Einsatz von (IT-)Dienstleistern mit konzernangehörigen Unternehmen in sogenannten Drittländern unzulässig? Unsere Einschätzung mit Handlungsempfehlung
Glaubt man diversen Meldungen in sozialen Medien und auf einschlägigen Internetseiten, hat die Vergabekammer (VK) Baden-Württemberg mit ihrem Beschluss vom 13.07.2022 (Az. 1 VK 23/22) eine Entscheidung gefällt, die einem „Todesstoß“ für die Verarbeitung personenbezogener Daten durch Unternehmen, die im Konzernverbund mit Unternehmen in einem „Drittland“ sind, gleichkommt. Bei näherer Betrachtung ist dies jedoch deutlich differenzierter und auch unaufgeregter zu bewerten. Drittlandtransfers bleiben auch weiterhin möglich.
Was war passiert?
Ein öffentlicher Auftraggeber schrieb im November 2021 die Beschaffung einer Software für Digitales Entlassungsmanagement aus. In den Vergabeunterlagen wurden Anforderungen an den Datenschutz und die IT-Sicherheit formuliert. Unter anderem waren die folgenden beiden Anforderungen formuliert:
- Erfüllung der Anforderungen aus der DSGVO und dem BDSG
- Daten werden ausschließlich in einem EU-EWR Rechenzentrum verarbeitet, bei dem keine Subdienstleister/Konzernunternehmen in Drittstaaten ansässig sind.
Mehrere Bieter reichten Angebote ein. Der bezuschlagte Bieter benannte als Unterauftragnehmerin für Server- und Hostingleistungen die in einem EU-Mitgliedstaat ansässige A, Tochtergesellschaft eines US-amerikanischen Konzerns. Als physischer Standort für die Server wiederum war Deutschland angegeben. Zudem reichte der bezuschlagte Bieter mit seinem Angebot Vertragsklauseln ein, die als Schutzklauseln für den Datentransfer in ein Drittland dienen sollten und der Unterauftragnehmerin eine Verpflichtung auferlegten, unangemessene Anfragen staatlicher Stellen, die im Widerspruch zum Recht der EU stehen, anzufechten. Eine Weitergabe von personenbezogenen Daten an Dritte sollte ausgeschlossen sein, „es sei denn, dies ist zur Aufrechterhaltung oder Bereitstellung der Dienste oder zur Einhaltung von Gesetzen oder wirksamen und rechtskräftigen Anordnungen staatlicher Stellen erforderlich“.
Der zweitplatzierte Bieter rügte den Zuschlag und begründete dies unter anderem damit, dass der bezuschlagte Bieter auszuschließen gewesen sei, da er Änderungen an den Vergabeunterlagen vorgenommen habe, indem er die A als Unterauftragnehmerin benannt habe. Damit habe er gegen zwingende Vorschriften der DSGVO verstoßen. Zudem erfolge durch die A eine Datenverarbeitung auf Servern, auf die staatliche und private Stellen in Drittländern Zugriff hätten, was nach den Vergabeunterlagen gerade nicht erlaubt sei.
Der öffentliche Auftraggeber wies die Rüge ab und wandte insbesondere ein, dass eine Datenverarbeitung durch A ausschließlich in Deutschland erfolge und eine Datenverarbeitung in einem Drittland nicht stattfände. Das Angebot entspreche daher den Vorgaben der DSGVO sowie den Vergabeunterlagen.
Auf den sodann eingereichten Nachprüfungsantrag des zweitplatzierten Bieters entschied die VK Baden-Württemberg, dass das Angebot des bezuschlagten Bieters wegen eines Verstoßes gegen § 57 Abs. 1 Nr. 4 VgV vom Vergabeverfahren auszuschließen gewesen sei, da durch das Angebot Änderungen oder Ergänzungen an den Vergabeunterlagen vorgenommen worden seien, weil das Angebot bzw. die angebotenen Leistungen gegen zwingendes Datenschutzrecht verstießen.
Datenschutzrechtliche Hintergründe
In der DSGVO wird der Begriff des „Übermittelns“ an verschiedenen Stellen verwendet. Die „Übermittlung“ von personenbezogenen Daten („Offenlegung durch Übermittlung“) wird u.a. als ein Fall der (rechtfertigungsbedürftigen) „Verarbeitung“ in Art. 4 Nr. 2 DSGVO genannt. Eine besondere Bedeutung kommt der „Übermittlung“ in Kapitel 5 der DSGVO („Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen“) zu. Die Zulässigkeit von Übermittlungen von personenbezogenen Daten in Länder (sogenannte „Drittländer), die keine Mitgliedstaaten der EU oder des EWR sind, werden an besondere Voraussetzungen geknüpft. Hier spielen Übermittlungen in die USA immer wieder eine besondere Rolle, da viele der großen datenverarbeitenden Konzerne wie Amazon, Microsoft und Google ihren (Haupt-)Sitz in den USA haben, die USA nach europäischen Verständnis kein angemessenes Datenschutzniveau aufweisen und der EuGH mit Urteil vom 16.07.2020 (Rechtssache C-311/18) das Privacy Shield-Abkommen (das eine Datenübermittlung in die USA legitimieren sollte) für ungültig erklärt hat.
Wesentlich für die Anwendbarkeit der strengen Vorschriften über die Drittlandtransfers ist die Beantwortung der Frage, wann eine Übermittlung im Sinne der Art. 44 ff. DSGVO anzunehmen ist, konkret, ob bereits die Möglichkeit eines Zugriffs aus dem Drittland ausreicht.
Die Entscheidung
Die Vergabekammer setzt sich ausführlich mit den zugrundeliegenden Vorschriften der DSGVO und insbesondere dem Begriff der „Übermittlung“ im Sinne von Art. 44 DSGVO auseinander und kommt zu dem Schluss, dass der Einsatz von A als Hosting-Dienstleister eine unzulässige Übermittlung in diesem Sinne darstelle. Hierbei stützt sie sich auf ein Begriffsverständnis, das den Begriff der Übermittlung umfassend auslegt und hierunter „jede Offenlegung personenbezogener Daten gegenüber einem Empfänger in einem Drittland oder einer internationalen Organisation, wobei es weder auf die Art der Offenlegung noch auf die Offenlegung gegenüber einem Dritten ankommt“ versteht. Eine Offenlegung in diesem Sinne sei bereits dann gegeben, wenn die Einstellung von personenbezogenen Daten auf einer Plattform erfolge, bei der die Möglichkeit bestehe, dass von einem Drittland auf diese zugegriffen wird. Ob tatsächlich ein Zugriff erfolge, sei für die Einordnung unerheblich. Dies folge daraus, dass bereits die reine Zugriffsmöglichkeit als „latentes Risiko“ eine Übermittlung personenbezogener Daten darstelle.
Hieran konnten nach Ansicht der VK Baden-Württemberg auch nicht die mit dem Angebot von dem bezuschlagten Bieter eingereichten Schutzklauseln etwas ändern. Die Klauseln seien nicht geeignet, dem vorliegenden latenten Risiko adäquat zu begegnen, da die Klauseln der A lediglich eine Verpflichtung auferlegten, unangemessene Anfragen staatlicher Stellen, die im Widerspruch zum Recht der EU stehen, anzufechten. Darüber hinaus liege auch kein Angemessenheitsbeschluss vor, der einen Erlaubnistatbestand darstellen könne.
Bewertung
Zunächst einmal ist hervorzuheben, dass der Beschluss der VK Baden-Württemberg nicht einem Gerichtsurteil gleichzusetzen ist, zudem noch nicht rechtskräftig ist und tatsächlich gegen die Entscheidung das hierfür vorgesehene Rechtsmittel (sofortige Beschwerde) beim OLG Karlsruhe eingelegt wurde.
Sollte die Entscheidung Bestand haben, hätte sie je nach Begründung des OLG Karlsruhe ggf. eine über das konkrete Verfahren hinausgehende erhebliche Bedeutung für die Beauftragung von IT-Dienstleistungen, bei denen ein Dienstleister im Konzernverbund mit Unternehmen aus Drittländern (nicht nur den USA) steht. Es stellt sich allerdings die Frage, ob die Entscheidung des VK Baden-Württemberg nicht lediglich missverständlich formuliert ist:
Tatsächlich wird man nämlich in dem zugrundeliegenden Sachverhalt mehr als das „latente Risiko“ eines Zugriffs von Stellen in einem Drittland (USA) sehen müssen, sondern eine sehr reale Zugriffsmöglichkeit, da der Zugriff zur Aufrechterhaltung des Betriebs ausdrücklich vorbehalten wurde. Bei der datenschutzrechtlichen Bewertung einer in der Zukunft zu erbringenden Leistung wird man daher den Zugriff annehmen und auch bewerten müssen. Die Prüfung der Zulässigkeit der Übermittlung nach Maßgabe der Art. 44 ff. DSGVO durch die VK Baden-Württemberg wird man daher als grds. angebracht sehen können. Diese Prüfung gestaltet sich seit dem Urteil des EuGH vom 16.07.2020 (Rechtssache C-311/18), in dem er das sog. EU-US Privacy Shield für ungültig erklärt hat, durchaus schwierig. Schließlich kann eine Übermittlung personenbezogener Daten in die USA nicht mehr unter Berufung auf das Privacy Shield erfolgen. Dies führt dazu, dass im Zusammenhang mit der Erbringung von Leistungen, die eine Übermittlung personenbezogener Daten zum Gegenstand haben, immer wieder die Fragen auftauchen, wann eine Übermittlung personenbezogener Daten in einen Drittstaat vorliegt und inwieweit und auf welcher rechtlichen Grundlage diese zulässig sein kann.
Die VK Baden-Württemberg war nach unserer Kenntnis die erste Vergabekammer, die aus der vergaberechtlichen Sicht eine Bewertung und rechtliche Einordnung der Thematik vornehmen musste. Die Bewertung ist weitreichend und kann vom Wortlaut her insbesondere jeden Einsatz von datenverarbeitenden Dienstleistern, die im Konzernverbund mit Unternehmen aus einem Drittland stehen, betreffen, und zwar selbst dann, wenn der entsprechende Dienstleister in einem EU-Mitgliedstaat ansässig ist und die Server in Deutschland stehen.
Der zuständige Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWü) hat sich jüngst in einer Stellungnahme vom 15. August 2022 (https://www.baden-wuerttemberg.datenschutz.de/stellungnahme-zum-beschluss-der-vergabekammer-bw/) zu dem Beschluss der VK geäußert. Er begrüßt die „fachlich qualifizierte“ Auseinandersetzung mit dem Thema, sieht den Beschluss jedoch auch in bestimmten Punkten kritisch. Die im Rahmen des Beschlusses zugrunde gelegte Gleichsetzung von latentem Zugriffsrisiko und der Übermittlung von Daten in ein Drittland sei rechtlich zweifelhaft. Zudem müsse zwischen den verschiedenen Versionen der Standardvertragsklauseln (SCC), die als Schutzmechanismus für einen Datentransfer in die USA in Betracht kämen, unterschieden werden. Von dem bezuschlagten Bieter seien Klauseln verwendet worden, die hinter den Anforderungen der aktuell einsetzbaren Version der Klauseln zurückbleiben. Der LfDI BaWü hält daher auch nach dem Beschluss weiterhin daran fest, keine pauschalen Übermittlungsverbote vorzunehmen, sondern einzelfallbezogene Alternativprüfungen durchzuführen.
Nach unserer Einschätzung dürfte der zugrundeliegende Sachverhalt wenig geeignet sein, eine grundlegende Entscheidung über die Frage, wann eine Übermittlung in ein Drittland vorliegt, herbeizuführen. Aufgrund der vertraglichen Regelungen liegt schließlich nicht nur das latente Risiko eines Zugriffs aus einem Drittland vor, vielmehr behält sich der bezuschlagte Bieter vor, zwecks Aufrechterhaltung des Betriebs eine Weitergabe von Daten an Dritte vorzunehmen. Daher ist es auch fraglich, ob das OLG Karlsruhe die Frage der Übermittlung in ein Drittland überhaupt thematisieren wird. Dies bleibt selbstverständlich abzuwarten.
Nach unserer Auffassung genügt ein latentes Risiko des Zugriffs aus einem Drittland nicht, um eine Übermittlung im Sinne von Art. 44 DSGVO zu begründen. Behält sich ein Dienstleister jedoch ausdrücklich vor, den Zugriff zu ermöglichen, ohne dass der jeweilige Auftraggeber dies aktiv „freizugeben“ hätte, wäre zu prüfen, ob eine Übermittlung nach Maßgabe der DSGVO zulässig ist.
Handlungsempfehlung:
Die Übermittlung von personenbezogenen Daten in ein Drittland ist eine datenschutzrechtliche (und damit auch vergaberechtliche) Herausforderung. Bei der Beauftragung von Dienstleistern, die personenbezogene Daten verarbeiten, bleibt es bei der grundsätzlichen Empfehlung, eine Verarbeitung in der EU bzw. dem EWR durch ein dort ansässiges Unternehmen vertraglich festzulegen und die Übermittlung in ein Drittland entweder auszuschließen oder unter den ausdrücklichen Vorbehalt des Auftraggebers zu stellen, und zwar ganz unabhängig davon, ob der beauftragte Dienstleister in einem Konzernverbund mit Unternehmen aus Drittländern ist. Sollte dies nicht möglich sein oder wird ganz bewusst ein Unternehmen mit Sitz in einem Drittland (unter-)beauftragt, sind die Voraussetzungen, unter denen ein Drittlandtransfer erfolgen kann, im Einzelfall konkret festzulegen.
Eine pauschale Aussage, dass eine datenschutzkonforme Übermittlung in ein Drittland nicht möglich wäre, kann der Entscheidung der VK Baden-Württemberg aber nicht entnommen werden, sie hätte auch keine Grundlage in der DSGVO, die schließlich die Voraussetzungen der Zulässigkeit von Drittlandtransfers ausdrücklich und umfassend regelt.
BHO Legal AnsprechpartnerIn zu dem Thema: Rechtsanwalt und Partner Gerhard Deiters & Rechtsanwältin Dr. Christina Kreissl