Ver­ga­be­kam­mer Baden-Würt­tem­berg: Daten­über­mitt­lung durch jede theo­re­ti­sche Zugriffsmöglichkeit?

Die Ver­ga­be­kam­mer Baden-Würt­tem­berg (VK) hat am 13. Juli 2022 (Az. 1 VK 23/22) einen nicht rechts­kräf­ti­gen Beschluss gefasst, der Wel­len geschla­gen hat (sie­he dazu z.B. die Kanz­lei der erfolg­rei­chen Bie­te­rin, eine Dis­kus­si­on auf Twit­ter und die Anmer­kung von Mar­tin Stei­ger).

Es ging um eine Aus­schrei­bung eines öffent­li­chen Organs, an dem die bis­her erfolg­rei­che Bie­te­rin und eine Kon­kur­ren­tin teil­ge­nom­men hat­ten (letz­te­re die “Bei­gela­de­ne” im Beschluss). Die­se Kon­kur­ren­tin hat­te im Ver­fah­ren eine in der EU ansäs­si­ge Toch­ter eines Cloud-Anbie­ters mit Kon­zern­ge­sell­schaf­ten in den USA als Auf­trags­be­ar­bei­te­rin genannt. Dem Beschluss ist zu ent­neh­men, dass die­se nicht wei­te­re Gesell­schaf­ten in den USA als Unter­auf­trags­be­ar­bei­ter hin­zu­zie­hen würde.

Der Zuschlag ging zunächst an die erfolg­rei­che Bie­te­rin. Dage­gen hat­te sich die Kon­kur­ren­tin gewehrt, wor­auf die Aus­schrei­bung erneu­ert wur­de. Teil des Lasten­hefts war dabei, dass die Anfor­de­run­gen der DSGVO erfüllt wer­den. Dar­auf­hin ver­lang­te die erfolg­rei­che Bie­te­rin, die Kon­kur­ren­tin sei vom Ver­ga­be­ver­fah­ren aus­zu­schlie­ssen, u.a. weil die genann­ten Bedin­gun­gen nicht erfüllt seien.

Argu­men­te der Parteien

Die erfolg­rei­che Bie­te­rin brach­te im Wesent­li­chen vor, die Kon­kur­ren­tin set­ze einen Rechen­zen­trums­be­trei­ber ein, des­sen Kon­zern­un­ter­neh­men in Dritt­staa­ten ansäs­sig sei. Es fin­de eine unzu­läs­si­ge Über­mitt­lung in die USA statt, weil das “US-Über­wa­chungs­recht” ein “laten­tes Risi­ko” schaf­fe, dass es zu einer effek­ti­ven Über­mitt­lung in die USA kom­me. Dies sei bereits eine Über­mitt­lung i.S.v. DSGVO 44 ff.

Die unter­le­ge­ne Bie­te­rin brach­te dage­gen vor,

  • eine Über­mitt­lung set­ze immer eine Daten­ver­ar­bei­tung vor­aus (nach DSGVO 4 Nr. 2: “Ver­ar­bei­tung [bezeich­net] jeden […] Vor­gang […] im Zusam­men­hang mit per­so­nen­be­zo­ge­nen Daten wie […] die Offen­le­gung durch Über­mitt­lung, Ver­brei­tung oder eine ande­re Form der Bereit­stel­lung […]”). Eine theo­re­ti­sche Zugriffs­mög­lich­keit stel­le aber kei­ne Ver­ar­bei­tung dar und sei folg­lich auch kei­ne Über­mitt­lung in einen Drittstaat.
  • Unab­hän­gig davon sei eine Über­mitt­lung – so es denn eine sol­che gibt – durch die Stan­dard­ver­trags­klau­seln legi­ti­miert, die nach den Ver­trags­do­ku­men­ten zur Anwen­dung kom­men. Auch wer­den ergän­zen­de Rege­lun­gen ver­ein­bart, die die vom EuGH gefor­der­ten “wei­te­ren Mass­nah­men” umsetzen.

Erwä­gun­gen der Vergabekammer

Die VK sieht eine unzu­läs­si­ge Über­mitt­lung in die USA:

  • Der Begriff der Über­mitt­lung wer­de zwar in DSGVO 4 Nr. 2 als Bei­spiel einer Ver­ar­bei­tung erwähnt, aber der Begriff der “Offen­le­gung durch Über­mitt­lung” i.S.v. DSGVO 4 Nr. 2 sei nicht der­sel­be wie der Begriff der “Über­mitt­lung” i.S.v. DSGVO 44 ff. Es genü­ge viel­mehr jede Offen­le­gung, auch ohne Verarbeitung.
  • Eine sol­che Offen­le­gung sei schon dann anzu­neh­men, wenn Per­so­nen­da­ten auf eine Platt­form gestellt wer­den, auf die von einem Dritt­land aus zuge­grif­fen wer­den kann, “und zwar unab­hän­gig davon, ob der Zugriff tat­säch­lich erfolgt”. Eine Zugriffs­mög­lich­keit kon­sti­tu­ie­re “ein laten­tes Risi­ko, dass eine unzu­läs­si­ge Über­mitt­lung per­so­nen­be­zo­ge­ner Daten statt­fin­den kann”.
  • Gemäss dem Ver­trags­werk der Cloud-Anbie­te­rin kön­nen Kun­den­da­ten u.a. dann offen­ge­legt wer­den, wenn dies zur Ein­hal­tung von Geset­zen oder wirk­sa­men und rechts­kräf­ti­gen Anord­nun­gen staat­li­cher Stel­len erfor­der­lich ist. Zwar müs­sen zu weit­ge­hen­de oder unan­ge­mes­se­ne Anfra­gen staat­li­cher Stel­len ange­foch­ten wer­den. Die­se Bestim­mun­gen eröff­nen staat­li­chen und pri­va­ten Stel­len in den USA aber den­noch eine Mög­lich­keit, auf Kun­den­da­ten zuzu­grei­fen. Die­ses laten­te Risi­ko rei­che für eine unzu­läs­si­ge Über­mitt­lung aus:
  • Es kommt inso­fern nicht dar­auf an, ob und wie nahe­lie­gend der Ein­tritt der in den bei­den Klau­seln nie­der­ge­leg­ten Umstän­de, die für einen Zugriff im Ein­zel­fall erfor­der­lich sind, ist. Schließ­lich kann sich das laten­te Risi­ko jeder­zeit rea­li­sie­ren. Die Bei­gela­de­ne gibt durch die Ein­ge­hung der Ver­ein­ba­rung mit [der Cloud-Anbie­te­rin] die Ein­fluss­mög­lich­kei­ten im Hin­blick auf die der [Cloud-Anbie­te­rin] anver­trau­ten Daten jeden­falls par­ti­ell aus der Hand.

  • Die Pflicht, bestimm­te Anfra­gen anzu­fech­ten, besei­ti­ge das laten­te Risi­ko eines Zugriffs nicht.
  • Auch die von derr unter­le­ge­nen Bie­te­rin ein­ge­setz­te Ver­schlüs­se­lungs­tech­nik rei­che nicht. Dies prüf­te die Ver­ga­be­kam­mer aller­dings nicht in der Sache, weil die Cloud-Anbie­te­rin die ent­spre­chen­den Unter­la­gen nur unter der Bedin­gung offen­le­gen woll­te (oder durf­te), dass sie den übri­gen Betei­lig­ten nur geschwärzt offen­ge­legt wer­den; sol­che Unter­la­gen sol­len nicht Gegen­stand der Akten der Ver­ga­be­kam­mer werden.
  • Die SCC sei­en “nicht geeig­net, Über­mitt­lun­gen per se zu legi­ti­mie­ren; viel­mehr bedarf es inso­fern einer Ein­zel­fall­prü­fung”. Die­se füh­re zur Annah­me der daten­schutz­recht­li­chen Unzulässigkeit.

Anmer­kun­gen

Die Erwä­gun­gen der VK sind abzu­leh­nen. Die VK hat es sich viel zu leicht gemacht. Wenn sie tat­säch­lich der Mei­nung ist, die theo­re­ti­sche Zugriffs­mög­lich­keit durch US-Behör­den stel­le bereits eine Über­mitt­lung i.S.v. DSGVO 44 ff. dar, hät­te sie prü­fen müs­sen, ob tat­säch­lich eine Zugriffs­mög­lich­keit durch die US-Behör­den besteht, was sie aller­dings unter­las­sen hat (dazu unten). Aber auch ihre wei­te Aus­le­gung des Über­mitt­lungs­be­griffs ist abwe­gig. Dass sie sich mit die­sen Fra­gen nicht aus­rei­chend aus­ein­an­der­ge­setzt hat, zeigt sich auch dar­in, dass die VK von einer “Wei­ter­ga­be” spricht, die Begrif­fe also selbst nicht kon­si­stent verwendet.

Begriff der Übermittlung

Vor‑, aber eigent­lich Neben­fra­ge: Über­mitt­lung als Verarbeitung?

Die VK will die Über­mitt­lung i.S.v. DSGVO 44 ff. nicht als Anwen­dungs­fall der Ver­ar­bei­tung ver­ste­hen. Offen­bar will sie damit begrün­den, dass kei­ne Ver­ar­bei­tung für die Über­mitt­lung erfor­der­lich sei und letz­te­re folg­lich jede noch so ent­fern­te Zugriffs­mög­lich­keit einschliesse.

Für ihre Aus­le­gung des Über­mitt­lungs­be­griffs kann sich die VK pri­ma vista zwar auf die eng­li­sche Fas­sung der DSGVO stüt­zen, denn die­se unter­schei­det in der Tat zwi­schen der Über­mitt­lung i.S.v. DSGVO 4 Nr. 2, d.h. als Anwen­dungs­fall der Ver­ar­bei­tung (deutsch: “Offen­le­gung durch Über­mitt­lung”, eng­lisch “dis­clo­sure by trans­mis­si­on”), und jener nach DSGVO 44 ff. (deutsch eben­falls “Über­mitt­lung”, eng­lisch nun aber “trans­fer”).

Die VK über­sieht aber, dass die DSGVO den “trans­fer” sehr wohl auch in der eng­li­schen Fas­sung als eine Ver­ar­bei­tung ver­steht. DSGVO 28(3)(a) ver­langt, dass der Auftragsverarbeiter

pro­ces­ses the per­so­nal data only on docu­men­ted inst­ruc­tions from the con­trol­ler, inclu­ding with regard to trans­fers of per­so­nal data to a third country […];

Noch deut­li­cher wird dies in DSGVO 48, der Bestim­mung, die für Über­mitt­lun­gen nach aus­län­di­schem Recht auf die Rechts­hil­fe ver­weist. DSGVO 48 sagt im deut­schen Text

[…] jeg­li­che Ent­schei­dung einer Ver­wal­tungs­be­hör­de eines Dritt­lands, mit denen […] die Über­mitt­lung oder Offen­le­gung per­so­nen­be­zo­ge­ner Daten ver­langt wird […]

Ana­log die eng­li­sche Fassung:

[…] any deci­si­on of an admi­ni­stra­ti­ve aut­ho­ri­ty of a third coun­try requi­ring […] to trans­fer or dis­c­lo­se per­so­nal data […]

Es wird also kla­rer­wei­se unter­schie­den zwi­schen einer Über­mitt­lung (“trans­fer”) und einer “dis­clo­sure”, die dem­nach etwas ande­res als der Trans­fer sein muss.

Auch der EuGH begreift die Über­mitt­lung i.S.v. DSGVO 44 ff. als Ver­ar­bei­tung. Der EuGH hat in Schrems II in Rz. 83 fest­ge­hal­ten, dass

[…] die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten aus einem Mit­glied­staat in ein Dritt­land als sol­che eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Sin­ne von Art. 4 Nr. 2 der DSGVO dar[stellt], die im Hoheits­ge­biet eines Mit­glied­staats vor­ge­nom­men wird.

Die VK konn­te daher offen­sicht­lich nicht sagen, die Über­mitt­lung nach DSGVO 44 ff. umfas­se pau­schal eine Offen­le­gung. Aber selbst wenn – auch dann hät­te sie die Fra­ge beant­wor­ten müs­sen, unter wel­chen Vor­aus­set­zun­gen von einer sol­chen Offen­le­gung aus­zu­ge­hen ist. Dass jede theo­re­ti­sche Mög­lich­keit reicht, folgt jeden­falls nicht selbst aus dem sehr wei­ten Ver­ständ­nis der VK.

Haupt­fra­ge: Wann führt eine Zugriffs­mög­lich­keit zu einer “Über­mitt­lung”?

Die Haupt­fra­ge ist des­halb die Fra­ge, wie rea­li­stisch eine Zugriffs­mög­lich­keit sein muss, damit sie eine “Über­mitt­lung” i.S.v. DSGVO 4 ff. dar­stel­len kann. Die VK hät­te sich dabei nicht mit ober­fläch­li­cher DSGVO-Her­me­neu­tik zufrie­den­ge­ben dür­fen. Es ist kla­rer­wei­se nicht jede theo­re­ti­sche Zugriffs­mög­lich­keit von DSGVO 44 ff. erfasst:

  • Das Argu­ment der VK, eine Über­mitt­lung brau­che kei­ne Ver­ar­bei­tung, ist wie dar­ge­legt falsch. Es könn­te die Fra­ge aber ohne­hin noch nicht beant­wor­ten, unter wel­chen Vor­aus­set­zun­gen ein theo­re­ti­scher Zugriff zu einer “Über­mitt­lung” wird.
  • Es ist zwar rich­tig, dass eine Über­mitt­lung auch dadurch erfol­gen kann, dass dem Emp­fän­ger der Daten der Zugriff ein­ge­räumt wird (z.B. Spei­che­rung auf einem Ser­ver mit Bekannt­ga­be eines Log­in). Damit ist aber nicht gesagt, dass jeder theo­re­ti­sche Zugriff reicht. Wäre letz­te­res der Fall, wäre jede Ver­ar­bei­tung eine Über­mitt­lung in einen Dritt­staat, schon weil das Risi­ko eines Hacker­an­griffs aus einem Dritt­staat nie bei null liegt.
  • Die Anfor­de­run­gen an die Zugriffs­mög­lich­keit sind nicht bei null. Das ergibt sich direkt aus der DSGVO, und zwar nicht aus Seman­tik, son­dern aus grund­le­gen­den Kon­zep­ten. Letzt­lich ist der Mas­stab für die Fra­ge, wann eine Über­mitt­lung vor­liegt, der­sel­be wie bei der Fra­ge, ob ein Datum anonym oder pseud­onym ist. Denn bei­de Kon­zep­te set­zen vor­aus, dass der Zugriff auf einen Daten­satz durch eine Per­son mit iden­ti­fi­zie­ren­den Zusatz­kennt­nis­sen aus­ge­schlos­sen wird. Und auch bei der Anony­mi­sie­rung und der Pseud­ony­mi­sie­rung ver­langt nie­mand, jede theo­re­ti­sche Zugriffs­mög­lich­keit aus­zu­schlie­ssen:
    • Zur Prü­fung des Per­so­nen­be­zugs sagt Erwä­gungs­grund 26, es sei­en alle Mit­tel zu berück­sich­ti­gen, die “nach all­ge­mei­nem Ermes­sen wahr­schein­lich genutzt wer­den, um die natür­li­che Per­son direkt oder indi­rekt zu iden­ti­fi­zie­ren”. Dabei sei­en “alle objek­ti­ven Fak­to­ren” zu berück­sich­ti­gen, “wie die Kosten der Iden­ti­fi­zie­rung und der dafür erfor­der­li­che Zeit­auf­wand”. Das bedeu­tet, dass nicht jede theo­re­ti­sche Iden­ti­fi­zie­rungs­mög­lich­keit genügt. Wäre dem so, gäbe es im Grund kei­ne Sach­da­ten mehr, was kla­rer­wei­se nicht das Ziel der DSGVO ist und auch nicht sein darf.
    • Wei­ter sagt die DSGVO in Art. 4 Nr. 5 zur Pseud­ony­mi­sie­rung, die­se set­ze vor­aus, dass die iden­ti­fi­zie­ren­den Zusatz­in­for­ma­tio­nen “geson­dert auf­be­wahrt wer­den und tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men unter­lie­gen, die gewähr­lei­sten, dass die per­so­nen­be­zo­ge­nen Daten nicht einer iden­ti­fi­zier­ten oder iden­ti­fi­zier­ba­ren natür­li­chen Per­son zuge­wie­sen wer­den”. Der Hin­weis auf die TOMs weist die­se Fra­ge der Daten­si­cher­heit zu, und die­se ver­langt bekannt­lich nicht einen voll­stän­di­gen, son­dern einen ange­mes­se­nen Schutz. Dies ver­deut­licht noch­mals, dass nicht jede theo­re­ti­sche Iden­ti­fi­ka­ti­ons­mög­lich­keit genügt.
  • Dar­aus geht klar her­vor, dass der Mas­stab für die Über­mitt­lung i.S.v. DSGVO 44 ff. eine aus­rei­chen­de Wahr­schein­lich­keit ist, dass ein Emp­fän­ger in einem Dritt­staat auf die frag­li­chen Daten zugrei­fen wird. Wie wahr­schein­lich dies sein muss, ist offen, aber es ist klar, dass nicht jede theo­re­ti­sche Mög­lich­keit aus­reicht. Zudem kann die Wahr­schein­lich­keit durch geeig­ne­te TOMs gesenkt wer­den, und mass­ge­bend ist selbst­ver­ständ­lich die danach ver­blei­ben­de Wahrscheinlichkeit.

Die­se Wahr­schein­lich­keit ist nicht eine Fra­ge des risi­ko­ba­sier­ten Ansat­zes, son­dern ein Tat­be­stands­ele­ment der Über­mitt­lung nach DSGVO 44 ff. Mit ande­ren Worten:

  • Wenn einem Expor­teur in den USA Per­so­nen­da­ten so über­mit­telt wer­den, dass er die­se Daten effek­tiv besitzt, ist eine Über­mitt­lung erfolgt. Dann stellt sich die wei­te­re Fra­ge, ob die SCC genü­gen, und in die­sem Zusam­men­hang spielt der risi­ko­ba­sier­te Ansatz eine Rol­le. Das ist nicht der vor­lie­gen­de Fall.
  • Wenn dage­gen wie hier schon frag­lich ist, ob einer Stel­le in den USA Per­so­nen­da­ten über­mit­telt wer­den, weil nicht klar ist, ob die­se Stel­le rea­li­sti­scher­wei­se auf die­se Per­so­nen­da­ten – in iden­ti­fi­zie­ren­der Form – zugrei­fen kann, dann folgt aus dem Begriff der Über­mitt­lung, dass die Wahr­schein­lich­keit die­ser Zugriffs­mög­lich­keit mass­ge­bend ist.

Die VK hät­te des­halb beant­wor­ten müs­sen, mit wel­cher Wahr­schein­lich­keit eine US-Behör­de auf Per­so­nen­da­ten zugrei­fen kann oder, anders for­mu­liert, ob die­se Zugriffs­mög­lich­keit eine rea­li­sti­sche oder eine bloss theo­re­ti­sche ist. Ohne die­se Prü­fung konn­te sie nicht von einer Über­mitt­lung aus­ge­hen. Noch­mals – das ist kei­ne Fra­ge des risi­ko­ba­sier­ten Ansat­zes, son­dern der Vor­fra­ge, ob von einer Über­mitt­lung aus­zu­ge­hen ist.

Offen bleibt in die­sem Zusam­men­hang lei­der, was die von der Cloud-Anbie­te­rin ange­bo­te­ne bzw. von ihrer Kun­din ein­ge­setz­te Ver­schlüs­se­lung mit Blick auf das Zugriffs­ri­si­ko aus den USA lei­stet, weil die Ver­ga­be­kam­mer die ent­spre­chen­den Unter­la­gen nicht in geschwärz­ter Form zu den Akten neh­men woll­te (ohne dies recht­lich zu begrün­den, ausser mit einem pau­scha­len Hin­weis auf das recht­li­che Gehör). Sofern Kun­den der Cloud-Anbie­te­rin Kun­den­da­ten aber so ver­schlüs­seln, dass die Cloud-Anbie­te­rin selbst den Schlüs­sel nicht ein­set­zen kann und/oder dass sie Kun­den­da­ten nicht nach Ziel­per­so­nen der US-Behör­den durch­su­chen kann, wäre ein Zugriff durch US-Behör­den und damit auch eine Über­mitt­lung ausgeschlossen.

Zugriffs­ri­si­ken nach dem US-Recht

Die VK hät­te sich also näher mit dem US-Recht befas­sen müs­sen, was sie eben­falls unter­las­sen hat. Es schien in die­sem Zusam­men­hang um den Stored Com­mu­ni­ca­ti­ons Act (SCA) – der durch den CLOUD Act geän­dert wur­de – zu gehen. Hier hät­te die VK die Vor­aus­set­zun­gen eines Zugriffs prü­fen müssen:

  • Der EuGH hat im Schrems II-Urteil mit Bezug auf die USA nur FISA und die EO 12333 als pro­ble­ma­tisch ein­ge­stuft, d.h. nicht mit euro­päi­schen Grund­sät­zen (den “essen­ti­al gua­ran­tees”) ver­ein­bar. Der SCA erlaubt zwar auch Behör­den­zu­grif­fe, im Zusam­men­hang mit einem Straf­ver­fah­ren, aber in einem in Euro­pa aner­kann­ten Rah­men. Des­halb ist der SCA nor­ma­ler­wei­se nicht das Pro­blem. Die VK dach­te hier aber wohl an den bereits genann­ten Art. 48 (“[…] jeg­li­che Ent­schei­dung einer Ver­wal­tungs­be­hör­de eines Dritt­lands, mit denen […] die Über­mitt­lung oder Offen­le­gung per­so­nen­be­zo­ge­ner Daten ver­langt wird, dür­fen unbe­scha­det ande­rer Grün­de für die Über­mitt­lung gemäß die­sem Kapi­tel jeden­falls nur dann aner­kannt oder voll­streck­bar wer­den, wenn sie auf eine in Kraft befind­li­che inter­na­tio­na­le Über­ein­kunft wie etwa ein Rechts­hil­fe­ab­kom­men zwi­schen dem ersu­chen­den Dritt­land und der Uni­on oder einem Mit­glied­staat gestützt sind”). Wäre eine EU-Gesell­schaft von der Cloud-Anbie­te­rin auf­grund des SCA zu einer Her­aus­ga­be an US-Behör­den ver­pflich­tet, wäre eine Ver­let­zung die­ser Bestim­mung denkbar.
  • Der SCA setzt aber vor­aus, dass in den USA eine über­haupt eine Zustän­dig­keit besteht (juris­dic­tion). Dass dies mit Bezug auf die EU-Toch­ter der Cloud-Anbie­te­rin der Fall sein soll, ist alles ande­re als klar, und es wur­de auch nicht geprüft.
  • Eine der US-Gerichts­bar­keit unter­ste­hen­de Cloud-Anbie­te­rin wäre wei­ter nicht ver­pflich­tet, Daten her­aus­zu­ge­ben, auf die sie kei­nen ver­nünf­ti­gen Zugriff hat. Ob dies vor­lie­gend der Fall war, hängt u.a. von den tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men ab, mit denen die Cloud-Anbie­te­rin den Klar­text­zu­griff ihrer US-Gesell­schaf­ten ein­schränkt, u.a. auch Verschlüsselungsmassnahmen.
  • Wei­ter hät­te die VK prü­fen müs­sen, ob ein Her­aus­ga­be­be­fehl auch gegen Art. 48 DSGVO – und allen­falls ana­lo­ge Bestim­mun­gen des auf die EU-Toch­ter der Cloud-Anbie­te­rin anwend­ba­ren Rechts – durch­ge­setzt wür­de. US-Gerich­te könn­ten näm­lich auf Basis einer Comi­ty-Ana­ly­se zum Schluss kom­men, dass eine dro­hen­de Ver­let­zung bspw. von Art. 48 DSGVO aus­reicht, um einen Her­aus­ga­be­be­fehl aufzuheben.

Rele­vanz aus­län­di­schen Rechts nur bei kon­kre­ter Anwendbarkeit

Die­se Fra­gen hät­te die VK sorg­fäl­tig prü­fen müs­sen. Eine pau­scha­le Ver­wei­sung auf das Schrems II-Urteil kann dies nicht erset­zen, denn der EuGH hat­te das Unge­nü­gen bestimm­ter Rechts­grund­la­gen des US-Rechts gene­risch fest­ge­stellt, näm­lich mit Blick auf die Fra­ge, ob der Pri­va­cy Shield als sol­cher einen ange­mes­se­nen Schutz ver­leiht, ohne die Fra­ge der Anwend­bar­keit jeweils näher prü­fen zu müssen.

Hier wäre aber nicht die Fra­ge rele­vant gewe­sen, ob US-Recht in bestimm­ten Punk­ten defi­zi­tär ist, son­dern ob defi­zi­tä­res Recht – oder im Fall des SCA son­sti­ges Recht – über­haupt zur Anwen­dung kommt. Die­se Prü­fung hat wie­der­um nichts mit dem Risk based-Ansatz zu tun, son­dern geht die­sem – oder auch dem Null­ri­si­ko­an­satz – als Vor­fra­ge vor­aus. Denn anders als bei der Beur­tei­lung durch den EuGH und wie bei den SCC geht es hier nicht dar­um, das US-Recht an sich zu beur­tei­len, son­dern um sei­ne Wir­kung in einem bestimm­ten Szenario.

Mit Bezug auf die Stan­dard­klau­seln hat der EuGH denn auch fest­ge­hal­ten (Rz. 141), dass es

als Ver­stoß gegen die­se Klau­seln anzu­se­hen [ist], wenn einer aus dem Recht des Bestim­mungs­dritt­lands fol­gen­den Ver­pflich­tung nach­ge­kom­men wird, die über das hin­aus­geht, was für Zwecke wie die oben genann­ten erfor­der­lich ist.

Das zeigt die Selbst­ver­ständ­lich­keit, dass eine defi­zi­tä­re Rechts­grund­la­ge – oder hier der SCA – einer Über­mitt­lung auf Basis der SCC nicht ent­ge­gen­steht, solan­ge die­se Rechts­grund­la­ge auf die über­mit­tel­ten Daten nicht anwend­bar ist. Aus dem glei­chen Grund sieht Klau­sel 14 der SCC vor, dass sich die Par­tei­en zusichern,

kei­nen Grund zu der Annah­me zu haben, dass die […] Rechts­vor­schrif­ten und Gepflo­gen­hei­ten im Bestim­mungs­dritt­land […] den Daten­im­por­teur an der Erfül­lung sei­ner Pflich­ten gemäß die­sen Klau­seln hin­dern.

Es geht also immer um loka­les Recht, das im kon­kre­ten Fall zur Anwen­dung kommt und ent­spre­chend zu prü­fen ist.

Das hat – noch­mals – mit einem risk-based-Ansatz nichts zu tun. Es geht nicht um Quan­ti­fi­zie­rung ggf. Akzept eines Zugriffs­ri­si­kos auf Basis des US-Rechts, son­dern um die Fra­ge, ob Zugriffs­mög­lich­kei­ten nach die­sem Recht über­haupt bestehen (es sei denn, man unter­stel­le den USA gene­rell ein Vor­ge­hen ohne Rechts­grund­la­ge, was die euro­päi­schen Behör­den bis­her nicht tun, jeden­falls nicht offen).

Die Aus­füh­run­gen der Ver­ga­be­kam­mer sind vor die­sem Hin­ter­grund zunächst nicht prä­ju­di­zi­ell. Zu vie­le recht­li­che und fak­ti­sche Fra­gen blie­ben unge­stellt und unbe­ant­wor­tet. Sie sind aber auch in der Sache und im Ergeb­nis abzu­leh­nen. Sie hät­ten die direk­te Fol­ge, dass in Zukunft jeder Kon­kur­rent mit dem lei­se­sten US-Bezug mit pau­scha­len Behaup­tun­gen aus dem Feld geschla­gen wer­den kann, und die indi­rek­te Fol­ge, dass bei jeder Daten­ver­ar­bei­tung jedes Risi­ko aus­zu­schlie­ssen wäre und dass es kei­ne Anony­mi­sie­rung und kei­ne Pseud­ony­mi­sie­rung mehr gäbe – die DSGVO wäre dann wirk­lich “the law of ever­ything”. Das wäre nicht nur absurd, son­dern auch ein­fach ausser­halb der Gesetz­ge­bungs­kom­pe­tenz der EU.