EVENTFAQ News

aus dem Eventrecht
US-Anbieter im Vertrag ein No-Go?

US-Anbieter im Vertrag ein No-Go?

Von Thomas Waetke 13. September 2022

Gerade im Softwarebereich gibt es viele Tools, die sind toll, günstig und ideal – aber die Anbieter kommen aus den USA. Und bei „USA“ läuten die datenschutzrechtlichen Alarmglocken.

Denn: Wie ich schon öfter hier erklärt hatte, ist es alles andere als einfach, wenn Daten aus der EU in die USA transferiert werden sollen. Und das ist eben im Regelfall so, wenn der Anbieter seinen Sitz in den USA hat.

USA = Problem?

Denn wer fremde Daten in die USA schickt, muss den Betroffenen (z.B. seinen Besuchern, seinen Vertragspartnern, den Referenten usw.) transparent offenbaren, auf welcher (Rechts-)Grundlage das passiert. Denn außerhalb der EU ist erstmal ein datenschutzrechtliches Ödland. Einige Staaten haben bei sich ein Datenschutzniveau geschaffen, dass dem der EU gleichkommt. Dorthin dürfen dann Daten transferiert werden. Die USA gehören – wenig überraschend – nicht dazu. Zwar stellt die EU sog. Standardvertragsklauseln zur Verfügung: D.h. als deutscher Datenverarbeiter kann man mit dem US-Anbieter auf Basis dieser Standardvertragsklauseln einen Vertrag abschließen, der den Datentransfer absichern soll. Allerdings fordern die deutschen Aufsichtsbehörden, dass der deutsche Datenverarbeiter nicht einfach nur einen solchen Vertrag für die Schublade abschließt, sondern auch sicherstellt, dass der US-Anbieter die darin vereinbarten Sicherheitsmaßnahmen tatsächlich auch wahrt.

Die Reaktion der US-Anbieter

Aufgrund der datenschutzrechtlichen Probleme haben wie US-Anbieter reagiert und Unternehmen in der EU gegründet; darüber sollen die Datenströme mit EU-Kunden abgewickelt werden.

Achtung!
Nur, weil ein US-Konzern eine Niederlassung in der EU hat, bedeutet das noch nicht automatisch, dass die Daten auch in der EU bleiben. Lesen Sie daher (mindestens) sorgfältig die Datenschutzerklärung des Anbieters, was der zu dem Thema Datentransfer sagt!

Und hier liegt etwas die Krux: Kann man einem EU-Unternehmen trauen, dass die Daten in der EU blieben, wenn der Mutterkonzern in den USA sitzt?

Zu dieser wichtigen Frage hat sich jetzt das Oberlandesgericht Karlsruhe geäußert. Das Gericht hatte über eine Entscheidung der Vorinstanz zu entscheiden, nämlich der Vergabekammer Baden-Württemberg. Hintergrund war eine Ausschreibung für den IT-Bereich, für den der Datenschutz eine wichtige Rolle spielen sollte; der gewinnende Bieter kooperierte mit einem Anbieter aus Luxemburg, dessen Mutterkonzern aus den USA stammte. Es lagen Zusicherungen vor, nach denen keine Daten von dort in die USA transferiert werden würden. Ein unterlegener Bieter ging gegen die aus seiner Sicht fehlerhaften Auswahl vor. Die Vergabekammer entschied daraufhin, dass man den Zusagen des luxemburgischen Unternehmen nicht vertrauen dürfe, da nicht ausgeschlossen werden könne, dass doch Daten in die USA gehen würden.

Das Oberlandesgericht Karlsruhe hat jetzt aber entschieden, dass man grundsätzlich doch davon ausgehen könne, dass ein vertragliche Zusagen erfüllt werden würden. Erst wenn sich aufgrund konkreter Anhaltspunkte Zweifel daran ergäben, müsse der ausschreibende öffentliche Auftraggeber ergänzende Informationen einholen und die Erfüllbarkeit des Leistungsversprechens prüfen.

Der öffentliche Auftraggeber müsste nicht damit rechnen, dass die luxemburgische Gesellschaft vertragswidrige und gegen europäisches Recht verstoßende Weisungen befolgen und personenbezogene Daten in die USA übermitteln werde. Eine Konzernbindung zum Mutterkonzern in den USA allein genüge nicht, die Erfüllbarkeit des vertraglich eindeutigen Leistungsversprechens zu bezweifeln, so das Gericht.

Würde die vorherige Entscheidung der Vergabekammer fortbestanden haben, hätte das massive Auswirkungen nicht nur für Ausschreibungen gehabt, sondern auch Signalwirkung für normale zivilrechtliche Verträge. Daher ist das Urteil aus Karlsruhe derzeit ein begrüßenswertes Zeichen, dass jedenfalls Datenverarbeitungen über Anbieter innerhalb der EU auch dann grundsätzlich machbar sind, wenn der Mutterkonzern des Anbieters in den USA sitzt.

Allerdings ist das Urteil auch kein Freifahrtschein! Denn dem Karlsruher Urteil lag die Besonderheit zugrunde, dass sich Bieter und luxemburgisches Unternehmen durchaus Gedanken gemacht und ausdrückliche vertragliche Zusagen gemacht haben. D.h., wer „blind“ bzw. „einfach so“ einen Anbieter auswählt, riskiert natürlich, dass er sich nicht auf das Karlsruher Urteil berufen wird dürfen.

Derlei Rechtsfragen spielen beim Streaming von Veranstaltungen, bei Webinar-Lösungen, bei Chat-Funktionen, bei Ticketsystemen, Zahlungssystemen, Teilnehmer-Management-Systemen usw. eine Rolle.

Wir empfehlen dringend, dass sich Veranstalter, Agenturen und Dienstleister frühzeitig mit der Frage auseinandersetzen, ob ein Datentransfer in die USA (bzw. generell ins EU-Ausland) stattfindet – und ob es geeignete Maßnahmen gibt, diesen Datentransfer zu legalisieren.

Wir unterstützen Sie gerne auf diesem Weg! Nehmen Sie Kontakt mit uns auf, und wir besprechen mit Ihnen zunächst unverbindlich, wie es weitergehen könnte. Schreiben Sie einfach eine E-Mail an info@eventfaq.de!

Urheberangabe für das/die Foto(s) (Symbolfoto):