Suche
Contact
28.07.2022 | KPMG Law Insights

Vergabekammer BaWü: Unzulässige Drittlandübermittlung durch den Einsatz des EU-Tochterunternehmens eines US-Dienstleisters

Selten hat die Entscheidung einer Vergabekammer bereits in kurzer Zeit für so viel Aufsehen gesorgt wie der Beschluss der VK Baden-Württemberg vom 13. Juli 2022 (Az. 1 VK 23/22). Der noch nicht rechtskräftige Beschluss ist dabei nicht allein für Vergabeverfahren relevant. Die Ausführungen der Vergabekammer können sich ebenso auf die Auswahl von IT-Dienstleistern im privatrechtlichen Bereich auswirken.

Im zu Grunde liegenden Verfahren ging es um die Beschaffung von Software durch einen öffentlichen Auftraggeber. Das Lastenheft des Auftraggebers enthielt in den Anforderungen an IT-Sicherheit und Datenschutz insbesondere folgende Voraussetzungen:

„[…]

– Erfüllung der Anforderungen aus der DS-GVO und dem BDSG […]

– Daten werden ausschließlich in einem EU-EWR Rechenzentrum verarbeitet bei dem keine Subdienstleister/ Konzernunternehmen in Drittstaaten ansässig sind

[…]“

Der Zuschlag wurde einem Bieter erteilt, welcher sich zur Erbringung der Server- und Hosting-Leistungen eines Unterauftragnehmers mit Sitz in der EU bediente. Allerdings handelte es sich hierbei um eine Tochtergesellschaft eines US-Konzerns. Der zweitplatzierte Bieter hat hiergegen einen Nachprüfungsantrag gestellt. Unter anderem berief sich der Antragsteller dabei darauf, dass der Einsatz des Rechenzentrumsbetreibers mit US-Muttergesellschaft einen Verstoß gegen Artikel 44 ff. der DSGVO darstelle und damit die Anforderungen der Vergabeunterlagen nicht erfüllt seien.

Einsatz europäischer Tochterunternehmen von US-Dienstleistern als Drittlandübermittlung

Die Vergabekammer folgte der Ansicht des Antragstellers und stellte fest:

„In dem Einsetzen von X. als Hosting-Dienstleister ist eine Übermittlung im Sinne der Art. 44 ff. DS-GVO zu sehen. […].

Der Übermittlungsbegriff ist im Lichte des weil [sic!] gefassten Wortlauts des Art. 44 S. 1 DS-GVO sowie der in Art. 44 S. 2 DS-GVO niedergelegten Anweisung in Bezug auf die Normanwendung auszulegen und damit umfassend zu verstehen: Übermittlung ist jede Offenlegung personenbezogener Daten gegenüber einem Empfänger in einem Drittland oder einer internationalen Organisation, wobei es weder auf die Art der Offenlegung, noch auf die Offenlegung gegenüber einem Dritten ankommt […].

Eine Zugriffsmöglichkeit – etwa durch Einräumung von Zugriffsrechten konstituiert ein latentes Risiko, dass eine unzulässige Übermittlung personenbezogener Daten stattfinden kann, ohne dass hierfür die in der DS-GVO normierten rechtlichen Grundlagen gegeben sind […].

Gemessen an diesen Maßstäben führt der von der Beigeladenen beabsichtigte Einsatz der X., eine europäische Gesellschaft, deren Muttergesellschaft die in den USA ansässige X. lnc. ist, zu einer unzulässigen Datenübermittlung in ein Drittland.“

Keine ausreichenden Ausgleichsmaßnahmen zur Einhaltung eines angemessenen Datenschutzniveaus

Weiterhin erachtete die Kammer die zwischen dem erfolgreichen Bieter und dem Rechenzentrumsbetreiber geschlossenen Datenschutzverträge sowie die darin vorgesehenen Maßnahmen als nicht ausreichend, um ein angemessenes Datenschutzniveau zu gewährleisten:

„Die Beauftragung der X. durch die Beigeladene basiert unter anderem auf dem „X. GDPR DATA PROCESSING ADDENDUM“. Diese Vereinbarung enthält unter Ziffer 3 eine Klausel, die die Vertraulichkeit von Kundendaten zum Gegenstand hat („Confidentiality of Costumer Data“). Nach dieser Klausel darf auf die Kundendaten seitens X. weder zugegriffen noch dürfen diese verwendet oder an Dritte weitergegeben werden, es sei denn, dies ist zur Aufrechterhaltung oder Bereitstellung der Dienste oder zur Einhaltung von Gesetzen oder wirksamen und rechtskräftigen Anordnungen staatlicher Stellen erforderlich. […]

Ziffer 3 und 12.1 des „X. GDPR DATA PROCESSING ADDENDUM“ sind generalklauselartig gestaltet und eröffnen sowohl staatlichen als auch privaten Stellen außerhalb der EU und insbesondere in den USA im Rahmen der im konkreten Fall jeweils anwendbaren vertraglichen oder gesetzlichen Ermächtigungen eine Möglichkeit, in bestimmten Situationen auf bei der X. gespeicherte Daten zuzugreifen. […]

Schließlich kann sich das latente Risiko jederzeit realisieren. Die Beigeladene gibt durch die Eingehung der Vereinbarung mit X. die Einflussmöglichkeiten im Hinblick auf die der X. anvertrauten Daten jedenfalls partiell aus der Hand. […]

Die Übernahme einer Verpflichtung durch X., zu weit gehende oder unangemessene Anfragen staatlicher Stellen einschließlich solcher Anfragen, die im Widerspruch zum Recht der EU oder zum geltenden Recht der Mitgliedsstaaten stehen, anzufechten, beseitigt das latente Risiko eines Zugriffs durch ebendiese Stellen nicht.“

Unzulässigkeit des Einsatzes von EU-Tochterunternehmen eines US-Dienstleisters

Dementsprechend kam die Kammer zu dem Ergebnis, dass die festgestellte Datenübermittlung in die USA rechtswidrig erfolgt:

„Hier liegt kein besonderer Erlaubnisgrund nach Art. 44 ff. DS-GVO vor. So fehlt es hier an einem Angemessenheitsbeschluss im Sinne des Art. 45 Abs. 1 DS-GVO. Auch Art. 46 Abs. 2 c), d) DS-GVO greift hier nicht ein. Standarddatenschutzklauseln im Sinne dieser Vorschrift sind nicht geeignet, Übermittlungen per se zu legitimieren; vielmehr bedarf es insofern einer Einzelfallprüfung […]. Diese führt – wie dargelegt – zur Annahme der datenschutzrechtlichen Unzulässigkeit. Ein Ausnahmetatbestand nach Art. 49 DS-GVO ist hier ebenfalls nicht gegeben.“

Die Argumentation der Vergabekammer, eine unzulässige Datenübermittlung in ein Drittland bereits durch den Einsatz eines europäischen Tochterunternehmens einer US-Gesellschaft auf Grund des Vorliegens einer „latenten Gefahr“ anzunehmen, ist nicht unumstritten. Darüber hinaus hat die Vergabekammer aus verfahrensrechtlichen Gründen den Vortrag zu einer vom Rechenzentrumsbetreiber eingesetzten Verschlüsselungstechnik nicht berücksichtigt. Nichtsdestotrotz ist die Entscheidung bemerkenswert. Sie verdeutlicht, dass bereits Zweifel an der datenschutzrechtlichen Compliance sich als echter Wettbewerbsnachteil darstellen können. Auch der enge zeitliche Zusammenhang mit dem kontroversen Einsatz eines US-Cloud-Anbieters im Rahmen des Online-Portals zur Durchführung des Zensus 2022, welcher noch durch den BfDI untersucht wird, macht deutlich, dass das Thema der Drittlandübermittlung – auch im öffentlichen Sektor – zunehmend an Aufmerksamkeit gewinnt. Die Entscheidungen, die eine Rechtswidrigkeit auf Grund mangelnder vertraglicher, technischer und organisatorischer Ausgleichsmaßnahmen annehmen, beginnen sich zu häufen.

Explore #more

23.02.2024 | KPMG Law Insights

EU-Batterieverordnung: Neue Pflichten für Hersteller und Industrie

Die neue Batterieverordnung der EU regelt den gesamten Lebenszyklus von Batterien. Sie gilt in ersten Teilen seit dem 18. Februar 2024. Hier die Eckpunkte der…

23.02.2024 | KPMG Law Insights

Wegfall der Hinzuverdienstgrenzen – Auswirkungen auf die bAV

Der Mangel an Arbeits- und Fachkräften ist allgegenwärtig und so relevant wie nie. Ältere Arbeitskräfte sind aufgrund ihrer langjährigen Berufserfahrung und ausgereiften fachlichen Expertise eine…

22.02.2024 | PR-Veröffentlichungen

Interview in der Immobilien Zeitung mit Rainer Algermissen zum Thema ESG-Daten

Beim Verkauf einer Immobilie werden im Rahmen der rechtlichen Due Diligence auch ESG Aspekte geprüft. Ein Problem sind dabei die Daten: Oft hat der Vermieter…

22.02.2024 | PR-Veröffentlichungen

Logistik Heute: Beitrag zum Lieferkettengesetz mit KPMG Law Statement

Ein gutes Jahr nach Einführung des deutschen Lieferkettengesetzes ist es Zeit für eine erste Bilanz. Während sich weitere Regulierungen am Horizont abzeichnen, birgt das Thema…

21.02.2024 | KPMG Law Insights

Der Digital Services Act – neue Regeln für Onlinedienste

Der Digital Service Act (DSA) gilt ab dem 17. Februar 2024 in Deutschland für sämtliche Anbieter von Vermittlungsdiensten und löst in weiten Teilen die E-Commerce-Richtlinie…

19.02.2024 | PR-Veröffentlichungen

Tagesspiegel Beitrag zur Entwaldungsverordnung mit KPMG Law Statement

Ab Ende dieses Jahres werden zahlreiche Branchen die Anti-Entwaldungs-Verordnung (EUDR) umsetzen müssen. Produzenten und Händler müssen dann nachweisen können, dass ihre Produkte nicht aus Entwaldungsgebieten…

19.02.2024 | PR-Veröffentlichungen

Gastbeitrag zum Thema „Klimaverträglich Bauen – mit einem Schattenpreis“

Städte können bei Ausschreibungen für Bauprojekte einen Schattenpreis für CO2-Emissionen und damit den Klimaschutz berücksichtigen. Wie dies im Detail ausschauen kann, diskutieren Moritz Püstow und…

15.02.2024 | KPMG Law Insights

Data Compliance Management: So gelingt die praktische Umsetzung

Teil 3 der Beitragsserie „Profitipps zum Data Compliance Management“   Im dritten Teil der Beitragsserie geht es um das Daten-Compliance-Management. Wenn ein Unternehmen eine solide…

14.02.2024 | PR-Veröffentlichungen

Gastbeitrag in der ZURe: Die Kontrolle der Umsetzung des LkSG

In der aktuellen Ausgabe der ZURe (S.20 ff.) findet sich ein Gastbeitrag von KPMG Law Partner Thomas Uhlig (Leiter Allgemeines Wirtschafts- und Handelsrecht),  Thomas Lohwasser

14.02.2024 | KPMG Law Insights

Der AI Act kommt: EU möchte Risiken von KI in den Griff bekommen

Künstliche Intelligenz (KI) ist für viele Menschen der große Hoffnungsträger für die Wirtschaft, das Gesundheitswesen und die Wissenschaft. Doch es gibt auch eine ganze Menge…

Kontakt

Sebastian Hoegl, LL.M. (Wellington)

Senior Manager
Rechtsanwalt
Fachanwalt für IT-Recht
LL.M. (Wellington)

Heinrich-von-Stephan-Straße 23
79100 Freiburg im Breisgau

tel: +49 761 769999-20
shoegl@kpmg-law.com

Francois Heynike, LL.M. (Stellenbosch)

Partner
Leiter Technologierecht

THE SQUAIRE Am Flughafen
60549 Frankfurt am Main

tel: +49-69-951195770
fheynike@kpmg-law.com

© 2024 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll