Vergaberecht mischt den Datenschutz auf?!

von Barbara Schmitz, veröffentlicht am 28.07.2022
Rechtsgebiete: Datenschutzrecht15|3742 Aufrufe

In dem Beschluss der Vergabekammer Baden-Württemberg vom 13.7.2022 werden im Rahmen eines Vergabeverfahrens zur Beschaffung einer Software für Digitales […]management“ Ausführungen zur Unzulässigkeit der Übermittlung personenbezogener Daten in das Drittland USA gemacht, die einer näheren Betrachtung bedürfen:

Zunächst eine kurze Sachverhaltszusammenfassung:

Im Rahmen eines Ausschreibungsverfahrens für eine Cloud-Plattform gaben die die Beteiligten jeweils ihre Angebote ab. In einer ersten Entscheidung erhielt die Antragstellerin den Zuschlag. Auf die daraufhin ergehende Rüge der Beigeladenen wurde das Vergabeverfahren zurückgesetzt und es erfolgte ein erneutes Vergabeverfahren. In diesem erging die Entscheidung für den Zuschlag an die Beigeladenen. Daraufhin rügte die nun nicht mehr bedachte Antragstellerin, dass die Beigeladene von der Angebotswertung auszuschließen sei, da diese u.a. durch den Einsatz des Unterauftragnehmers X für die Erbringung der Server-/Hostingleistung gegen zwingende gesetzliche Vorgaben der DS-GVO verstoßen habe, die Bestandteil der Vergabeunterlagen seien (siehe Rz. 10 des VK-Beschlusses). Das Unternehmen X ist die Tochtergesellschaft eines in den USA ansässigen Unternehmens. Der physische Standort der Server für das Angebot ist in Deutschland.

Die Beigeladene wendet dagegen u.a. ein, dass Standardvertragsklauseln abgeschlossen wurden und zusätzlich ein „SUPPLEMENTARY ADDENDUM TO X. GDPR DATA PROCESSING ADDENDUM, das ergänzende Regelungen enthalte, die die vom EuGH geforderten "weiteren Maßnahmen" umsetze (siehe Rz. 23 des VK-Beschlusses).

Die Vergabekammer kommt zum folgenden Schluss und zu folgenden Bewertungen (Auszüge):

  • Rz. 53: Das Angebot der Beigeladenen ist gemäߧ 57 Abs. 1 Nr. 4 VgV aus dem Vergabeverfahren auszuschließen, da es aufgrund des Einsatzes der X. gegen die Art. 44 ff. DSGVO verstößt und damit nicht den Anforderungen aus den Vergabeunterlagen entspricht.
  • Rz. 55: Die Nutzung von Diensten der X. verstößt gegen anwendbares Datenschutzrecht, da sie nach den Art. 44 ff. DSGVO als unzulässige Datenübermittlung in ein Drittland zu qualifizieren ist.
  • Rz. 61: Eine in diesem Zusammenhang berücksichtigungsfähige Offenlegung ist auch dann anzunehmen, wenn eine Einstellung personenbezogener Daten auf eine Plattform erfolgt, auf die von einem Drittland aus zugegriffen werden kann, und zwar unabhängig davon, ob der Zugriff tatsächlich erfolgt
  • Rz. 64: Das durch die Implementierung dieser Klauseln [Zugriff in bestimmten Situationen] in das „X. GDPR DATA PROCESSING ADDENDUM" bewirkte latente Risiko eines Zugriffs reicht nach den geltenden datenschutzrechtlichen Grundsätzen aus, um eine datenschutzrechtlich unzulässige Übermittlung zu bejahen.
  • Rz. 66: Standarddatenschutzklauseln im Sinne dieser Vorschrift sind nicht geeignet, Übermittlungen per se zu legitimieren; vielmehr bedarf es insofern einer Einzelfallprüfung

Fragen/Gedanken dazu:

  • Würde die VK mit den neuen SCC zu demselben Ergebnis kommen? Angesichts der Ausführungen unter Rz. 66 wahrscheinlich ja – aber was wird dann aus Klausel 14 lit b) ii) SCC_neu?
  • Ist das Risiko eines Zugriffs ein Maßstab für die Einordnung als Übermittlung (= Verarbeitung) von Daten?

Was meinen Sie?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

15 Kommentare

Kommentare als Feed abonnieren

Herzlichen Dank für das Posting. Da stellen sich wirklich viele rechtliche Fragen: Zum Beispiel, die, worin das „latente Risiko“ des Zugriffs durch US Behörden gegenwärtig liegt.  Ich höre häufig das Argument, es gäbe ja den „US CLOUD Act,“ aber das trägt nicht weit: Der US CLOUD Act erlaubt nur einen Zugriff bei Electronic Communications Providern in konkreten Fällen auf bestimmte Daten im Ausland, wenn es um die Verfolgung schwerwiegender Straftaten geht. Anfechtung vor Gericht zumindest durch den ECP ist möglich. S. Spies/Rath CCZ 2018, 229. An diesem Prinzip ist nichts auszusetzen, was zu einem Ausschluss der Tochtergesellschaft von Vergabeverfahren führen sollte.

Potentielle Datenabschöpfung durch staatliche Behörden ist zwar der Geschichtspunkt der sich in den Vordergrund drängt (wobei sich dann unter anderem auch die Frage stellt, inwieweit man ohne blauäugige Naivität drauf vertrauen darf. daß sich die verschiedenen und zahlreichen US-Behörden sowohl beim regulären Handeln als auch bei verdecktem Handeln wirklich immer ernsthaft und gewissenhaft und strikt an die in den USA geltenden Gesetze halten).

Aber wer vorsichtig und umsichtig sein möchte, der sollte wohl nicht nur auf staatliche Stellen schauen, sondern auch auf halbstaatliche Institutionen, und auch auf private Unternehmen, und auf halbstaatliche und private Stellen und Netzwerke, von denen es dort wohl traditionell sehr viel mehr gibt als bei uns.

Insbesondere die nicht-offizielle Zusammenarbeit staatlicher Stellen mit nicht staatlichen Stellen, oder von Mitarbeitern staatlicher Stellen mit Mitarbeitern nicht-staatlichen Stellen (früher bei uns gelegentlich euphemistisch "kleiner Dienstweg" genannt), scheint in den USA doch erheblich weniger überschaubar (bzw. weniger transparent und weniger demokratisch und rechtsstaatlich kontrollierbar) als bei uns.

0

Handwerklich miserabel und im Ergebnis protektionistisch diese Entscheidung! Die Argumentation der Kammer ist, dass die Einbindung US-amerikanischer Tochterfirmen mit Infrastruktur in Europa  per se datenschutzwidrig sei, denn deren Einsatz verbunden mit der Speicherung personenbezogener Daten in der EU nehme die eigentliche Übermittlung ins Drittland bereits vorweg. Dies ist eine über den Wortlaut der einschlägigen Normen in Art. 4 Abs. 2 DSGVO hinausgehende Interpretation des Übermittlungsbegriffs.  Sie entzieht eventuell rechtfertigenden prozeduralen/organisatorischen Maßnahmen jede Legitimation und Bedeutung. Warum verhandeln dann die Europäer noch mit der US- Regierung über einen Nachfolger zum Privacy Shield? 

0

Europa belächelt schon unsere18 nicht aus einem Guss sprechenden Datenschutzaufsichtsbehörden. Jetzt werden die Datenschützer (m/w/d) sagen, „die Deutschen, die haben´s drauf, die haben noch viel mehr Aufsichtsbehörden. Die kennen sich aus mit überschießender Subsumtion und falscher Lesart von Schrems II“.

0

Die Kammer hätte die DS-GVO genau lesen sollen. Die Auslegung der Kammer ist nämlich nicht durch den Wortlaut von Art. 44 DS-GVO und Erwägungsgrund 101 gedeckt. Diese Vorschriften implizieren die Notwendigkeit einer aktiven Handlung für die "Übermittlung."  Nach Art. 44 DS-GVO unterliegt jede "Übermittlung personenbezogener Daten, die Gegenstand einer Verarbeitung sind", dem Kapitel V der DS-GVO. Wenn die Speicherung und Weitergabe als Mittel zur Verarbeitung personenbezogener Daten verstanden werden (Art. 4 (2)), kann die bloße Möglichkeit des Zugriffs durch Dritte nicht als Übermittlung angesehen werden, da Art. 44 DS-GVO von einer Übermittlung spricht, die sich auf Daten bezieht, die bereits verarbeitet werden. Erwägungsgrund 101 spricht vom "Fluss personenbezogener Daten aus Drittländern und internationalen Organisationen und in Drittländer und internationale Organisationen". Der Begriff "Fluß" bezeichnet eine Bewegung von etwas in eine Richtung.  

0

Mir stellen sich bei diesem Urteil v.a. 2 Fragen:

a) Warum besteht das Risiko einer potentiellen Offenlegung auch durch private Stellen? Diese können sich ja per se nicht auf zB den Cloud-Act o.Ä. berufen.

b) Im Detail nicht nachvollziehbar ist, warum die eingesetzte Verschlüsselung (pers e) das Risiko einer Offenlegung nicht ausschließt. Unabhängig von der konkreten Nichtberücksichtigung, sollte eine ausreichende Verschlüsselung der Daten durchaus geeignet sein dies zu können.

0

Vielen Dank, Herr Hoerdt: der CLOUD Act gilt nur for einen "provider of electronic communication service or remote computing service” nach US Recht. Eine Anfechtung vor Gericht ist möglich. Wenn der Adressat den Schlüssel zu den gewünschten Daten hat, müßte der die gewünschten Daten wohl liefern (possession, custody or control).

Und nochmal zur Sicherheit: Es geht beim CLOUD Act um "information [...] critical to investigations of serious crime by authorities around the world, ranging from terrorism and violent crime to sexual exploitation of children and cybercrime."-- https://www.justice.gov/dag/page/file/1153466/download

Der rigide Ansatz der Vergabekammer steht u.a. im krassen Gegensatz zu den Leitlinien der dänischen Datenschutzbehörde vom März zu Cloud-Diensteanbietern (CSPs) und den dazugehörigen FAQs, die kürzlich am 1. August in ihrem CSP-Fragebogen zur Sorgfaltspflicht für Verantwortliche wiederholt wurden. In diesem englischsprachigen Leitfaden (siehe RZ 3.6) heißt es übersetzt: "Es ist an sich nicht rechtswidrig, einen CSP zu nutzen, dessen [Drittland-]Muttergesellschaft [inländischen] Gesetzen unterliegt ... welche den Strafverfolgungsbehörden die Befugnis geben, Informationen anzufordern, die sich im Besitz anderer Gruppenmitglieder befinden, einschließlich solcher in der EU/EWR." An anderer Stelle wird  wiederholt, dass ein Verantwortlicher personenbezogene Daten an einen CSP, der unter die FISA fällt, ohne zusätzliche Maßnahmen übermitteln kann, wenn der für die Verarbeitung Verantwortliche nachweisen kann, dass in der Praxis nicht auf sie zugegriffen wird - zum Beispiel wenn der CSP schlicht bisher keine Anfragen erhalten hat (siehe z. B. auf Seite 25). 

 

Dr. Axel Spies hat dankenswerter Weise in diesem Zusammenhang auf die Leitlinien der dänischen Datenschutzbehörde vom März zu Cloud-Diensteanbietern (CSPs) hingewiesen, die praxisnah u.a. folgende Anforderungen aufführen und damit im absoluten Gegensatz zu den Ausführungen der Vergabekammer stehen:

RZ 3.6 übersetzt: "Es ist an sich nicht rechtswidrig, einen CSP zu nutzen, dessen [Drittland-]Muttergesellschaft [inländischen] Gesetzen unterliegt ... was den Strafverfolgungsbehörden die Befugnis gibt, Informationen anzufordern, die sich im Besitz anderer Gruppenmitglieder befinden, einschließlich solcher in der EU/EWR."

RZ. 25 "dass ein Verantwortlicher personenbezogene Daten an einen CSP, der unter die FISA fällt, ohne zusätzliche Maßnahmen übermitteln kann, wenn der für die Verarbeitung Verantwortliche nachweisen kann, dass in der Praxis nicht auf sie zugegriffen wird - zum Beispiel wenn der CSP schlicht bisher keine Anfragen erhalten hat".

 

Die Vergabekammer beschäftigt sich in ihrem Beschluss mit der Vergabe von Aufträgen an Unternehmen durch die öffentliche Hand. Konkret ging es um ein Vergabeverfahren im Zusammenhang mit einer Cloud-Plattform. Im Anschluss an die Vergabeentscheidung rügte die spätere Antragstellerin, dass das bedachte Unternehmen den Zuschlag nicht hätte erhalten dürfen. Im Wesentlichen begründete sie dies mit der fehlenden Einhaltung datenschutzrechtlicher Vorgaben durch den Einsatz eines Subunternehmers. Der Subunternehmer war eine Gesellschaft, deren Muttergesellschaft in den Vereinigten Staaten ihren Sitz hat. Der Einsatz dieses Subunternehmers sei ein Verstoß gegen die Vorgaben an Datenübermittlungen in ein Drittland. Denn aufgrund der gesellschaftsrechtlichen Beziehung zwischen den beiden Unternehmen, könne die Muttergesellschaft jederzeit die Übermittlung von Daten in die Vereinigten Staaten verlangen. Insoweit sei es auch unerheblich, dass die Tochtergesellschaft ihre Server für die geplante Datenverarbeitung innerhalb der EU betreibe. Die Rüge hatte vor der Vergabekammer Erfolg.

Kernfrage: Sind Datenübermittlungen in ein Drittland stets unzulässig?

Tatsächlich können datenschutzrechtliche Verstöße einer Vergabe an ein Unternehmen entgegenstehen. Dies kann etwa für eine unzulässige Datenübermittlung in ein Drittland gelten, wenn ein angemessenes Datenschutzniveau nicht gewährleistet ist. Diese Auswirkung stellt zunächst keine neue Entwicklung dar. Indes geht die Vergabekammer bei ihrer Entscheidung einen Schritt weiter: So nimmt sie sogar (stets) einen Verstoß gegen die Vorgaben an Datenübermittlungen in Drittländer an, wenn die Gefahr des Zugriffs durch ein Unternehmen aus den Vereinigten Staaten besteht. Dabei reicht der Vergabekammer bereits die Möglichkeit des Zugriffs aus. Allein das „latente Risiko“ eines Zugriffs mache die Auslagerung der Datenverarbeitung an diesen Dienstleister unzulässig. Die Vergabekammer stellt also nicht darauf ab, dass Daten tatsächlich übermittelt werden oder dass dies im Rahmen der konzerninternen Aufgabenverteilung zumindest vorgesehen ist. Ganz im Gegenteil: Eine Differenzierung nach der Wahrscheinlichkeit für einen Zugriff nimmt die Vergabekammer gerade nicht vor. Aus verfahrensrechtlichen Gründen berücksichtigt die Kammer auch eine angewandte Verschlüsselungstechnik oder risikomindernde Vertragsklauseln nicht weiter.

Einzelfallprüfung erforderlich

Die Entscheidung stellt dadurch strenge Vorgaben an Datenübermittlungen in ein Drittland. Die Vergabekammer lässt den Abschluss der von der EU-Kommission für die Absicherung internationaler Datenübermittlungen erlassenen EU-Standardvertragsklauseln nicht ausreichen, um ein angemessenes Datenschutzniveau zu begründen. Soweit sie auf eine Einzelfallprüfung der mit einer Datenübermittlung einhergehenden Risiken abstellt, entspricht die Haltung noch den hergebrachten Vorgaben an Datenübermittlungen. Überraschend ist indes die hier vermeintlich vorgenommene „Einzelfallprüfung“ der Vergabekammer, die sich mit der pauschalen Feststellung eines latenten Risikos begnügt. Damit steht der Beschluss der Vergabekammer im Widerspruch zur gängigen Praxis im Hinblick auf die diesbezügliche Einzelfallprüfung für ein angemessenes Datenschutzniveau. Diese behalf sich im Anschluss an die Aufhebung des Privacy Shield durch die Schrems-II-Entscheidung des EuGH mit dem Lösungsansatz, dass über einzelne Sicherheitsvorkehrungen (wie technisch-organisatorische Maßnahmen oder Vertraulichkeitsvereinbarungen) in einer Gesamtschau ein angemessenes Datenschutzniveau hergestellt werden kann.

Auch die Aufsicht verlangt eine Risikoabwägung

Bei dem Beschluss der Vergabekammer dürfte es sich um eine vereinzelte Auffassung handeln. Die Begründung der Vergabekammer überzeugt jedenfalls nicht. Denn die Vergabekammer begründet ihre Entscheidung mit der pauschalen Bewertung, dass die Gefahr des Zugriffs durch den Sitz in einem Drittland allein ausreiche. So lässt die Vergabekammer aber unberücksichtigt, dass nach der DSGVO und der Rechtsprechung des EUGH in Fällen des Drittlandtransfers das angemessene Datenschutzniveau anhand der Umstände im Einzelfall bemessen wird. Insbesondere können sich hierbei Sicherheitsvorkehrungen der betroffenen Unternehmen als risikomindernde Umstände auswirken. Dies kann etwa für moderne Verschlüsselungstechniken gelten. Auch ist in den Blick zu nehmen, wie die umfassende Rechtslage sich darstellt, also welche Rechtsgrundlagen für einen Zugriff bestehen und welche Rechtsschutzmöglichkeiten eine betroffene Person hat oder von dem US-Dienstleister zugesagt bzw. ergriffen werden. Hierzu schweigt die Entscheidung der Vergabekammer.

Auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI Baden-Württemberg) hat zum Beschluss der Vergabekammer Stellung genommen. Darin führt er unter anderem aus, dass insbesondere entsprechende technisch-organisatorische Maßnahmen die geltend gemachten latenten Risiken im Beschluss der Vergabekammer ausschließen können. Insoweit ist der LfDI Baden-Württemberg weiterhin der Auffassung, dass die Vorgaben der DSGVO mit einer einzelfallabhängigen Prüfung eingehalten werden können. Eine pauschale Unzulässigkeit der Beauftragung von US-Dienstleistern, wie von der Vergabekammer angenommen, wäre damit vom Tisch.

Handlungsempfehlung und Ausblick

Der Beschluss der Vergabekammer hat für Unruhe gesorgt, die sich in zahl- und umfangreichen Artikeln widerspiegelt. Dennoch sollten Unternehmen aufgrund des Einzelfallcharakters der vergaberechtlichen Entscheidung keine voreiligen Schlüsse ziehen. Dies gilt insbesondere mit Blick auf die neuen von der EU-Kommission 2021 erlassenen Standardvertragsklauseln. Die neuen Standardvertragsklauseln wurden ja nach den Schrems-Verfahren gerade mit Blick auf den internationalen Datentransfer konzipiert, um diesen (als organisatorische Maßnahme) besser abzusichern. Im Übrigen bleibt zunächst die Entscheidung des Oberlandesgerichts Karlsruhe abzuwarten, das sich in zweiter Instanz mit dem Sachverhalt beschäftigen wird. 

0

Die LDI Ba-Wü Stellungnahme ist absolut lesenswert. Sie seziert passgenau die Schwachstellen der Vergabekammer. Zum einen die Nichtbeachtung vorhandener Vertragsklausel für die Prüfung eines adäquaten Drittlandtransfers. Zum anderen das Zugriffsrisiko staatlicher (Drittland-) Stellen als unzulässige Übermittlung (= Verarbeitung) anzusehen. Der Hinweise des LDI darauf, dass für „solche Zugriffsrisiken wirksame Gegenmittel in Gestalt sog. „technisch-organisatorischer Maßnahmen“ existieren, die letztlich jedes Risiko ausschließen können.“ ist hilfreich und richtig.

Interessant aber auch der Nebensatz zum „risikobasierten Ansatz“: „Dass die DS-GVO einen „risikobasierten Ansatz“ zugunsten Verantwortlicher eingeführt habe, wird von interessierten Kreisen zwar immer wieder (und in dieser Pauschalität wenig überzeugend) vorgebracht. Dass dieser Ansatz jetzt aber zu Lasten von Verantwortlichen und Auftragsverarbeitern umgedreht werden dürfte, überzeugt ebenso wenig.“ Damit gibt es -nach meinem Verständnis- für den „risikobasierte Ansatz“ in der DS-GVO durchaus eine Daseinsberechtigung. Die Anforderungen daran sollten allerdings konkreter werden.

#privacyworks #dsgvoworks

Kommentar hinzufügen