Wichtige Neuigkeiten zu Dienstleistern mit Drittland-Hintergrund!

Schlagworte: Datentransfer | Drittländer

Die Vergabekammer Baden-Württemberg hat kürzlich in einer Vergabesache entschieden, die weitreichende Auswirkungen auf die Datenschutzwelt hat. Konkret ging es um die Frage, ob bei dem Einsatz von Dienstleistern, die europäische Tochtergesellschaft eines US-Unternehmens und somit  Teil eines US-Konzerns sind, bereits Datenübermittlungen in Drittländer entstehen, die zu legitimieren sind. Die Vergabekammer bejahte dies. Aber beginnen wir von vorne.

Aufgaben einer Vergabekammer

Viele von Ihnen fragen sich jetzt vielleicht (übrigens ebenso, wie viele von uns): Was macht überhaupt eine Vergabekammer? Primäre Aufgabe einer Vergabekammer ist die Durchführung von Nachprüfungsverfahren auf Grundlage der §§ 155 ff. des Gesetzes gegen Wettbewerbsbeschränkungen (GWB). Fühlt sich beispielsweise ein Unternehmen, das an einer öffentlichen Ausschreibung teilgenommen hat, in seinen Rechten verletzt, so kann es bei der Vergabekammer entsprechende Anträge zur Prüfung stellen. Die Vergabekammer entscheidet dann darüber, ob mit der Vergabe des Auftrags tatsächlich eine Rechtsverletzung des Antragstellers einhergeht.

Der Sachverhalt

Im vorliegenden Fall (Beschluss vom 13.07.2022, Az. 1 VK 23/22) hatte die Vergabekammer Baden-Württemberg im Rahmen der Vergabe eines Auftrags zur Bereitstellung einer Plattform zu entscheiden. Die Antragstellerin rügte in diesem Fall die Vergabe des Auftrags an ein konkurrierendes Unternehmen, welches zur Erbringung der geforderten Leistungen Hosting-Dienstleistungen von einer europäischen Tochtergesellschaft eines US-Anbieters in Anspruch nahm.

Die Stelle, die das Vergabeverfahren ausschrieb (die Antragsgegnerin), hatte im Rahmen des Lastenhefts gefordert, dass die Anforderungen aus der DSGVO und dem BDSG erfüllt und Daten ausschließlich in einem EU-EWR-Rechenzentrum verarbeitet werden sollen, d. h. keine Subdienstleister oder Konzernunternehmen in Drittstaaten Daten verarbeiten dürfen.

Das Unternehmen, welches den Zuschlag der Vergabestelle bekam, nutzt zur Bereitstellung der in der Ausschreibung gewünschten Plattform einen Dienstleister mit Sitz innerhalb der EU. Der Anbieter ist allerdings als europäische Tochtergesellschaft Teil eines US-Konzerns. Der vereinbarte physische Serverstandort befindet sich jedoch in Deutschland. Im abgeschlossenen Standardvertrag zwischen dem „Gewinner“-Unternehmen und dem Anbieter der genutzten Hosting-Dienstleistung hat sich der Anbieter zudem verpflichtet, die Daten nicht außerhalb der festgelegten Region (hier Deutschland) zu verarbeiten, sofern eine solche Verarbeitung nicht zur Bereitstellung der Services oder zur Erfüllung rechtlicher Pflichten erforderlich sei.

Die Antragstellerin trug nun vor, dass die Antragsgegnerin den Auftrag rechtswidrig an das konkurrierende Unternehmen vergeben habe. Dieses könne die geforderte datenschutzkonforme Verarbeitung aufgrund der Nutzung der Hosting-Dienstleistungen nicht sicherstellen, da mit der Nutzung des Anbieters eine unrechtmäßige Übermittlung von personenbezogenen Daten an ein unsicheres Drittland (hier die USA) stattfinde.

Die Vergabekammer hatte nun also zu entscheiden, ob mit der Nutzung von Dienstleistern, die als europäische Tochtergesellschaft eines US-Konzerns auftreten, eine unrechtmäßige Datenübermittlung in die USA einhergeht, obwohl die Daten grundsätzlich auf Servern innerhalb der EU/des EWR verarbeitet werden.

Die Entscheidung

Die Vergabekammer gab der Antragstellerin recht und kam zu dem Schluss, dass auch in dieser Konstellation eine Übermittlung von Daten im Sinne der Art. 44 ff. DSGVO stattfindet. Diese sei zu legitimieren. Der Abschluss von Standardvertragsklauseln (gem. Art. 46 Abs. 1 lit. c) DSGVO) genüge dabei als alleinige Rechtfertigungsmaßnahmen nicht. Zusätzliche Maßnahmen zum Schutz der Daten habe das Unternehmen nicht getroffen, auch andere Legitimationsgründe lägen nicht vor.

Die Gründe

Die zentrale Frage war, ob durch eine theoretische Möglichkeit des Zugriffs durch Unternehmen und Stellen in den USA auf Daten, die auf Servern in der EU gespeichert sind, bereits eine Übermittlung im Sinne der Art. 44 ff. DSGVO vorliegt. In den Augen der Vergabekammer liegt eine solche Übermittlung auch in dieser Konstellation bereits vor. Die Gründe lesen sich dabei wie folgt (Rn. 60 ff.):

  • Der Übermittlungsbegriff sei weit auszulegen und umfassend zu verstehen.
  • Auf die Art der Offenlegung bzw. die Offenlegung gegenüber einem Dritten komme es dabei nicht an.
  • Eine Übermittlung liege auch dann vor, wenn aus einem Drittland auf Daten zugegriffen werden kann. Dies sei unabhängig davon, ob der Zugriff auch tatsächlich erfolgt.
  • Es sei zudem unerheblich, ob der Server, über den die Daten zugänglich gemacht werden, innerhalb der EU gelegen ist.
  • Die alleinige Zugriffsmöglichkeit konstituiere ein latentes Risiko, dass eine unzulässige Übermittlung personenbezogener Daten stattfinden kann.
  • Es komme nicht darauf an, ob und wie naheliegend der Eintritt von Umständen (hier der Zugriff auf Daten durch die Muttergesellschaft oder US-Behörden) ist. Das latente Risiko könne sich jederzeit realisieren.

Interessant ist darüber hinaus die Bewertung der Vergabekammer im Hinblick auf die getroffenen Zusatzmaßnahmen der Parteien. So würden die Daten zwar verschlüsselt verarbeitet und der Anbieter verpflichte sich, etwaige rechtswidrige Anfragen von US-Behörden anzufechten, dies genüge allerdings nicht, um das (latente) Risiko einer Datenübermittlung im Falle eines Zugriffs zu beseitigen.

Einordnung der Entscheidung

Die Entscheidung der Vergabekammer ist höchst interessant und könnte aktueller nicht sein. Denn viele Anbieter im Bereich der Hosting- und Software-Dienstleistungen greifen zur vermeintlichen Legitimation der Datenverarbeitungen auf das hier geprüfte Konstrukt zurück. Die Vergabekammer macht nun deutlich, was eigentlich alle befürchtet hatten: Es genügt nicht, dass Daten auf Servern innerhalb der EU gespeichert sind. Durch die umfassenden Befugnisse der US-Behörden kann ein Zugriff dieser auch auf in der EU ansässige Daten nicht ausgeschlossen werden. Zudem hilft auch die Bereitstellung der Leistungen durch europäische Tochtergesellschaften nicht, um das Dilemma von unrechtmäßigen Datenübermittlungen in die USA aus der Welt zu schaffen.

Ein auch nur theoretisches Risiko eines solchen Zugriffs durch Stellen in unsicheren Drittländern genügt, um den Tatbestand der Übermittlung im Sinne der Art. 44 ff. DSGVO zu erfüllen. Es ist dabei unerheblich, ob es wahrscheinlich ist, dass das Ereignis auch tatsächlich eintritt. Die Vergabekammer erteilt damit auch der Anwendung des risikobasierten Ansatzes im Bereich der Drittlandübermittlungen eine klare Absage.

Die Entscheidung ist aktuell noch nicht rechtskräftig. Es bleibt daher spannend, ob der Beschluss in dieser Gestalt Bestand hat.

Was nun?

Die Empfehlung kann daher nur eine sein: Finger weg von Dienstleistern mit Verbindungen in die USA (oder andere unsichere Drittländer), sofern dies irgendwie möglich ist und nicht  tatsächlich wirksame Maßnahmen zur Vermeidung von externen Zugriffen getroffen wurden.

Quelle: Beschluss vom 13.07.2022, Az. 1 VK 23/22

 


Unsere aktuellen News gibt es auf unserer Startseite und alle News in unserem Newsarchiv