Im August hatten wir Sie über einen potenziell sehr weitgehenden Beschluss der Vergabekammer Baden-Württemberg vom 13. Juli 2022 (Az. 1 VK 23/22) informiert: Die Nutzung eines US-amerikanischen Clouddienstes kann den Ausschluss aus einem öffentlichen Vergabeverfahren rechtfertigen – selbst, wenn der Server in der EU steht und von einer europäischen Tochtergesellschaft betrieben wird.
Um was ging es?
Im konkreten Fall gab das Unternehmen, das sich an der Ausschreibung beteiligt hatte, an, als Unterauftragnehmer für die Server- und Hostingleistungen die europäische Tochtergesellschaft eines US-Unternehmens nutzen zu wollen. Der Standort der Server sollte sich dabei in Deutschland befinden. Dennoch kam die Vergabestelle zu dem Schluss: Es genüge die bloße Möglichkeit des Zugriffs auf personenbezogene Daten durch das US-Mutterunternehmen, um eine Übermittlung der Daten in die USA zu unterstellen. Ob es tatsächlich zu einem solchen Datenfluss kommt, sei danach unerheblich.
Was ist der Hintergrund?
Hintergrund ist ein Urteil des Europäischen Gerichtshofs (EuGH) vom Juli 2020, mit dem das zwischen der EU-Kommission und den USA vereinbarte Privacy Shield für unzulässig erklärt wurde. Seitdem gelten die USA nicht mehr als sicherer Drittstaat, mit dem personenbezogene Daten ausgetauscht werden dürfen. Eine neue, DSGVO-konforme Vereinbarung mit den USA scheiterte bislang immer an den Zugriffsrechten durch die US-Geheimdienste auf die personenbezogenen Daten. An einem Abkommen wird weiter gearbeitet.
Was passierte dann?
Das betroffene Unternehmen hatte Beschwerde eingelegt. Mittlerweile hat der Vergabesenat des OLG Karlsruhe entschieden und kam zu dem Ergebnis, dass allein das Risiko eines Zugriffs von US-Amerikanischen Behörden nicht ausreicht, um einen Verstoß gegen die DSGVO anzunehmen.
Damit hob der Senat des OLG Karlsruhe die Entscheidung der Vergabekammer Baden-Württemberg vom 13.07.2022 (Az. 1 VK 23/22) auf.
Die Begründung des Senats: „Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.“ (Az. 15 Verg 8/22)
Für den Moment können wir also aufatmen, denn der Beschluss der Vergabekammer hätte massive Auswirkungen auf die Zusammenarbeit privater Unternehmen mit solchen Diensteanbietern haben können. Sie können also auch weiterhin für Server- und Hostingleistungen US-Unternehmen nutzen – sofern die Server in der EU betrieben werden und Sie ggf. zusätzliche Maßnahmen vereinbart haben, wie z.B. der Abschluss von Standardvertragsklauseln.
Und zum wiederholten Male: Vorratsdatenspeicherung
Gerne möchten wir Sie auch über eine aktuelle Entscheidung des europäischen Gerichtshofs informieren: Dieser hat die aktuelle deutsche Regelung zur Vorratsdatenspeicherung gekippt. Die bislang geltende Regelung – die allerdings eh seit 7 Jahren auf Eis lag – verstößt gegen das EU-Recht. Bei der Vorratsdatenspeicherung werden sogenannte Verbindungsdaten gespeichert wie zum Beispiel
- Wer hat wann mit wem wie lange telefoniert?
- wer hat an wen eine E-Mail geschrieben?
- mit welcher IP-Adresse war jemand im Internet unterwegs?
Die eigentlichen Inhalte der Kommunikation werden dabei nicht gespeichert. Die Vorratsdatenspeicherung hat den Zweck, Straftaten abzuwehren und zu verfolgen.
Die „Anlasslose Speicherung“ verstößt nach Ansicht des EuGHs gegen EU-Recht. Die Bundesregierung hat nun die Aufgabe, das Gesetz entsprechend anzupassen.
Datenschützer begrüßen das Urteil. Weitere Infos finden Sie zum Beispiel hier:
https://www.ldi.nrw.de/eugh-urteil-zur-vorratsdatenspeicherung
Wenn Sie Fragen haben, melden Sie sich gerne bei uns.