Die Vergabekammer Baden-Württemberg hat in einem noch nicht rechtskräftigen Beschluss vom 13.07.2022 (abrufbar hier) festgestellt, dass der Einsatz einer Cloud-Lösung eines EU-Tochterunternehmen eines US-Anbieters gegen geltendes Datenschutzrecht verstoße. Die Vergabekammer nahm den Verstoß an, obwohl die Daten auf Servern in Deutschland gespeichert wurden und EU Standardvertragsklauseln implementiert waren. Die Entscheidung liegt dem Vernehmen nach nun beim OLG Karlsruhe zur Überprüfung. Sollte sich diese Ansicht durchsetzen, wäre das – nicht nur für die öffentliche Beschaffung von IT-Lösungen – ein datenschutzrechtliches Erdbeben.

Der Sachverhalt

In dem Verfahren ging es um eine EU-weit ausgeschriebene Software-Lösung. Die Vergabeunterlagen stellten klar, dass Angebote die Anforderungen aus der EU Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) erfüllen müssten. Das zu prüfende Angebot basierte auf einer Cloud-Lösung mit Servern in Deutschland. Die hierfür eingesetzte Unterauftragnehmerin ist die Tochtergesellschaft eines US-IT-Anbieters. Im Zusammenhang mit der Beauftragung waren ein Auftragsverarbeitungsvertrag und ein Anhang hierzu auf Grundlage der EU Standardvertragsklauseln (SCC) abzuschließen.

Gegen den Zuschlag auf dieses Angebot wehrte sich eine Konkurrentin und führte unter anderem an, das Angebot verstoße gegen die Regeln der DSGVO. Die Vergabekammer folgte dieser Argumentation und verpflichtete die öffentliche Stelle, das Vergabeverfahren in den Stand vor der Angebotsbewertung zu versetzen und diese unter Beachtung der Rechtsauffassung der Vergabekammer zu wiederholen.

Übermittlung personenbezogener Daten in ein Drittland

Eine datenschutzrechtlich entscheidende Frage in dieser Sache war, ob überhaupt eine Übermittlung personenbezogener Daten in ein Drittland vorlag. Die Vergabekammer bejahte diese Frage, obwohl die Daten unstreitig auf Servern in Deutschland liegen sollten.

Theoretische Zugriffsmöglichkeit aus den USA

Diese Ansicht begründete die Vergabekammer damit, dass die SCC eine Weitergabe von Daten an Dritte im Fall zwingender gesetzlicher Anforderungen oder behördlicher Anordnungen ermöglichen. Im konkreten Fall besteht somit die Gefahr, dass eine US Behörde sich auf den Stored Communications Act (der durch den US CLOUD Act geändert wurde) stützen und bei der US-Muttergesellschaft ein rechtmäßiges Herausgabeverlangen stellen könnte. Die Muttergesellschaft wiederum könnte dann ihre EU-Tochtergesellschaft dazu zwingen, ihr die Daten, die diese als Unterauftragsverarbeiterin auf Servern in Deutschland speichert, herauszugeben.

Kritische Bewertung

Nach Ansicht der Vergabekammer genügt für eine Datenübermittlung in die USA das durch die vertragliche Regelung und die Gesetzeslage in den USA „bewirkte latente Risiko eines Zugriffs“.

Diese Auslegung muss kritisch hinterfragt werden. Zunächst wird teilweise dogmatisch kritisiert, dass eine Übermittlung im Sinne der Art. 44 ff. DSGVO zwingend eine „Verarbeitung“ voraussetze. Eine Verarbeitung personenbezogener Daten finde durch die bloße „Möglichkeit des Zugriffs“ jedoch nicht statt.

Weiterhin wird kritisiert, dass die rein theoretische Möglichkeit eines Zugriffs in keinem Fall ausreichen könne – andernfalls würden alle auf einem mit Internetzugang ausgestatteten Computer gespeicherten Daten mit dem Internetzugang gleichzeitig in alle Drittländer übermittelt, da die theoretische Möglichkeit von Cyberangriffen aus diesen Ländern nicht ausgeschlossen werden kann. Ausführungen zur Wahrscheinlichkeit eines Zugriffs von US-Behörden finden sich im Beschluss der Vergabekammer jedoch nicht.

EU Standardvertragsklauseln

Sehr kurz bleiben auch die Ausführungen der Vergabekammer, warum die angenommene Datenübermittlung trotz Verwendung der SCC rechtswidrig sei. Im Schrems II Urteil hat der EuGH die Möglichkeit des Zugriffs von Behörden auf Daten nicht per se als mit den Grundsätzen der DSGVO unvereinbar bewertet. So lange ein Zugriff auf klaren, präzisen und zugänglichen Vorschriften beruht, nachweisbar erforderlich und angemessen ist, es einen unabhängigen Aufsichtsmechanismus gibt und wirksame Rechtsbehelfe bestehen, kann er im Einklang mit der DSGVO stehen (siehe auch den Europäischen Datenschutzausschuss zu der Frage). Explizit als unzureichend wurden im Schrems II Urteil nur FISA und EO 12333 bewertet; inwiefern der Stored Communications Act unangemessene Zugriffsrechte einräumt, hätte die Vergabekammer prüfen müssen.

Bedeutung für Vergabepraxis

Die Entscheidung der VK Baden-Württemberg macht öffentlichen Auftraggebern die ohnehin schon sehr komplexe Beschaffung von IT-Cloudleistungen nicht einfacher. Letztlich wird von den Vergabestellen gefordert, im Vergabeverfahren äußerst schwierige – und umstrittene – Fragen des Datenschutzrechts zu beantworten, wenn sie nicht Gefahr laufen wollen, das Vergabeverfahren – in die eine wie die andere Richtung – angreifbar zu machen. Dies gilt umso mehr, solange der Markt für Cloud-Leistungen (zumindest auch) von US-amerikanischen Anbietern beherrscht wird.

Fazit uns Ausblick

Die Entscheidung der Vergabekammer Baden-Württemberg ist – sollte sie gerichtlich bestätigt werden – ein datenschutzrechtlicher Paukenschlag, mit ebenso erheblichen Konsequenzen für die Vergabepraxis für Cloud-Leistungen in Deutschland. Bei konsequenter Umsetzung würde sie zu einem weitreichenden Betätigungsverbot von US-Anbietern und deren Tochterunternehmen im Bereich von Cloud-Lösungen in der EU führen.

Wichtig ist jedoch auch, dass die Entscheidung selbst bislang nicht rechtskräftig ist und keinesfalls bindend für künftige Gerichtsentscheidungen zu dem Thema sein wird. Angesichts der EU-rechtlichen Dimension und weitreichenden Auswirkungen der hier streitentscheidenden Frage wird letztlich gegebenenfalls sogar der EuGH hierzu entscheiden müssen; ob das OLG Karlsruhe eine entsprechende Vorlage an den EuGH initiieren wird, ist abzuwarten. Bis dahin bleibt für alle Unternehmen in der EU ein rechtliches Risiko beim Einsatz von Cloudlösungen von EU-Töchtern amerikanischer IT-Anbieter – und für alle öffentlichen Auftraggeber ein ebensolches Risiko bei der Gestaltung von Ausschreibungen von Cloud-Leistungen und der anschließenden Angebotsprüfung.