Die Anbieterin eines digitalen Entlassmanagements im Gesundheitsbereich darf im Vergabeverfahren nicht allein deswegen von der Auftragsvergabe ausgeschlossen werden, weil sie für das Hosting ihres Dienstes auf die Tochtergesellschaft eines US-Anbieters zurückgreift. Dies gilt zumindest dann, wenn diese im Vergabeverfahren zusichern, die betroffenen personenbezogenen Daten in der Europäischen Union zu verarbeiten, so das Oberlandesgericht Karlsruhe in einem am Mittwoch veröffentlichten Beschluss (OLG Karlsruhe, Beschluss vom 07.09.2022 – 15 Verg 8/22), mit dem eine umstrittene Entscheidung der Vergabekammer Baden-Württemberg von Mitte Juli aufgehoben wurde (VK Baden-Württemberg, Beschluss vom 13.07.2022 – 1 VK 23/22). Die Vergabekammer hatte in dem gegenständlichen Vergabeverfahren zunächst noch entschieden, dass Hosting-Dienste von europäischen Tochterunternehmen US-amerikanischer Cloud-Anbieter nicht in Anspruch genommen werden dürfen und sich dabei auf das latente Risiko eines Zugriffs auf personenbezogene Daten durch US-Behörden im Rahmen einer Drittlandsübermittlung gestützt.

Hintergrund

Drittlandübermittlungen spielen im Datenschutzrecht eine gewichtige Rolle. Seit dem Schrems II-Urteil des EuGH besteht eine erhebliche Rechtsunsicherheit, wenn es um den Einsatz von Dienstleistern außerhalb des Europäischen Wirtschaftsraums geht. Zu dieser Rechtsunsicherheit trug auch der eingangs genannte Beschluss der Vergabekammer Baden-Württemberg vom 13.07.2022 bei.

Gegenstand des Verfahrens war eine öffentliche Ausschreibung zur Beschaffung einer Software für digitales Entlassmanagement, bei der zwei Bieter ein Angebot abgegeben hatten. Als Wertungskriterien wurden auch Anforderungen an den Datenschutz und die IT-Sicherheit gestellt, welche als Bestandteil der Vergabeunterlagen mit zu berücksichtigen waren. Als eine Angebotswertung zugunsten des einen Bieters erfolgte, beantragte der unterlegene Bieter, das Vergabefahren in den Stand vor Angebotswertung zurückzuversetzen und zu wiederholen.

Der unterlegene Bieter als Antragstellerin argumentierte, dass die Beigeladene (die unterlegene Bieterin) aus der Angebotswertung ausgeschlossen werden müsse, da sie unter anderem „gegen zwingende gesetzliche Vorgaben der DSGVO“ verstoße. Die Beigeladene setze einen Unterauftragnehmer ein, welcher die Tochtergesellschaft eines in den USA ansässigen Unternehmens ist. Aufgrund der dortigen Gesetzgebung bestehe laut der Antragstellerin das Risiko, dass eine potenzielle Übermittlung der Daten in die USA nicht auszuschließen sei.

Die Antragsgegnerin führte hingegen an, dass eine theoretische Zugriffsmöglichkeit allein keine Verarbeitung darstelle und demnach auch eine Drittlandübermittlung nicht vorliege. Darüber hinaus wäre eine mögliche Datenübermittlung auch auf Grundlage der Standardvertragsklauseln zulässig, die ebenfalls von der Beigeladenen abgeschlossen wurden. Außerdem würden diese durch weitere Garantien und Schutzmaßnahmen – wie beispielsweise die Verschlüsselung der Daten – komplementiert.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Entscheidung der Vergabekammer

Die Vergabekammer entschied, dass der Einsatz der Unterauftragnehmer durch die Beigeladene nicht datenschutzkonform erfolge. Übermittlung sei jede Offenlegung personenbezogener Daten gegenüber einem Empfänger in einem Drittland oder einer internationalen Organisation, wobei es weder auf die Art der Offenlegung, noch auf die Offenlegung gegenüber einem Dritten ankomme. Eine Offenlegung liege auch dann vor, wenn auf die Daten von einem Drittland aus zugegriffen werden könne – auch wenn gar kein Zugriff erfolge. Eine reine Zugriffsmöglichkeit sorge demnach für ein „latentes Risiko, dass eine unzulässige Übermittlung personenbezogener Daten stattfinden kann, ohne dass hierfür die in der DSGVO normierten rechtlichen Grundlagen gegeben sind“. Da beim Unterauftragnehmer der Beigeladenen eine Zugriffsmöglichkeit auf in der EU gehostete Daten durch das US-amerikanische Mutterunternehmen bestehe, handele es sich um eine Drittlandübermittlung. Diese sei auch DSGVO-widrig.

Weitere Maßnahmen wie die Standortwahl des Servers innerhalb der Europäischen Union, und die Eintrittswahrscheinlichkeit des Zugriffs sollen laut der Entscheidung der Vergabekammer nicht zu einer Beseitigung des Risikos führen. Die entscheidende und spannende Frage, wie sich denn die eingesetzte Verschlüsselung der gehosteten Daten auf die Rechtskonformität auswirke, wurde jedoch durch die Vergabekammer nicht beantwortet.

Gegenteilige Argumente

Dass das Risiko einer Zugriffsmöglichkeit, ungeachtet aller vertraglichen und technischen Maßnahmen, eine Drittlandübermittlung darstellen soll, führt zu einer Reihe von praxisrelevanten Fragen. Inwiefern kann man nun für die Zukunft datenschutzkonform Auftragsverarbeiter einsetzen, die zu US-amerikanischen Mutterunternehmen gehören?

Grundsätzlich ist eine Drittlandübermittlung in die USA weiterhin auch mit dem Einsatz der Standardvertragsklauseln der EU-Kommission möglich. Es obliegt somit dem Datenexporteur – in Kooperation mit dem Empfänger im Drittland – zusätzliche ergänzende Maßnahmen zu ergreifen, um die Rechtsschutzlücken zu schließen und die Einhaltung des unionrechtlichen Schutzniveaus zu gewährleisten. Ebenfalls hat der EuGH klargestellt, dass das Schutzniveau im Drittland nicht mit dem im Europäischen Wirtschaftsraum identisch, aber in seiner Natur gleichwertig sein muss. Hierzu hat der Europäische Datenschutzausschuss (EDSA) eine Empfehlung veröffentlicht, welche als Orientierungshilfe bei der Anwendung ergänzender Maßnahmen zur Gewährleistung des unionsrechtlichen Schutzniveaus dienen soll. So werden unter anderem die Anforderungen an die Pseudonymisierung und die Verschlüsselung der personenbezogenen Daten, welche nach Ansicht des EDSA als Schutzmaßnahmen durchaus geeignet sind, näher bestimmt.

Bei der Auslegung des Übermittlungsbegriffs selbst gibt es ebenfalls abweichende Ansichten. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI B.-W.) hat eine Stellungnahme zum Beschluss der Vergabekammer veröffentlicht. Er argumentiert darin, das latente Zugriffsrisiko sei nicht ausreichend, um im Zweifelsfall eine Drittlandübermittlung zu bejahen. Die DSGVO habe keinen „risikobasierten Ansatz“ eingeführt, der somit weder zu Gunsten noch zu Lasten der jeweiligen Akteure ausgelegt werden könne. Ebenfalls bestünden gegen etwaige Zugriffsmöglichkeiten wirksame Schutzmittel durch die Verwendung von technischen und organisatorischen Maßnahmen, die das genannte Risiko eliminieren könnten.

Fazit

Im vorliegenden Fall wurde der Beschluss der Vergabekammer zwar vom OLG Karlsruhe aufgehoben und der Nachprüfungsantrag zurückgewiesen. Jedoch wurden im Rahmen dieser Entscheidung hauptsächlich vergaberechtliche Aspekte thematisiert; die offenen Fragen zur Drittlandübermittlung bleiben leider bestehen. Bei der Beurteilung der Frage des Einsatzes von Auftragsverarbeitern aus Drittländern (wie den USA) kommt es insofern weiterhin darauf an, in jedem Einzelfall genau zu prüfen, inwiefern ausreichende Maßnahmen vorliegen, um die Einhaltung des unionsrechtlichen Niveaus zum Schutz personenbezogener Daten zu gewährleisten. In der Praxis kommen hierbei insbesondere technischen Schutzmaßnahmen – wie die Verschlüsselung von personenbezogenen Daten – eine hohe Bedeutung zu. Außerdem ist vor dem Einsatz entsprechender Dienstleister gegebenenfalls ein Transfer Impact Assessment (TIA) durchzuführen.

Mehr zum Thema

  • Die NIS-2-Richtlinie: Die wichtigsten Ziele und Regelungen

    Nach Inkrafttreten der NIS-2-Richtlinie am 16. Januar 2023 verbleiben Deutschland und anderen den EU-Mitgliedsstaaten nunmehr 21 Monate, um die Regelungen in nationales Recht umzusetzen und bestehende Regelungen an die neue Rechtslage anzupassen. Doch auch für die betroffenen Unternehmen besteht bereits jetzt Handlungsbedarf. Welche Neuerungen ergeben sich und was müssen Unternehmen jetzt beachten? Wir geben Ihnen in diesem Beitrag einen Überblick.

    Weiterlesen

  • EuGH Entscheidung zu Auskunftsersuchen

    Meldung: EuGH-Entscheidung zu Auskunftsersuchen nach Art. 15 DSGVO

    EuGH-Entscheidung zu Auskunftsersuchen nach Art. 15 DSGVO: Werden personenbezogene Daten offengelegt, dann muss der Verantwortliche über die konkrete Identität des Empfängers Auskunft erteilen.

    Weiterlesen

  • Google Fonts Datenschutz

    Google Fonts und Google Analytics – Können die Tools noch datenschutzkonform genutzt werden?

    Die Nutzung von Google Fonts und Google Analytics bringen datenschutzrechtliche Risiken mit sich, insbesondere nachdem europäische Gerichte und Datenschutzbehörden ihre Verwendung immer kritischer sehen. Wir geben daher einen Überblick über die Rechtslage.

    Weiterlesen