13. September 2022

Einsatz von US-Cloud-Anbietern: Ausschluss im Vergabeverfahren möglich?

Die Anbieterin eines digitalen Entlassmanagements im Gesundheitsbereich darf im Vergabeverfahren nicht allein deswegen von der Auftragsvergabe ausgeschlossen werden, weil sie für das Hosting ihres Dienstes auf die Tochtergesellschaft eines US-Anbieters zurückgreift. Dies gilt zumindest dann, wenn diese im Vergabeverfahren zusichern, die betroffenen personenbezogenen Daten in der Europäischen Union zu verarbeiten, so das Oberlandesgericht Karlsruhe in einem am Mittwoch veröffentlichten Beschluss (OLG Karlsruhe, Beschluss vom 07.09.2022 – 15 Verg 8/22), mit dem eine umstrittene Entscheidung der Vergabekammer Baden-Württemberg von Mitte Juli aufgehoben wurde (VK Baden-Württemberg, Beschluss vom 13.07.2022 – 1 VK 23/22). Die Vergabekammer hatte in dem gegenständlichen Vergabeverfahren zunächst noch entschieden, dass Hosting-Dienste von europäischen Tochterunternehmen US-amerikanischer Cloud-Anbieter nicht in Anspruch genommen werden dürfen und sich dabei auf das latente Risiko eines Zugriffs auf personenbezogene Daten durch US-Behörden im Rahmen einer Drittlandsübermittlung gestützt.

Webinar zu Schrems II

Hintergrund

Drittlandübermittlungen spielen im Datenschutzrecht eine gewichtige Rolle. Seit dem Schrems II-Urteil des EuGH besteht eine erhebliche Rechtsunsicherheit, wenn es um den Einsatz von Dienstleistern außerhalb des Europäischen Wirtschaftsraums geht. Zu dieser Rechtsunsicherheit trug auch der eingangs genannte Beschluss der Vergabekammer Baden-Württemberg vom 13.07.2022 bei.

Gegenstand des Verfahrens war eine öffentliche Ausschreibung zur Beschaffung einer Software für digitales Entlassmanagement, bei der zwei Bieter ein Angebot abgegeben hatten. Als Wertungskriterien wurden auch Anforderungen an den Datenschutz und die IT-Sicherheit gestellt, welche als Bestandteil der Vergabeunterlagen mit zu berücksichtigen waren. Als eine Angebotswertung zugunsten des einen Bieters erfolgte, beantragte der unterlegene Bieter, das Vergabefahren in den Stand vor Angebotswertung zurückzuversetzen und zu wiederholen.

Der unterlegene Bieter als Antragstellerin argumentierte, dass die Beigeladene (die unterlegene Bieterin) aus der Angebotswertung ausgeschlossen werden müsse, da sie unter anderem „gegen zwingende gesetzliche Vorgaben der DSGVO“ verstoße. Die Beigeladene setze einen Unterauftragnehmer ein, welcher die Tochtergesellschaft eines in den USA ansässigen Unternehmens ist. Aufgrund der dortigen Gesetzgebung bestehe laut der Antragstellerin das Risiko, dass eine potenzielle Übermittlung der Daten in die USA nicht auszuschließen sei.

Die Antragsgegnerin führte hingegen an, dass eine theoretische Zugriffsmöglichkeit allein keine Verarbeitung darstelle und demnach auch eine Drittlandübermittlung nicht vorliege. Darüber hinaus wäre eine mögliche Datenübermittlung auch auf Grundlage der Standardvertragsklauseln zulässig, die ebenfalls von der Beigeladenen abgeschlossen wurden. Außerdem würden diese durch weitere Garantien und Schutzmaßnahmen – wie beispielsweise die Verschlüsselung der Daten – komplementiert.


Newsletter: Bleiben Sie immer auf dem Laufenden

Verpassen Sie keine Updates rund um Datenschutz, Informationssicherheit und Compliance. Melden Sie sich noch heute bei unserem Newsletter an!

Newsletter-Anmeldung

Entscheidung der Vergabekammer

Die Vergabekammer entschied, dass der Einsatz der Unterauftragnehmer durch die Beigeladene nicht datenschutzkonform erfolge. Übermittlung sei jede Offenlegung personenbezogener Daten gegenüber einem Empfänger in einem Drittland oder einer internationalen Organisation, wobei es weder auf die Art der Offenlegung, noch auf die Offenlegung gegenüber einem Dritten ankomme. Eine Offenlegung liege auch dann vor, wenn auf die Daten von einem Drittland aus zugegriffen werden könne – auch wenn gar kein Zugriff erfolge. Eine reine Zugriffsmöglichkeit sorge demnach für ein „latentes Risiko, dass eine unzulässige Übermittlung personenbezogener Daten stattfinden kann, ohne dass hierfür die in der DSGVO normierten rechtlichen Grundlagen gegeben sind“. Da beim Unterauftragnehmer der Beigeladenen eine Zugriffsmöglichkeit auf in der EU gehostete Daten durch das US-amerikanische Mutterunternehmen bestehe, handele es sich um eine Drittlandübermittlung. Diese sei auch DSGVO-widrig.

Weitere Maßnahmen wie die Standortwahl des Servers innerhalb der Europäischen Union, und die Eintrittswahrscheinlichkeit des Zugriffs sollen laut der Entscheidung der Vergabekammer nicht zu einer Beseitigung des Risikos führen. Die entscheidende und spannende Frage, wie sich denn die eingesetzte Verschlüsselung der gehosteten Daten auf die Rechtskonformität auswirke, wurde jedoch durch die Vergabekammer nicht beantwortet.


Das könnte Sie auch interessieren:


Gegenteilige Argumente

Dass das Risiko einer Zugriffsmöglichkeit, ungeachtet aller vertraglichen und technischen Maßnahmen, eine Drittlandübermittlung darstellen soll, führt zu einer Reihe von praxisrelevanten Fragen. Inwiefern kann man nun für die Zukunft datenschutzkonform Auftragsverarbeiter einsetzen, die zu US-amerikanischen Mutterunternehmen gehören?

Grundsätzlich ist eine Drittlandübermittlung in die USA weiterhin auch mit dem Einsatz der Standardvertragsklauseln der EU-Kommission möglich. Es obliegt somit dem Datenexporteur – in Kooperation mit dem Empfänger im Drittland – zusätzliche ergänzende Maßnahmen zu ergreifen, um die Rechtsschutzlücken zu schließen und die Einhaltung des unionrechtlichen Schutzniveaus zu gewährleisten. Ebenfalls hat der EuGH klargestellt, dass das Schutzniveau im Drittland nicht mit dem im Europäischen Wirtschaftsraum identisch, aber in seiner Natur gleichwertig sein muss. Hierzu hat der Europäische Datenschutzausschuss (EDSA) eine Empfehlung veröffentlicht, welche als Orientierungshilfe bei der Anwendung ergänzender Maßnahmen zur Gewährleistung des unionsrechtlichen Schutzniveaus dienen soll. So werden unter anderem die Anforderungen an die Pseudonymisierung und die Verschlüsselung der personenbezogenen Daten, welche nach Ansicht des EDSA als Schutzmaßnahmen durchaus geeignet sind, näher bestimmt.

Bei der Auslegung des Übermittlungsbegriffs selbst gibt es ebenfalls abweichende Ansichten. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI B.-W.) hat eine Stellungnahme zum Beschluss der Vergabekammer veröffentlicht. Er argumentiert darin, das latente Zugriffsrisiko sei nicht ausreichend, um im Zweifelsfall eine Drittlandübermittlung zu bejahen. Die DSGVO habe keinen „risikobasierten Ansatz“ eingeführt, der somit weder zu Gunsten noch zu Lasten der jeweiligen Akteure ausgelegt werden könne. Ebenfalls bestünden gegen etwaige Zugriffsmöglichkeiten wirksame Schutzmittel durch die Verwendung von technischen und organisatorischen Maßnahmen, die das genannte Risiko eliminieren könnten.

Fazit

Im vorliegenden Fall wurde der Beschluss der Vergabekammer zwar vom OLG Karlsruhe aufgehoben und der Nachprüfungsantrag zurückgewiesen. Jedoch wurden im Rahmen dieser Entscheidung hauptsächlich vergaberechtliche Aspekte thematisiert; die offenen Fragen zur Drittlandübermittlung bleiben leider bestehen. Bei der Beurteilung der Frage des Einsatzes von Auftragsverarbeitern aus Drittländern (wie den USA) kommt es insofern weiterhin darauf an, in jedem Einzelfall genau zu prüfen, inwiefern ausreichende Maßnahmen vorliegen, um die Einhaltung des unionsrechtlichen Niveaus zum Schutz personenbezogener Daten zu gewährleisten. In der Praxis kommen hierbei insbesondere technischen Schutzmaßnahmen – wie die Verschlüsselung von personenbezogenen Daten – eine hohe Bedeutung zu. Außerdem ist vor dem Einsatz entsprechender Dienstleister gegebenenfalls ein Transfer Impact Assessment (TIA) durchzuführen.

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!