Interessante Wendung in der Frage: Dürfen öffentliche Auftraggeber Bieter wegen der Nutzung der US-Cloud-Dienste von Gebotsverfahren ausschließen? Die Vergabekammer Baden-Württemberg hatte dies bejaht und einen Anbieter, der einen US-Cloud-Dienst verwenden wollte, von der Ausschreibung ausgeschlossen. Das Oberlandesgericht Karlsruhe hat diesen Ansatz aber verworfen – Deutsche Behörden dürfen unter bestimmten Umständen weiterhin Angebote berücksichtigen, wenn diese US-Cloud-Dienste beinhalten.
Anzeige
US-Cloud-Verbot der Vergabekammer Baden-Württemberg
Es war ein Beschluss der Vergabekammer Baden-Württemberg, Az. 1 VK 23/22 vom 13. Juli 2022, der hohe Wellen schlug. In einem Vergabeverfahren hatte die EU-Tochter einer US-Firma ein Angebot eingereicht, welches Leistungen eines US-Cloud-Anbieters enthielt. Die für die Erbringung der Leistungen notwendigen Cloud-Leistungen sollten durch Server in der EU bereitgestellt werden.
Die Vergabekammer Baden-Württemberg hat in dem oben zitierten Beschluss (war noch nicht rechtskräftig), diesen Bieter von der Ausschreibung ausgeschlossen. Nach Ansicht der Vergabekammer Baden-Württemberg lag eine datenschutzrechtlich unzulässige Übermittlung von personenbezogenen Daten in ein Drittland (außerhalb der EU) auch dann vor, wenn der entsprechende Server von einer in der EU ansässigen Gesellschaft betrieben wird, die ihrerseits Teil eines US-Konzerns ist. Die Kammer argumentiert:
Allein die Möglichkeit, dass auf personenbezogene Daten durch die nichteuropäische Muttergesellschaft zugegriffen werden kann, führt zu einer sog. "Weitergabe" im Sinne der DSGVO, dies unabhängig davon, ob ein solcher Zugriff durch die US-Muttergesellschaft tatsächlich erfolgt. Diese Weitergabe ist nach Ansicht der Vergabekammer nach Wegfall des US-Privacy-Shields unzulässig, sie konnte in dem Verfahren insbesondere nicht durch den Abschluss von Standardvertragsklauseln (sog. SCC's) legitimiert werden.
Ich hatte im Blog-Beitrag Vergabekammer Baden-Württemberg schließt Anbieter eines US-Cloud-Diensts von Angebot aus über diesen Sachverhalt berichtet. Dieser Beschluss war aber noch nicht rechtkräftig – eine Beschwerde war zulässig.
Zum Sachverhalt finden sich hier noch einiges an Details. Es ging um ein Vergabeverfahren zweier kommunaler Krankenhausgesellschaften für ein digitales Entlassmanagement für Patienten. Es wurde in der Ausschreibung vorausgesetzt, dass die Anforderungen der Datenschutzgrundverordnung und des Bundesdatenschutzgesetzes hinsichtlich der personenbezogenen Daten der zur Entlassung anstehenden Patienten erfüllt sein müssen. Der Vergabe-Blog schreibt dazu: Eine der Anbieterinnen sicherte in ihren Angebotsunterlagen zu, das von ihr als Hosting-Dienstleisterin eingebundene luxemburgische Tochterunternehmen eines US-amerikanischen Konzerns werde den Auftrag ausschließlich bearbeiten und die Daten würden ausnahmslos auf einem in Frankfurt/Main stehenden Server einer deutschen GmbH verarbeitet. Die Krankenhausgesellschaften wollten im Vergabeverfahren diesem Anbieter den Zuschlag (aus wirtschaftlichen Gründen) erteilen. Die Vergabekammer ließ das aber nicht zu.
Das Oberlandesgericht Karlsruhe korrigiert
Das Oberlandesgericht (OLG) Karlsruhe war mit der Überprüfung des Beschlusses der Vergabekammer Baden-Württemberg, Az. 1 VK 23/22 vom 13. Juli 2022, befasst – die ausgeschlossene Bieter-Partei hatte Beschwerde vor dem OLG eingelegt. Mit der Entscheidung (Az.: 15 Verg 8/22 vom 7. September 2022) korrigierten die Richter des OLG den vorherigen Beschluss der Vergabekammer. Tenor des Urteils (laut Beck-Community):
Anzeige
Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.
Interpretiert bedeutet dies, dass die Annahme der Vergabekammer, dass die theoretische Möglichkeit, dass Daten von europäischen Servern abfließen, nicht für einen Ausschluss eines Bieters im Vergabeverfahren einer deutschen Behörde ausreicht. Aktuell fehlt aber noch der Volltext des Urteils, welches im Übrigen noch nicht rechtskräftig ist. Der Vergabeblog fasst in diesem Artikel den Sachverhalt der Vergabe samt Vorgeschichte zusammen.
Die FAZ schreibt hier, dass das OLG Karlsruhe befanden, dass öffentlichen Auftraggeber sich auf die bindenden Zusagen des Anbieterin verlassen, dass die Daten ausschließlich in Deutschland verarbeitet und in kein Drittland übermittelt werden. Grundsätzlich sei davon auszugehen, dass ein Bieter seine vertraglichen Zusagen erfüllen werde. Erst wenn sich aufgrund konkreter Anhaltspunkte Zweifel daran ergäben, müsse der öffentliche Auftraggeber ergänzende Informationen einholen und die Erfüllbarkeit des Leistungsversprechens prüfen.
Das macht wohl Sinn
So, wie es sich aktuell darstellt, macht das Ganze wohl objektiv betrachtet auch Sinn. Wenn ich richtig erinnere, gibt es auch eine kleine, aber entscheidende Variante, zwischen Entscheidung der Vergabekammer und dem Spruch des OLG. Bei der Vergabekammer wurde über den Ausschluss eines Angebots entschieden, bei dem der Anbieter seine US-Cloud-Dienste irgendwo in Europa hosten wollte. Wenn der Text der FAZ korrekt ist, muss der Anbieter laut OLG Karlsruhe seine US-Cloud-Dienste in Deutschland hosten und sicherstellen, dass diese in kein Drittland übermittelt werden.
Vieles weiterhin unklar
Die FAZ-Aussage "Oberlandesgericht Karlsruhe hegt den Datenschutz ein" würde ich als Wortgeklingel einsortieren – das Urteil ist eine Präzisierung des betreffenden Senats. Und die FAZ-Schlussfolgerung "Damit ist der Fall rechtskräftig entschieden." ist zumindest juristisch zweifelhaft. Ich kenne die mündliche Begründung nicht – in der Regel räumt eine Kammer aber eine Beschwerdemöglichkeit ein – speziell wie in diesem Fall dürfte das gelten. Rechtskräftig würde das Urteil erst, wenn der Volltext veröffentlicht und die Frist zur Einreichung der Beschwerde abgelaufen ist – so zumindest meine laienhafte Einschätzung. Ergänzung: Das Urteil erlangte sofort Rechtskraft – bezieht sich dann aber wohl auf diesen Einzelfall, in dem es rein um die Teilnahme an der Vergabe ging.
Mal schauen, was in dieser Causa noch so passiert. Noch steckt mir zu viel im Nebel in der Geschichte (schade, dass keine Presseinformation des Gerichts abrufbar ist – deren Server streikt) – erst mit vorliegen des Volltexts können Juristen das Urteil werten.
Ergänzung: Spannend wird es auch, wenn dort jemand den EuGH befragt – ich bin auf diesen Artikel hingewiesen worden. Dieser diskutiert einige Auslegungen des EuGH-Urteils (Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Charta der Grundrechte der Europäischen Union), welches nach meiner Lesart wenig "Interpretationsspielraum" lässt, wenn persönliche Daten erhoben werden. Speziell bei Patientendaten im Entlassungsmanagement halsen die Leute sich unnötige Datenschutzprobleme auf.
Ergänzung 2: Die Urteilsbegründung des OLG Karlsruhe liegt nun vor – erstaunlich fand ich, dass das Urteil mit der Verkündung Rechtskraft erlangt.
Kein Ausschluss aus Vergabeverfahren wegen Einbindung der luxemburgischen Tochtergesellschaft eines US-amerikanischen Unternehmens als Hosting-Anbieterin
Die Anbieterin eines digitalen Entlassmanagements für Patienten ist nicht allein deswegen aus einem Vergabeverfahren zweier kommunaler Krankenhausgesellschaften auszuschließen, weil sie die luxemburgische Tochtergesellschaft eines US-amerikanischen Unternehmens als Hosting-Dienstleisterin einbinden will. Die öffentlichen Auftraggeber dürfen sich vielmehr auf die bindenden Zusagen der Anbieterin verlassen, dass die Daten ausschließlich in Deutschland verarbeitet und in kein Drittland übermittelt werden.
Mit dieser Aussage hat der Vergabesenat des Oberlandesgerichts Karlsruhe durch Beschluss vom 7. September 2022 eine entgegenstehende Entscheidung der Vergabekammer Baden-Württemberg vom 13. Juli 2022 aufgehoben. Der Nachprüfungsantrag einer konkurrierenden Anbieterin wurde zurückgewiesen.
In dem Vergabeverfahren zweier kommunaler Krankenhausgesellschaften für ein digitales Entlassmanagement für Patienten war vorausgesetzt, dass die Anforderungen der Datenschutzgrundverordnung und des Bundesdatenschutzgesetzes hinsichtlich der personenbezogenen Daten der zur Entlassung anstehenden Patienten erfüllt sein müssen. Eine der Anbieterinnen sicherte in ihren Angebotsunterlagen zu, das von ihr als Hosting-Dienstleisterin eingebundene luxemburgische Tochterunternehmen eines US-amerikanischen Konzerns werde den Auftrag ausschließlich bearbeiten und die Daten würden ausnahmslos auf einem in Frankfurt/Main stehenden Server einer deutschen GmbH verarbeitet. Die Krankenhausgesellschaften kündigten im Vergabeverfahren an, dieser Anbieterin den Zuschlag erteilen zu wollen, weil sie ihr Angebot als das wirtschaftlichste ansähen.
Auf einen nachfolgenden Nachprüfungsantrag einer Konkurrentin, die sich ebenfalls um den Auftrag bewirbt, entschied die Vergabekammer Baden-Württemberg jedoch, die ausgewählte Anbieterin aus dem Vergabeverfahren auszuschließen, da der Einsatz des luxemburgischen Tochterunternehmens gegen die Datenschutzgrundverordnung verstoße und daher die Anforderungen der Vergabeunterlagen nicht eingehalten seien. Die Nutzung von Diensten der luxemburgischen Tochtergesellschaft eines US-amerikanischen Unternehmens gehe mit einer unzulässigen Datenübermittlung in ein Drittland (hier: die USA) einher. Für diese Annahme reiche bereits das latente Risiko eines Zugriffs von staatlichen und privaten Stellen außerhalb der Europäischen Union aus.
Der gegen diese Entscheidung erhobenen Beschwerde hat das Oberlandesgericht Karlsruhe mit Beschluss vom 7. September 2022 stattgegeben. Die Entscheidung der Vergabekammer wurde aufgehoben und der Nachprüfungsantrag zurückgewiesen. Nach Auffassung des Senats ist im Rahmen der Nachprüfung einer Vergabeentscheidung grundsätzlich davon auszugehen, dass ein Bieter seine vertraglichen Zusagen erfüllen wird. Erst wenn sich aufgrund konkreter Anhaltspunkte Zweifel daran ergeben, muss der öffentliche Auftraggeber ergänzende Informationen einholen und die Erfüllbarkeit des Leistungsversprechens prüfen. Im jetzt entschiedenen Fall hatte die Anbieterin jedoch eindeutige Zusicherungen zu dem Inhalt des Vertrags zwischen ihr und der luxemburgischen Holding-Dienstleisterin gemacht. Danach dürfen Daten ausschließlich an diese luxemburgische Gesellschaft übermittelt und ausnahmslos von ihr und nur in Deutschland verarbeitet werden. Die Krankenhausgesellschaften können auf dieser Grundlage berechtigt darauf vertrauen, dass die Anbieterin diese Vorgaben auch in ihrem Verhältnis zur Hosting-Dienstleisterin vertragsgemäß umsetzen wird. Sie müssen nicht damit rechnen, dass die luxemburgische Gesellschaft vertragswidrige und gegen europäisches Recht verstoßende Weisungen befolgen und personenbezogene Daten in die USA übermitteln wird.
Wörtlich hat der Senat ausgeführt: „Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird."
Das von den Krankenhausgesellschaften bevorzugte Angebot weicht damit nicht von den bei der Ausschreibung formulierten Anforderungen an Datenschutz und IT-Sicherheit ab. Der Senat hat daher keinen Grund dafür gesehen, dieses Angebot aus dem Vergabeverfahren auszuschließen.
Die Entscheidung ist rechtskräftig.
Oberlandesgericht Karlsruhe, Beschluss vom 7.9.2022, Aktenzeichen: 15 Verg 8/22
Vorinstanz: Vergabekammer Baden-Württemberg, Entscheidung vom 13.7.2022, Aktenzeichen: 1 VK 23/22
Anzeige
Gutes weitsichtiges Urteil.
Werden wir erst beurteilen können, wenn dieses Urteil rechtskräftig ist und "gelebt" wurde – mein ja nur …
Sehe ich auch so. Ein sehr gutes Urteil.
Damit kann man Dinge wie die DSGVO auch gleich komplett abschaffen.
Wieso sollte man? Wenn sich der Anbieter an die DSGVO Spielregeln hält ist es egal aus welchem Land der Mutterkonzern kommt … er hat lediglich hier geltendes Recht zu folgen. Tut er das ist das kein DSGVO Verstoß.
Für US Anbieter und seine Töchter ist der US CLOUD Act geltendes Rechr. Der überstimmt jede DSGVO Spielregel. Viele haben offenbar keine Ahnung von der Rechtslage.
Dann erläutere der Herr Anonymous doch bitte die ihm bekannte Rechtslage in Amerika im Detail.
Die Rechtslage dazu kann man leicht recherchieren: die einen sagen so, die anderen so.
Aber solange die Gefahr besteht, dass US-Recht die US-Konzerne zur möglichen Datenabwanderung verpflichtet würde ich alles daran setzen, deren Produkte zu meiden.
https://de.wikipedia.org/wiki/CLOUD_Act
"Das Gesetz verpflichtet amerikanische Internet-Firmen und IT-Dienstleister, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt."
https://de.wikipedia.org/wiki/National_Security_Letter
"Mit einem National Security Letter können Telekommunikationsanbieter sowie Banken und Finanzunternehmen verpflichtet werden, Daten über ihre Kunden herauszugeben. In der Regel enthält ein National Security Letter eine Geheimhaltungsanordnung, die es dem Empfänger verbietet, über den Inhalt oder auch nur den Erhalt eines National Security Letter zu sprechen."
und was ist daran nicht zu verstehen?: wenn sich der Anbieter an die DSGVO Spielregeln hält!
Auch ein nicht EU Firma kann sich sehr wohl an die DSGVO halten Auch eine US Firma! Ein EU Firmenvertretung kann sehr wohl unabhängig vom US Mutterkonzern sein.
Die Frage ist da lediglich ob man dieser auch wirklich traut.
"Ein EU Firmenvertretung kann sehr wohl unabhängig vom US Mutterkonzern sein."
US-Recht gilt formell auch für Firmen, die nur eine US-Niederlassung betreiben, stellenweise gilt es sogar für ganz Fremde, die in US$ handeln.
Diejenigen, die sich beruflich mit der Rechtslage auskennen, wissen um den US Cloud Act, der den Zugriff auf die Daten eines jeglichen US-Unternehmens – egal, wo gespeichert – ermöglicht.
War imho ja auch der Grund, warum der EuGH das Schrems III-Urteil wegen Facebook-Daten gefällt hat. Darum hatte ich in obigem Text den EuGH in einer Ergänzung erwähnt.
Als juristischer Laie sehe ich es so: Die Vergabekammer hat "das große Ganze" samt DSGVO gesehen. Der betreffende Senat des OLG hat sich auf das Ausschreibungsrecht bezogen und eine "theoretische Konstruktion" nicht als Ausschlusskriterium für ein Angebot auf eine Ausschreibung gesehen.
Die Krankenhausgesellschaften wollten das AWS-Angebot aus Kostengründen. Spannend wird es, wenn das Zeugs in Betrieb geht und dann die Datenschutzaufsicht sagt "Nutzung geht nicht, da ihr die GDPR samt Auftragsdatenverarbeitung und Schutz medizinischer Daten" nicht gewährleisten könnt. Aktuell drücken die Leute sich ja um eine klare Entscheidung (wird vermutlich vor dem EuGH fallen müssen).
Von daher schrieb ich oben in einem Kommentar Werden wir erst beurteilen können, wenn dieses Urteil rechtskräftig ist und "gelebt" wurde. In diesem Kontext vermag ich weder "Gutes weitsichtiges Urteil." noch "die Entscheidung weicht den Datenschutz auf" zu erkennen – habe aber das Gefühl, dass der Spruch der Kammer für die Betroffenen und alle, die da auf dieses Urteil schauen, juristisch gesehen Murks ist – denn es ist genau nichts geklärt.
Bieter müssen erneut berücksichtigt werden, selbst auf die Gefahr hin, dass in einigen Jahren der EuGH einen Riegel vorschiebt und feststellt, dass der Betrieb der Lösung nicht GDPR-konform ist. Aber das ist wiederum spekulativ.
Das Urteil klingt super, widerspricht aber der Tatsache das ich als Nutzer die Verantwortung dafür trage das Software die DSGVO Vorgaben einhält und nicht der Anbieter.
Das kann ich als Endanwender gar nicht sicherstellen. Daher wird das ganze nur dann funktionieren wenn die Anbieter in die Pflicht genommen werden und nicht der Endkunde. Zumindestens was die technische Seite angeht.
Endlich. Damit dürfte der Hardliner aus BW endlich mit seiner Meinung alleine dastehen.
Die Aussage verstehe ich nicht. Die erste Entscheidung hat eine Behörde (Vergabekammer, berufen vom Bundeskartellamt) getroffen:
Die DSGVO ist ein Bürokratiemonster, geschaffen für Menschen, die den Bezug zur Realität/Praxis teilweise verloren haben. Gegen Hass und grobe Datenschutzvergehen in den sogenannten sozialen Medien etc. geht kaum eine Instanz vor. Das Einzige was passiert ist, dass der Geschäftswelt das Leben noch schwer gemacht wird. Sinnvoller wäre ein Landesdatenschutzbeauftragter nur, wenn er Unternehmen helfen und fachlich beraten würde „Verfehlungen" zu korrigieren und nicht bei einem Vergehen gleich abzuzocken.
Das war mal anders gedacht…
Nein das ist so durchaus OK und sogar noch viel zu milde! Den die Firmen die Datenschutzverstöße im großen Stil machen, wollen das gar nicht ändern, die Leben genau davon! Die ändern ihr Verhalten eben nur dann wenn es wehtut!
Was die DSGVO falsch macht: ist das ich als betroffener Enduser nicht selbst klagen und Schadensersatz fordern kann! Das müsste möglich gemacht werden und zwar auf dem kleinen Klageweg und ohne das die Firmen das verschleppen können … wenn dann auf einmal bei Datenschutzverstößen die Firmen sich Millionen von Schadensersatzansprüchen gegenübersehen, dann ändern die sehr schnell ihr Gebären!
/edit/
eine kleine Firma welche sich mal ein kleinen vergehen leistet kriegt vom Datenschutzbeauftragten keine Millionenklage an den Hals!
Eine Firma welche mit meinen Daten umgeht hat diese auch entsprechend zu schützen und sorgfältig damit umzugehen … meine Daten sind kein Freiwild!
Welche Sachverhalte sind dir denn bekannt, die "Abzocke" durch die Behörde belegen?
"Landesdatenschutzbeauftragter nur, wenn er Unternehmen helfen und fachlich beraten würde „Verfehlungen" zu korrigieren …"
Meine Ergänzung wäre:
… und im Vorfeld den Unternehmen fachlich beratend dabei zu helfen, um mögliche Verfehlungen zu vermeiden.
Was das betrifft, würde ich dir raten dich mal mit den Aufgaben der Landesdatenschutzbeauftragten (LDB) zu befassen und in diesem Zuge dich näher mit der Arbeit des von dir sicherlich gemeinten Baden-Württembergischen LDB sachkundig zu machen. Dann siehst du, dass eine der Hauptarbeiten ebendiesen Teilaspekt betrifft. Die Schlagzeilen über die "Strafzahlungen" verzerren nämlich die Wahrnehmung, oder hast du schon einmal irgendwo gelesen, Firma XYZ hat erfolgreich mit irgendeinem LDB zusammengearbeitet?
Aber solange die Arbeit der NSA und andere Geheimdienste nicht durch rechtskräftige Gesetze und internationale anerkannte Abkommen geregelt werde ich keinem ausländischen Unternehmen trauen. Siehe die Urteile Shremp I, II und demnächst wahrscheinlich III.
"Aber solange die Arbeit der NSA und andere Geheimdienste nicht durch rechtskräftige Gesetze und internationale anerkannte Abkommen geregelt werde ich keinem ausländischen Unternehmen trauen. Siehe die Urteile Shremp I, II und demnächst wahrscheinlich III."
Selbst wenn das passiert dann nur auf dem Papier. Ich würde nicht mal inländischen Unternehmen trauen. Abkommen sind nicht mal das Papier wert auf dem diese stehen.