Vergaberecht mischt den Datenschutz auf?!

von Barbara Schmitz, veröffentlicht am 28.07.2022
Rechtsgebiete: Datenschutzrecht6|2018 Aufrufe

In dem Beschluss der Vergabekammer Baden-Württemberg vom 13.7.2022 werden im Rahmen eines Vergabeverfahrens zur Beschaffung einer Software für Digitales […]management“ Ausführungen zur Unzulässigkeit der Übermittlung personenbezogener Daten in das Drittland USA gemacht, die einer näheren Betrachtung bedürfen:

Zunächst eine kurze Sachverhaltszusammenfassung:

Im Rahmen eines Ausschreibungsverfahrens für eine Cloud-Plattform gaben die die Beteiligten jeweils ihre Angebote ab. In einer ersten Entscheidung erhielt die Antragstellerin den Zuschlag. Auf die daraufhin ergehende Rüge der Beigeladenen wurde das Vergabeverfahren zurückgesetzt und es erfolgte ein erneutes Vergabeverfahren. In diesem erging die Entscheidung für den Zuschlag an die Beigeladenen. Daraufhin rügte die nun nicht mehr bedachte Antragstellerin, dass die Beigeladene von der Angebotswertung auszuschließen sei, da diese u.a. durch den Einsatz des Unterauftragnehmers X für die Erbringung der Server-/Hostingleistung gegen zwingende gesetzliche Vorgaben der DS-GVO verstoßen habe, die Bestandteil der Vergabeunterlagen seien (siehe Rz. 10 des VK-Beschlusses). Das Unternehmen X ist die Tochtergesellschaft eines in den USA ansässigen Unternehmens. Der physische Standort der Server für das Angebot ist in Deutschland.

Die Beigeladene wendet dagegen u.a. ein, dass Standardvertragsklauseln abgeschlossen wurden und zusätzlich ein „SUPPLEMENTARY ADDENDUM TO X. GDPR DATA PROCESSING ADDENDUM, das ergänzende Regelungen enthalte, die die vom EuGH geforderten "weiteren Maßnahmen" umsetze (siehe Rz. 23 des VK-Beschlusses).

Die Vergabekammer kommt zum folgenden Schluss und zu folgenden Bewertungen (Auszüge):

  • Rz. 53: Das Angebot der Beigeladenen ist gemäߧ 57 Abs. 1 Nr. 4 VgV aus dem Vergabeverfahren auszuschließen, da es aufgrund des Einsatzes der X. gegen die Art. 44 ff. DSGVO verstößt und damit nicht den Anforderungen aus den Vergabeunterlagen entspricht.
  • Rz. 55: Die Nutzung von Diensten der X. verstößt gegen anwendbares Datenschutzrecht, da sie nach den Art. 44 ff. DSGVO als unzulässige Datenübermittlung in ein Drittland zu qualifizieren ist.
  • Rz. 61: Eine in diesem Zusammenhang berücksichtigungsfähige Offenlegung ist auch dann anzunehmen, wenn eine Einstellung personenbezogener Daten auf eine Plattform erfolgt, auf die von einem Drittland aus zugegriffen werden kann, und zwar unabhängig davon, ob der Zugriff tatsächlich erfolgt
  • Rz. 64: Das durch die Implementierung dieser Klauseln [Zugriff in bestimmten Situationen] in das „X. GDPR DATA PROCESSING ADDENDUM" bewirkte latente Risiko eines Zugriffs reicht nach den geltenden datenschutzrechtlichen Grundsätzen aus, um eine datenschutzrechtlich unzulässige Übermittlung zu bejahen.
  • Rz. 66: Standarddatenschutzklauseln im Sinne dieser Vorschrift sind nicht geeignet, Übermittlungen per se zu legitimieren; vielmehr bedarf es insofern einer Einzelfallprüfung

Fragen/Gedanken dazu:

  • Würde die VK mit den neuen SCC zu demselben Ergebnis kommen? Angesichts der Ausführungen unter Rz. 66 wahrscheinlich ja – aber was wird dann aus Klausel 14 lit b) ii) SCC_neu?
  • Ist das Risiko eines Zugriffs ein Maßstab für die Einordnung als Übermittlung (= Verarbeitung) von Daten?

Was meinen Sie?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

6 Kommentare

Kommentare als Feed abonnieren

Herzlichen Dank für das Posting. Da stellen sich wirklich viele rechtliche Fragen: Zum Beispiel, die, worin das „latente Risiko“ des Zugriffs durch US Behörden gegenwärtig liegt.  Ich höre häufig das Argument, es gäbe ja den „US CLOUD Act,“ aber das trägt nicht weit: Der US CLOUD Act erlaubt nur einen Zugriff bei Electronic Communications Providern in konkreten Fällen auf bestimmte Daten im Ausland, wenn es um die Verfolgung schwerwiegender Straftaten geht. Anfechtung vor Gericht zumindest durch den ECP ist möglich. S. Spies/Rath CCZ 2018, 229. An diesem Prinzip ist nichts auszusetzen, was zu einem Ausschluss der Tochtergesellschaft von Vergabeverfahren führen sollte.

Potentielle Datenabschöpfung durch staatliche Behörden ist zwar der Geschichtspunkt der sich in den Vordergrund drängt (wobei sich dann unter anderem auch die Frage stellt, inwieweit man ohne blauäugige Naivität drauf vertrauen darf. daß sich die verschiedenen und zahlreichen US-Behörden sowohl beim regulären Handeln als auch bei verdecktem Handeln wirklich immer ernsthaft und gewissenhaft und strikt an die in den USA geltenden Gesetze halten).

Aber wer vorsichtig und umsichtig sein möchte, der sollte wohl nicht nur auf staatliche Stellen schauen, sondern auch auf halbstaatliche Institutionen, und auch auf private Unternehmen, und auf halbstaatliche und private Stellen und Netzwerke, von denen es dort wohl traditionell sehr viel mehr gibt als bei uns.

Insbesondere die nicht-offizielle Zusammenarbeit staatlicher Stellen mit nicht staatlichen Stellen, oder von Mitarbeitern staatlicher Stellen mit Mitarbeitern nicht-staatlichen Stellen (früher bei uns gelegentlich euphemistisch "kleiner Dienstweg" genannt), scheint in den USA doch erheblich weniger überschaubar (bzw. weniger transparent und weniger demokratisch und rechtsstaatlich kontrollierbar) als bei uns.

0

Handwerklich miserabel und im Ergebnis protektionistisch diese Entscheidung! Die Argumentation der Kammer ist, dass die Einbindung US-amerikanischer Tochterfirmen mit Infrastruktur in Europa  per se datenschutzwidrig sei, denn deren Einsatz verbunden mit der Speicherung personenbezogener Daten in der EU nehme die eigentliche Übermittlung ins Drittland bereits vorweg. Dies ist eine über den Wortlaut der einschlägigen Normen in Art. 4 Abs. 2 DSGVO hinausgehende Interpretation des Übermittlungsbegriffs.  Sie entzieht eventuell rechtfertigenden prozeduralen/organisatorischen Maßnahmen jede Legitimation und Bedeutung. Warum verhandeln dann die Europäer noch mit der US- Regierung über einen Nachfolger zum Privacy Shield? 

0

Europa belächelt schon unsere18 nicht aus einem Guss sprechenden Datenschutzaufsichtsbehörden. Jetzt werden die Datenschützer (m/w/d) sagen, „die Deutschen, die haben´s drauf, die haben noch viel mehr Aufsichtsbehörden. Die kennen sich aus mit überschießender Subsumtion und falscher Lesart von Schrems II“.

0

Die Kammer hätte die DS-GVO genau lesen sollen. Die Auslegung der Kammer ist nämlich nicht durch den Wortlaut von Art. 44 DS-GVO und Erwägungsgrund 101 gedeckt. Diese Vorschriften implizieren die Notwendigkeit einer aktiven Handlung für die "Übermittlung."  Nach Art. 44 DS-GVO unterliegt jede "Übermittlung personenbezogener Daten, die Gegenstand einer Verarbeitung sind", dem Kapitel V der DS-GVO. Wenn die Speicherung und Weitergabe als Mittel zur Verarbeitung personenbezogener Daten verstanden werden (Art. 4 (2)), kann die bloße Möglichkeit des Zugriffs durch Dritte nicht als Übermittlung angesehen werden, da Art. 44 DS-GVO von einer Übermittlung spricht, die sich auf Daten bezieht, die bereits verarbeitet werden. Erwägungsgrund 101 spricht vom "Fluss personenbezogener Daten aus Drittländern und internationalen Organisationen und in Drittländer und internationale Organisationen". Der Begriff "Fluß" bezeichnet eine Bewegung von etwas in eine Richtung.  

0

Mir stellen sich bei diesem Urteil v.a. 2 Fragen:

a) Warum besteht das Risiko einer potentiellen Offenlegung auch durch private Stellen? Diese können sich ja per se nicht auf zB den Cloud-Act o.Ä. berufen.

b) Im Detail nicht nachvollziehbar ist, warum die eingesetzte Verschlüsselung (pers e) das Risiko einer Offenlegung nicht ausschließt. Unabhängig von der konkreten Nichtberücksichtigung, sollte eine ausreichende Verschlüsselung der Daten durchaus geeignet sein dies zu können.

0

Kommentar hinzufügen