Daneben gilt es zudem den Cloud Act zu beachten, der die US-Ermittlungsbehörden dazu ermächtigen kann, Unternehmen zur Herausgabe personenbezogener Daten zu verpflichten, auch wenn diese ausschließlich im US-Ausland verarbeitet wurden. Voraussetzung hier ist, dass der Hauptsitz des Mutterkonzerns in den USA liegt und das Tochterunternehmen Zugriff auf die entsprechenden Daten hat. (Vladeck in: „Gutachten zum aktuellen Stand des US-Überwachungsrechts“ S. 14).
Mit der Thematik des Drittlandtransfers, insbesondere wann ein solcher zu bejahen ist und wie viel Wert vertraglichen Zusagen beizumessen ist, haben sich jüngst auch die Vergabekammer Baden-Württemberg und im Anschluss das OLG Karlsruhe auseinandergesetzt.
Ursprungssachverhalt
Am 03.11.2021 ist ein Vergabeverfahren zur Beschaffung einer Software für Digitales Entlassmanagement im offenen Verfahren europaweit ausgeschrieben worden. Im entsprechenden Lastenheft wurde unter anderem bestimmt (Az. 1 VK 23/22, Rn. 10):
- Erfüllung der Anforderungen aus der DS-GVO und dem BDSG […]
- Daten werden ausschließlich in einem EU-EWR Rechenzentrum verarbeitet, bei dem keine Subdienstleister / Konzernunternehmen in Drittstaaten ansässig sind […]
Den Zuschlag erhielt ein Unternehmen, welches als Unterauftragnehmer für die Erbringung von Server- und Hosting Leistungen ein in der EU ansässiges US-Tochterunternehmen beschäftigte. Der physische Serverstandort des Unterauftragnehmers ist dabei in Deutschland. Dagegen wehrte sich ein Mitbewerber vor der Vergabekammer Baden-Württemberg.
Beschluss der Vergabekammer Baden-Württemberg
Im Beschluss vom 13.07.2022 (Az. 1 VK 23/22) hat die Vergabekammer entschieden, das Angebot der den Zuschlag erhaltenen Partei verstoße gegen die Art. 44 ff. DS-GVO und entspreche damit nicht den Anforderungen aus den Vergabeunterlagen. Durch die Nutzung von Diensten des US-Tochterunternehmens als Unterauftragsverarbeiter würde ein Risiko eines unberechtigten Zugriffs durch drittstaatliche Ermittlungsbehörden geschaffen werden. Dieses latente Risiko sei bereits mit einer Datenübermittlung ins Drittland gleichzusetzen, sodass ein besonderer Erlaubnistatbestand der Art. 44 ff. DS-GVO vorliegen müsste, um eine Übermittlung zu rechtfertigen (Rn. 73 ff.).
Neben den möglichen Erlaubnisgründen wie einem Angemessenheitsbeschluss i.S.d. Art. 45 Abs. 1 DS-GVO oder dem Ausnahmetatbestand nach Art. 49 DS-GVO hat die Beschlusskammer auch das Vorliegen eines Erlaubnisgrundes nach Art. 46 DS-GVO verneint. Danach bieten die Standardvertragsklauseln grundsätzlich eine Legitimationsmöglichkeit eines Drittlandtransfers. Standarddatenschutzklauseln allein sind jedoch nicht geeignet, Übermittlungen per se zu legitimieren. Diese binden lediglich die am Vertrag beteiligte Parteien, nicht aber weitere, insbesondere staatliche Stellen. Es bedarf insofern einer Einzelfallprüfung, ob die personenbezogenen Daten auch nach einer Drittstaatenübermittlung ein Schutzniveau genießen, welches dem Schutzniveau innerhalb der EU/des EWR entspricht und die Daten insbesondere vor einem unrechtmäßigen Zugriff durch entsprechende Behörden geschützt sind. Unter Umständen ist das Ergreifen zusätzlicher Schutzmaßnahmen (bspw. Verschlüsselung) erforderlich um das Schutzniveau aufrechtzuerhalten.
Die Standardvertragsklauseln wurden vorliegend zwischen der Auftraggeberin und der Auftragnehmerin geschlossen, den Katalog mit zusätzlichen Maßnahmen hat die Auftragnehmerin jedoch nur in geschwärzter Form herausgegeben. Die Vergabekammer entschied, dass damit keine hinreichenden Garantien i.S.d. Art. 44 ff. DS-GVO vorlägen und insbesondere keine Einzelfallbewertung unter gegebenen Umständen durchzuführen sei.
Im Ergebnis beschloss die Vergabekammer, dass der erfolgte Zuschlag zurückzunehmen und neu zu vergeben sei. Dagegen wehrte sich die unterlegene Partei vor dem OLG Karlsruhe.
Entscheidung des OLG Karlsruhe
Das OLG Karlsruhe hob nunmehr am 07.09.2022 (Az. 15 Verg 8/22) den Beschluss der Vergabekammer auf. Bezogen auf einen möglichen Drittlandtransfer stellte das OLG fest:
„Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.“ (Rn. 50). Zudem dürfe der öffentliche Auftraggeber darauf vertrauen, dass die vom Bieter abgegebenen Zusagen eingehalten werden können. Nur bei Vorliegen konkreter Anhaltspunkte dafür, dass den Zusagen nicht entsprochen werden können, müsse dieser ergänzende Informationen einholen. (Rn. 43)
Mit der Frage, ob mit Vorliegen eines latenten Zugriffsrisikos bereits eine Übermittlung zu bejahen ist hat sich das OLG hingegen nicht im Detail auseinandergesetzt. Erwähnung fand die Ansicht der Vergabekammer unter anderem im Folgendem (Rn. 54):
„Allerdings weist der Senat darauf hin, dass die Vergabekammer, die einen anderen rechtlichen Ansatz wählte und für die es daher für die Einhaltung der DS-GVO unter anderem auf eine effiziente Verschlüsselungstechnik ankam, die von der Beigeladenen als geheimhaltungsbedürftig gekennzeichneten Angaben nicht hätte unberücksichtigt lassen dürfen. In Fällen, in denen eine Weitergabe von Informationen zum Schutz von Geschäftsgeheimnissen eines der Beteiligten unterbleiben muss, ist dem vielmehr durch eine entsprechende Verfahrensgestaltung (wegen der Einzelheiten: BGH, Beschluss vom 31.01.2017, X ZB 10/16, juris) Rechnung zu tragen.“
Fazit
Leider hat das OLG Karlsruhe sich nicht weiter damit beschäftigt, ob ein latentes Risiko der Offenlegung bereits eine Übermittlung darstellt, sondern das Vorliegen eines Risikos an sich verneint. Wie dargestellt vertritt der Senat die Auffassung, dass nur bei Vorliegen konkreter Hinweise, dass der Bieter seine Zusagen nicht halten könne weitere Informationen und Zusicherungen notwendig würden. Diese Annahme vernachlässigt jedoch die Tatsache, dass die Tochterunternehmen von US-Gesellschaften rechtlich verpflichtet werden können personenbezogene Daten herauszugeben. Abhängig davon, wie viel Einfluss der Mutterkonzern auf die Tochter hat, könnte dies ein Risiko des Zugriffs auf personenbezogene Daten auf Grundlage des CLOUD Acts darstellen. Damit ist ein Hinweis auf die mögliche Weitergabe der Daten bereits dann als gegeben anzusehen, wenn eine Konzernbindung an ein US-Unternehmen vorliegt.
Zudem hat bereits die Schrems-II Entscheidung deutlich gezeigt, dass dem EuGH folgend nicht auf rein vertragliche Zusicherungen vollumfänglich vertraut werden kann, wenn den Zusagen rechtliche Hindernisse im Weg stehen. Als solche kann die Offenlegungsverpflichtung durch den CLOUD Act angesehen werden. Damit ist das Urteil des OLG Karlsruhe mit Vorsicht zu genießen.
Unsere Empfehlung
Sowohl der Beschluss der Vergabekammer als auch die Entscheidung des OLG Karlsruhe haben nicht mehr Klarheit in die Drittlandproblematik gebracht. Weiterhin gilt es:
- bei jeder Auftragsverarbeitung genau überprüfen, wer Zugriff auf die Daten erhält oder erhalten könnte
- Empfänger mit US-Bezug sind nicht grundsätzlich ausgeschlossen
- Einzelfallentscheidung:
- Werden die Daten aus dem EU/EWR Raum übertragen? Damit wird im Falle der USA zwingend die Durchführung eines Transfer Impact Assesments notwendig (siehe dazu: edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf (europa.eu) );
- Ist bei Verarbeitung innerhalb Europas der Anwendungsbereich des CLOUD Acts eröffnet? Verneint werden kann dies, wenn beispielsweise der Cloud Anbieter selbst auf Server von EU-Unternehmen ohne US-Bezug zurückgreift. Damit wären die möglicherweise verarbeiteten personenbezogenen Daten dem Zugriff des US-Tochterunternehmens und damit auch dem des US-Mutterkonzerns entzogen, sodass der CLOUD Act keine Anwendung finden würde.
