Einen weitgehenden (wenn auch noch nicht bestandskräftigen) Beschluss hat die Vergabekammer Baden-Württemberg am 13. Juli 2022 (Az. 1 VK 23/22) gefällt: Die Nutzung eines US-amerikanischen Clouddienstes kann den Ausschluss aus einem öffentlichen Vergabeverfahren rechtfertigen – selbst, wenn der Server in der EU steht und von einer europäischen Tochtergesellschaft betrieben wird.
Um was geht es?
Im konkreten Fall gab das Unternehmen, das sich an der Ausschreibung beteiligt hatte, an, als Unterauftragnehmer für die Server- und Hostingleistungen die europäische Tochtergesellschaft eines US-Unternehmens nutzen zu wollen. Der Standort der Server sollte sich dabei in Deutschland befinden. Dazu schlossen die beiden Firmen zusätzliche Vereinbarungen zur Datenverarbeitung nach Datenschutzgrundverordnung (DSGVO) ab, so genannte Standardvertragsklauseln. Diese Vereinbarungen waren aus Sicht der Vergabestelle jedoch nicht ausreichend: Es genüge die bloße Möglichkeit des Zugriffs auf personenbezogene Daten durch das US-Mutterunternehmen, um eine Übermittlung der Daten in die USA zu unterstellen. Ob es tatsächlich zu einem solchen Datenfluss kommt, ist danach unerheblich. Selbst die in den Vereinbarungen enthaltene Verpflichtung, gegen etwaige staatliche Anordnungen auf Zugriff auf personenbezogene Daten durch Anfechtung vorzugehen, „beseitigt das latente Risiko eines Zugriffs durch ebendiese Stellen nicht“ heißt es im Beschluss (Az. 1 VK 23/22).
Im Beschluss heißt es weiter: „Eine in diesem Zusammenhang berücksichtigungsfähige Offenlegung ist auch dann anzunehmen, wenn eine Einstellung personenbezogener Daten auf eine Plattform erfolgt, auf die von einem Drittland aus zugegriffen werden kann, und zwar unabhängig davon, ob der Zugriff tatsächlich erfolgt.“ (Az. 1 VK 23/22) Wo der Server tatsächlich steht, ist also unerheblich.
Was ist der Hintergrund?
Hintergrund ist ein Urteil des Europäischen Gerichtshofs (EuGH) vom Juli 2020, mit dem das zwischen der EU-Kommission und den USA vereinbarte Privacy Shield für unzulässig erklärt wurde. Seitdem gelten die USA nicht mehr als zulässiger Drittstaat, mit dem personenbezogene Daten ausgetauscht werden dürfen. Eine neue, DSGVO-konforme Vereinbarung mit den USA scheiterte bislang immer an den Zugriffsrechten durch die US-Geheimdienste auf die personenbezogenen Daten. An einem Abkommen wird weiter gearbeitet.
Was bedeutet das für Sie?
Sollte der Beschluss der Vergabekammer Bestand haben, könnten US-Konzerne selbst dann von Vergabeverfahren ausgeschlossen werden, wenn sie Server zur Verarbeitung personenbezogener Daten innerhalb der EU durch Tochterunternehmen bereitstellen. Weitreichender ist jedoch, dass dieser Beschluss massive Auswirkungen auf die Zusammenarbeit privater Unternehmen mit solchen Diensteanbietern haben könnte.
Die Nutzung von US-amerikanischen Clouddiensten wären nach diesem Beschluss ein Verstoß gegen die DSGVO. Selbst beim Abschluss von Standardvertragsklauseln. Das betroffene Unternehmen hat Beschwerde eingelegt. Jetzt heißt es abwarten, wie der Vergabesenat des OLG Karlsruhe entscheiden wird.
Wenn Sie Fragen haben, melden Sie sich gerne bei uns!