Aus Baden-Württemberg kommt ein datenschutzrechtlicher Paukenschlag: Geht es nach der dortigen Vergabekammer, soll ein unzulässiger Daten-Export in die USA auch dann vorliegen, wenn die entsprechende Infrastruktur durch eine europäische Tochtergesellschaft betrieben wird, die zu einem amerikanischen Konzern gehört.
Die Vergabekammer prüft, ob «öffentliche Auftraggeber bei der Beschaffung von […] Dienstleistungen […] gegen das dabei einzuhaltende Vergaberecht verstoßen haben und dadurch Unternehmen, die ein Interesse am Auftrag haben, in ihren Rechten verletzt wurden.»
Auf den Entscheid hat der unermüdliche Kevin Leibold bei Twitter aufmerksam gemacht. Den Entscheid haben die deutschen Anwaltskollegen von GRUENDELPARTNER erwirkt, die mit einer Medienmitteilung auf ihren Erfolg hinweisen:
«Allein die Möglichkeit, dass auf personenbezogene Daten durch die nichteuropäische Muttergesellschaft zugegriffen werden kann, führt zu einer sog. ‹Weitergabe› im Sinne der DSGVO, dies unabhängig davon, ob ein solcher Zugriff durch die US-Muttergesellschaft tatsächlich erfolgt.»
«Mit Beschluss vom 13. Juli 2022 hat die Vergabekammer Baden-Württemberg (Az. 1 VK 23/22) eine richtungsweisende Entscheidung zur bislang ungeklärten Frage getroffen, ob US-Anbieter digitaler Server- und Cloudleistungen ihre Dienstleistungen über europäische Tochtergesellschaften erbringen können – oder ob eine Zusammenarbeit mit US-Anbietern nach Wegfall des Privacy-Shields […] trotz der Verwendung sog. Standarddatenschutzklauseln unzulässig ist.»
Und:
«Nach Ansicht der Vergabekammer Baden-Württemberg liegt eine datenschutzrechtlich unzulässige Übermittlung von personenbezogenen Daten in ein Drittland (außerhalb der EU) auch dann vor, wenn der entsprechende Server von einer in der EU ansässigen Gesellschaft betrieben wird, die ihrerseits Teil eines US-Konzerns ist. Allein die Möglichkeit, dass auf personenbezogene Daten durch die nichteuropäische Muttergesellschaft zugegriffen werden kann, führt zu einer sog. ‹Weitergabe› im Sinne der DSGVO, dies unabhängig davon, ob ein solcher Zugriff durch die US-Muttergesellschaft tatsächlich erfolgt. Diese Weitergabe ist nach Ansicht der Vergabekammer nach Wegfall des US-Privacy-Shields unzulässig, sie konnte in dem Verfahren insbesondere nicht durch den Abschluss von Standardvertragsklauseln (sog. SCC’s) legitimiert werden.»
(Mit Hervorhebung.)
Die Anwaltskollegen vertraten nach eigenen Angaben einen «führenden deutschen Anbieter von digitalen Plattformtechnologien und Dienstleistungen im Bereich des Aufnahme-, Entlass- und Überleitungsmanagements im Pflegebereich». Dieser Anbieter ging anscheinend gegen Konkurrenz vor, welche die Dienstleistungen der europäischen Tochtergesellschaft eines amerikanischen Konzerns nutzen.
Die Anwaltskollegen von GRUENDELPARTNER gelangen zu einem naheliegenden Fazit:
«Die (nicht bestandskräftige) Entscheidung der Vergabekammer Baden-Württemberg hat […] potentiell erhebliche Auswirkungen auf die Zusammenarbeit deutscher Unternehmen mit US-Tech-Anbietern bzw. deren europäischen Konzerngesellschaften. Dass in einem komplexen Vergabeverfahren ein Ausschluss eines Bieters erfolgt, weil dieser eine Tochtergesellschaft eines US-Anbieters einsetzt, könnte zudem erheblichen Einfluss auf die künftige Gestaltung und Durchführung von Vergabeverfahren haben.»
Rettung durch das Trans-Atlantic Data Privacy Framework?
Nun gilt es die Begründung der Vergabekammer für ihren Beschluss abzuwarten. Auf den ersten Blick beruht der Beschluss allein auf der Vermutung, dass Unternehmen mit Sitz im Europäischen Wirtschaftsraum das europäische Datenschutzrecht brechen könnten. Der Beschluss passt zur weit verbreiteten Ablehnung eines risikobasierten Ansatzes beim Daten-Export durch europäische Behörden und Gerichte.
Die Europäische Kommission und die USA haben sich auf das Trans-Atlantic Data Privacy Framework als Privacy Shield-Nachfolger geeinigt. Dieser «Privacy Shield 2.0» befindet sich aber noch in der Umsetzung und wird unter anderem vom Europäischen Datenschutzausschuss (EDSA) geprüft werden müssen.
Siehe auch: Worauf muss ich beim Daten-Export achten? (Datenschutzpartner Academy, Webinar)
Bild: Pixabay / 0fjd125gk87, Public Domain-ähnlich.
Nachtrag vom 27. Juli 2022
Inzwischen kann ich die Begründung verlinken. Darin heisst es unter anderem:
«Gemessen an diesen Maßstäben führt der von der Beigeladenen beabsichtigte Einsatz der X., eine europäische Gesellschaft, deren Muttergesellschaft die in den USA ansässige X. Inc. ist, zu einer unzulässigen Datenübermittlung in ein Drittland.»
Und:
«Ziffer 3 und 12.1 des ‹X. GDPR DATA PROCESSING ADDENDUM› sind generalklauselartig gestaltet und eröffnen sowohl staatlichen als auch privaten Stellen außerhalb der EU und insbesondere in den USA im Rahmen der im konkreten Fall jeweils anwendbaren vertraglichen oder gesetzlichen Ermächtigungen eine Möglichkeit, in bestimmten Situationen auf bei der X. gespeicherte Daten zuzugreifen.
Das durch die Implementierung dieser Klauseln in das ‹X. GDPR DATA PROCESSING ADDENDUM› bewirkte latente Risiko eines Zugriffs reicht nach den geltenden datenschutzrechtlichen Grundsätzen aus, um eine datenschutzrechtlich unzulässige Übermittlung zu bejahen.
Es kommt insofern nicht darauf an, ob und wie naheliegend der Eintritt der in den beiden Klauseln niedergelegten Umstände, die für einen Zugriff im Einzelfall erforderlich sind, ist. Schließlich kann sich das latente Risiko jederzeit realisieren.
Die Beigeladene gibt durch die Eingehung der Vereinbarung mit X. die Einflussmöglichkeiten im Hinblick auf die der X. anvertrauten Daten jedenfalls partiell aus der Hand.»
(Mit Hervorhebung.)
Die Begründung wird bereits heftig kritisiert. Und es wird spekuliert, dass es sich um eine Tochtergesellschaft von Amazon gehandelt haben könnte, die das Pièce de résistance war.
Bild: Pixabay / 0fjd125gk87 , Public Domain-ähnlich.
Nachtrag vom 3. August 2022
Anwaltskollege David Vasella hat – einmal mehr lesenswert – zum Entscheid geäussert, unter anderem:
«Die Erwägungen der VK sind abzulehnen. Die VK hat es sich viel zu leicht gemacht. Wenn sie tatsächlich der Meinung ist, die theoretische Zugriffsmöglichkeit durch US-Behörden stelle bereits eine Übermittlung i.S.v. DSGVO 44 ff. dar, hätte sie prüfen müssen, ob tatsächlich eine Zugriffsmöglichkeit durch die US-Behörden besteht, was sie allerdings unterlassen hat […] Aber auch ihre weite Auslegung des Übermittlungsbegriffs ist abwegig. Dass sie sich mit diesen Fragen nicht ausreichend auseinandergesetzt hat, zeigt sich auch darin, dass die VK von einer ‹Weitergabe› spricht, die Begriffe also selbst nicht konsistent verwendet.»
Fazit:
«Die Ausführungen der Vergabekammer sind vor diesem Hintergrund zunächst nicht präjudiziell. Zu viele rechtliche und faktische Fragen blieben ungestellt und unbeantwortet. Sie sind aber auch in der Sache und im Ergebnis abzulehnen. Sie hätten die direkte Folge, dass in Zukunft jeder Konkurrent mit dem leisesten US-Bezug mit pauschalen Behauptungen aus dem Feld geschlagen werden kann, und die indirekte Folge, dass bei jeder Datenverarbeitung jedes Risiko auszuschliessen wäre und dass es keine Anonymisierung und keine Pseudonymisierung mehr gäbe – die DSGVO wäre dann wirklich ‹the law of everything›. Das wäre nicht nur absurd, sondern auch einfach ausserhalb der Gesetzgebungskompetenz der EU.»