Cloud-Dienste: Vergabekammer verbietet Angebot von US-Tochterunternehmen

Die EU-Tochter einer US-Firma darf nicht an einem Vergabeverfahren teilnehmen, weil sie Daten in die USA übermitteln könnte. Ob sie es tut, sei unerheblich.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 73 Beiträge
Von
  • Tobias Haar

Die Vergabekammer Baden-Württemberg hat mit einem noch nicht rechtskräftigen Beschluss ein Schlaglicht auf die weiterhin nicht abschließend geklärte Frage der Übermittlung personenbezogener Daten aus der EU in die USA geworfen.

Im konkreten Fall hatte sich ein in der EU ansässiges Tochterunternehmen eines US-Anbieters für Server- und Cloud-Dienstleistungen an einem Vergabeverfahren beteiligt. Obwohl sich die zur Leistungserbringung eingesetzten Server innerhalb der EU befanden, hat die Vergabekammer einen Verstoß gegen die Datenschutz-Grundverordnung festgestellt.

Durch diesen Verstoß sei ein entsprechendes Angebot aus dem Vergabeverfahren auszuschließen, da es nicht den Vergabeunterlagen entspricht, so die Vergabekammer. Dies ist der Fall, da die Anbieterin „keine mit dem anwendbaren Datenschutzrecht zu vereinbarende Leistungserbringung anbietet“.

Nach ihrer Entscheidung genügt die bloße Möglichkeit des Zugriffs auf personenbezogene Daten durch das US-Mutterunternehmen, um eine Übermittlung in die USA zu unterstellen. Ob es tatsächlich zu einem solchen Datenfluss kommt, ist danach unerheblich. Die bloße Möglichkeit genügt.

Im Beschluss der Vergabekammer heißt es: „Eine in diesem Zusammenhang berücksichtigungsfähige Offenlegung ist auch dann anzunehmen, wenn eine Einstellung personenbezogener Daten auf eine Plattform erfolgt, auf die von einem Drittland aus zugegriffen werden kann, und zwar unabhängig davon, ob der Zugriff tatsächlich erfolgt.“ Auf den physischen Standort des Servers kommt es dann nicht an.

Die Vergabekammer kommt in ihrem Beschluss auch zu dem Ergebnis, dass die Verwendung der so genannten EU-Standarddatenschutzklauseln im konkreten Fall nicht ausreicht, um einen Verstoß gegen die DSGVO auszuschließen. Selbst die Verpflichtung gegen etwaige staatliche Anordnungen auf Zugriff auf personenbezogene Daten durch Anfechtung vorzugehen, „beseitigt das latente Risiko eines Zugriffs durch ebendiese Stellen nicht“.

Sollte der Beschluss der Vergabekammer Bestand haben, könnten US-Konzerne selbst dann von Vergabeverfahren ausgeschlossen werden, wenn sie Server zur Verarbeitung personenbezogener Daten innerhalb der EU durch Tochterunternehmen bereitstellen. Letztlich könnte dies auch Auswirkungen auf die Zusammenarbeit privater Unternehmen mit solchen Diensteanbietern haben, denn die datenschutzrechtliche Beurteilung hängt nicht davon ab, ob staatliche Stellen oder private Unternehmen derlei Dienste in Anspruch nehmen.

Hintergrund des Verfahrens ist einmal mehr die Entscheidung des Europäischen Gerichtshofs vom 16. Juli 2020. Darin hatte dieser Übermittlungen personenbezogener Daten auf Basis des EU-US Privacy Shield untersagt (sogenanntes Schrems-II-Urteil).

Derzeit arbeiten die EU-Kommission und zuständige Stellen in den USA an einem Nachfolgeabkommen. Mit einem Abschluss und einer anschließenden sogenannten Angemessenheitsentscheidung der EU-Kommission rechnen Fachleute nicht vor Ende des Jahres.

Mehr von iX Magazin Mehr von iX Magazin

(jvo)