13.09.2022
Einsatz von US-Cloud-Anbietern: Ausschluss im Vergabeverfahren möglich?
Eine digitale Anbieterin im Gesundheitsbereich darf im Vergabeverfahren nicht allein deswegen von der Auftragsvergabe ausgeschlossen werden, weil sie für das Hosting ihres Dienstes auf die Tochtergesellschaft eines US-Anbieters zurückgreift. Jetzt lesen!
Jacqueline Neiazy
Director Datenschutz
Die Anbieterin eines digitalen Entlassmanagements im Gesundheitsbereich darf im Vergabeverfahren nicht allein deswegen von der Auftragsvergabe ausgeschlossen werden, weil sie für das Hosting ihres Dienstes auf die Tochtergesellschaft eines US-Anbieters zurückgreift. Dies gilt zumindest dann, wenn diese im Vergabeverfahren zusichern, die betroffenen personenbezogenen Daten in der Europäischen Union zu verarbeiten, so das Oberlandesgericht Karlsruhe in einem am Mittwoch veröffentlichten Beschluss (OLG Karlsruhe, Beschluss vom 07.09.2022 – 15 Verg 8/22), mit dem eine umstrittene Entscheidung der Vergabekammer Baden-Württemberg von Mitte Juli aufgehoben wurde (VK Baden-Württemberg, Beschluss vom 13.07.2022 – 1 VK 23/22). Die Vergabekammer hatte in dem gegenständlichen Vergabeverfahren zunächst noch entschieden, dass Hosting-Dienste von europäischen Tochterunternehmen US-amerikanischer Cloud-Anbieter nicht in Anspruch genommen werden dürfen und sich dabei auf das latente Risiko eines Zugriffs auf personenbezogene Daten durch US-Behörden im Rahmen einer Drittlandsübermittlung gestützt.
Ihre Strategie für den besten Schutz
Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz und der Informationssicherheit. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.
Hintergrund
Drittlandübermittlungen spielen im Datenschutzrecht eine gewichtige Rolle. Seit dem Schrems II-Urteil des EuGH besteht eine erhebliche Rechtsunsicherheit, wenn es um den Einsatz von Dienstleistern außerhalb des Europäischen Wirtschaftsraums geht. Zu dieser Rechtsunsicherheit trug auch der eingangs genannte Beschluss der Vergabekammer Baden-Württemberg vom 13.07.2022 bei.
Gegenstand des Verfahrens war eine öffentliche Ausschreibung zur Beschaffung einer Software für digitales Entlassmanagement, bei der zwei Bieter ein Angebot abgegeben hatten. Als Wertungskriterien wurden auch Anforderungen an den Datenschutz und die IT-Sicherheit gestellt, welche als Bestandteil der Vergabeunterlagen mit zu berücksichtigen waren. Als eine Angebotswertung zugunsten des einen Bieters erfolgte, beantragte der unterlegene Bieter, das Vergabefahren in den Stand vor Angebotswertung zurückzuversetzen und zu wiederholen.
Der unterlegene Bieter als Antragstellerin argumentierte, dass die Beigeladene (die unterlegene Bieterin) aus der Angebotswertung ausgeschlossen werden müsse, da sie unter anderem „gegen zwingende gesetzliche Vorgaben der DSGVO“ verstoße. Die Beigeladene setze einen Unterauftragnehmer ein, welcher die Tochtergesellschaft eines in den USA ansässigen Unternehmens ist. Aufgrund der dortigen Gesetzgebung bestehe laut der Antragstellerin das Risiko, dass eine potenzielle Übermittlung der Daten in die USA nicht auszuschließen sei.
Die Antragsgegnerin führte hingegen an, dass eine theoretische Zugriffsmöglichkeit allein keine Verarbeitung darstelle und demnach auch eine Drittlandübermittlung nicht vorliege. Darüber hinaus wäre eine mögliche Datenübermittlung auch auf Grundlage der Standardvertragsklauseln zulässig, die ebenfalls von der Beigeladenen abgeschlossen wurden. Außerdem würden diese durch weitere Garantien und Schutzmaßnahmen – wie beispielsweise die Verschlüsselung der Daten – komplementiert.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Entscheidung der Vergabekammer
Die Vergabekammer entschied, dass der Einsatz der Unterauftragnehmer durch die Beigeladene nicht datenschutzkonform erfolge. Übermittlung sei jede Offenlegung personenbezogener Daten gegenüber einem Empfänger in einem Drittland oder einer internationalen Organisation, wobei es weder auf die Art der Offenlegung, noch auf die Offenlegung gegenüber einem Dritten ankomme. Eine Offenlegung liege auch dann vor, wenn auf die Daten von einem Drittland aus zugegriffen werden könne – auch wenn gar kein Zugriff erfolge. Eine reine Zugriffsmöglichkeit sorge demnach für ein „latentes Risiko, dass eine unzulässige Übermittlung personenbezogener Daten stattfinden kann, ohne dass hierfür die in der DSGVO normierten rechtlichen Grundlagen gegeben sind“. Da beim Unterauftragnehmer der Beigeladenen eine Zugriffsmöglichkeit auf in der EU gehostete Daten durch das US-amerikanische Mutterunternehmen bestehe, handele es sich um eine Drittlandübermittlung. Diese sei auch DSGVO-widrig.
Weitere Maßnahmen wie die Standortwahl des Servers innerhalb der Europäischen Union, und die Eintrittswahrscheinlichkeit des Zugriffs sollen laut der Entscheidung der Vergabekammer nicht zu einer Beseitigung des Risikos führen. Die entscheidende und spannende Frage, wie sich denn die eingesetzte Verschlüsselung der gehosteten Daten auf die Rechtskonformität auswirke, wurde jedoch durch die Vergabekammer nicht beantwortet.
Gegenteilige Argumente
Dass das Risiko einer Zugriffsmöglichkeit, ungeachtet aller vertraglichen und technischen Maßnahmen, eine Drittlandübermittlung darstellen soll, führt zu einer Reihe von praxisrelevanten Fragen. Inwiefern kann man nun für die Zukunft datenschutzkonform Auftragsverarbeiter einsetzen, die zu US-amerikanischen Mutterunternehmen gehören?
Grundsätzlich ist eine Drittlandübermittlung in die USA weiterhin auch mit dem Einsatz der Standardvertragsklauseln der EU-Kommission möglich. Es obliegt somit dem Datenexporteur – in Kooperation mit dem Empfänger im Drittland – zusätzliche ergänzende Maßnahmen zu ergreifen, um die Rechtsschutzlücken zu schließen und die Einhaltung des unionrechtlichen Schutzniveaus zu gewährleisten. Ebenfalls hat der EuGH klargestellt, dass das Schutzniveau im Drittland nicht mit dem im Europäischen Wirtschaftsraum identisch, aber in seiner Natur gleichwertig sein muss. Hierzu hat der Europäische Datenschutzausschuss (EDSA) eine Empfehlung veröffentlicht, welche als Orientierungshilfe bei der Anwendung ergänzender Maßnahmen zur Gewährleistung des unionsrechtlichen Schutzniveaus dienen soll. So werden unter anderem die Anforderungen an die Pseudonymisierung und die Verschlüsselung der personenbezogenen Daten, welche nach Ansicht des EDSA als Schutzmaßnahmen durchaus geeignet sind, näher bestimmt.
Bei der Auslegung des Übermittlungsbegriffs selbst gibt es ebenfalls abweichende Ansichten. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI B.-W.) hat eine Stellungnahme zum Beschluss der Vergabekammer veröffentlicht. Er argumentiert darin, das latente Zugriffsrisiko sei nicht ausreichend, um im Zweifelsfall eine Drittlandübermittlung zu bejahen. Die DSGVO habe keinen „risikobasierten Ansatz“ eingeführt, der somit weder zu Gunsten noch zu Lasten der jeweiligen Akteure ausgelegt werden könne. Ebenfalls bestünden gegen etwaige Zugriffsmöglichkeiten wirksame Schutzmittel durch die Verwendung von technischen und organisatorischen Maßnahmen, die das genannte Risiko eliminieren könnten.
Fazit
Im vorliegenden Fall wurde der Beschluss der Vergabekammer zwar vom OLG Karlsruhe aufgehoben und der Nachprüfungsantrag zurückgewiesen. Jedoch wurden im Rahmen dieser Entscheidung hauptsächlich vergaberechtliche Aspekte thematisiert; die offenen Fragen zur Drittlandübermittlung bleiben leider bestehen. Bei der Beurteilung der Frage des Einsatzes von Auftragsverarbeitern aus Drittländern (wie den USA) kommt es insofern weiterhin darauf an, in jedem Einzelfall genau zu prüfen, inwiefern ausreichende Maßnahmen vorliegen, um die Einhaltung des unionsrechtlichen Niveaus zum Schutz personenbezogener Daten zu gewährleisten. In der Praxis kommen hierbei insbesondere technischen Schutzmaßnahmen – wie die Verschlüsselung von personenbezogenen Daten – eine hohe Bedeutung zu. Außerdem ist vor dem Einsatz entsprechender Dienstleister gegebenenfalls ein Transfer Impact Assessment (TIA) durchzuführen.
Weitere Neuigkeiten
13.11.2024
IT Risikomanagement: Risiken identifizieren, bewerten und steuern
Datenverlust, Cyberangriffe oder Systemausfälle können den Geschäftsbetrieb massiv beeinträchtigen und Vertrauen zerstören. Wenn Sie als Unternehmensinhaber Verantwortung für IT-Infrastrukturen tragen, wissen Sie: Die richtige Strategie zur Absicherung Ihrer IT-Systeme ist entscheidend. Unser Beitrag führt Sie durch alle Fragen zum IT Risikomanagement und erklärt welche Rolle das für Ihre IT-Sicherheit spielt.
Weiterlesen … IT Risikomanagement: Risiken identifizieren, bewerten und steuern
22.10.2024
Verzeichnis von Verarbeitungstätigkeiten (VVT) einfach erklärt – mit Leitfaden & Checkliste
Wer muss ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen? Wie wird er aufgebaut? Wie oft muss das VVT aktualisiert und überprüft werden? In welcher Form und Sprache muss das VVT geführt werden? Eine Übersicht mit Checklisten und Tipps.
08.10.2024
Externer Informationssicherheitsbeauftragte (ISB): Aufgaben, Vorteile & Leistungen
- Ein externer Informationssicherheitsbeauftragter (ISB) kann dabei helfen, Bedrohungen zu kontrollieren und Sicherheitsstrategien zu optimieren.
- Er bietet unabhängige Expertise und nimmt vielfältige Aufgaben wahr, um die Einhaltung der Informationssicherheit zu gewährleisten.
- In unserem Beitrag erklären wir, welche Vorteile die Bestellung eines externen ISB hat.
Weiterlesen … Externer Informationssicherheitsbeauftragte (ISB): Aufgaben, Vorteile & Leistungen