OLG Karlsruhe bremst Datenschutzextremisten

aba, aba ms365 omg … 😂

Interessant, der Artikel ist leider etwas schwaming.

Tatsächlich bezweifle ich nicht das die Daten in Deutschland verarbeitet werden, das glaube ich denen (ich weiß jetzt nicht ob die Kammer wirklich darauf abgestellt hat). Auch das sie die Daten nicht weiter geben oder selber auswerten (wollen) glaube ich sogar noch grade so. Das ändert nichts daran das US Behörden per geheimen Gerichtsbeschluss geheimer US Gerichte vom US Unternehmen oder seiner deutschen Tochter verlangen können das ihnen die Daten ausgehändigt werden und das dieser Umstand dem Eigentümer der Daten nicht bekannt gemacht wird. Legitime Gründe sind nicht nur Terrorismus & Co. sondern auch Dinge wie Wirtschaftsspionage, klassische US Interessen halt.

Das ist irgendwie was grundsätzliches, das stört einfach. Das als "Datenschutzextremismus" zu bezeichnen finde ich nicht richtig. Ich würde eher deutsche Politiker als Extremisten betiteln, die immer wieder versuchen grundgesetzwiedrige Gesetze zu verabschieden um sinnfrei Daten sammeln zu lassen mit denen sie eh nichts anfangen können.

Hhmmm, einerseits gibt es feste und vertraglich/schriftlich festgehaltene Zusagen der Töchter amerikanischer Cloudanbieter (Amazon, Microsoft usw. usf.), daß Datenhaltung auf EU-Boden stattfindet und Dritten - auch US-amerikanischen Sicherheitsbehörden - kein Zugang gewährt wird.

Andererseits ist bekannt, daß ebendiese Firmen gegenüber der US-amerikanischen Regierung zwingend verpflichtet sind, den Zugang zu ALLEN bei den Cloudanbietern gelagerten Daten, auch, wenn sie im Ausland lagern, entweder auf Verlangen oder sogar auf Vorrat/vollautomatisch zu ermöglichen. Und, daß sie verpflichtet sind, genau darüber zu schweigen und dies im Bedarfsfall/auf Nachfrage zu leugnen oder aktiv dazu zu lügen.

Wir dürfen uns aussuchen, was stimmt. Ich fürchte, letzteres.

Viele Grüße

von

departure69

Moin,


Ein Anwalt, dessen Name ich leider vergessen habe, hat das mal so ausgedrückt: Eine US-amerikanische Firma muss sich im Zweifel entscheiden, ob sie gegen europäisches oder gegen US-Recht verstößt. Wofür werden sie sich wohl entscheiden?

Liebe Grüße

Erik

Servas

Max Schrems ...... wäre der passende Name 🤣

Am Ende auch so ein elendiges "Moral"Thema:

Wenn Du nur lange genug daran festhältst, ist alles kaputt!

Dein Unterton im Sinne von "habe ich ja schon immer gesagt" liegt hier leider falsch, denn:

Die Karlsruher Richter haben in keinster Weise die Nutzung diverser Anbieter hinsichtlich Datenschutz legitimiert. Sie haben lediglich beschlossen, dass diese Anbieter nicht schon bei der Ausschreibung aufgrund von Befürchtungen ausgeschlossen werden dürfen.
Das ist ein sehr großer Unterschied.

Noch polemischer gings nicht?

+1 für @manuel-r gut erkannt.
Entscheidung finde ich somit völlig korrekt.

Dann ist der Artikel ja noch irreführender als ich zuerst annahm.

So wirr ist es gar nicht.
Die Vergabekammer Baden-Württemberg hatte es für zulässig erklärt bestimmte Anbieter wegen Datenschutz von der Vergabe auszuschließen.
Das OLG Karlsruhe hat dem jetzt widersprochen und sagt, der Ausschluss alleine aufgrund der theoretischen Möglichkeit ist nicht zulässig. Und nach einem OLG kommt wie wir alle wissen das jeweilige Bundesgericht. In dem Fall vermutlich das BVerwG.
Letztlich wird das irgendwann einmal auf EU-Ebene verbindlich geregelt werden müssen.

Bis dahin werden Ausschreibungen vielleicht so formuliert, dass besagte Anbieter sie nicht erfüllen und somit nicht anbieten können. Das wäre mal ein schöner Workaround 😇

https://www.heise.de/news/Cloud-Dienste-Vergabekammer-verbietet-Angebot- ...

https://www.heise.de/news/Cloud-Datenschuetzer-haelt-Ausschluss-von-US-F ...

https://www.borncity.com/blog/2022/08/06/vergabekammer-baden-wrttemberg- ...

Ich gebe dir Recht aber das Ur-Problem ist ja die Kollision diverserer Rechtsgrundsätze in der EU mit dem Recht in der USA. Schremms konnte auf Basis dieses Konflikts bisherige Versuche über Freihandelsregelung eine Regelung zu basteln vor Gericht kippen. Ich denke einer muss sein Rechtsgrundsatz ändern, alles andere kann eigentlich keinen Bestand haben, egal wie viel da geschwurbelt wird.

Persönlich möchte ich natürlich das die USA ihren ändern

Das ist ja schon State of the Art nur eben zu Gunsten von Anbietern wie z.B. Microsoft. Die Politik möchte ja gerne deren Produkte kaufen und erklärt sie daher gerne für alternativlos.

Ich muss bei solchen Diskussionen ja immer an die Fluggast-Daten denken. Und was da so übertragen wird und wie die Verhandlungen damals geführt wurden und das die USA natürlich - was sonst - zusicherten, dass die Daten nach einiger Zeit gelöscht werden und das das natürlich geprüft werden könnte 😂

Also, die USA, die in der EU auch mal Diplomaten-Flugzeuge runterholt und durchsucht ... Die USA, die uns verbietet eine von uns (teil-)finanzierte Pipeline in Betrieb zu nehmen, sondern gefälligst ihr Fracking-Gas teuer übern Atlantik zu schippern.

Das ist doch alles nur noch eine Demokratie-Simulation und ne schlechte noch dazu.

Gerichtliche oder auch verwaltungsrechtliche Einzelfallentscheidungen können naturgemäß keine pauschale Handreichung für die Bedenklichkeit oder Unbedenklichkeit einer ganzen Kategorie von Angeboten darstellen.

Ein solcher Beschluss hat aber eine Signalwirkung, wie schon die Ausgangsentscheidung der Vergabekammer die umgekehrte Signalwirkung hatte. Beim Befassen mit dem Verfahren hielt ich entsprechend auch nichts davon, die erste Entscheidung "nur" einer Vergabekammer von vornherein zu marginalisieren, weil sie - wäre sie nicht erfolgreich angegriffen worden - für die Verwaltung im Zuständigkeitsbereich von absoluter praktischer Relevanz ist.

Die Signalwirkung scheint mir hier weiterhin hoch, denn die spekulativen Elemente, die das OLG Karlsruhe adressiert, sind der Dreh- und Angelpunkt der Auseinandersetzungen um die Nutzung der US-Cloud-Anbieter.

Ich finde die Entscheidung sehr positiv, da ich die Gegenauffassung in Widerspruch zur technischen IT-Sicherheit stehend und in der Folge als wettbewerbsverzerrend beurteile:

Ein Anbieter gibt im ADV ein vertragliches Versprechen ab, die Daten DSGVO-konform zu verarbeiten und nicht vom vereinbarten Verarbeitungsort zu entfernen bzw. dieses Entfernen auszuschließen. Aufgrund einer ausländischen Rechtslage unterstellt man ihm nun, dieses Versprechen nicht halten zu können, im Unterschied zu den Versprechen, die andere - etwa inländische - Anbieter abgeben. Die ausländische Rechtslage besteht aus einer komplexen Mischung rechtlicher Kooperationserfordernisse, die je nach technisch-organisatorischer Struktur des Anbieters und Verarbeitungsvorgänge einen Zugangsvektor spezifisch für ausländische Nachrichtendienste zu den konkreten Daten darstellen können oder auch nicht.

An der Stelle ist ein Kontext gesetzt, in dem man sich - nicht unbedingt juristisch, wohl aber hinsichtlich der effektiven IT-Sicherheit - fragen muss, ob das wirklich alles ist.
Ist es eigentlich nicht: Die Auftragsverarbeiter versprechen generell den Schutz der Daten mit technisch-organisatorischen Maßnahmen "nach dem Stand der Technik". Eine Vielzahl von Ländern, ca. 50 scheinen mir hier relevant, unterhalten nachrichtendienstliche Mittel, mit denen das datenschutzrechtliche Niveau der Informatiossicherheit routinemäßig durchbrochen wird. Deshalb werden Datenverarbeitungsvorgänge, die wirksam vor diesen Aktivitäten geschützt werden sollen, nicht unter Datenschutz-, sondern unter Geheimschutzkriterien betrieben. Die ausländischen, nicht nur aus den USA, sondern von überall auf Datenverbareitung einwirkende Aktivitäten sind in enstprechenden Rechtsrahmen dokumentiert und nach dem Heimatrecht legal, nach dem hiesigen Recht illegal - analog zur unterstellten Kooperation der US-Anbieter.
D.h. bei einem 360°-Blick auf ausländische, in diesem weit gezogenen Sinne "datenschutzrelevante" Rechtslagen und das rechtlich gesetzte Schutzniveau muss man zum Ergebnis kommen, dass der ISO 27001-zertifizierte RZ-Betreiber aus der deutschen Nachbarschaft auch nicht versprechen kann, dass die Daten nicht bei ausländischen Behörden landen. Das auszuschließen, war auch nie Anliegen der Datenschutzregulierung.

Losgelöst von rechtlichen Zwängen sollte ein Anbieter nach Bedarf danach gewählt werden, wie effektiv die Daten bei ihm gegen welche Akteure geschützt sind. Neben Schutzdefiziten verbleibt immer eine Exposition gegenüber dem Anbieter selbst und seinen Abhängigkeiten. Ob Projekte durch den Ausschluss von US-Clouds tatsächlich datenschutzfreundlicher umgesetzt werden, mag ich bezweifeln.

Grüße
Richard

Gute Argumentation, ich möchte noch zwei Punkte herausstellen:

Der ISO 27001-zertifizierte RZ-Betreiber aus der deutschen Nachbarschaft handelt in einem gewissen rechtlichen Rahmen. Kein* Deutsches oder EU Recht ermöglicht es Geheimdiensten oder Strafverfolgungsbehörden unter in Anspruchnahme der Hilfe meines Dienstleisters im Geheimen Zugriff auf meine Daten zu nehmen und ich werde darüber dauerhaft in Unkenntnis belassen. Werden die Daten an Behörden weiter gegeben unterliegt das einem Verfahren (z.B. Durchsuchungsbeschluss) über das ich informiert werde und gegen das ich mich juristisch zur Wehr setzen kann. Auch muss der Zweck einem juristischen Widerspruch stand halten (Wirtschaftsspionage ist in Deutschland nicht Aufgabe der Geheimdienste, in den USA wird das etwas schwammiger gefasst).

Daher würde ich sagen der Punkt ist nicht der absolute Schutz von Daten vor dem Zugriff von (und ich unterteile bewusst) Geheimdiensten oder Strafverfolgungsbehörden sondern Punkte wie die Geheimhaltung das ein solcher Zugriff erfolgt ist, laufend erfolgt oder erfolgen wird und die Möglichkeit mich dagegen mit rechtsstaatlichen Mitteln und unter zumutbaren Bedingungen (Gerichtsstand bei mir oder zumindest heimisches Recht) wehren.

• "Kein" im Sinne von kein gängiges, bekanntes Mittel. Auch deutsche Nachrichtendienste lauschen am DECIX und dürfen das etc. etc. ich weiß.

Obgleich ein interessantes Thema, ist der Ausgangspost in seinem kläglich verzerrenden Duktus für ein Fachforum wie administrator.de eigentlich unangemessen. Immerhin ist das Thema ja interessant. Prima, dass einige das im Wesentlichen schon korrigiert haben.

1. Beschränkt sich die Entscheidung des OLG allein auf die Zulässigkeit der Teilnahme am Vergabeverfahren (zutreffend: Kollege @manuel-r)

2. Ist das Vergabeverfahren eine rein zivilrechtlich (hier spez.: vergaberechtlich) zu beurteilende Angelegenheit und hat nicht die geringsten Auswirkungen oder präjudizielle Wirkung auf die verwaltungsrechtliche Situation (Datenschutzrecht ist Verwaltungsrecht). Hier bestehen völlig zutreffend Bedenken, solange der Cloud Act in der Welt ist und auch in Europa gespeicherte Daten erfasst (was nicht nur den FAZ-Lesern gern vorenthalten wird).
Im vergaberechtlichen Rahmen betrachtet mag die Entscheidung vielleicht sogar richtig sein. Über das Vergabeverfahren hinaus bedeutet dies nichts.

3. Ist die Entscheidung eines "OLG" überhaupt nichts Besonderes. Es ist die Auffassung eines einzelnen (Vergabe-)Senates, d.h. eines Trüppchens dreier Richter, die hier auf vergaberechtliche Fragen spezialisiert sein dürften, von Datenschutz aber keine spezifische Ahnung haben. Die Zahl von (durch den BGH) korrigierten Fehlentscheidungen von OLGs ist beachtlich. Ich habe selbst Fälle erlebt, wo die langjährig stehende und von niemandem ernsthaft in Frage gestellte Rechtsprechung des BGH schlicht missachtet wurde. Vorliegend ist die Entscheidung des OLG nicht revisibel (weil nicht bedeutend genug), d.h. sie bleibt bestehen, wird dadurch aber nicht richtig oder falsch. Zum Verfahren: https://www.vergabe.de/nachpruefungsinstanzen/

4. Heißt also, wenn staatliche Stellen oder Unternehmen nun weiter US-Unternehmen an der Vergabe beteiligen müssen, wird dennoch nicht der Zuschlag an diese erfolgen, wenn die Folge wäre, dass die vergebenden Stellen sich in der Folge datenschutzrechtlich verantworten müssten. Die Entscheidung entpuppt sich an dieser Stelle als reine Luftnummer. Etwas völlig anderes wäre es, wenn der BGH erklärte, es sei unzulässig, die Auftragsvergabe an einen Bieter wegen der Möglichkeit des Zugriffs über den Cloud Act zu versagen. Dann aber käme der EuGH auf den Plan und kann Schrems III verkünden.

5. Datenschutz ist kein Extremismus, sondern eine Notwendigkeit. Privat kann das jeder für sich halten, wie er mag, aber der Staat hat die Daten seiner Bürger selbständig und proaktiv zu schützen, das ist ein verfassungsrechtliches Gebot und steht weder für Gerichte noch für öffentliche Unternehmen zur Disposition. Wer das nicht mag, suche sich Mehrheiten, die die Verfassung entsprechend ändern. Denke aber daran, dass eben diese Regelungen uns auch vor einer behördlichen Datenspeicherung mit (exekutivem) Zugriff durch Russland, China oder Indien schützen.

Peinlich heiße Luft mal wieder auch von der FAZ, die schon sehr lange ihr früheres Niveau verlassen hat. Kurz mal nen Juristen gefragt und die Sache hätte anders dargestellt werden müssen. Wollte man aber nicht. Weil es der FAZ um (gestrige) "Politik" denn sachliche Berichterstattung geht und man jeden Strohalm greift, der diese Auffassung stützen könnte (man erinnere nur die Rumpelstilzchen-Berichterstattung nach dem Rezo-Video). Hat ja auch eine gewisse "Signalwirkung", wie Kollege @c.r.s. zutreffend hervorhebt. Die Überschrift des FAZ-Artikels spricht da Bände, ebenso wie die des Ausgangsposts.

Viele Grüße, commodity

Hier der Artikel bei Heise:

https://www.heise.de/news/Gerichtsentscheidung-kein-pauschaler-Ausschlus ...

Und Milliarden Menschen nutzen die Dienste des größten Stalkers aller Zeiten (aka Meta) und stellen bereitwillig Informationen - auch über Dritte - zur Verfügung.
Deswegen wird es noch lange nicht legaler.

Kann man eigentlich User blockieren? Ich konnte in den FAQs nichts finden aber habe keine Lust die ständigen niveaulosen Provokationen vom unbelanglosen Mitgliedern zu lesen.

Wenn eine juristische Publikation diese Entscheidung unter dem Gesichtspunkt von Treu und Glauben diskutiert, wird es sich um ein Versehen handeln.

Das Argument ist ja schon ein Klassiker: Wir sind schon (alle) in der (US) Cloud deswegen ist das alternativlos und Datenschutz zerstört die ganze Welt.

Ich wage mal die Behauptung wenn den großen DAX 40 ihre Forschungsabteilung was Wert ist lagern sie diese Daten nicht in der Cloud, aber ich bin ja kein Insider in der großen Wirtschaft...

@Drohnald
Leider nicht, habs auch versucht

Treu und Glauben, jaja... blablabla. National Security Letters in den USA sind auch eine Realität.

Und letzten Endes gilt vor allem dieser einfache Grundsatz: wer seine Daten in die Cloud pumpt, der hat die Hoheit darüber aufgegeben. Punkt.

Und wenn 40 Fliegen, äh DAX-Unternehmen damit kein Problem haben, dann ist das eben so, es macht die Sache dennoch nicht besser.

Im Fall der Vergabekammer wollten die beiden Krankenhausgesellschaften aber AWS (aus Kostengründen) - leider. Das Urteil (noch gibt es den Volltext nicht) zielt imho lediglich auf die Entscheidung der Vergabekammer, die den Anbieter im Vorfeld ausgeschlossen hatte.

Pflichte deinem "schwammig" und der Ablehnung des "Datenschutzextremismus" bei. Ich habe was zum Thema geschrieben - imho wirft das Urteil des OLG für die Organisationen, die ausschreiben, mehr DSGVO-Probleme auf, als es löst. Der Betreiber ist nämlich im Fall der Fälle für die Einhaltung der DSGVO zuständig. Eine finale Entscheidung erwartet ich eher vom EuGH, wenn da jemand konkret gegen klagt.

US-Cloud-Verbotsbeschluss der Vergabekammer Baden-Württemberg verworfen

Gerade in dem Bereich habe ich persönlich meine Bedenken. Vermutlich geht es dabei dann wohl um Patientendaten. Mit Sicherheit weiß ich da aber nicht.

Ich komme also als Patient in eines der Krankenhäuser dieser Gesellschaft. Dann muss mir eine entsprechende Datenschutzerklärung vorgelegt werden und ich muss mein Einverständnis erklären.
Was ist nun, wenn ich das nicht tue? Verweigern die mir dann die Behandlung? Geht eigentlich nicht, weil sie verpflichtet sind. Zumindest in Akutsituationen.
Werde ich behandelt und meine Nicht-Zustimmung einfach ignoriert?
Was ist bei Notfallsituationen in denen ich meine Zustimmung nicht mehr geben kann?

ICH möchte nicht, dass meine Patienten-/Gesundheitsdaten bei Amazon, Microsoft oder einem günstigen Chinesen landen. Schlimm genug, dass die Bilder der Bodycams der Polizei dort landen. Dem kann ich mich aber wenigstens dadurch entziehen, dass ich einfach keinen Stress mit denen habe und daher auch nicht gefilmt werde.

Manuel