Vergaberecht mischt den Datenschutz auf?!
Gespeichert von Barbara Schmitz am
In dem Beschluss der Vergabekammer Baden-Württemberg vom 13.7.2022 werden im Rahmen eines Vergabeverfahrens zur Beschaffung einer Software für Digitales […]management“ Ausführungen zur Unzulässigkeit der Übermittlung personenbezogener Daten in das Drittland USA gemacht, die einer näheren Betrachtung bedürfen:
Zunächst eine kurze Sachverhaltszusammenfassung:
Im Rahmen eines Ausschreibungsverfahrens für eine Cloud-Plattform gaben die die Beteiligten jeweils ihre Angebote ab. In einer ersten Entscheidung erhielt die Antragstellerin den Zuschlag. Auf die daraufhin ergehende Rüge der Beigeladenen wurde das Vergabeverfahren zurückgesetzt und es erfolgte ein erneutes Vergabeverfahren. In diesem erging die Entscheidung für den Zuschlag an die Beigeladenen. Daraufhin rügte die nun nicht mehr bedachte Antragstellerin, dass die Beigeladene von der Angebotswertung auszuschließen sei, da diese u.a. durch den Einsatz des Unterauftragnehmers X für die Erbringung der Server-/Hostingleistung gegen zwingende gesetzliche Vorgaben der DS-GVO verstoßen habe, die Bestandteil der Vergabeunterlagen seien (siehe Rz. 10 des VK-Beschlusses). Das Unternehmen X ist die Tochtergesellschaft eines in den USA ansässigen Unternehmens. Der physische Standort der Server für das Angebot ist in Deutschland.
Die Beigeladene wendet dagegen u.a. ein, dass Standardvertragsklauseln abgeschlossen wurden und zusätzlich ein „SUPPLEMENTARY ADDENDUM TO X. GDPR DATA PROCESSING ADDENDUM, das ergänzende Regelungen enthalte, die die vom EuGH geforderten "weiteren Maßnahmen" umsetze (siehe Rz. 23 des VK-Beschlusses).
Die Vergabekammer kommt zum folgenden Schluss und zu folgenden Bewertungen (Auszüge):
- Rz. 53: Das Angebot der Beigeladenen ist gemäߧ 57 Abs. 1 Nr. 4 VgV aus dem Vergabeverfahren auszuschließen, da es aufgrund des Einsatzes der X. gegen die Art. 44 ff. DSGVO verstößt und damit nicht den Anforderungen aus den Vergabeunterlagen entspricht.
- Rz. 55: Die Nutzung von Diensten der X. verstößt gegen anwendbares Datenschutzrecht, da sie nach den Art. 44 ff. DSGVO als unzulässige Datenübermittlung in ein Drittland zu qualifizieren ist.
- Rz. 61: Eine in diesem Zusammenhang berücksichtigungsfähige Offenlegung ist auch dann anzunehmen, wenn eine Einstellung personenbezogener Daten auf eine Plattform erfolgt, auf die von einem Drittland aus zugegriffen werden kann, und zwar unabhängig davon, ob der Zugriff tatsächlich erfolgt
- Rz. 64: Das durch die Implementierung dieser Klauseln [Zugriff in bestimmten Situationen] in das „X. GDPR DATA PROCESSING ADDENDUM" bewirkte latente Risiko eines Zugriffs reicht nach den geltenden datenschutzrechtlichen Grundsätzen aus, um eine datenschutzrechtlich unzulässige Übermittlung zu bejahen.
- Rz. 66: Standarddatenschutzklauseln im Sinne dieser Vorschrift sind nicht geeignet, Übermittlungen per se zu legitimieren; vielmehr bedarf es insofern einer Einzelfallprüfung
Fragen/Gedanken dazu:
- Würde die VK mit den neuen SCC zu demselben Ergebnis kommen? Angesichts der Ausführungen unter Rz. 66 wahrscheinlich ja – aber was wird dann aus Klausel 14 lit b) ii) SCC_neu?
- Ist das Risiko eines Zugriffs ein Maßstab für die Einordnung als Übermittlung (= Verarbeitung) von Daten?
Was meinen Sie?