Vergabekammer: Clouddienste von US-Firmentöchtern sind nicht DSGVO-konform

Wer einen öffentlichen Auftrag will, darf offenbar keine Verbindung zu US-Firmen haben. Selbst wenn die Server für die Cloud in Deutschland stehen.

Artikel veröffentlicht am ,
Clouddienste mit Verbindung zu den USA sind angeblich nicht DSGVO-konform.
Clouddienste mit Verbindung zu den USA sind angeblich nicht DSGVO-konform. (Bild: Pixabay)

Die Nutzung eines US-amerikanischen Clouddienstes kann den Ausschluss aus einem öffentlichen Vergabeverfahren rechtfertigen. Das entschied die Vergabekammer Baden-Württemberg in einem Beschluss vom 13. Juli 2022 und gab damit dem Antrag eines unterlegenen Konkurrenten statt. Es sei "unerheblich, ob der Server, über den die Daten zugänglich gemacht werden, innerhalb der EU gelegen ist", hieß es zur Begründung (Az.: VK 23/22).

Stellenmarkt
  1. Automation Engineer (m/w/d)
    Packsize GmbH, deutschlandweit (Home-Office)
  2. Fachinformatiker (m/w/d) für Systemintegration zur IT-Administration an den landkreiseigenen ... (m/w/d)
    Landratsamt Schweinfurt, Schweinfurt
Detailsuche

Hintergrund des Beschlusses ist ein Urteil des Europäischen Gerichtshofs (EuGH) vom Juli 2020, mit dem der zwischen der EU-Kommission und den USA vereinbarte Datenschutzschild (Privacy Shield) für unzulässig erklärt wurde. Seitdem gelten die USA nicht mehr als zulässiger Drittstaat, mit dem personenbezogene Daten von EU-Bürgern ausgetauscht werden dürfen. Eine europarechtskonforme Vereinbarung mit den USA scheiterte bislang stets an den Zugriffsrechten auf die Daten durch die US-Geheimdienste.

Im konkreten Fall gab der Konkurrent an, als Unterauftragnehmer für die Erbringung der Server- und Hostingleistung die europäische Tochtergesellschaft eines US-Unternehmens X. nutzen zu wollen. Der physische Standort der Server sollte sich dabei in Deutschland befinden. Dazu schlossen die beiden Firmen zwei zusätzliche Vereinbarungen zur Datenverarbeitung nach der DSGVO ab. Solche Standardvertragsklauseln erklärte der EuGH in seinem Urteil prinzipiell für zulässig.

Server in der EU reicht nicht aus

Der Vergabekammer reichten die Vereinbarungen jedoch nicht aus. Sie verwies auf ein Urteil des Verwaltungsgerichts Wiesbaden vom Dezember 2021, "das in dem von ihm entschiedenen Fall schlicht auf den Standort der Unternehmenszentrale in den USA abstellte". Der Kammer zufolge konstituiert eine Zugriffsmöglichkeit ein "latentes Risiko, dass eine unzulässige Übermittlung personenbezogener Daten stattfinden kann".

Golem Karrierewelt
  1. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    08./09.11.2022, virtuell
  2. Adobe Photoshop für Social Media Anwendungen: virtueller Zwei-Tage-Workshop
    26./27.10.2022, virtuell
Weitere IT-Trainings

Denn die Vereinbarungen seien "generalklauselartig gestaltet und eröffnen sowohl staatlichen als auch privaten Stellen außerhalb der EU und insbesondere in den USA im Rahmen der im konkreten Fall jeweils anwendbaren vertraglichen oder gesetzlichen Ermächtigungen eine Möglichkeit, in bestimmten Situationen auf bei der X. gespeicherte Daten zuzugreifen". Unberücksichtigt blieb von der Kammer auch die von dem Konkurrenten eingesetzte Verschlüsselungstechnik.

Nach Angaben der Kanzlei Gruendelpartner, die den Beschluss erwirkte, "hat die Entscheidung potentiell erhebliche Auswirkungen auf die Zusammenarbeit deutscher Unternehmen mit US-Tech-Anbietern bzw. deren europäischen Konzerngesellschaften". Dass in einem komplexen Vergabeverfahren ein Ausschluss eines Bieters erfolge, weil dieser eine Tochtergesellschaft eines US-Anbieters einsetze, "könnte zudem erheblichen Einfluss auf die künftige Gestaltung und Durchführung von Vergabeverfahren haben".

Der Beschluss ist noch nicht rechtskräftig. Eine der unterlegenen Parteien hat bereits Beschwerde eingelegt, so dass der Fall nun vor dem Oberlandesgericht (OLG) entschieden wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


cryptohacker1337 11. Aug 2022 / Themenstart

Nutzt du die Cloud nur als Storage, dann ist Ende-zu-Ende die Lösung. Wenn du eine Ende...

andy848484 10. Aug 2022 / Themenstart

Siehe mein Beitrag. Wo es quasi nix anderes gibt, ist plötzlich wieder alles okay. Siehe...

Termuellinator 10. Aug 2022 / Themenstart

Interessante Annahme, dass mit der immer massiveren Ueberwachung auch nur ein...

Kommentieren



Aktuell auf der Startseite von Golem.de
Minority Report wird 20 Jahre alt
Die Zukunft wird immer gegenwärtiger

Minority Report zog aus, die Zukunft des Jahres 2054 vorherzusagen. 20 Jahre später scheint so manches noch prophetischer.
Von Peter Osteried

Minority Report wird 20 Jahre alt: Die Zukunft wird immer gegenwärtiger
Artikel
  1. Luftfahrt: Wisk Aero zeigt autonomes Flugtaxi
    Luftfahrt
    Wisk Aero zeigt autonomes Flugtaxi

    Das senkrecht startende und landende Lufttaxi soll in fünf Jahren im regulären Einsatz sein.

  2. Gegen Agile Unlust: Macht es wie Bruce Lee
    Gegen Agile Unlust
    Macht es wie Bruce Lee

    Unser Autor macht seit vielen Jahren agile Projekte und kennt "agile Unlust". Er weiß, warum sie entsteht, und auch, wie man gegen sie ankommen kann.
    Ein Erfahrungsbericht von Marvin Engel

  3. Firefly Aerospace: Rakete erreicht den Orbit
    Firefly Aerospace
    Rakete erreicht den Orbit

    Der zweite Start der Alpha-Rakete war erfolgreich. Sie hat Satelliten in einer niedrigen Erdumlaufbahn ausgesetzt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindFactory (u. a. PowerColor RX 6700 XT Hellhound 489€, ASRock RX 6600 XT Challenger D OC 388€) • Kingston NV2 1TB (PS5) 72,99€ • be quiet! Silent Loop 2 240 99,90€ • Star Wars: Squadrons PS4a 5€ • Acer 24"-FHD/165 Hz 149€ + Cashback • PCGH-Ratgeber-PC 3000 Radeon Edition 2.500€ [Werbung]
    •  /