Kanzlei Dr. Bahr
Navigation
Kategorie: Onlinerecht

Vergabekammer BaWü: Keine IT- und Cloud-Dienstleistungen von EU-Töchtern amerikanischer Firmen

In einem aktuellen Verfahren hat die Vergabekammer Baden-Württemberg festgestellt, dass es datenschutzwidrig ist, IT- und Clouddienstleistungen an EU-Töchter amerikanischer Firmen zu vergeben. Denn durch die Einbindung in den Konzern-Verbund besteht die akute Gefahr, dass eine unzulässige Datenübermittlung in die USA erfolgt (Vergabekammer BaWü, Beschl. v. 13.07.2022 - Az.: 1 VK 23/22).

Es ging um die Beschaffung einer Software durch die öffentliche Hand.

In dem Angebot eines Bieters wurde die Server- und Hostingleistung durch eine in der EU-ansässige Firma erbracht. Es handelte sich dabei um die Tochtergesellschaft eines US-Mutter-Konzerns.

Nun stellte sich die Frage, inwieweit dies DSGVO-konform ist. 

Nach Ansicht der Kammer verletzt das Angebot geltendes Datenschutzrecht:

"In dem Einsetzen von X. als Hosting-Dienstleister ist eine Übermittlung im Sinne der Art. 44 ff. DS-GVO zu sehen. (...).

Der Übermittlungsbegriff ist im Lichte des weil gefassten Wortlauts des Art. 44 S. 1 DS-GVO sowie der in Art. 44 S. 2 DS-GVO niedergelegten Anweisung in Bezug auf die Normanwendung auszulegen und damit umfassend zu verstehen: Übermittlung ist jede Offenlegung personenbezogener Daten gegenüber einem Empfänger in einem Drittland oder einer internationalen Organisation, wobei es weder auf die Art der Offenlegung, noch auf die Offenlegung gegenüber einem Dritten ankommt (...).

Gemessen an diesen Maßstäben führt der von der Beigeladenen beabsichtigte Einsatz der X., eine europäische Gesellschaft, deren Muttergesellschaft die in den USA ansässige X. lnc. ist, zu einer unzulässigen Datenübermittlung in ein Drittland."

Und weiter:

"Die Beauftragung der X. durch die Beigeladene basiert unter anderem auf dem „X. GDPR DATA PROCESSING ADDENDUM". Diese Vereinbarung enthält unter Ziffer 3 eine Klausel, die die Vertraulichkeit von Kundendaten zum Gegenstand hat ("Confidentiality of Costumer Data"). Nach dieser Klausel darf auf die Kundendaten seitens X. weder zugegriffen noch dürfen diese verwendet oder an Dritte weitergegeben werden, es sei denn, dies ist zur Aufrechterhaltung oder Bereitstellung der Dienste oder zur Einhaltung von Gesetzen oder wirksamen und rechtskräftigen Anordnungen staatlicher Stellen erforderlich. (...)

Ziffer 3 und 12.1 des „X. GDPR DATA PROCESSING ADDENDUM" sind generalklauselartig gestaltet und eröffnen sowohl staatlichen als auch privaten Stellen außerhalb der EU und insbesondere in den USA im Rahmen der im konkreten Fall jeweils anwendbaren vertraglichen oder gesetzlichen Ermächtigungen eine Möglichkeit, in bestimmten Situationen auf bei der X. gespeicherte Daten zuzugreifen. (...)

Schließlich kann sich das latente Risiko jederzeit realisieren. Die Beigeladene gibt durch die Eingehung der Vereinbarung mit X. die Einflussmöglichkeiten im Hinblick auf die der X. anvertrauten Daten jedenfalls partiell aus der Hand."

Die Entscheidung ist nicht rechtskräftig.

Rechts-News durch­suchen

14. Juli 2025
Ein Unternehmen darf ehemalige Kunden bis zu 24 Monate nach Vertragsende rechtmäßig zu Werbezwecken kontaktieren, um sie zurückzugewinnen.
ganzen Text lesen
11. Juli 2025
Meta muss einem Facebook-Nutzer 300  EUR DSGVO-Schadensersatz zahlen, weil dessen Daten ohne Zustimmung über Drittseiten mittels der Meta Business…
ganzen Text lesen
11. Juli 2025
Ein Facebook-Nutzer erhält 200 EUR DSGVO-Schadensersatz, weil seine Daten durch Scraping ins Darknet gelangten und er die Kontrolle darüber verlor.
ganzen Text lesen
09. Juli 2025
Facebook-Nutzer erhält 5.000 € Entschädigung, weil Meta rechtswidrig personenbezogene Daten für personalisierte Werbung durch die Meta Business-Tools…
ganzen Text lesen

Rechts-News durchsuchen