Zulässigkeit der Verwendung von US-Cloud-Anbietern

Anfang der Woche gab die Vergabekammer Baden-Württemberg bzgl. der Zulässigkeit der Verwendung von US-Cloud-Anbietern mit Muttergesellschaft in den USA eine Entscheidung bekannt.

Die konkrete Frage war, ob eine solche Konstellation mit US-Cloud-Anbietern überhaupt DSGVO konform sein kann.

Die Vergabekammer sieht darin eine Verletzung von geltendem Datenschutzrecht.

Die Entscheidung der Vergabekammer ist veröffentlicht unter:

https://rewis.io/urteile/urteil/ocw-13-07-2022-1-vk-2322/

Im Rahmen einer Ausschreibung bot ein europäisches Unternehmen seine Lösung u.a. mit Server- und Hostingdienstleistungen eines weiteren europäischen Unternehmens an.

Es wollte sozusagen für einen Teil seines Angebots auf die Lösung eines Cloud-Anbieters nutzen, und auf dessen Expertise zurückgreifen. Dieser europäische Cloud-Anbieter ist die Tochtergesellschaft eines US-Konzerns.

Das ist durchaus nachvollziehbar, denn die europäischen Alternativen unter den Cloud-Anbietern sind rar oder nicht vorhanden (je nachdem, wen man fragt, bzw. aus welcher Perspektive man das betrachtet).

Gerade in Sachen IT-Sicherheit und Verfügbarkeit können die bekannten Cloud-Anbieter (meist aus den USA) punkten.

Häufig und gern beauftragte Cloud-Anbieter sind Amazon Web Services (AWS), oder Microsoft Azure – beides US-Cloud-Anbieter.

Laut Feststellung der Vergabekammer Baden-Württemberg, die unter anderem für die Beschaffung von Software für die öffentliche Hand zuständig ist, ist es datenschutzwidrig, Aufträge die IT- und Clouddienstleistungen beinhalten an Tochterunternehmen US-amerikanischer Unternehmen zu vergeben.

Begründet wird die Möglichkeit einer unzulässigen Datenübermittlung in die USA. Dies ist allein durch die Tatsache begründet, dass innerhalb des Konzerns eine solche Gefahr besteht.

Je nachdem wen man fragt, wird diese Gefahr mal als mehr, mal als weniger theoretisch eingestuft.

Die Sache ist vor allem deswegen interessant, da die Beauftragung des Cloud-Anbieters als Unterauftragnehmer ursprünglich bei der Vergabe des Auftrags aus der öffentlichen Hand wohl keinen Hinderungsgrund darstellte.

Dagegen „vorgegangen“ ist einer der Verlierer der Ausschreibung. So kam die Entscheidung der Kammer bezüglich der Zulässigkeit der Verwendung von US-Cloud-Anbietern zustande.

Es handelt sich bei der Entscheidung zur Zulässigkeit der Verwendung von US-Cloud-Anbietern der Vergabekammer übrigens nicht um ein Urteil. Die Entscheidung ist noch nicht rechtskräftig.

Gut daran ist, dass die Sache schon jetzt dazu geführt hat, dass die „Transfer-Thematik“ intensiv diskutiert wird.

Wir erhoffen uns in diesem Zusammenhang eine Klarstellung der Aufsichtsbehörden für Datenschutz, und im besten Fall sogar eine Entscheidung des EuGH um endlich Rechtssicherheit in dieser Frage zu bekommen.

Über die Entscheidung der Vergabekammer Baden-Württemberg sollte das OLG Karlsruhe entscheiden. Hier ein kurzes Update dazu:

Zu finden ist der Beschluss vom 07.09.2022 – 15 Verg 8/22 unter https://openjur.de/u/2449559.html

Das OLG kommt zu einer anderen Einschätzung als die Vergabekammer:

„Die Entscheidung der Vergabekammer Baden-Württemberg vom 13.07.2022, Az. 1 VK 23/22, wird aufgehoben. Der Nachprüfungsantrag der Antragstellerin wird zurückgewiesen.“

Die Nutzung von Clouddiensten eines europäischen Unternehmens, hinter dem ein US-Konzern steht, lässt noch keine Zweifel an der Erfüllbarkeit des Leistungsversprechens (DSGVO-konforme Verarbeitung) zu.

Das bedeutet, eine ausschreibende Stelle darf auf die Einhaltung der vertraglichen Vereinbarungen vertrauen. (Vermutlich trifft das auch auf nicht-öffentlich Vertragsparteien zu.)

„Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.“

Das bedeutet, dass Vertragsparteien auf die Einhaltung von Vertragsvereinbarungen vertrauen können – auch wenn man die Vereinbarung mit einer Tochtergesellschaft eines US Konzerns schließt.

Die Diskussion um die Thematik wird auch weiterhin anhalten, stützt aber Argumentationen, die sich auf vertragliche Zusagen verlassen.

Weiterhin sind, bzw. können zusätzliche Maßnahmen zur Sicherheit der Verarbeitung notwendig sein.

Sollten Sie Fragen zu den Auswirkungen dieser Entscheidung haben, oder nach einem Plan zur Unterstützung suchen melden Sie sich gerne bei uns.