbegriffs vertreten. Dennoch bleibt die Frage, wann ein Zugriffsrisiko datenschutzrechtlich relevant wird, weiterhin Gegenstand intensiver juristischer Diskussionen und wird voraussichtlich erst durch den Europäischen Gerichtshof abschließend geklärt werden.

Auswirkungen auf die Nutzung von US-Cloud-Diensten

Die Entscheidung der Vergabekammer Baden-Württemberg hat weitreichende Auswirkungen auf die Nutzung von Cloud-Diensten US-amerikanischer Anbieter. Wenn bereits das abstrakte Zugriffsrisiko als Übermittlung gewertet wird, könnten zahlreiche Verträge mit Cloud-Dienstleistern, die über eine US-Muttergesellschaft verfügen, datenschutzrechtlich problematisch sein.

Dies betrifft insbesondere die großen Hyperscaler wie Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform, deren europäische Tochtergesellschaften zwar Rechenzentren in der EU betreiben, aber grundsätzlich dem Zugriff der US-Muttergesellschaft unterliegen könnten. Der CLOUD Act der USA ermöglicht es US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen, die im Ausland gespeichert werden.

Das EU-US Data Privacy Framework als Lösung?

Mit dem EU-US Data Privacy Framework (DPF) hat die Europäische Kommission einen neuen Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten in die USA erlassen. Dieser soll die Nachfolge des durch das Schrems-II-Urteil für ungültig erklärten Privacy Shield antreten und einen rechtssicheren Rahmen für den transatlantischen Datentransfer bieten.

Das DPF basiert auf verbesserten Schutzmechanismen auf US-Seite, darunter neue Beschränkungen für den Zugriff von US-Geheimdiensten auf europäische Daten und die Einrichtung eines unabhängigen Überprüfungsmechanismus. Allerdings ist auch dieses Framework nicht unumstritten. Der österreichische Datenschutzaktivist Max Schrems hat bereits angekündigt, auch gegen den neuen Angemessenheitsbeschluss vorzugehen.

Standardvertragsklauseln und ergänzende Maßnahmen

Für den Fall, dass kein Angemessenheitsbeschluss vorliegt oder dieser aufgehoben wird, bleiben Standardvertragsklauseln (SCCs) ein wichtiges Instrument für den internationalen Datentransfer. Die Europäische Kommission hat im Jahr 2021 neue SCCs verabschiedet, die strengere Anforderungen an den Datenschutz stellen.

Zusätzlich zu den SCCs müssen Unternehmen jedoch eine Transfer Impact Assessment (TIA) durchführen, um festzustellen, ob das Recht des Empfängerlandes ein angemessenes Schutzniveau gewährleistet. Ist dies nicht der Fall, müssen ergänzende technische, organisatorische oder vertragliche Maßnahmen ergriffen werden, um ein gleichwertiges Schutzniveau sicherzustellen.

Die Frage des Drittlandtransfers bleibt eine der zentralen Herausforderungen des europäischen Datenschutzrechts. Unternehmen müssen die Entwicklung der Rechtsprechung aufmerksam verfolgen und ihre Datenverarbeitungsprozesse regelmäßig überprüfen und anpassen.

Bedeutung für öffentliche Vergabeverfahren

Die Entscheidung der Vergabekammer Baden-Württemberg hat besondere Bedeutung für öffentliche Vergabeverfahren. Öffentliche Auftraggeber müssen bei der Beschaffung von IT-Lösungen sicherstellen, dass die angebotenen Produkte und Dienstleistungen den datenschutzrechtlichen Anforderungen entsprechen. Dies kann dazu führen, dass Angebote, die auf US-Cloud-Infrastruktur setzen, im Vergabeverfahren benachteiligt werden.

Für Unternehmen, die sich an öffentlichen Ausschreibungen beteiligen, bedeutet dies, dass sie ihre Datenschutzkonformität detailliert nachweisen müssen. Dies umfasst insbesondere die Darlegung, wo die Daten gespeichert werden, wer Zugriff auf die Daten hat und welche technischen und organisatorischen Maßnahmen zum Schutz der Daten ergriffen werden.

Die zunehmende Bedeutung digitaler Souveränität in der öffentlichen Verwaltung hat dazu geführt, dass immer mehr Vergabestellen europäische Cloud-Lösungen bevorzugen. Diese Entwicklung könnte durch die Entscheidung der Vergabekammer weiter verstärkt werden und zu einer grundsätzlichen Veränderung des Cloud-Marktes im öffentlichen Sektor führen.

Praktische Handlungsempfehlungen für Unternehmen

Angesichts der unsicheren Rechtslage sollten Unternehmen verschiedene Maßnahmen ergreifen, um ihr Datenschutzrisiko bei der Nutzung von Cloud-Diensten zu minimieren. Zunächst sollte eine Bestandsaufnahme aller Datenverarbeitungen erfolgen, bei denen personenbezogene Daten an Drittländer übermittelt oder dort gespeichert werden. Dabei ist auch zu prüfen, ob Subunternehmer der eingesetzten Dienstleister Zugriff auf die Daten haben könnten.

Außerdem empfiehlt es sich, Verschlüsselungstechnologien einzusetzen, bei denen der Schlüssel ausschließlich beim europäischen Unternehmen verbleibt. Dadurch wird sichergestellt, dass selbst bei einem behördlichen Zugriff auf die gespeicherten Daten diese nicht entschlüsselt werden können.

Schließlich sollten Unternehmen auch alternative europäische Cloud-Anbieter in Betracht ziehen, die keiner außereuropäischen Jurisdiktion unterliegen. Initiativen wie GAIA-X oder die Open Telekom Cloud bieten entsprechende Lösungen an, die speziell auf die Anforderungen des europäischen Datenschutzrechts zugeschnitten sind.

Sie suchen nach professioneller Beratung in allen Bereichen rund um den Datenschutz? Unser Team an Experten steht Ihnen gern zur Seite. Kontaktieren Sie uns!

Datenschutz für Ihr Unternehmen

Erstberatung anfragen

Professioneller Datenschutz für Ihr Unternehmen

Die DATUREX GmbH ist Ihr zertifizierter externer Datenschutzbeauftragter — bundesweit, persönlich und DSGVO-konform. Ab 250 €/Monat.

Kostenlose Erstberatung anfragen