Das Zugriffsrisiko bei der Übermittlung von Daten in Drittstaaten ist immer wieder Gegenstand rechtlicher Prüfungen und Auseinandersetzungen.
In einem Nachprüfungsverfahren hatte die Vergabekammer Baden-Württemberg im Juli 2022 den Zuschlag eines Softwareunternehmens mit der Begründung aufgehoben, dass der Einsatz von Hosting-Leistungen einer EU-Tochtergesellschaft eines US-Clouddienstes nicht dem Übermittlungsbegriff der DSGVO entspräche, da bereits das Zugriffrisiko eine widerrechtliche Datenübermittlung darstelle. Diese Entscheidung hat das OLG Karlsruhe im September 2022 verworfen und den Nachprüfungsantrag zurückgewiesen.
Konkurrierendes Unternehmen stellt Nachprüfungsantrag bei Vergabekammer
In einem Vergabeverfahren für die Anschaffung eines digitalen Entlassmanagementsystems für Krankenhäuser erging der Zuschlag an ein Unternehmen, das die Hosting-Dienste einer EU-Tochtergesellschaft eines US-Clouddienstes nutzte. Ein Mitbewerber strengte bei der zuständigen Vergabekammer ein Nachprüfungsverfahren an, da er durch die Verbindung zum US-Clouddienst datenschutzrechtliche Vorschriften missachtet sah. Der konkrete Vorwurf lautete, dass durch die U.S.-amerikanische Konzernmutter die Gefahr bestünde, dass US-amerikanische Behörden Zugriff auf die Server in Europa bekommen könnten, was Art. 44 DSGVO widersprechen würde.
Vergabekammer sieht Gefahr unzulässiger Datenübermittlung in ein Drittland bereits als Verarbeitung an
In ihrem Beschluss vom 13.7.2022 folgte die Vergabekammer der Argumentation des Mitbewerbers und hob den erfolgten Zuschlag auf (Vergabekammer Baden-Württemberg, Entscheidung v. 13.7.2022, 1 VK 23/22). In der Begründung legte die Kammer dar, dass allein die dauernde Gefahr eines möglichen Zugriffs von außerhalb der EU eine unzulässige Datenübermittlung in ein Drittland nach §§ 44 ff. DSGVO darstelle. Die besondere Schutzbedürftigkeit personenbezogener Daten beim Drittlandtransfer mache diese umfassende Auslegung nach Art. 44 DSGVO erforderlich. Die Offenlegung personenbezogener Daten gegenüber einem Empfänger in einem Drittland erfolge daher unabhängig davon, ob der Zugriff tatsächlich vorgenommen wird. Nach Auffassung der Vergabekammer ist das Zugriffsrisiko also bereits eine Datenübermittlung.
Landesdatenschutzbeauftragter veröffentlicht Stellungnahme gegen Kammerbeschluss
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) konnte sich der Auffassung der Kontrollbehörde nicht anschließen und veröffentlichte am 15.8.2022 eine Stellungnahme. Dort wird vor allem die von der Vergabekammer vorgenommene Gleichsetzung von Zugriffsrisiko und Übermittlung als rechtlich zweifelhaft angesehen und auf „technisch-organisatorische Maßnahmen“ verwiesen, mit denen sich Risiken ausschließen ließen. Der LfDI sieht „einzelfallbezogene Alternativprüfungen und nicht pauschale Transferverbote als das Mittel der Wahl, die Vorgaben der DSGVO bestmöglich umzusetzen“.
OLG Karlsruhe macht Kammerentscheidung rückgängig
In seinem Beschluss vom 7.9.2022 hat das OLG Karlsruhe festgestellt, dass im konkreten Fall allein das Zugriffsrisiko von US-amerikanischen Behörden nicht ausreicht, um einen Verstoß gegen die DSGVO anzunehmen ( OLG Karlsruhe, Beschluss v. 7.9.2022, 15 Verg 8/22). Der Beschwerde gegen die Entscheidung der Vergabekammer wurde stattgegeben. Die Entscheidung der Kammer wurde aufgehoben und der Nachprüfungsantrag zurückgewiesen. Die Entscheidung ist bereits rechtskräftig.