Vergabekammer BaWü: Keine IT- und Cloud-Dienstleistungen von EU-Töchtern amerikanischer Firmen

28.07.2022

In einem aktuellen Verfahren hat die Vergabekammer Baden-Württemberg festgestellt, dass es datenschutzwidrig ist, IT- und Clouddienstleistungen an EU-Töchter amerikanischer Firmen zu vergeben. Denn durch die Einbindung in den Konzern-Verbund besteht die akute Gefahr, dass eine unzulässige Datenübermittlung in die USA erfolgt (Vergabekammer BaWü, Beschl. v. 13.07.2022 - Az.: 1 VK 23/22).

Es ging um die Beschaffung einer Software durch die öffentliche Hand.

In dem Angebot eines Bieters wurde die Server- und Hostingleistung durch eine in der EU-ansässige Firma erbracht. Es handelte sich dabei um die Tochtergesellschaft eines US-Mutter-Konzerns.

Nun stellte sich die Frage, inwieweit dies DSGVO-konform ist. 

Nach Ansicht der Kammer verletzt das Angebot geltendes Datenschutzrecht:

"In dem Einsetzen von X. als Hosting-Dienstleister ist eine Übermittlung im Sinne der Art. 44 ff. DS-GVO zu sehen. (...).

Der Übermittlungsbegriff ist im Lichte des weil gefassten Wortlauts des Art. 44 S. 1 DS-GVO sowie der in Art. 44 S. 2 DS-GVO niedergelegten Anweisung in Bezug auf die Normanwendung auszulegen und damit umfassend zu verstehen: Übermittlung ist jede Offenlegung personenbezogener Daten gegenüber einem Empfänger in einem Drittland oder einer internationalen Organisation, wobei es weder auf die Art der Offenlegung, noch auf die Offenlegung gegenüber einem Dritten ankommt (...).

Gemessen an diesen Maßstäben führt der von der Beigeladenen beabsichtigte Einsatz der X., eine europäische Gesellschaft, deren Muttergesellschaft die in den USA ansässige X. lnc. ist, zu einer unzulässigen Datenübermittlung in ein Drittland."

Und weiter:

"Die Beauftragung der X. durch die Beigeladene basiert unter anderem auf dem „X. GDPR DATA PROCESSING ADDENDUM". Diese Vereinbarung enthält unter Ziffer 3 eine Klausel, die die Vertraulichkeit von Kundendaten zum Gegenstand hat ("Confidentiality of Costumer Data"). Nach dieser Klausel darf auf die Kundendaten seitens X. weder zugegriffen noch dürfen diese verwendet oder an Dritte weitergegeben werden, es sei denn, dies ist zur Aufrechterhaltung oder Bereitstellung der Dienste oder zur Einhaltung von Gesetzen oder wirksamen und rechtskräftigen Anordnungen staatlicher Stellen erforderlich. (...)

Ziffer 3 und 12.1 des „X. GDPR DATA PROCESSING ADDENDUM" sind generalklauselartig gestaltet und eröffnen sowohl staatlichen als auch privaten Stellen außerhalb der EU und insbesondere in den USA im Rahmen der im konkreten Fall jeweils anwendbaren vertraglichen oder gesetzlichen Ermächtigungen eine Möglichkeit, in bestimmten Situationen auf bei der X. gespeicherte Daten zuzugreifen. (...)

Schließlich kann sich das latente Risiko jederzeit realisieren. Die Beigeladene gibt durch die Eingehung der Vereinbarung mit X. die Einflussmöglichkeiten im Hinblick auf die der X. anvertrauten Daten jedenfalls partiell aus der Hand."

Die Entscheidung ist nicht rechtskräftig.