Auch wenn der Betrieb über eine europäische Tochtergesellschaft läuft, sei der Datenschutz nach DSGVO bei der Nutzung von Cloud-Diensten US-amerikanischer Anbieter nicht gewährleistet. Diese aktuelle Entscheidung der Vergabekammer Baden-Württemberg tritt eine erneute Diskussion los.
Kaum ein anderes Thema spaltet die IT-Welt so wie der europäische Datenschutz und die Problematik des transatlantischen Datenverkehrs.
Von „richtungsweisend“ bis „engstirnig“ – der Beschluss aus Karlsruhe spaltet die Meinungen von Datenschützern, Juristen und Marktexperten. Die Vergabekammer Baden-Württemberg hatte am 13. Juli 2022 (Az. 1 VK 23/22) entschieden, dass auch dann eine datenschutzrechtlich unzulässige Übermittlung personenbezogener Daten in ein Drittland (außerhalb der EU) vorliegt, wenn der entsprechende Server von einer in der EU ansässigen Gesellschaft betrieben wird, die ihrerseits Teil eines US-Konzerns ist.
Der Standpunkt: Allein die Möglichkeit, dass auf personenbezogene Daten durch die nichteuropäische Muttergesellschaft zugegriffen werden könne, führe zu einer sogenannten „Weitergabe“ im Sinne der DSGVO – unabhängig davon, ob ein solcher Zugriff durch die US-Muttergesellschaft tatsächlich erfolgt.
Das Ringen um die Datensicherheit
Doch ist die bloße Möglichkeit eines Zugriffs bereits ein No-Go für die Nutzung eines US-amerikanischen Cloud-Dienste-Anbieters? Und dürfen in öffentlichen Vergabeverfahren die europäische Tochtergesellschaften US-amerikanischer Cloud-Provider wirklich ausgeschlossen werden? An diesen Fragen scheiden sich die Geister.
Tatsache ist, wie der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI Baden-Württemberg) Dr. Stefan Brink betont: „Seit dem sogenannten Schrems-II-Urteil des Europäischen Gerichtshofs vom 16. Juli 2020 (Rs. C-311/18) kann eine Übermittlung personenbezogener Daten in die USA nicht mehr auf das sogenannte EU-US Privacy Shield gestützt werden, da der EuGH diesen Angemessenheitsbeschluss mit sofortiger Wirkung für ungültig erklärt hat.“
Was also tun? US-Cloud-Provider, allen voran die HyperscalerAWS, Microsoft und Google Cloud, hosten inzwischen die Daten ihrer europäischen Kunden auf Wunsch ausschließlich in den europäischen Rechenzentren ihrer Töchter. DSGVO erfüllt und Zugriff durch die im Cloud Act vorbehaltene Kontrollmöglichkeit durch US-Behörden ausgeschlossen – glaubt oder hofft man.
Und auch von politischer Seite versuchte man das rechtliche Vakuum, das durch die vom EuGH entschiedene Ungültigkeit des Privacy-Shield-Abkommens zu füllen. Mit der Einführung neuer Standardvertragsklauseln, die seit dem 4. Juni 2021 vorliegen, sollte eine neue vertragliche Grundlage geschaffen werden. Dennoch bleibt der Datentransfer in Drittländer – nicht nur in die USA – weiter ein heißes Eisen, wie sich jetzt wieder zeigt.
Eine Lösung scheint nicht in Sicht. Zahlreiche Konstellationen, in denen US-Dienstleister in die Datenverarbeitung eingebunden sind, können datenschutzrechtlich problematisch sein. Dies hatte ein externes Gutachten im Auftrag der deutschen Datenschutz-Aufsichtsbehörden bereits Anfang des Jahres festgestellt.
Und jetzt hat die Vergabekammer Baden-Württemberg auch noch Zweifel an der Gültigkeit eben dieser Standardvertragsklauseln. Sie stützt sich dabei auf das „latente Risiko“ eines Zugriffs auf personenbezogene Daten durch US-Behörden, welches weder durch die verwendete Klausel zur Vertraulichkeit von Kundendaten noch die Klausel zur Verpflichtung, zu weit gehende oder unangemessene Anfragen staatlicher Stellen anzufechten, hinreichend eingedämmt werde.
„Beachtliche Entscheidung“ aus Karlsruhe
Der Beschluss sei zwar fachlich qualifiziert und von über den (aus einem behördlichen Vergabeverfahren herrührenden) Ausgangsfall hinausweisender Bedeutung. Trotzdem müsse er aus folgenden Gründen kritisch gesehen werden, kommentiert Brink. Zum einen habe das Verfahren Klauseln zum Prüfungsgegenstand, die aus Sicht der Vergabekammer noch hinter den Anforderungen der aktuell einsetzbaren Standarddatenschutzklauseln zurückblieben. Nichtsdestotrotz folgt Brink den Zweifeln der Vergabekammer: „Problematisch erscheinen hier durchaus solche Klauseln zum Verbot von Datenübermittlungen, welche die Einschätzung, welche Anfragen (dritt-)staatlicher Stellen zu weit gehen, nicht dem Datenexporteur überlassen und die auch nicht ausnahmslos eine (letztinstanzliche) Anfechtung aller staatlichen Anfragen vorsehen.“ Allerdings gehe die Vergabekammer darauf nicht ein.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Microsoft Deutschland nimmt Stellung
Die Frage, ob Microsoft 365 und Microsoft Teams in Unternehmen und im öffentlichen Sektor – insbesondere im Bildungsbereich – datenschutzkonform eingesetzt werden können, sei immer wieder Gegenstand von Debatten, erklärte jetzt Microsoft Deutschland.
Der Konzern erklärt, warum Microsoft-Produkte datenschutzkonform seien und auch so angewendet werden könnten. Antworten gibt es auch auf gängige Fragen zum Beispiel zum Einsatz von Diagnosedaten oder dem Datentransfer in Drittstaaten.
Demnach könnten alle Produkte und Dienste in der Privatwirtschaft und im öffentlichen Sektor (z. B. an Schulen) datenschutzkonform eingesetzt werden und seien auch selbst datenschutzkonform. Man halte die Anforderungen des geltenden Datenschutzrechts ein.
Microsoft biete Kunden vertragliche Zusagen und technische Mittel, um Microsoft-Produkte und -Dienste datenschutzkonform nutzen zu können, insbesondere vertragliche Zusagen: Zum Beispiel verwende der Anbieter Kundendaten nicht für sachfremde Zwecke wie Werbung und ergreife rechtliche Schutzmaßnahmen gegen unrechtmäßiges Verlangen auf Herausgabe von Behörden oder Dritten.
Alle Daten würden weitgehend regional in Rechenzentren in der EU gespeichert. Zusätzlich werde die Microsoft EU Data Boundary es künftig in der EU ansässigen Kunden aus dem öffentlichen Sektor und Unternehmenskunden ermöglichen, ihre Daten innerhalb der EU zu verarbeiten und zu speichern.
Brink hält eher die von der Vergabekammer vorgenommene Gleichsetzung von Zugriffsrisiko und Übermittlung (als Verarbeitungsform nach Art. 4 Nr. 2 DSGVO) für rechtlich zweifelhaft: „Dass ein Zugriffsrisiko ohne weiteres einen Übermittlungstatbestand erfüllt, kann mit guten Gründen bestritten werden. Dass die DSGVO einen ‚risikobasierten Ansatz‘ zugunsten Verantwortlicher eingeführt habe, wird von interessierten Kreisen zwar immer wieder (und in dieser Pauschalität wenig überzeugend) vorgebracht. Dass dieser Ansatz jetzt aber zu Lasten von Verantwortlichen und Auftragsverarbeitern umgedreht werden dürfte, überzeugt ebenso wenig“, erklärt Brink.
Zudem übersehe diese Argumentation, dass gegen solche Zugriffsrisiken wirksame Gegenmittel in Gestalt sogenannter „technisch-organisatorischer Maßnahmen“ existieren, die letztlich jedes Risiko ausschließen können. Gerade dieser Aspekt werde aber von der Vergabekammer überhaupt nicht betrachtet; insbesondere sei die vom Mitbieter eingesetzte Verschlüsselungstechnik aus vergabeverfahrensrechtlichen Gründen nicht weiter geprüft worden, kritisiert Baden-Württembergs oberster Datenschützer. In Baden-Württemberg halte seine Behörde daher weiter an den Maßgaben seiner Orientierungshilfe zu Datentransfers fest: Nach wie vor sollten einzelfallbezogene Alternativprüfungen und nicht pauschale Transferverbote das Mittel der Wahl sein, die Vorgaben der DSGVO bestmöglich umzusetzen.
Brink erwarte vor diesem Hintergrund die anstehende Überprüfung dieser „beachtlichen Entscheidung der Vergabekammer Baden-Württemberg“ durch das OLG Karlsruhe „mit Spannung“.
Kommentar
von Elke Witmer-Goßner
Die Meinungen in den sozialen Medien gehen weit auseinander. Viele begrüßen den Beschluss der Vergabekammer Baden-Württemberg, beschwören gar das Aus für Cloud-Dienste von US-Anbietern in Europa und werfen ihre eigenen in Deutschland oder Europa gehosteten Cloud-Services als Alternativen in den Ring. „Überzogen“ finden andere die Entscheidung. Und wieder andere sehnen eine Auflockerung des europäischen Datenschutzes herbei, der doch nur ein Bremsschuh für den Innovationsstandort Deutschland sei.
Datenschutz ist und bleibt ein Minenfeld. Jedenfalls so lange, bis ein solider und juristisch unangreifbarer Nachfolger für den Privacy Shield beschlossen wird. Und hier liegt das eigentliche Problem, das auch die Vergabekammer Baden-Württemberg zu benennen versucht hat: Der „latente“, also mögliche und eigentlich kaum zu kontrollierende Zugriff durch US-staatliche Behörden. Denn wer kann tatsächlich darauf vertrauen, dass sich diese US-staatlichen Behörden – und die sind zahlreich und sich auch untereinander kaum grün – an die geltenden Gesetze halten? Wer kennt ihn nicht, den kleinen Dienstweg, auf dem sich staatliche und nicht-staatliche Stellen plötzlich entgegenkommen?
Die Vergabekammer in Karlsruhe hat nicht ganz Unrecht mit ihren Zweifeln. Doch wäre der Beschluss jetzt tatsächlich „richtungsweisend“, stellte man sich nicht erst Recht ein Bein? Neuer Protektionismus „made in Germany“? Klar ist auf jeden Fall: Legionen von Juristen werden sich wohl an den Fragen des internationalen Datentransfers noch mehr als einen Zahn ausbeißen müssen.
:quality(80)/p7i.vogel.de/wcms/b5/ad/b5ade2e50671d986cabb091cc33de39f/0127234511v1.jpeg "Das sind die Gewinner der IT-Awards 2025! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2d/69/2d69b27f3f8f5f290f7ae2b3d9123b1b/0127206601v1.jpeg "Storage-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/94/d2/94d28e3faac411c22b54d80ea354d2e3/0124559320v1.jpeg "Die digitale Souveränität Europas ist spätestens seit der Wiederwahl von Donald aktueller denn je. (Bild: erstellt durch iTernity GmbH mit Canva)")
:quality(80)/p7i.vogel.de/wcms/ca/b3/cab330ef06324344f47f1715af71ffb8/0121296602v1.jpeg "Das sind die Gewinner der Storage-Insider Readers' Choice Awards 2024. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/2e/66/2e663ffafe56d3cf9aec665b141d23b9/0128869154v1.jpeg "ADN stärkt das Angebot für Backup-Resilienz mit der Ransomeware-Schutzlösung Blocky for Veeam von Grau Data. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ca/0d/ca0da056751c0928e17e875a189fbbd2/0128593304v2.jpeg "Windows Backup for Organizations sichert Einstellungen und Store-Apps Cloud-basiert und bietet die Wiederherstellung bereits im OOBE an. Es ersetzt jedoch kein klassisches Backup. (Bild: © Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf0fe8c87e9c4e4363d2fc3e55e902a/0129129428v1.jpeg "Digitale und menschliche Identitäten zu schützen und wiederherzustellen, ist eine entscheidende Aufgabe beim Datenschutz. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/3b/c63b94b4206c2adaca3e0f2190df67bf/0128954806v1.jpeg "Das portable Tool Clear Disk Info hilft bei der Prüfung von Datenträgern auf PCs und Servern. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fa/7b/fa7b35b448260051d16e4a507c950add/0129082539v1.jpeg "Formfaktor und Schnittstellen von Festplatten sind seit Jahren unverändert, sodass sich neue Modelle problemlos in älteren Bestandssystemen nutzen lassen. (Bild: Toshiba Electronics Europe)")
:quality(80)/p7i.vogel.de/wcms/41/45/4145c18abcf73a4fece47fe71248255c/0128894128v1.jpeg "Die neuen 32-TB-CMR-Festplatten von Seagate sind ab sofort verfügbar. (Bild: Seagate)")
:quality(80)/p7i.vogel.de/wcms/60/a8/60a868f9defd2dfc1073ca9ab1aab657/0128019671v1.jpeg "Mit Hilfe von Access-Transparency lassen sich Zugriffe auf Daten nachvollziehen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b2/08/b208ad5fa70e97c32e4eadb028d3e32c/0129096430v1.jpeg "Die Kombination von MongoDB und Voyage AI soll Komplexität und Latenzzeiten beim Produktiveinsatz von KI-Applikationen verringern. (Bild: MongoDB)")
:quality(80)/p7i.vogel.de/wcms/dd/ae/ddae5a2d942d285fe4c3c43b6d4eda94/0125422301v1.jpeg "Rsync unter Linux und Unix ist ideal für präzise Dateiübertragung und Systemmigration. Durch inkrementelle Synchronisation werden nur geänderte Dateiteile transferiert, was Netzwerkverkehr und Schreibzugriffe reduziert. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/72/ba/72baf93990834223ddfb97f1bc9b0e4c/0128638512v1.jpeg "Eine erste KI-Euphorie bei deutschen Unternehmen ist verflogen, nun geht es mit Fokus auf Sicherheit, Kontrolle und Datensouveränität an die Umsetzung. (Bild: GPT-Image / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b2/10/b2100f0f4be548babf43f4318b6fe890/0128742668v1.jpeg "Cloud Storage FUSE soll die direkte Verarbeitung großer Datenmengen für Analyse-, KI- und ML-Workloads ermöglichen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9e/c3/9ec334dbf3696ef4bf61184f8404df74/0128976654v1.jpeg "Acronis Archival Storage ermöglicht MSPs die langfristige Speicherung und Verwaltung selten abgerufener Daten. (Bild: Acronis)")
:quality(80)/p7i.vogel.de/wcms/7a/9f/7a9f3b18cdb823c15080ca2c26512328/0129097007v1.jpeg "MailStore 26.1 ist ab sofort für MailStore Server, MailStore SPE, MailStore Home und MailStore Cloud verfügbar. (Bild: MailStore)")
:quality(80)/p7i.vogel.de/wcms/c5/35/c5358a2cf971e90b1d98ce0e98310fac/0127947160v1.jpeg "Mit der Einführung des TL-R6020Sep-RP will QNAP sein Engagement unterstreichen, Unternehmen in Europa mit skalierbaren und energieeffizienten Speicherlösungen auszustatten. (Bild: © Nicholas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f8/fa/f8fa89663df5bb1651a96992320c3aa7/0128787673v1.jpeg "Die Go-Bindings von go-systemd laufen unter Linux, macOS und Windows. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2b/de/2bde191234007e59b423fd02e88372b2/0129123282v1.jpeg "„Daten am Netzwerkrand bringen durchaus auch Vorteile“, stellt Tobias Pföhler von StorMagic fest. Voraussetzung hierfür sei jedoch der Einsatz moderner Technologien, wie etwa hyperkonvergenter Infrastrukturen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/76/56/765658635ea06f59c39496f524115953/0128407436v1.jpeg "Magischer Hammer: Die Data Platform von Hammerspace schafft einen gemeinsamen Datenraum für File- und Objektdaten, der auch den NVMe-Speicher von GPU-Servern einschließt. Das soll für die bessere Auslastung der GPUs sorgen. (Bild: © Abul - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/de/93/de930dc1200640248353d363ba39ffb2/0128016156v1.jpeg "Distributed Metadata-Management verbessert im Vergleich zu einem zentralisierten Ansatz die Skalierbarkeit, Verfügbarkeit und Leistungsfähigkeit der Metadatenverwaltung. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1a/d0/1ad01f5d7d966c68b9f793b03263e88a/0128871045v1.jpeg "Das „U“ bei der Steckverbindung U.2 steht für „Universal“, da neben Anschlüssen für die Anbindung klassischer SAS- und SATA-Laufwerke ebenso zusätzliche Pins für die Nutzung von vier PCI-Express-Lanes bereitstehen. (Bild: SNIA / Intel)")
:quality(80)/p7i.vogel.de/wcms/32/a6/32a6e74f81cc974aad14a68d317f2531/0128847427v1.jpeg "Der Industriestandard CIFS ermöglicht das Öffnen lokal gespeicherter Dateien von entfernten Computern. (Bild: Midjourney / KI-generiert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1552300/1552323/original.jpg "Cloud-Speicher für Einsteiger – Microsoft OneDrive zusammen mit macOS und iOS nutzen. (©georgejmclittle - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1644500/1644561/original.jpg "Online-Speicher bei Web.de und GMX: So funktioniert die Verwaltung. (© stokkete - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1641800/1641842/original.jpg "All-Flash-Arrays versprechen unschlagbar niedrige Latenzen. (© pozdeevvs - stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/68/b9/68b9bb61e8f14/ic-logo-black-green.png "ic-logo-black-green (Impossible Cloud)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/94/d2/94d28e3faac411c22b54d80ea354d2e3/0124559320v1.jpeg "Die digitale Souveränität Europas ist spätestens seit der Wiederwahl von Donald aktueller denn je. (Bild: erstellt durch iTernity GmbH mit Canva)")
:quality(80)/p7i.vogel.de/wcms/14/35/143589862ed8df68e5b0c413a074a4bd/0125933600v1.jpeg "Der EDSB hat erklärt, dass „die Nutzung von Microsoft 365 in Einklang mit Datenschutzvorschriften für EU-Organe und -Einrichtungen gebracht wurde“. Welche Folgen hat das jetzt für deutsche Unternehmen? (Bild: © noah9000 - stock.adobe.com)")