Das Oberlandesgericht Karlsruhe hat eine vielbeachtete Entscheidung der Vergabekammer Baden-Württemberg aufgehoben, mit der europäische Tochtergesellschaften von US-Anbietern aus öffentlichen Vergabeverfahren ausgeschlossen worden waren (OLG Karlsruhe, Beschluss vom 07.09.2022, Az. 15 Verg 8/22).
Privacy Shield nichtig seit 2020: Was nun?
Seit dem Schrems II-Urteil des EuGH im Juli 2020 ist es nicht mehr möglich, personenbezogene Daten auf Basis des Privacy Shields in die USA zu übermitteln. Hintergrund der Entscheidung war, dass das datenschutzrechtliche Schutzniveau in den USA nicht dem Schutzniveau der DSGVO entspricht. Der EuGH kritisierte seinerzeit unter anderem unverhältnismäßige Überwachungsrechte der US-Geheimdienste, gegen die in den USA nicht einmal Rechtschutzmöglichkeiten bestehen. Im Ergebnis erklärte er das Privacy Shield-Abkommen mit sofortiger Wirkung für nichtig – eine peinliche Schlappe, nachdem bereits das Safe Harbor-Abkommen als Vorgänger des Privacy Shields vor dem EuGH gescheitert war.
Nachfolgeabkommen angekündigt, aber noch nicht in Kraft
In der Folge verhandelten USA und EU über ein drittes, nun hoffentlich gerichtsfestes Abkommen. Im März 2022 einigte man sich schließlich dem Grunde nach auf ein Nachfolgeabkommen, das laut Medienberichten jedoch frühestens zum Jahresende 2022 in Kraft treten soll. Bis dahin fehlt weiterhin eine tragfähige Rechtsgrundlage für den Transfer von personenbezogenen Daten in die USA. Seit Juni 2021 liegen zwar neue, überarbeitete Standardvertragsklauseln (SCC) vor. Sie eignen sich aber allenfalls für Einzelfälle und ebnen anders als das Privacy Shield gerade nicht pauschal den Weg für einen ungehinderten Datentransfer in die USA.
Keine Auftragsvergabe an EU-Tochtergesellschaften von US-Firmen
Auf dieser Basis entschied die Vergabekammer Baden-Württemberg Mitte Juli 2022, dass öffentliche Stellen keine Angebote von Tochtergesellschaften US-amerikanischer Cloud-Anbieter berücksichtigten dürften, was beispielsweise den Ausschluss von Cloud-Diensten wie Amazon Web Services (AWS), Microsoft oder Google aus öffentlichen Ausschreibungen zur Folge hätte (vgl. Vergabekammer Baden-Württemberg, Beschluss vom 13.07.2022, Az. 1 VK 23/22).
Zusicherungen des Bieters, wonach personenbezogene Daten der EU-Kunden allein auf Servern in Frankfurt am Main unter Zugriff einer deutschen GmbH verarbeitet würden, reichten der Vergabekammer nicht. Es bestehe das latente Risiko eines Zugriffs von staatlichen und privaten Stellen außerhalb der Europäischen Union. Nachdem sich die datenschutzrechtlichen Transferprobleme zwischen den USA und der EU vorher kaum in deutschen Gerichtsentscheidungen ausgewirkt hatten, sorgte der Beschluss für Aufregung.
OLG Karlsruhe: Zusage von Tochtergesellschaft grundsätzlich ausreichend
Das Oberlandesgericht Karlsruhe hob die Entscheidung der Vergabekammer allerdings auf. Öffentliche Auftraggeber dürften sich auf bindende Zusagen der europäischen Tochtergesellschaften verlassen, wonach die personenbezogenen Daten allein in Deutschland verarbeitet würden und keine Übermittlung in Drittländer erfolge.
Grundsätzlich sei davon auszugehen, dass ein Bieter seine vertraglichen Zusagen erfüllen werde. Erst wenn sich aufgrund konkreter Anhaltspunkte Zweifel ergeben, müsse der öffentliche Auftraggeber ergänzende Informationen einholen und die Erfüllbarkeit des Leistungsversprechens prüfen. Im entschiedenen Fall hatte die Bieterin jedoch eindeutige Zusicherungen zum Inhalt des Vertrags zwischen ihr und der luxemburgischen Holding-Dienstleisterin gemacht. Danach dürfen Daten ausschließlich an diese luxemburgische Gesellschaft übermittelt und ausnahmslos von ihr und nur in Deutschland verarbeitet werden. Auf dieser Grundlage dürfe der öffentliche Auftraggeber berechtigt darauf vertrauen, dass diese Vorgaben auch im Verhältnis zur Hosting-Dienstleisterin vertragsgemäß umgesetzt werden. Er müsse nicht damit rechnen, dass die luxemburgische Gesellschaft vertragswidrige und gegen europäisches Recht verstoßende Weisungen befolge und personenbezogene Daten in die USA übermitteln wird.
Aus der Pressemittelung des OLG Karlsruhe:
„Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.“
Der Beitrag DSGVO: OLG Karlsruhe hebt Vergabekammer BW-Beschluss auf erschien zuerst auf Kanzlei Plutte, verfasst von Niklas Plutte.
