Gerichtsurteil: US-Clouddienste nicht pauschal von Aufträgen auszuschließen

Das OLG Karlsruhe hat ein umstrittenes Urteil kassiert: Tochterfirmen von US-Clouddiensten verstoßen nicht generell gegen die DSGVO.

Artikel veröffentlicht am ,
US-Clouddienste können doch DSGVO-konform arbeiten.
US-Clouddienste können doch DSGVO-konform arbeiten. (Bild: Pixabay)

Die Nutzung eines US-amerikanischen Clouddienstes kann nicht generell den Ausschluss eines Anbieters aus einem öffentlichen Vergabeverfahren rechtfertigen. Das hat das Oberlandesgericht (OLG) Karlsruhe entschieden und damit den anderslautenden Beschluss der Vergabekammer Baden-Württemberg vom Juli 2022 aufgehoben. Dem OLG zufolge kann ein öffentlicher Auftraggeber zunächst darauf vertrauen, dass der Anbieter wie zugesichert bei der Datenverarbeitung die Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) erfüllt (Az.: 15 Verg 8/22).

Stellenmarkt
  1. Product Owner (m/f/d) for Hardware Security Modules
    Elektrobit Automotive GmbH, Erlangen
  2. CAD/CAM Programmierer (w/m/d)
    AIXTRON SE, Herzogenrath
Detailsuche

Hintergrund des Rechtsstreits ist die Frage, inwieweit personenbezogene Daten von EU-Bürgern, die von US-Firmen verarbeitet oder gespeichert werden, ausreichend vor dem Zugriff der US-Behörden geschützt sind. Seit einer Entscheidung des Europäischen Gerichtshofs (EuGH) vom Juli 2020 gelten die USA nicht mehr als zulässiger Drittstaat, mit dem solche Daten ausgetauscht werden dürfen.

Im konkreten Fall hatte die europäische Tochterfirma eines US-Cloudanbieters in den Ausschreibungsunterlagen zugesichert, die Daten auf einem Server in Deutschland zu speichern. Doch nach Ansicht der Vergabekammer war es "unerheblich, ob der Server, über den die Daten zugänglich gemacht werden, innerhalb der EU gelegen ist".

Erst bei Zweifel die Angaben überprüfen

Dies sah das OLG Karlsruhe jedoch anders. In dem rechtskräftigen Urteil vom 7. September 2022 heißt es, die öffentlichen Stellen, zwei kommunale Krankenhausgesellschaften, "mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird". Alleine die Tatsache, dass es sich um die Tochterfirma eines US-Konzerns handele, müsse den Auftraggeber nicht "an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen".

Golem Karrierewelt
  1. Data Engineering mit Python und Spark: virtueller Zwei-Tage-Workshop
    18./19.01.2023, Virtuell
  2. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    07.-09.11.2022, Virtuell
Weitere IT-Trainings

Nach Einschätzung des OLG dürfen öffentliche Auftraggeber "grundsätzlich davon ausgehen, dass ein Bieter seine vertraglichen Zusagen erfüllen wird. (...) Erst wenn sich konkrete Anhaltspunkte dafür ergeben, dass dies zweifelhaft ist, ist der öffentliche Auftraggeber gehalten, durch Einholung ergänzender Informationen die Erfüllbarkeit des Leistungsversprechens beziehungsweise die hinreichende Leistungsfähigkeit des Bieters zu prüfen."

Da die Daten nicht in ein Drittland übermittelt würden, sei auch kein sogenanntes Transfer Impact Assessment erforderlich gewesen, heißt es weiter in dem Beschluss. Ebenfalls sei dann unerheblich, ob "begleitende organisatorische und technische Maßnahmen" wie eine Verschlüsselung der Daten vorgenommen würden.

Verschlüsselung nicht ignorieren

Mit Blick auf die Verschlüsselung der Daten korrigierte das OLG ebenfalls die Auffassung der Vergabekammer. Diese hatte entsprechende Angaben des Cloudanbieters unberücksichtigt gelassen, weil sie als geheimhaltungsbedürftig gekennzeichnet worden waren. "In Fällen, in denen eine Weitergabe von Informationen zum Schutz von Geschäftsgeheimnissen eines der Beteiligten unterbleiben muss, ist dem vielmehr durch eine entsprechende Verfahrensgestaltung Rechnung zu tragen", schrieben die Richter mit Verweis auf einen entsprechenden Beschluss des Bundesgerichtshofs (BGH) vom Januar 2017.

Das Urteil der Vergabekammer wurde auch von Datenschutzbehörden kritisiert. So monierte der baden-württembergische Datenschutzbeauftragte Stefan Brink, dass die von der Kammer vorgenommene Gleichsetzung von Zugriffsrisiko und Übermittlung "rechtlich zweifelhaft" sei. "Dass ein Zugriffsrisiko ohne weiteres einen Übermittlungstatbestand erfüllt, kann mit guten Gründen bestritten werden", schrieb Brink in einer Stellungnahme vom 15. August 2022.

Zudem kritisierte Brink, dass die Kammer "die vom Mitbieter eingesetzte Verschlüsselungstechnik aus vergabeverfahrensrechtlichen Gründen nicht weiter geprüft" habe.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


sambache 17. Sep 2022 / Themenstart

Das ist absurd unrealistisch. Verschlüsselte Daten kann man nicht sortieren und filtern...

sambache 12. Sep 2022 / Themenstart

Nein, europäische Töchter von US-Anbietern sind juristisch nicht automatisch illegal. In...

deutscher_michel 12. Sep 2022 / Themenstart

Im Gegenteil, sie müssen sogar Zugriff gewähren völlig unabhängig vom Standort - daher...

Kommentieren



Aktuell auf der Startseite von Golem.de
Cloudgaming
Google Stadia scheiterte nur an sich selbst

Die Technik war nicht das Problem von Alphabets ambitioniertem Cloudgaming-Dienst. Das Problem liegt bei Google. Ein Nachruf.
Eine Analyse von Daniel Ziegener

Cloudgaming: Google Stadia scheiterte nur an sich selbst
Artikel
  1. Tiktok-Video: Witz über große Brüste kostet Apple-Manager den Job
    Tiktok-Video
    Witz über große Brüste kostet Apple-Manager den Job

    Er befummle von Berufs wegen großbrüstige Frauen, hatte ein Apple Vice President bei Tiktok gewitzelt. Das kostete ihn den Job.

  2. Copilot, Java, RISC-V, Javascript, Tor: KI macht produktiver und Rust gewinnt wichtige Unterstützer
    Copilot, Java, RISC-V, Javascript, Tor
    KI macht produktiver und Rust gewinnt wichtige Unterstützer

    Dev-Update Die Diskussion um die kommerzielle Verwertbarkeit von Open Source erreicht Akka und Apache Flink, OpenAI macht Spracherkennung, Facebook hilft Javascript-Enwicklern und Rust wird immer siegreicher.
    Von Sebastian Grüner

  3. Vantage Towers: 1&1 Mobilfunk gibt Vodafone die Schuld an spätem Start
    Vantage Towers
    1&1 Mobilfunk gibt Vodafone die Schuld an spätem Start

    Einige Wochen hat es gedauert, bis 1&1 Mobilfunk eine klare Schuldzuweisung gemacht hat. Doch Vantage Towers verteidigt seine Position im Gespräch mit Golem.de.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED TV 2022 65" 120 Hz 1.799€ • ASRock Mainboard f. Ryzen 7000 319€ • MindStar (G.Skill DDR5-6000 32GB 299€, Mega Fastro SSD 2TB 135€) • Alternate (G.Skill DDR5-6000 32GB 219,90€) • Xbox Series S + FIFA 23 259€ • PCGH-Ratgeber-PC 3000€ Radeon Edition 2.500€ [Werbung]
    •  /