OLG Karlsruhe: Doch kein Ausschluss aus Vergabeverfahren wegen Einbindung der luxemburgischen Tochtergesellschaft eines US-amerikanischen Unternehmens

von Dr. Axel Spies, veröffentlicht am 07.09.2022

Frau Barbara Schmitz hatte dankenswerterweise die Entscheidung der Vergabekammer  schon in den Blog am 27.08.22 eingestellt, die für erhebliche Unruhe im Markt gesorgt hat. Auch die Kommentare im Blog waren kritisch. Heute dann der Berufungsbeschluss des OLG Karlsruhe (Beschluss v. 07.09.2022, 15 Verg 8/22). Die Entscheidung der Vergabekammer wurde aufgehoben und der Nachprüfungsantrag zurückgewiesen. Der Beschluss ist rechtskräftig.

Auszug:

Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.“

Dies dürfte bei den US-Cloud Anbietern zu einem Aufatmen führen. Der Volltext der Entscheidung ist noch nicht veröffentlicht, aber die zitierte Aussage scheint zu implizieren, dass das bloße Risiko, dass US-Behörden auf Cloud-Daten zugreifen könnten, nicht als unzulässige Übermittlung in die USA zu werten ist. Oder wie interpretieren Sie die Aussage? 

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

11 Kommentare

Kommentare als Feed abonnieren

Danke für die schnelle Reaktion, Herr Spies. Ich interpretiere den Satz eher so, dass der Vertragspartner formal der Zusicherung eines rechtskonformen (aber ggf objektiv unmöglichen) Verhaltens vertrauen darf. Wie der Begriff "Übermittlung" in der DSGVO auszulegen ist, bleibt damit offen. Aber wir brauchen den Volltext.

0

#Volltext der Entscheidung des OLG Karlsruhe zur (Un-)Zulässigkeit der Nutzung von Infrastrukturdiensten von europäischen Tochterunternehmen US-amerikanischer Cloud-Anbieter verfügbar

OLG Karlsruhe, Beschluss vom 07.09.2022, 15 Verg 8/22

https://openjur.de/u/2449559.html

0

Vielen Dank, Herr Seidlitz. Hier einige Kernsätze aus dem Beschlüss zum Thema DS-GVO zur Kommentierung: 

"Durch die Unterzeichnung der von den Antragsgegnerinnen vorgegebenen DS-GVO Verträgen hat die Beigeladene erklärt, die gemachten Vorgaben einzuhalten. Sie hat zudem ihre Leistungen beim Einsatz von Dienstleistern und im Bereich von Datenschutz und IT-Sicherheit im Angebot im Einzelnen näher beschrieben und hierbei ein klares und eindeutiges Leistungsversprechen abgegeben. Sie hat in diesem Zuge zugesichert, dass personenbezogene Gesundheitsdaten ausschließlich an die A. S.à.r.l., L., übermittelt werden und auch zu ihrer Verarbeitung die EU nicht verlassen, sondern nur in Deutschland verarbeitet werden. Zudem hat die Beigeladene erklärt, dass die A. S.à.r.l., L. ihr gegenüber zugesichert habe, dass alle Daten der Beigeladenen in Deutschland verarbeitet werden und in der mündlichen Verhandlung vor dem Senat zudem bestätigt, dass sie bis zur Angebotsverwirklichung sämtliche intern notwendigen Verträge mit A. schließen wird, die ihre Zusagen, wie sie im Angebot gemacht werden, umsetzen. Im Sinne einer solchen bindenden Zusicherung haben die Antragsgegnerinnen die Erklärungen der Beigeladenen in den Vergabeunterlagen auch verstanden. Auf dieses Leistungsversprechen dürfen die Antragsgegnerinnen vertrauen."

"(2) Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. S.à.r.l ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird."

"Der behauptete Verstoß gegen die DS-GVO wegen einer Datenübermittlung in die USA war bereits Kernargument des Rügeschreibens der Antragstellerin vom 09.05.2022. Selbst wenn man den Vortrag als zulässig erachten würde, wird das Leistungsversprechen der Beigeladenen damit nicht in Zweifel gezogen. Denn daraus lässt sich nicht schließen, dass die Verwendung von C. und die Übermittlung der IP-Adresse in die USA Teil der den Antragsgegnerinnen angebotenen Leistung ist."

Vielen Dank Herr Spies und Herr Seidlitz.

Mein erster Eindruck: Die Definition des Übermittlungsbegriffes nach Art. 44 DSGVO wird im Beschluss nicht diskutiert. Allerdings fällt das Argument der Vergabekammer in sich zusammen, dass allein die Möglichkeit des klammheimlichen Datenzugriffs durch US-Behörden schon zu einer unzulässigen Übermittlung der Daten führt. So weit gehen auch die Zusagen der Anbieterin nicht, dass dieses Risiko nicht besteht oder sie für dieses Datensammelrisiko einsteht. Diese Einschränkung durch das Berufungsgericht ist auch vernünftig, weil dieses Riskio weltweit besteht - natürlich auch für den potentiellen Zugriff durch europäische Geheimdienste.

Mit diesem allgemeinen Risiko muss jeder leben, der Clouds nutzt!

0

Vielen Dank für den Thread, geschätzte Kolleg:innen,

wenn man sich das Verfahren ansieht, ist das ein Pyrrhussieg. Unabhängig von der Diskussion um die Übermittlung: Wie soll ein (Sub)Unternehmer wie AWS denn die nach Art. 28.1 DSGVO zwingend erforderlichen "hinreichenden Garantien" zur Verarbeitung im Einklang mit der Verordnung beibringen? Volle Beweislast liegt beim Verantwortlichen.
Viele Grüße in die Runde ;-)

Für mich geht es eher darum, was mit klammheimlichen Überwachungen oder Datensammlungen der US Behörden (oder China, oder Russland) ist. Kein Unternehmen aus der Welt kann garantieren, dass diese nicht erfolgen. Insofern kann ein Sub-Unternehmer auch keine "hinreichenden" Garantien" dazu nach Art. 28 DSGVO abgeben - auch AWS nicht im konkreten Fall. Und das scheint nach dem OLG Beschluss in Ordnung zu sein.

0

In Berlin hat man den Schuss noch nicht gehört und versucht, behördlicherseits die Nutzung von WebEx abzustellen. Grundlage der "Bedenken" der DSB ist, dass "Cisco als Firma in den USA gezwungen ist, Sicherheitsbehörden Daten auch von Nicht-US-Bürger*innen weiterzuleiten. " 

So ein Schwachsinn. Woraus ergibt sich das, bitte? Und das bloße Riskio des NSA Zugangs reicht gerade nach der OLG Beschluss nicht für Verbote aus!

"Die FU musst den Einsatz von Cisco Webex bis zum 30.09.2022 vollständig beenden. Das hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) der Kanzlerin der FU am 03. August mitgeteilt. Andernfalls wird die Aufsichtsbehörde ein förmliches Verfahren zur Untersagung der Nutzung prüfen. Diese stellte im November 2021 bereits in einem Brief an die FU fest das der Einsatz von Webex an der FU rechtswidrig ist. Siehe dazu die Veröffentlichungen des AStA FU[1][2]. Zuvor hatte der AStA FU die BlnBDI um Überprüfung des Einsatz von Cisco Webex an der FU gebeten.

Der AStA FU begrüßt das Handeln der BlnBDI. Janik Besendorf, Referent für Datenschutz und Kommunikation kommentiert: "Die Landesdatenschutzbeauftragte macht endlich ernst. Die FU hat jahrelang, trotz wiederholter Kritik nicht eingesehen, dass sie die Nutzung von Webex beenden muss. Es ist jetzt wichtig schnell auf datensparsame Alternativen wie Jitsi oder BigBlueButton zu setzen um den Lehrbetrieb im Wintersemester aufrecht erhalten zu können."

Robin Backhaus, ebenfalls Referent für Datenschutz und Kommunikation ergänzt: "Das Handeln der Aufsichtsbehörde ist auch über die FU hinaus relevant. Senat und Abgeordnetenhaus setzen ebenfalls Webex ein und ignorierten bisher die Warnungen der Behörde."

Quelle: https://astafu.de/node/517

0

Vielen Dank für diesen Thread, sehr geehrter Herr Kollege Spies.

Von erheblicher Relevanz ist die Entscheidung in jedem Fall für das Vergaberecht. Das OLG Karlsruhe hat mit seiner Entscheidung die Maßgeblichkeit einer Berücksichtigung von Leistungsversprechen / Garantien im Angebot bekräftigt. Dies begründet für Auftraggeber und Bieter jeweils Chancen und Risiken gleichermaßen; dies je nach Interesse und Konstellation. Als Beispiel: Auftraggeber könnten z.B. (zusätzlich) gehindert sein, einen Bieter schlechter zu bewerten oder auszuschließen, soweit er dem entgegenstehende - hypothetisch nicht hinreichend erfüllbare - Garantien im Angebot abgegeben hat. 

Datenschutzrechtlich sind - nach unserer Bewertung - letztlich aber nahezu alle insoweit interessanten Fragen, die eine Chance zur Schaffung von Rechtssicherheit geboten haben, ungeklärt geblieben. Dies war gleichwohl teilweise insoweit konsequent, als dass es im Hinblick auf den vorgenannten Bewertungsmaßstab insoweit (im Vergabeverfahren und nach Ansicht des OLG Karlsruhe) nicht mehr auf die datenschutzrechtlichen Erwägungen ankam. Dies betrifft insbesondere den gesamten Themenkomplex einer hinreichenden Ausgestaltung der Vertragsbeziehungen in der Lieferkette und das Vorliegen datenschutzrechtlicher Ermächtigungsgrundlagen. Auch auf die (vorgelagerte) Frage einer Übermittlung gem. Art. 44 DSGVO kam es im Hinblick auf den vertraglichen Teil konsequenterweise nicht an (auch wenn zu dem Prüfungsmaßstab abweichende Ansichten denkbar bleiben).

Im Hinblick auf die - u.E. trotzdem zu entscheidende - Frage, ob der Einsatz des Anbieters als 100 %-ige Tochter eines US-Konzerns im Hinblick auf die US-Rechtslage (Annahme einer Übermittlung gem. Art. 44 DSGVO aufgrund Cloud Act oder anderer US-Gesetze ? Ist ein Auftragsverarbeiter aus einem US-Konzern gem. Art. 28 DSGVO hinreichend geeignet?) zulässig ist, hat das OLG Karlsruhe letztlich - aus unserer Sicht inkonsequent und rechtlich nicht fehlerfrei - nicht entschieden. Die kurzen Ausführungen in den Entscheidungsgründen hierzu gehen (u.E.) letztlich am Sachverhalt und den entscheidungserheblichen Rechtsfragen vorbei.

Davon unabhängig hat das OLG Karlsruhe aber jedenfalls weder entschieden, dass der Einsatz von US-Anbietern bzw. deren 100%-igen Tochtergesellschaften generell zulässig sei, noch dass die konkret gegenständlichen Leistungen in dem künftigen Vertragsverhältnis datenschutzkonform erbracht werden (können). Das OLG Karlsruhe hatte daran in der mündlichen Verhandlung sogar Zweifel bzw. Bedenken, hat allerdings darauf hingewiesen, dass dies allein eine Frage der "Ausführungsphase" sei. 

Die Entscheidung und die sich an diese anschließende rechtlichen Diskussionen und Maßnahmen bieten u.E. aber eine zusätzliche Chance, künftig verlässlichere rechtliche Rahmenbedingungen / (partielle) Rechtssicherheit für rechtskonforme Digitalisierungsvorhaben, insbesondere im Hinblick auf einen etwaigen Drittlandsbezug, zu erlangen bzw. anzustreben.

0

Ich möchte mich ebenfalls für die Eröffnung des Threads bedanken.

Aus unserer Sicht ist die Entscheidung nicht geeignet, datenschutzrechtliche Ableitungen über den Vergabekontext hinaus zu gewinnen. Hier folgen wir in der Einschätzung dem Kollegen Stephan Schuldt.

0

Die raffen es nicht: Das bloße abstrakte Risko, dass eine US Sicherheitsbehörde beim Anbieter einer etablierten Verkaufsplattform mit Millionen Kunden über den CLOUD Act Datensätze abrufen könnte (Warum eigentlich?), reicht doch nie und nimmer für eine Untersagung des Datentransfers aus. Die deutschen Kleinunternehmen sind mal wieder die gelackmeierten.

0

Kommentar hinzufügen