Vergabekammer: Clouddienste von US-Firmentöchtern sind nicht DSGVO-konform

Die Nutzung eines US-amerikanischen Clouddienstes kann den Ausschluss aus einem öffentlichen Vergabeverfahren rechtfertigen. Das entschied die Vergabekammer Baden-Württemberg in einem Beschluss vom 13. Juli 2022 und gab damit dem Antrag eines unterlegenen Konkurrenten statt. Es sei "unerheblich, ob der Server, über den die Daten zugänglich gemacht werden, innerhalb der EU gelegen ist", hieß es zur Begründung (Az.: VK 23/22).

Hintergrund des Beschlusses ist ein Urteil des Europäischen Gerichtshofs (EuGH) vom Juli 2020, mit dem der zwischen der EU-Kommission und den USA vereinbarte Datenschutzschild (Privacy Shield) für unzulässig erklärt wurde. Seitdem gelten die USA nicht mehr als zulässiger Drittstaat, mit dem personenbezogene Daten von EU-Bürgern ausgetauscht werden dürfen. Eine europarechtskonforme Vereinbarung mit den USA scheiterte bislang stets an den Zugriffsrechten auf die Daten durch die US-Geheimdienste.

Im konkreten Fall gab der Konkurrent an, als Unterauftragnehmer für die Erbringung der Server- und Hostingleistung die europäische Tochtergesellschaft eines US-Unternehmens X. nutzen zu wollen. Der physische Standort der Server sollte sich dabei in Deutschland befinden. Dazu schlossen die beiden Firmen zwei zusätzliche Vereinbarungen zur Datenverarbeitung nach der DSGVO ab. Solche Standardvertragsklauseln erklärte der EuGH in seinem Urteil prinzipiell für zulässig.

Server in der EU reicht nicht aus

Der Vergabekammer reichten die Vereinbarungen jedoch nicht aus. Sie verwies auf ein Urteil des Verwaltungsgerichts Wiesbaden vom Dezember 2021, "das in dem von ihm entschiedenen Fall schlicht auf den Standort der Unternehmenszentrale in den USA abstellte". Der Kammer zufolge konstituiert eine Zugriffsmöglichkeit ein "latentes Risiko, dass eine unzulässige Übermittlung personenbezogener Daten stattfinden kann".

Denn die Vereinbarungen seien "generalklauselartig gestaltet und eröffnen sowohl staatlichen als auch privaten Stellen außerhalb der EU und insbesondere in den USA im Rahmen der im konkreten Fall jeweils anwendbaren vertraglichen oder gesetzlichen Ermächtigungen eine Möglichkeit, in bestimmten Situationen auf bei der X. gespeicherte Daten zuzugreifen". Unberücksichtigt blieb von der Kammer auch die von dem Konkurrenten eingesetzte Verschlüsselungstechnik.

Nach Angaben der Kanzlei Gruendelpartner, die den Beschluss erwirkte, "hat die Entscheidung potentiell erhebliche Auswirkungen auf die Zusammenarbeit deutscher Unternehmen mit US-Tech-Anbietern bzw. deren europäischen Konzerngesellschaften". Dass in einem komplexen Vergabeverfahren ein Ausschluss eines Bieters erfolge, weil dieser eine Tochtergesellschaft eines US-Anbieters einsetze, "könnte zudem erheblichen Einfluss auf die künftige Gestaltung und Durchführung von Vergabeverfahren haben".

Der Beschluss ist noch nicht rechtskräftig. Eine der unterlegenen Parteien hat bereits Beschwerde eingelegt, so dass der Fall nun vor dem Oberlandesgericht (OLG) entschieden wird.