DSGVO – Beschluß Vergabekammer 07_2022: Clouddienste von US-Firmentöchtern nicht DSGVO-konform

Wer sich um einen öffentlichen Auftrag in Deutschland bemüht, darf keine Verbindung zu US-Firmen haben. Das gilt dann auch, wenn der Server für den Clouddienst in Deutschland steht. Solche Cloudienste, die über eine Verbindung zu den USA verfügen, sind nicht Datenschutzgrundverordnung DSGVO-Konform.

Bei der Nutzung eines solchen amerikanischen Clouddienstes kann es zum Ausschluss aus einem öffentlichen Vergabeverfahren kommen. Das war eine Entscheidung der Vergabekammer Baden-Württemberg und dies erfolgte mit einem Beschluß vom 13.07.2022. Mit diesem Beschluss wurde einem Antrag eines unterlegenen Konkurrenten stattgegeben. Als Begründung wurde angegeben, dass es nicht von Belang wäre, ob der Server, über den auf die Daten zugegriffen wurde, innerhalb der EU liegt oder nicht. Somit ist also ein Server in der EU nicht ausreichend.

Es sei “unerheblich, ob der Server, über den die Daten zugänglich gemacht werden, innerhalb der EU gelegen ist”, hieß es zur Begründung (Az.: VK 23/22).

Hintergrund für diese Entscheidung

Der Hintergrund dieses Beschlusses ist ein Urteil des Europäischen Gerichtshofs EuGH vom Juli 2020 , mit dem der zwischen den USA sowie der Europäischen Union Kommission vereinbartem Datenschutzschild (Privacy Shield vgl. EuGH, Urteil vom 16. Juli 2020 – Az. C-311/18; “Schrems-II”) für unzulässig erklärt worden ist. Seit diesem Gerichtsurteil gelten die USA nicht mehr zulässiger Drittstaat für personenbezogene Daten von Bürgern der Europäischen Union, deren Daten mit den USA ausgetauscht werden dürfen. Eine für Europa rechtskonforme Vereinbarung mit den USA scheiterte bislang immer an den Zugriffsrechten auf Daten durch US-Geheimdienste.

Im diesem Fall gab der Wettbewerber an, in Form eines Unterauftragsnehmers für die Erbringung der Hosting- und Serverleistung eine europäische Tochtergesellschaft eines US-Unternehmens in Anspruch nehmen zu wollen. Die Server in physischer Form sollten sich hierbei in Deutschland befinden. Ebenfalls haben die beiden Unternehmen 2 zusätzliche Vereinbarungen zur Datenverarbeitung nach der Datenschutzgrundverordnung abgeschlossen. Eine solche Standardvertragsklausel ist vom EuGH in seinem Urteil als vom Prinzip her zulässig erklärt worden.

Die Auswirkungen

Nach Angaben der Kanzlei Gruendelpartner (Bechlusserwirker) hat eine solche Entscheidung erhebliche Auswirkungen auf die Zusammenarbeit deutscher Unternehmen mit US-Tech-Anbietern und deren europäischen Konzerngesellschaften.

Bedingt dadurch, dass in einem umfangreichen Vergabeverfahren ein Ausschluss eines Bieters erfolge, weil dieses Unternehmen eine Tochtergesellschaft von einem US-Anbieter verwende, können erheblichen Einfluss auf die künftige Gestaltung und Durchführung von Vergabeverfahren haben, äußerte sich die Kanzlei dazu..

Die am 13.07.2022 getroffene Entscheidung ist noch nicht rechtskräftig. Zwischenzeitlich hat einer der unterlegenen Parteien eine entsprechende Beschwerde veranlasst und eingelegt. Dieser Fall wird jetzt vor dem Oberlandesgericht (Die Abkürzung davon OLG) neu verhandelt und dort entschieden.

Hier ein Rückblick zum vorherigen Beitrag mit den ersten Informationen zum Thema:

Teil 1: Datenübermittlung aus der Schweiz in die USA ungeschützt

Teil 2: Keine Daten mehr in die USA – Der EuGH hat das “Privacy Shield” für nichtig erklärt

Teil-3: Stopp Privacy Shield Datentransfer in USA: 5000 Firmen betroffen, was beachten

Microsofts Office-Cloud ist nebulöser, als es die DSGVO erlaubt