Die Vergabekammer Baden-Württemberg des Regierungspräsidiums Karlsruhe traf am 13.07.2022 einen Beschluss, der in der Cloud-Gemeinde für großes Aufsehen sorgte. Im Mittelpunkt stand die Frage, ob Server- und Cloud-Lösungen, die durch US-Unternehmen über ihre in Europa ansässigen Tochterunternehmen erbracht werden, trotzdem als rechtswidrige Übermittlung personenbezogener Daten anzusehen ist. Nach Wegfall des Privacy Shields im Jahr 2020 war es üblich, dass sich Anbieter aus den USA auf sog. SSCs, also Standardvertragsklauseln, beriefen, um auch weiterhin ihre Leistungen DSGVO-konform über ihre europäischen Niederlassungen anbieten zu können.

Nach der richtungsweisenden Entscheidung der Vergabekammer im Juli 2022 besteht nun Klarheit: gemäß Beschluss liegt auch dann eine datenschutzrechtlich unzulässige Übermittlung personenbezogener Daten in ein Land außerhalb der EU vor, wenn ein Server von einem Unternehmen mit Standort innerhalb der EU betrieben wird, dessen Mutterkonzern in den USA ansässig ist. Hauptargument ist, dass allein die Möglichkeit, dass durch die außereuropäische Mutter auf personenbezogene Daten zugegriffen werden könnte, zu einer unzulässigen Weitergabe im Sinne der DSGVO führt.

Die Argumentation der Kammer:

Allein die Möglichkeit, dass auf personenbezogene Daten durch die nichteuropäische Muttergesellschaft zugegriffen werden kann, führt zu einer sog. „Weitergabe“ im Sinne der DSGVO, dies unabhängig davon, ob ein solcher Zugriff durch die US-Muttergesellschaft tatsächlich erfolgt. Diese Weitergabe ist nach Ansicht der Vergabekammer nach Wegfall des US-Privacy-Shields unzulässig, sie konnte in dem Verfahren insbesondere nicht durch den Abschluss von Standardvertragsklauseln (sog. SCC’s) legitimiert werden.

Aber noch einmal von vorne: wie kam es zu dieser richtungsweisenden Entscheidung der Vergabekammer Baden-Württemberg?

Anstoß war, dass die EU-Tochter eines US-Konzerns ein Angebot im Rahmen eines Vergabeverfahrens vorgelegt hatte, in dem auch Cloud-Lösungen enthalten waren. Diese sollten durch Server in der EU erbracht werden. Die Vergabekammer schloss mit seinem Beschluss den Anbieter aus dem Gebotsverfahren mit der Begründung aus, dass es durch das Angebot zu einem Datenschutzverstoß käme.

Die Entscheidung ist noch nicht rechtskräftig, es wurde Beschwerde durch die betroffene Partei gegen den Vergabeverfahrensausschluss eingelegt.

Fazit

Die Entscheidung der Vergabekammer Baden-Württemberg kann die zukünftige Zusammenarbeit mit US-Anbietern von Server- und Cloudleistungen (und deren europäischer Töchter) ganz beträchtlich beeinflussen und auch weitreichende Folgen für die Durchführung und Gestaltung von Vergabeverfahren in Deutschland haben.

Problematisch in diesem Zusammenhang ist auch der sogenannte US-„Cloud Act“. Hierbei handelt es sich um einen Gesetzentwurf, der derzeit zur Lesung dem US-Senat vorliegt und mit dessen Verabschiedung in Kürze gerechnet wird. Der Cloud Act beinhaltet, dass Daten in US-Clouds grundsätzlich auf Anfrage für amerikanische Behörden einsehbar sein müssen – unabhängig davon, ob die betreffenden Server innerhalb Europas oder nicht stehen. Diese Regelung verstößt ganz offensichtlich auch massiv gegen die DSGVO der EU.

 

Sowohl die Entscheidung des Regierungspräsidiums Karlsruhe über den Vergabeverfahrensausschluss sowie das Konzept des US-Cloud Acts machen deutlich, dass es eines Datenschutzabkommens mit den USA bedarf, das vor dem Europäischen Gerichtshof Bestand hat. Bisherige Abkommen wurden vom EuGH für ungültig erklärt.

Unternehmen, die sicherstellen wollen, dass ihre Daten DSGVO-konform gespeichert und verarbeitet werden, sind deshalb gut beraten, nur Cloud-Dienste von Unternehmen mit Haupt- und Rechenzentrumsstandort Deutschland bzw. Europa in Anspruch zu nehmen. Sollte ein Unternehmen das Angebot eines US-amerikanischen Cloudanbieters zwingend nutzen wollen, weil zum Beispiel benötigte Services von deutschen Anbietern nicht verfügbar sind, dann hilft nur eine sehr starke Verschlüsselung.