Suche
Contact
28.07.2022 | KPMG Law Insights

Vergabekammer BaWü: Unzulässige Drittlandübermittlung durch den Einsatz des EU-Tochterunternehmens eines US-Dienstleisters

Selten hat die Entscheidung einer Vergabekammer bereits in kurzer Zeit für so viel Aufsehen gesorgt wie der Beschluss der VK Baden-Württemberg vom 13. Juli 2022 (Az. 1 VK 23/22). Der noch nicht rechtskräftige Beschluss ist dabei nicht allein für Vergabeverfahren relevant. Die Ausführungen der Vergabekammer können sich ebenso auf die Auswahl von IT-Dienstleistern im privatrechtlichen Bereich auswirken.

Im zu Grunde liegenden Verfahren ging es um die Beschaffung von Software durch einen öffentlichen Auftraggeber. Das Lastenheft des Auftraggebers enthielt in den Anforderungen an IT-Sicherheit und Datenschutz insbesondere folgende Voraussetzungen:

„[…]

– Erfüllung der Anforderungen aus der DS-GVO und dem BDSG […]

– Daten werden ausschließlich in einem EU-EWR Rechenzentrum verarbeitet bei dem keine Subdienstleister/ Konzernunternehmen in Drittstaaten ansässig sind

[…]“

Der Zuschlag wurde einem Bieter erteilt, welcher sich zur Erbringung der Server- und Hosting-Leistungen eines Unterauftragnehmers mit Sitz in der EU bediente. Allerdings handelte es sich hierbei um eine Tochtergesellschaft eines US-Konzerns. Der zweitplatzierte Bieter hat hiergegen einen Nachprüfungsantrag gestellt. Unter anderem berief sich der Antragsteller dabei darauf, dass der Einsatz des Rechenzentrumsbetreibers mit US-Muttergesellschaft einen Verstoß gegen Artikel 44 ff. der DSGVO darstelle und damit die Anforderungen der Vergabeunterlagen nicht erfüllt seien.

Einsatz europäischer Tochterunternehmen von US-Dienstleistern als Drittlandübermittlung

Die Vergabekammer folgte der Ansicht des Antragstellers und stellte fest:

„In dem Einsetzen von X. als Hosting-Dienstleister ist eine Übermittlung im Sinne der Art. 44 ff. DS-GVO zu sehen. […].

Der Übermittlungsbegriff ist im Lichte des weil [sic!] gefassten Wortlauts des Art. 44 S. 1 DS-GVO sowie der in Art. 44 S. 2 DS-GVO niedergelegten Anweisung in Bezug auf die Normanwendung auszulegen und damit umfassend zu verstehen: Übermittlung ist jede Offenlegung personenbezogener Daten gegenüber einem Empfänger in einem Drittland oder einer internationalen Organisation, wobei es weder auf die Art der Offenlegung, noch auf die Offenlegung gegenüber einem Dritten ankommt […].

Eine Zugriffsmöglichkeit – etwa durch Einräumung von Zugriffsrechten konstituiert ein latentes Risiko, dass eine unzulässige Übermittlung personenbezogener Daten stattfinden kann, ohne dass hierfür die in der DS-GVO normierten rechtlichen Grundlagen gegeben sind […].

Gemessen an diesen Maßstäben führt der von der Beigeladenen beabsichtigte Einsatz der X., eine europäische Gesellschaft, deren Muttergesellschaft die in den USA ansässige X. lnc. ist, zu einer unzulässigen Datenübermittlung in ein Drittland.“

Keine ausreichenden Ausgleichsmaßnahmen zur Einhaltung eines angemessenen Datenschutzniveaus

Weiterhin erachtete die Kammer die zwischen dem erfolgreichen Bieter und dem Rechenzentrumsbetreiber geschlossenen Datenschutzverträge sowie die darin vorgesehenen Maßnahmen als nicht ausreichend, um ein angemessenes Datenschutzniveau zu gewährleisten:

„Die Beauftragung der X. durch die Beigeladene basiert unter anderem auf dem „X. GDPR DATA PROCESSING ADDENDUM“. Diese Vereinbarung enthält unter Ziffer 3 eine Klausel, die die Vertraulichkeit von Kundendaten zum Gegenstand hat („Confidentiality of Costumer Data“). Nach dieser Klausel darf auf die Kundendaten seitens X. weder zugegriffen noch dürfen diese verwendet oder an Dritte weitergegeben werden, es sei denn, dies ist zur Aufrechterhaltung oder Bereitstellung der Dienste oder zur Einhaltung von Gesetzen oder wirksamen und rechtskräftigen Anordnungen staatlicher Stellen erforderlich. […]

Ziffer 3 und 12.1 des „X. GDPR DATA PROCESSING ADDENDUM“ sind generalklauselartig gestaltet und eröffnen sowohl staatlichen als auch privaten Stellen außerhalb der EU und insbesondere in den USA im Rahmen der im konkreten Fall jeweils anwendbaren vertraglichen oder gesetzlichen Ermächtigungen eine Möglichkeit, in bestimmten Situationen auf bei der X. gespeicherte Daten zuzugreifen. […]

Schließlich kann sich das latente Risiko jederzeit realisieren. Die Beigeladene gibt durch die Eingehung der Vereinbarung mit X. die Einflussmöglichkeiten im Hinblick auf die der X. anvertrauten Daten jedenfalls partiell aus der Hand. […]

Die Übernahme einer Verpflichtung durch X., zu weit gehende oder unangemessene Anfragen staatlicher Stellen einschließlich solcher Anfragen, die im Widerspruch zum Recht der EU oder zum geltenden Recht der Mitgliedsstaaten stehen, anzufechten, beseitigt das latente Risiko eines Zugriffs durch ebendiese Stellen nicht.“

Unzulässigkeit des Einsatzes von EU-Tochterunternehmen eines US-Dienstleisters

Dementsprechend kam die Kammer zu dem Ergebnis, dass die festgestellte Datenübermittlung in die USA rechtswidrig erfolgt:

„Hier liegt kein besonderer Erlaubnisgrund nach Art. 44 ff. DS-GVO vor. So fehlt es hier an einem Angemessenheitsbeschluss im Sinne des Art. 45 Abs. 1 DS-GVO. Auch Art. 46 Abs. 2 c), d) DS-GVO greift hier nicht ein. Standarddatenschutzklauseln im Sinne dieser Vorschrift sind nicht geeignet, Übermittlungen per se zu legitimieren; vielmehr bedarf es insofern einer Einzelfallprüfung […]. Diese führt – wie dargelegt – zur Annahme der datenschutzrechtlichen Unzulässigkeit. Ein Ausnahmetatbestand nach Art. 49 DS-GVO ist hier ebenfalls nicht gegeben.“

Die Argumentation der Vergabekammer, eine unzulässige Datenübermittlung in ein Drittland bereits durch den Einsatz eines europäischen Tochterunternehmens einer US-Gesellschaft auf Grund des Vorliegens einer „latenten Gefahr“ anzunehmen, ist nicht unumstritten. Darüber hinaus hat die Vergabekammer aus verfahrensrechtlichen Gründen den Vortrag zu einer vom Rechenzentrumsbetreiber eingesetzten Verschlüsselungstechnik nicht berücksichtigt. Nichtsdestotrotz ist die Entscheidung bemerkenswert. Sie verdeutlicht, dass bereits Zweifel an der datenschutzrechtlichen Compliance sich als echter Wettbewerbsnachteil darstellen können. Auch der enge zeitliche Zusammenhang mit dem kontroversen Einsatz eines US-Cloud-Anbieters im Rahmen des Online-Portals zur Durchführung des Zensus 2022, welcher noch durch den BfDI untersucht wird, macht deutlich, dass das Thema der Drittlandübermittlung – auch im öffentlichen Sektor – zunehmend an Aufmerksamkeit gewinnt. Die Entscheidungen, die eine Rechtswidrigkeit auf Grund mangelnder vertraglicher, technischer und organisatorischer Ausgleichsmaßnahmen annehmen, beginnen sich zu häufen.

Explore #more

25.06.2025 | KPMG Law Insights

Mitarbeiterentsendung in die USA: Das ist bei der US-Immigration zu beachten

Die Verschärfungen bei der US-Immigration führen weltweit zu Verunsicherung. Insbesondere die Kontrollen bei der Einreise in die USA sind seit dem Antritt der neuen US-Regierung

19.06.2025 | Events, In den Medien

KPMG Law auf dem BUJ Unternehmensjuristenkongress 2025

Die Welt befindet sich im Wandel – dies dürfte zwar eine Binsenweisheit sein, trifft aber doch gerade auf die aktuelle Lage in bestechender Weise zu.…

19.06.2025 | In den Medien

KPMG Law Statement in der Technik&Einkauf: Weiße Mäuse in der Blackbox

Künstliche Intelligenz (KI) kann den Einkauf revolutionieren. Zuvor müssen Akteure allerdings ihre analogen Fähigkeiten bemühen. Ein zielgerichtetes und strukturiertes Vorgehen erhöht die Erfolgsaussichten des Vorhabens…

12.06.2025 | KPMG Law Insights

Vom KI-Tool zum KI-Framework – ein Werkstattbericht

Es fing mit ein paar Fragen zu Microsoft Copilot an – und endete mit einem unternehmensweiten KI-Framework. Wir durften das Unternehmen, ein global aufgestelltes Beratungshaus,…

12.06.2025 | Pressemitteilungen

Handelsblatt und Best Lawyers zeichnet KPMG Law Expert:innen aus

Best Lawyers hat erneut exklusiv für das Handelsblatt die besten Wirtschaftsanwältinnen und -anwälte Deutschlands für das Jahr 2025 ermittelt. Insgesamt wurden 33  Anwältinnen und Anwälte…

11.06.2025 | KPMG Law Insights

Omnibus IV bringt einige Vereinfachungen, vor allem im Produktrecht

Die EU-Kommission hat am 21. Mai 2025 das vierte Omnibus-Paket vorgeschlagen. Omnibus IV enthält Vereinfachungen in Bezug auf zahlreiche produktrechtliche Anforderungen und für KMU…

06.06.2025 | Unkategorisiert

KPMG Law berät den Mehrheitsgesellschafter der Heimkreiter GmbH beim Verkauf an PreZero

Die KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) hat den Mehrheitsgesellschafter der Heimkreiter GmbH bei der Veräußerung seiner Gesellschaftsbeteiligung an die PreZero Dritte Verwaltungs GmbH rechtlich…

02.06.2025 | Dealmeldungen

KPMG Law und KPMG beraten Diehl Defence bei der Übernahme von e.sigma

Die KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) und die KPMG AG Wirtschaftsprüfungsgesellschaft (KPMG) haben die Diehl Defence GmbH & Co. KG (Diehl Defence) bei dem…

27.05.2025 | KPMG Law Insights

Handy-Kontrollen bei der Einreise in die USA: So verhalten Sie sich richtig

Keyfacts: US-Einwanderungsbeamte überwachen öffentliche Social-Media-Daten und Reisende sollten bereit sein, Details zu ihren persönlichen Social-Media-Konten zu teilen. Alle Reisenden in die USA können an der…

Kontakt

Sebastian Hoegl, LL.M. (Wellington)

Senior Manager
Rechtsanwalt
Fachanwalt für IT-Recht
LL.M. (Wellington)

Heinrich-von-Stephan-Straße 23
79100 Freiburg im Breisgau

Tel.: +49 761 769999-20
shoegl@kpmg-law.com

Francois Heynike, LL.M. (Stellenbosch)

Partner
Leiter Technologierecht

THE SQUAIRE Am Flughafen
60549 Frankfurt am Main

Tel.: +49-69-951195770
fheynike@kpmg-law.com

© 2025 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll