Gerichtsentscheidung: kein pauschaler Ausschluss von US-Cloud-Anbietern

„Kein Ausschluss aus Vergabeverfahren wegen Einbindung der luxemburgischen Tochtergesellschaft eines US-amerikanischen Unternehmens als Hosting-Anbieterin.“ So präsentiert das Oberlandesgericht Karlsruhe seine jüngste Entscheidung zum datenschutzrechtlich kontroversen Einsatz von US-Cloud-Providern.

Hintergrund ist die von vielen Seiten kritisierte Entscheidung der Vergabekammer Baden-Württemberg vom 13. Juli 2022 (Az. 1 VK 23/22). Sie hatte in einem Vergabeverfahren entschieden, dass in der EU ansässige Tochtergesellschaften US-amerikanischer Konzerne nicht an öffentlichen Vergaben teilnehmen dürfen, wenn Vergabegegenstand die Verarbeitung von personenbezogenen Daten ist. Zur Begründung wurde angeführt, dass damit eine unzulässige Datenübermittlung in die USA einhergeht, was wiederum gegen die Datenschutz-Grundverordnung (DS-GVO) verstoße.

Konkrete Zweifel nötig

Diese Entscheidung haben die Karlsruher Richter innerhalb von nur acht Wochen nun kassiert und die Entscheidung der Vergabekammer bereits rechtskräftig aufgehoben (Az. 15 Verg 8/22). Das Oberlandesgericht hat Vergaben an Tochtergesellschaften von nicht in der EU ansässigen Unternehmen damit aber keinen Freibrief ausgestellt: Es kommt wie so oft in der Juristerei auf die Umstände des Einzelfalls an. Im konkreten Fall hatte die luxemburgische Anbieterin zugesichert, Daten ausschließlich innerhalb Deutschlands zu verarbeiten und zu speichern. „Erst wenn sich aufgrund konkreter Anhaltspunkte Zweifel daran ergeben, muss der öffentliche Auftraggeber ergänzende Informationen einholen und die Erfüllbarkeit des Leistungsversprechens prüfen“, heißt es dazu in der Pressemitteilung. Und weiter: „Sie müssen nicht damit rechnen, dass die luxemburgische Gesellschaft vertragswidrige und gegen europäisches Recht verstoßende Weisungen befolgen und personenbezogene Daten in die USA übermitteln wird.“ Allein die Tatsache, ein Tochterunternehmen eines US-amerikanischen Konzerns zu sein, reicht für einen Vergabeausschluss also noch nicht.

Bereits zuvor war die Entscheidung der Vergabekammer von etlichen Seiten kritisiert worden. Der Landesbeauftragte für Datenschutz und Informationssicherheit sah „die von der Vergabekammer vorgenommene Gleichsetzung von Zugriffsrisiko und Übermittlung (als Verarbeitungsform nach Art. 4 Nr. 2 DS-GVO) rechtlich zweifelhaft“. Auch er verweist darauf, dass anhand eines jeden Einzelfalls über die datenschutzrechtliche Zulässigkeit befunden werden muss und hält laut einer Pressemitteilung an „Maßgaben seiner Orientierungshilfe zu Datentransfers fest; nach wie vor sind einzelfallbezogene Alternativprüfungen und nicht pauschale Transferverbote das Mittel der Wahl, die Vorgaben der DS-GVO bestmöglich umzusetzen“.

Weiter keine Sicherheit bei US-Clouds

Die Entscheidung dürfte bei US-amerikanischen Konzernen, wie Google, Amazon, Microsoft & Co. für Erleichterung sorgen. Hätte sie Bestand gehabt, hätte der pauschale Ausschluss aus zahlreichen Vergabeverfahren gedroht. Der nun entschiedene Streit wirft ein Schlaglicht auf die weithin bestehenden Unsicherheiten im Bereich der Verarbeitung personenbezogener Daten, wenn dabei ein Bezug zu einem Nicht-EU-Staat oder einem Staat ohne durch die EU-Kommission anerkanntem „angemessenen Datenschutzniveau“ besteht. Die meisten Probleme gibt es dabei im Verhältnis zu den USA. Nach der Schrems-II-Entscheidung des Europäischen Gerichtshofs vom Juli 2020 ringen die EU und die USA um ein Nachfolgeabkommen für den EU-US-Privacy Shield. An ihm wird derzeit gearbeitet. Dass nach dessen Inkrafttreten Ruhe in Datenschutzkreisen eintreten wird, dürfte in Fachkreisen keiner erwarten.

(fo)