Die Vergabekammer Baden-Württemberg hat potentielle Zugriffsmöglichkeiten aus dem Ausland als Datenübermittlung eingestuft und eine Debatte ausgelöst, die das OLG Karlsruhe beendete.
In Deutschland gibt es einen Beschluss, der für viel Aufsehen sorgt und kritisch diskutiert wird – oder besser gesagt: Es gab ihn. Nach Ansicht der Vergabekammer Baden-Württemberg (Beschluss v. 13. Juli 2022 – 1 VK 23/22) sei schon der potentielle Zugriff aus dem Ausland als Übermittlung zu werten. Übermittlungen in die USA seien i.d.R. rechtswidrig. Nach Meinung der Vergabekammer dürften bei Ausschreibungen daher künftig keine US-amerikanischen Cloud-Anbieter berücksichtigt werden, selbst wenn diese ihre Dienste über Tochtergesellschaften in Europa anbieten.
Das OLG Karlsruhe hat diesen viel diskutierten Beschluss der Vergabekammer Baden-Württemberg nun wieder aufgehoben (OLG Karlsruhe, Beschluss vom 7. September 2022 – 15 Verg 8/22).
Hintergrund: Das Schrems-II-Urteil des EuGH
Der EuGH erklärte am 16. Juli 2020 mit Urteil in der Rechtssache „Schrems II“ (C-311/18) die bestehende Datenschutzvereinbarung der EU mit den USA („Privacy Shield“) für ungültig. Das Datenschutzniveau in den USA entspreche laut EuGH nicht den Standards des europäischen Datenschutzes, denn die Befugnisse der US-Behörden erlauben es, auf personenbezogene Daten der EU-Bürger* heimlich und ohne effektive Rechtsbehelfsmöglichkeiten zuzugreifen.
Gem. der Datenschutz-Grundverordnung (DSGVO) dürfen personenbezogene Daten nur dann in ein Land außerhalb der EU (sog. Drittland) übermittelt werden, wenn einer der besonderen Erlaubnisgründe der Art. 44 ff. DSGVO vorliegt. Zulässig ist eine Datenübermittlung in ein Drittland hiernach insbesondere dann, wenn die Kommission in einem Beschluss das angemessene Schutzniveau des Drittlands festgestellt hat (sog. Angemessenheitsbeschluss, vgl. Art. 45 Abs. 1 DSGVO). Ein solcher Beschluss existiert nicht für die USA.
Ein Nachfolgemodell zum damaligen Datenschutzabkommen zwischen der EU und den USA scheiterte bislang. Daher bestehen erhebliche Rechtsunsicherheiten, was bei der Datenübertragung und -verarbeitung erlaubt ist und was nicht. Verantwortliche müssen derzeit weiterhin auf Standardvertragsklauseln („Standard Contractual Clauses“ – SCC) setzen, bei deren Verwendung im Einzelfall überprüft werden muss, ob diese ausreichen.
Wichtig dabei: Die Schwierigkeiten entstehen erst, wenn eine Übermittlung in die USA stattfindet. Wenn die Daten ausschließlich bei einem US-Tochterunternehmen in der EU verarbeitet werden, stellt sich das Problem im Alltag nicht. Allerdings gibt der sog. CLOUD Act US-Stellen weitreichende Zugriffsbefugnisse, und zwar auch dann, wenn die Daten bei einem Tochterunternehmen in der EU liegen. Tatsache ist aber auch, dass die Anzahl der Zugriffsersuchen durch US-Stellen vergleichsweise gering ist. Es besteht daher nur die Möglichkeit, dass es zu einer Datenübertragung in die USA kommt – de facto bleibt die Übertragung aber häufig aus.
Für diese Konstellation hatte die Vergabekammer Baden-Württemberg einen umstrittenen Beschluss gefasst (Beschluss v. 13. Juli 2022 – 1 VK 23/22). Die Kammer meint, die reine Möglichkeit des Zugriffs sei bereits wie eine tatsächlich erfolgte Datenübertragung zu werten. Hätte diese Ansicht Bestand, verstießen US-Tochterunternehmen schon deswegen gegen die DSGVO, weil eine US-Stelle u.U. auf die in der EU belegenen Daten zugreifen könnte.
Vergabekammern prüfen öffentliche Aufträge und Konzessionen
Die Vergabekammern sind in Deutschland für die Nachprüfung von öffentlichen Aufträgen und Konzessionen zuständig (§§ 155 ff. des Gesetzes gegen Wettbewerbsbeschränkungen – GWB). Sie sind unabhängige Kontrollbehörden und in ihrer Organisation gerichtsähnlich.
Fühlt sich ein Unternehmen, das an einer öffentlichen Ausschreibung teilgenommen hat, in seinen Rechten verletzt, so kann es bei der Vergabekammer entsprechende Anträge zur Prüfung stellen. Die Vergabekammer entscheidet dann darüber, ob mit der Vergabe des Auftrags eine Rechtsverletzung des Antragstellers einhergeht. Sie ist an die Anträge nicht gebunden und kann auch unabhängig davon auf die Rechtmäßigkeit des Vergabeverfahrens einwirken.
Prüfung der Vergabe eines Auftrags zur Beschaffung einer Software für digitales Entlassmanagement durch die Vergabekammer Baden-Württemberg
Die Entscheidung der Vergabekammer Baden-Württemberg betraf die Vergabe eines Auftrags zur Beschaffung einer Software für digitales Entlassmanagement. Das Verfahren wurde europaweit in einem offenen Verfahren ausgeschrieben. Kriterien für die Erteilung des Zuschlags waren neben dem Gesamtpreis und der Qualität der angebotenen Leistungen auch Anforderungen an die IT-Sicherheit und den Datenschutz, darunter die Erfüllung der Anforderungen aus der DSGVO und dem BDSG. Zudem sollten Daten ausschließlich in einem EU-EWR-Rechenzentrum verarbeitet werden, d.h., es sollten keine Daten durch Subdienstleister oder Konzernunternehmen in Drittstaaten verarbeitet werden.
Der Zuschlag sollte einem Unternehmen erteilt werden, das zur Datenspeicherung eine europäische Tochtergesellschaft eines US-Cloud-Providers einsetzen wollte. Der vereinbarte physische Serverstandort sollte sich in Deutschland befinden. Ebenso sollte der Vertrag mit der in Deutschland niedergelassenen Tochter des US-Unternehmens geschlossen werden.
Das unterlegene Unternehmen rügte, die Vergabe sei rechtswidrig erfolgt. Durch den Einsatz des Cloud-Dienstes der US-Tochter bestehe die latente Gefahr des Zugriffs US-amerikanischer Behörden auf die Server in Europa. Unabhängig von der geografischen Speicherung der Daten liege kein der DSGVO entsprechendes Datenschutzniveau vor, da eine unzulässige Übermittlung personenbezogener Daten in die USA und damit in ein Drittland vorliege.
Bereits der potentielle Zugriff aus dem Ausland sei laut Vergabekammer Baden-Württemberg eine Datenübermittlung
Die Vergabekammer hatte nun also zu entscheiden, ob mit der Nutzung von Dienstleistern, die als europäische Tochtergesellschaft eines US-Konzerns auftreten, eine unrechtmäßige Datenübermittlung in die USA einhergeht, obwohl die Daten grds. auf Servern innerhalb der EU/des EWR verarbeitet werden. Somit gelangen datenschutzrechtliche Fragestellungen und insbesondere die Auslegung des Übermittlungsbegriffes der Art. 44 ff. DSGVO in den Vordergrund des Beschlusses.
Die Vergabekammer schloss sich der Auffassung der Antragstellerin an. Laut Vergabekammer liege eine unzulässige Datenübermittlung in ein Drittland gem. Art. 44 ff. DSGVO vor, die nicht den Anforderungen. Wie bereits erwähnt, ist gem. Art. 44 S. 1 DSGVO eine Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden, nur unter den bestimmten Erlaubnisgründen der Art. 44 ff. DSGVO zulässig. Der Übermittlungsbegriff ist in der DSGVO nicht definiert.
Die Vergabekammer legte den Begriff weit aus: Aufgrund der besonderen Schutzbedürftigkeit beim Drittlandtransfer sei eine weitere Auslegung notwendig, weshalb Übermittlung jede Offenlegung personenbezogener Daten gegenüber einem Empfänger in einem Drittland oder einer internationalen Organisation sei, wobei es weder auf die Art der Offenlegung noch auf die Offenlegung gegenüber einem Dritten ankomme. Eine solche Offenlegung liege auch dann vor, wenn eine Einstellung personenbezogener Daten auf eine Plattform erfolge, auf die von einem Drittland aus zugegriffen werden könne, und zwar unabhängig davon, ob der Zugriff tatsächlich erfolge(!).
Die Tatsache, dass sich der geografische Ort des Servers innerhalb der EU befindet, sei unerheblich. Ebenso komme es nicht auf den Grad der Wahrscheinlichkeit des Zugriffs auf die personenbezogenen Daten an. Allein die Zugriffsmöglichkeit, vorliegend durch Erteilung von Zugriffsrechten, begründe ein latentes Risiko, dass eine unzulässige Übermittlung stattfinde. Ein auch nur theoretisches Risiko eines solchen Zugriffs durch Stellen in unsicheren Drittländern genüge laut Vergabekammer, um den Tatbestand der Übermittlung i.S.d. Art. 44 ff. DSGVO zu erfüllen.
Die Tragweite dieser Entscheidung – hätte sie denn Bestand – wäre enorm gewesen und zöge erhebliche Auswirkungen auf die Zusammenarbeit deutscher Unternehmen mit US-Cloud-Anbietern bzw. deren europäischen Konzerngesellschaften nach sich. Unternehmen, die US-Cloud-Anbieter einsetzen (seien es nur die Tochterunternehmen in Europa), wäre eine erfolgreiche Teilnahme an Vergabeverfahren erheblich erschwert, wenn nicht unmöglich gemacht worden.
OLG Karlsruhe: Kein Ausschluss wegen Einbindung der europäischen Tochtergesellschaft eines US-amerikanischen Unternehmens als Hosting-Anbieter
Doch die Entscheidung der Vergabekammer Baden-Württemberg erlangte keine Rechtskraft. Auf Beschwerde hin hob das OLG Karlsruhe den Beschluss der Vergabekammer mit Beschluss vom 7. September 2022 (15 Verg 8/22) auf. Dies teilte das OLG in einer Pressemitteilung mit und betonte, dass kein Ausschluss aus den o.g. Gründen erfolgen dürfe. Vielmehr könne sich ein öffentlicher Auftraggeber dem OLG zufolge auf die bindenden Zusagen der Anbieter, dass die Daten ausschließlich in Deutschland verarbeitet und in kein Drittland übermittelt werden, verlassen und so lange davon ausgehen, dass vertragliche Zusagen eingehalten werden, bis konkrete Anhaltspunkte Anlass zum Zweifel geben. In diesem Fall treffe den öffentlichen Auftraggeber die Pflicht, Informationen einzuholen und die Erfüllbarkeit des Leistungsversprechens zu prüfen.
Gerade Letzteres sei laut Pressemitteilung des OLG im vorliegenden Fall nicht gegeben, da der Anbieter eindeutig und vertrauenswürdig zugesichert habe, dass die Datenübermittlung ausschließlich an die europäische Gesellschaft und die Datenverarbeitung ausnahmslos von dieser sowie ausschließlich in Deutschland und nicht in Drittstaaten erfolge. Der öffentliche Auftraggeber dürfe darauf vertrauen, dass gegen diese Zusage nicht verstoßen werde. Allein die Tatsache, dass es eine US-amerikanische Muttergesellschaft gebe, reichte dem OLG Karlsruhe nicht aus, um Zweifel an dem Leistungsversprechen und weiterführende Informations- und Prüfpflichten zu begründen. Das OLG scheint dabei nicht geprüft zu haben, ob der Anbieter aus datenschutzrechtlicher Sicht vor dem Hintergrund des CLOUD Act in der Lage gewesen wäre, sein Leistungsversprechen rechtskonform zu erfüllen.
Fazit: Weiterhin Vergabeverfahren mit US-Cloud-Anbietern nicht ausgeschlossen
Die rechtskräftige Entscheidung des OLG Karlsruhe hat die Debatte um die Zusammenarbeit deutscher Unternehmen mit US-Cloud-Anbietern bzw. deren europäischen Konzerngesellschaften beruhigt, die durch den Beschluss der Vergabekammer – so er denn Rechtskraft erlangt hätte – erheblich ins Wanken geraten wäre. Unternehmen, die US-Cloud-Anbieter einsetzen, sowie deren Tochterunternehmen in Europa können zunächst weiter auf eine erfolgreiche Teilnahme an Vergabeverfahren hoffen, sofern geleistete Zusagen hinsichtlich des Datenschutzes auch erfüllt werden können und nicht bereits das Leistungsversprechen DSGVO-Verstöße beinhaltet.
Eine stets aktualisierte Übersicht über die Reaktionen der Aufsichtsbehörden auf das Schrems-II-Urteil des EuGH finden Sie hier auf unserem Blog. Beachten Sie auch gern unseren Schrems II Expert Guide.
Auf die vergaberechtlichen Hintergründe der Entscheidungen der VK Baden-Württemberg und des OLG Karlsruhe sind wir auf unserem Blog ebenfalls eingegangen.
*Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.