Vor ein paar Tagen würde ein (noch nicht rechtskräftiger) Beschluss der Vergabekammer Baden-Würtemberg publik der in der Nutzung von US Cloud-Diensten für die Verarbeitung von personenbezogenen Daten einen DSGVO Verstoß feststellt. Der zugrundeliegende Fall war ein Vergabeverfahren an dem sich ein in der EU ansässiges Tochterunternehmen eines US Cloud-Anbieters beteiligt hat und, obwohl die Server die …

Neues Urteil in Sachen Übermittlung personenbezogener Daten und Cloud-Dienste Weiterlesen

Vor ein paar Tagen würde ein (noch nicht rechtskräftiger) Beschluss der Vergabekammer Baden-Würtemberg publik der in der Nutzung von US Cloud-Diensten für die Verarbeitung von personenbezogenen Daten einen DSGVO Verstoß feststellt. Der zugrundeliegende Fall war ein Vergabeverfahren an dem sich ein in der EU ansässiges Tochterunternehmen eines US Cloud-Anbieters beteiligt hat und, obwohl die Server die zur Leistungserbringung in dem Vergabeverfahren inkludiert wurden innerhalb der EU stehen, aufgrund des Verstoßes gegen die DSGVO vom Vergabeverfahren ausgeschlossen wurde.

Die Vergabekammer hat im Beschluss festgehalten das die Möglichkeit des Zugriffs durch das US-Mutterunternehmen genügt und es auf den physischen Standort des Servers nicht ankommt. Auch die bisher oft verwendeten Standarddatenschutzklauseln in diesem Fall nicht ausreichen um DSGVO-Konformität zu gewährleisten. Die Basis dieses Beschlusses stellt das EuGH Urteil aus 2020 dar welches das Privacy Shield – die Rechtsbasis zur Übermittlung von personenbezogenen Daten in die USA – gekippt hatte.

Was bedeutet das nun in der Praxis für uns Marketer? Erstmal gar nichts. Denn es ist erstens von einer Vergabekammer, zweitens bezieht es sich auf diesen einen konkreten Fall und drittens ist es nicht rechtskräftig. Es ist also definitiv kein Anlass zur Panik. Es zeigt nur ein weiteres Mal auf das es uns nach wie vor an Rechtssicherheit mangelt und wir dringend das Nachfolgeabkommen benötigen. Dieses wurde ja bereits angekündigt aber Experten rechnen nicht damit das es bis Ende des Jahres auch tatsächlich in Kraft treten wird. Was gilts nun zu tun? Weiterhin heißt es für unsere Branche: Prüft eure Datenverarbeitungen, evaluiert potenzielle Risikien (auch wenn ein US Cloud-Dienst verwendet wird), dokumentiert eine Risikoabschätzung und natürlich prüft und macht wo möglich einen Umstieg auf eine Europäische Alternative. Und ganz wichtig: Bleibt uns und unserem Newsletter treu – wir informieren euch immer über die aktuellen Entwicklungen.