Vergabekammer Baden-Württemberg, Beschluss vom 13. Juli 2022 (Az. 1 VK 23/22)

Seit Inkrafttreten der DSGVO ist die Erfüllung der datenschutzrechtlichen Anforderungen bei öffentlichen Aufträgen ein Dauerthema. Dies gilt umso mehr seit dem Wegfall des EU-US Privacy Shields (EuGH, Urteil vom 16. Juli 2020 – Az. C-311/18).

Es ist gängige Praxis, die Erfüllung der Anforderungen der DSGVO durch bestimmte vertragliche Vereinbarungen sicherzustellen, den „Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer“ (Standardvertragsklauseln). Entsprechende Vertragsmuster werden von der Europäischen Kommission (hier) zur Verfügung gestellt. Anhand dieser Standardvertragsklauseln ist es insbesondere US-amerikanischen Anbietern von IT-Dienstleistungen möglich, öffentliche Aufträge im Geltungsbereich der DSGVO zu erbringen.

Nun hat die Vergabekammer Baden-Württemberg mit Beschluss vom 13. Juli 2022 (Az. 1 VK 23/22) eine bemerkenswerte Rechtsauffassung dazu vertreten. Demnach liegt eine unzulässige Datenübermittlung in Drittländer außerhalb des Geltungsbereichs der DSGVO auch dann vor, wenn der betroffene Server sich zwar innerhalb der EU befindet, aber von einer in der EU ansässigen Tochtergesellschaft einer US-amerikanischen Muttergesellschaft betrieben wird. Dies gilt selbst dann, wenn Standardvertragsklauseln vereinbart wurden.

In dem zugrunde liegenden Fall ging es um die Beschaffung einer Software im Bereich des Managements von Pflegeplätzen. Die Vergabeunterlagen enthielten unter anderem die folgenden „Anforderungen an IT-Sicherheit und Datenschutz: […]

  • Erfüllung der Anforderungen aus der DS-GVO und dem BDSG […]
  • Daten werden ausschließlich in einem EU-EWR Rechenzentrum verarbeitet bei dem keine Subdienstleister / Konzernunternehmen in Drittstaaten ansässig sind“.

Nach der Wertung der Angebote wurde das Angebot eines Bieters für den Zuschlag vorgesehen. Dieser Bieter hatte mit seinem Angebot als Unterauftragnehmer für die Erbringung von Server- und Hostingleistungen die Tochtergesellschaft einer in den USA ansässigen Muttergesellschaft vorgesehen.

Als physischer Standort der Server wurde Deutschland angegeben. Im Zusammenhang mit der Unterbeauftragung wurden die üblichen Standardvertragsklauseln vereinbart.

Dagegen wandte sich eine erfolglose Konkurrentin mit einem Nachprüfungsantrag. Sie rügte, dass der für den Zuschlag vorgesehene Bieter mit seinem Angebot gegen zwingende gesetzliche Vorgaben der DSGVO verstoßen habe, die Bestandteil der Vergabeunterlagen seien. Als Begründung führte sie an, dass die Muttergesellschaft des für Server- und Hostingleistungen vorgesehenen Unterauftragnehmers in Drittstaaten ansässig sei. Damit liege eine unzulässige Übermittlung personenbezogener Daten in Drittländer außerhalb der EU vor, weil das „US-Überwachungsrecht“ ein „latentes Risiko“ schaffe, dass es zu einer effektiven Übermittlung in die USA komme.

Die Rüge hatte Erfolg: Nach Ansicht der VK Baden- Württemberg liegt in der beschriebenen Konstellation bereits eine unzulässige Übermittlung von personenbezogenen Daten in ein Drittland außerhalb der EU vor. Allein die Möglichkeit, dass auf personenbezogene Daten von der US-amerikanischen Muttergesellschaft zugegriffen werden könne, führe zu einer „Weitergabe“ im Sinne der DSGVO, und zwar unabhängig davon, ob ein solcher Zugriff tatsächlich erfolgt. Dies sei nach Wegfall des EU-US Privacy Shields unzulässig, selbst wenn die üblichen Standardvertragsklauseln vereinbart wurden.

Einschätzung

Die (noch nicht bestandskräftige) Entscheidung wird einerseits von verschiedenen Seiten kritisiert, andererseits von Datenschutzrechtler*innen durchaus begrüßt. Die zentrale Wertung der VK Baden-Württemberg, dass bereits die abstrakte Zugriffsmöglichkeit als unzulässige Übermittlung personenbezogener Daten im Sinne der DSGVO einzuordnen sei, erscheint schwer nachzuvollziehen. Falls der Beschluss bestandskräftig wird, könnte dies dazu führen, dass alle Bieter mit entsprechenden konzernrechtlichen Verbindungen in Drittländer (insbesondere in die USA) einen Ausschluss aus den betroffenen Vergabeverfahren befürchten müssten. Im Einzelfall kann ggf. dadurch Abhilfe geschaffen werden, dass ein europäisches Unternehmen den Server betreibt und die entsprechenden Zugriffsrechte allein ihm zustehen.

Der Beschluss ist hier online veröffentlicht.

Autor

Leo Lerch
Tel: +49 30 208 88 1514

Haben Sie Fragen oder weiteren Informationsbedarf?

Sprechen Sie uns an

Dies ist ein Beitrag aus unserem Public Sector Newsletter 3-2022. Die gesamte Ausgabe finden Sie hier. Sie können diesen Newsletter auch abonnieren und erhalten die aktuelle Ausgabe direkt zum Erscheinungstermin.

Kontakt