Neues zum Datenschutzrecht
16.9.2022
OLG Karlsruhe zum Einsatz von Cloud-Providern innerhalb der EU mit US-Konzernmutter
Das OLG Karlsruhe hat mit Beschluss vom 7.9.2022 (Az. 15 Verg 8/22) entschieden, dass ein Anbieter aus einem Vergabeverfahren nicht aus dem Grund ausgeschlossen werden durfte, dass er im Rahmen seines Angebots die luxemburgische Tochtergesellschaft eines US-amerikanischen Unternehmens als Hosting-Dienstleister einsetzt. Das bloße Risiko eines Zugriffs auf personenbezogene Daten durch US-Behörden reicht nicht aus, um von einem Verstoß gegen die DSGVO und damit von einem Abweichen von den Datenschutzanforderungen der Ausschreibung auszugehen. Damit hob das Gericht die anderslautende Entscheidung der Vergabekammer Baden-Württemberg vom 13.7.2022 (Az. 1 VK 23/22) auf. Die Entscheidung des OLG Karlsruhe ist rechtskräftig.
Das Fazit kommt zwar erst weiter unten, aber um es gleich vorweg zu nehmen: Der Beschluss des OLG Karlsruhe ist weder ein „Freibrief“ für die Inanspruchnahme von Hosting-Dienstleistungen eines in der EU ansässigen Cloud-Anbieters mit US-amerikanischer Konzernmutter noch liefert er belastbare Argumente für eine „wenige strikte Auffassung“ zur Datenübermittlung in die USA und andere Drittländer.
Sachverhalt und Entscheidung
Im Rahmen eines Vergabeverfahrens zweier kommunaler Krankenhausgesellschaften für ein digitales „Entlassmanagement für Patienten“ gab es die im Detail konkretisierte Vorgabe, dass die datenschutzgesetzlichen Anforderungen eingehalten werden. Ein Anbieter sicherte in seinen Angebotsunterlagen zu, dass die Daten nur durch das von ihm als Dienstleister eingebundene luxemburgische Tochterunternehmen eines US- Konzerns und ausnahmslos auf einem in Deutschland stehenden Server verarbeitet würden.
Die Vergabekammer Baden-Württemberg (Az. 1 VK 23/22) schloss diesen Anbieter aus, da der vorgesehene Einsatz des luxemburgischen Unternehmens gegen die DSGVO verstoße und damit nicht den Vergabevorgaben entsprach. Die Nutzung von Hosting-Diensten der luxemburgischen Tochtergesellschaft eines US-Konzerns gehe mit einer unzulässigen Datenübermittlung in die USA, also in ein Drittland, einher. Für diesen Verstoß gegen Art. 44 ff. DSGVO reiche bereits das latente Risiko eines Zugriffs von staatlichen und privaten Stellen außerhalb der EU. Es komme nicht darauf an, ob der Zugriff tatsächlich erfolgt. Zudem seien die zwischen der luxemburgischen Tochtergesellschaft und der US-Konzernmutter vereinbarten Standarddatenschutzklauseln nicht geeignet, die in Frage stehende Datenübermittlung zu legitimieren. Die insoweit erfolgte Verpflichtung der Tochtergesellschaft, zu weit gehende oder unangemessene Anfragen staatlicher Stellen einschließlich solcher Anfragen, die im Widerspruch zum Recht der EU oder zum geltenden Recht der Mitgliedsstaaten stehen, anzufechten, beseitige das latente Risiko eines Zugriffs nicht. Gleiches gelte für die eingesetzte Verschlüsselungstechnik.
Nach Ansicht des OLG Karlsruhe (Az. 15 Verg 8/22) kommt es im Hinblick auf das Versprechen des Anbieters, die Daten ausschließlich in Deutschland zu verarbeiten, nicht darauf an, ob der Anbieter begleitende organisatorische und technische Maßnahmen wie eine sichere Verschlüsselung zusagte, die erforderlich sind, damit eine Übermittlung von Daten in die USA im Einklang mit den Bestimmungen der DSGVO steht.
Im Rahmen der Nachprüfung einer Vergabeentscheidung ist grundsätzlich davon auszugehen, dass ein Anbieter seine vertraglichen Zusagen erfüllen wird. Erst wenn sich aufgrund konkreter Anhaltspunkte Zweifel daran ergeben, muss der öffentliche Auftraggeber ergänzende Informationen einholen. Wurden dagegen – wie im entschiedenen Fall – vom Anbieter eindeutige datenschutzrechtliche Zusicherungen gemacht, die zudem im Vertrag zwischen dem Anbieter und dessen Hosting-Dienstleister vertraglich abgebildet waren, kann auf dieser Grundlage berechtigt darauf vertraut werden, dass der Anbieter diese Vorgaben – auch im Verhältnis zu seinem Hosting-Dienstleister vertragsgemäß umsetzen wird.
Keine Zweifel kann der Umstand begründen, dass der luxemburgische Cloud-Dienstleister Verträge im Allgemeinen unter Einbeziehung eines GDPR Data Processing Addendum schließe, das u.a. einen Vorbehalt enthält, der es ihm erlaube, die im Auftrag des Kunden verarbeiteten Daten auch ohne bzw. entgegen einer Weisung des Kunden offenzulegen und in ein Drittland zu übermitteln, wenn dies notwendig sei, um Gesetze oder verbindlichen Anordnungen einer staatlichen Behörde einzuhalten. Das GDPR Data Processing Addendum war nicht Gegenstand des Angebots und die Verträge waren nach den Vergabeunterlagen auch nicht vorzulegen, was auch nicht erfolgt ist. Daher bestand keine Veranlassung, an den im Leistungsversprechen gemachten Zusicherungen zu zweifeln, weil das GDPR Data Processing Addendum möglicherweise datenschutzrechtliche Defizite aufweisen könnte, wie dies die Vergabekammer aufgezeigt hat oder aus dem Grund, dass deren Formulierung als dreiseitige Vereinbarung, in die auch die US-Konzernmutter der luxemburgischen Tochtergesellschaft einbezogen ist. Aufgrund des im Angebot beschriebenen Leistungsversprechens und den abgegebenen Garantien in Bezug auf die konkrete Auftragsdurchführung kann davon ausgegangen werden, dass der Anbieter sich hieran hält und seine Verträge mit dem luxemburgischen Dienstleister entsprechend gestaltet und zwar ungeachtet etwaiger Bestimmungen im GDPR Data Processing Addendum. Der Anbieter hat dafür Sorge zu tragen, dass er seine Leistung entsprechend der abgegebenen Garantien umsetzt und durchführt.
Keine Zweifel kann auch der Umstand begründen, dass der vom Anbieter eingesetzte Dienstleister ein Tochterunternehmen eines US-amerikanischen Konzerns ist. Man muss nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.
Fazit
Die Entscheidung des OLG Karlsruhe muss sorgfältig gelesen werden, um keine falschen Schlüsse zu ziehen.
Das Gericht hat nicht entschieden, ob im zugrunde liegenden Fall die Voraussetzungen für einen datenschutzrechtkonformen Datentransfer in die USA auf Basis der vorhandenen Standarddatenschutzklauseln zulässig sei. Es hat sich auch nicht mit dem Begriff der Übermittlung und der Argumentation der Vergabekammer auseinandergesetzt, dass allein die Möglichkeit eines heimlichen Datenzugriffs durch US-Behörden schon zu einer unzulässigen Übermittlung der Daten führe.
Das OLG Karlsruhe hat lediglich entschieden, dass in Angeboten abgegebene Leistungsversprechen bzw. Garantien im Rahmen von Vergabeverfahren nicht ohne begründete Zweifel negiert werden dürfen und aus diesem Grund zu einem Ausschluss vom Vergabeverfahren führen können. Im Rahmen der Nachprüfung einer Vergabeentscheidung ist grundsätzlich davon auszugehen, dass ein Anbieter seine im Rahmen des Angebots gemachten vertraglichen Zusagen erfüllen wird. Daher dürfen auch Anbieter, die sich US-Unternehmen zur Erbringung von Hostings-Dienstleistungen etc. bedienen, nicht generell von Vergabeverfahren ausgeschlossen werden, wenn sie zusichern, die Daten in der EU zu verarbeiten. Nur wenn sich aufgrund konkreter Anhaltspunkte Zweifel ergeben, muss der öffentliche Auftraggeber ergänzende Informationen einholen. Das Vorliegen etwaiger Anhaltspunkte hat Gericht geprüft und verneint.
Wie die datenschutzrechtskonforme Umsetzung in der Praxis tatsächlich erfolgen kann und soll, ist dagegen offengeblieben. Möglicherweise wird sich der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI W-B) noch hierzu äußern. In einer Stellungnahme zum Beschluss der Vergabekammer B-W wies der LfDI B-W jedenfalls explizit darauf hin, die Rechtmäßigkeit weiterhin nach Maßgabe seiner „Orientierungshilfe: Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer?“ im Einzelfall zu beurteilen und nicht auf pauschale Transferverbote zu setzen. Daran wird sich vermutlich auch nach der Entscheidung des OLG Karlsruhe nichts ändern.
Unter datenschutzrechtlichen Gesichtspunkten bleibt festzuhalten, dass die Entscheidung kein „Freibrief“ für die Inanspruchnahme von Hosting-Dienstleistungen eines in der EU ansässigen Cloud-Anbieters mit US-amerikanischer Konzernmutter ist. Die Voraussetzungen für eine datenschutzrechtskonforme Verarbeitung in den USA und anderen Drittstaaten müssen weiterhin erfüllt werden. Die Entscheidung des OLG Karlsruhe kann daher auch keinen wirklichen Beitrag zur Lösung des Problems des Drittlandtransfers liefern.
Sollten Sie Fragen zur Datenübermittlung in Drittländer oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.
Zurück zur Übersicht