Suche
Contact
28.07.2022 | KPMG Law Insights

Vergabekammer BaWü: Unzulässige Drittlandübermittlung durch den Einsatz des EU-Tochterunternehmens eines US-Dienstleisters

Selten hat die Entscheidung einer Vergabekammer bereits in kurzer Zeit für so viel Aufsehen gesorgt wie der Beschluss der VK Baden-Württemberg vom 13. Juli 2022 (Az. 1 VK 23/22). Der noch nicht rechtskräftige Beschluss ist dabei nicht allein für Vergabeverfahren relevant. Die Ausführungen der Vergabekammer können sich ebenso auf die Auswahl von IT-Dienstleistern im privatrechtlichen Bereich auswirken.

Im zu Grunde liegenden Verfahren ging es um die Beschaffung von Software durch einen öffentlichen Auftraggeber. Das Lastenheft des Auftraggebers enthielt in den Anforderungen an IT-Sicherheit und Datenschutz insbesondere folgende Voraussetzungen:

„[…]

– Erfüllung der Anforderungen aus der DS-GVO und dem BDSG […]

– Daten werden ausschließlich in einem EU-EWR Rechenzentrum verarbeitet bei dem keine Subdienstleister/ Konzernunternehmen in Drittstaaten ansässig sind

[…]“

Der Zuschlag wurde einem Bieter erteilt, welcher sich zur Erbringung der Server- und Hosting-Leistungen eines Unterauftragnehmers mit Sitz in der EU bediente. Allerdings handelte es sich hierbei um eine Tochtergesellschaft eines US-Konzerns. Der zweitplatzierte Bieter hat hiergegen einen Nachprüfungsantrag gestellt. Unter anderem berief sich der Antragsteller dabei darauf, dass der Einsatz des Rechenzentrumsbetreibers mit US-Muttergesellschaft einen Verstoß gegen Artikel 44 ff. der DSGVO darstelle und damit die Anforderungen der Vergabeunterlagen nicht erfüllt seien.

Einsatz europäischer Tochterunternehmen von US-Dienstleistern als Drittlandübermittlung

Die Vergabekammer folgte der Ansicht des Antragstellers und stellte fest:

„In dem Einsetzen von X. als Hosting-Dienstleister ist eine Übermittlung im Sinne der Art. 44 ff. DS-GVO zu sehen. […].

Der Übermittlungsbegriff ist im Lichte des weil [sic!] gefassten Wortlauts des Art. 44 S. 1 DS-GVO sowie der in Art. 44 S. 2 DS-GVO niedergelegten Anweisung in Bezug auf die Normanwendung auszulegen und damit umfassend zu verstehen: Übermittlung ist jede Offenlegung personenbezogener Daten gegenüber einem Empfänger in einem Drittland oder einer internationalen Organisation, wobei es weder auf die Art der Offenlegung, noch auf die Offenlegung gegenüber einem Dritten ankommt […].

Eine Zugriffsmöglichkeit – etwa durch Einräumung von Zugriffsrechten konstituiert ein latentes Risiko, dass eine unzulässige Übermittlung personenbezogener Daten stattfinden kann, ohne dass hierfür die in der DS-GVO normierten rechtlichen Grundlagen gegeben sind […].

Gemessen an diesen Maßstäben führt der von der Beigeladenen beabsichtigte Einsatz der X., eine europäische Gesellschaft, deren Muttergesellschaft die in den USA ansässige X. lnc. ist, zu einer unzulässigen Datenübermittlung in ein Drittland.“

Keine ausreichenden Ausgleichsmaßnahmen zur Einhaltung eines angemessenen Datenschutzniveaus

Weiterhin erachtete die Kammer die zwischen dem erfolgreichen Bieter und dem Rechenzentrumsbetreiber geschlossenen Datenschutzverträge sowie die darin vorgesehenen Maßnahmen als nicht ausreichend, um ein angemessenes Datenschutzniveau zu gewährleisten:

„Die Beauftragung der X. durch die Beigeladene basiert unter anderem auf dem „X. GDPR DATA PROCESSING ADDENDUM“. Diese Vereinbarung enthält unter Ziffer 3 eine Klausel, die die Vertraulichkeit von Kundendaten zum Gegenstand hat („Confidentiality of Costumer Data“). Nach dieser Klausel darf auf die Kundendaten seitens X. weder zugegriffen noch dürfen diese verwendet oder an Dritte weitergegeben werden, es sei denn, dies ist zur Aufrechterhaltung oder Bereitstellung der Dienste oder zur Einhaltung von Gesetzen oder wirksamen und rechtskräftigen Anordnungen staatlicher Stellen erforderlich. […]

Ziffer 3 und 12.1 des „X. GDPR DATA PROCESSING ADDENDUM“ sind generalklauselartig gestaltet und eröffnen sowohl staatlichen als auch privaten Stellen außerhalb der EU und insbesondere in den USA im Rahmen der im konkreten Fall jeweils anwendbaren vertraglichen oder gesetzlichen Ermächtigungen eine Möglichkeit, in bestimmten Situationen auf bei der X. gespeicherte Daten zuzugreifen. […]

Schließlich kann sich das latente Risiko jederzeit realisieren. Die Beigeladene gibt durch die Eingehung der Vereinbarung mit X. die Einflussmöglichkeiten im Hinblick auf die der X. anvertrauten Daten jedenfalls partiell aus der Hand. […]

Die Übernahme einer Verpflichtung durch X., zu weit gehende oder unangemessene Anfragen staatlicher Stellen einschließlich solcher Anfragen, die im Widerspruch zum Recht der EU oder zum geltenden Recht der Mitgliedsstaaten stehen, anzufechten, beseitigt das latente Risiko eines Zugriffs durch ebendiese Stellen nicht.“

Unzulässigkeit des Einsatzes von EU-Tochterunternehmen eines US-Dienstleisters

Dementsprechend kam die Kammer zu dem Ergebnis, dass die festgestellte Datenübermittlung in die USA rechtswidrig erfolgt:

„Hier liegt kein besonderer Erlaubnisgrund nach Art. 44 ff. DS-GVO vor. So fehlt es hier an einem Angemessenheitsbeschluss im Sinne des Art. 45 Abs. 1 DS-GVO. Auch Art. 46 Abs. 2 c), d) DS-GVO greift hier nicht ein. Standarddatenschutzklauseln im Sinne dieser Vorschrift sind nicht geeignet, Übermittlungen per se zu legitimieren; vielmehr bedarf es insofern einer Einzelfallprüfung […]. Diese führt – wie dargelegt – zur Annahme der datenschutzrechtlichen Unzulässigkeit. Ein Ausnahmetatbestand nach Art. 49 DS-GVO ist hier ebenfalls nicht gegeben.“

Die Argumentation der Vergabekammer, eine unzulässige Datenübermittlung in ein Drittland bereits durch den Einsatz eines europäischen Tochterunternehmens einer US-Gesellschaft auf Grund des Vorliegens einer „latenten Gefahr“ anzunehmen, ist nicht unumstritten. Darüber hinaus hat die Vergabekammer aus verfahrensrechtlichen Gründen den Vortrag zu einer vom Rechenzentrumsbetreiber eingesetzten Verschlüsselungstechnik nicht berücksichtigt. Nichtsdestotrotz ist die Entscheidung bemerkenswert. Sie verdeutlicht, dass bereits Zweifel an der datenschutzrechtlichen Compliance sich als echter Wettbewerbsnachteil darstellen können. Auch der enge zeitliche Zusammenhang mit dem kontroversen Einsatz eines US-Cloud-Anbieters im Rahmen des Online-Portals zur Durchführung des Zensus 2022, welcher noch durch den BfDI untersucht wird, macht deutlich, dass das Thema der Drittlandübermittlung – auch im öffentlichen Sektor – zunehmend an Aufmerksamkeit gewinnt. Die Entscheidungen, die eine Rechtswidrigkeit auf Grund mangelnder vertraglicher, technischer und organisatorischer Ausgleichsmaßnahmen annehmen, beginnen sich zu häufen.

Explore #more

10.09.2024 | In den Medien

Podcast zum Thema „Scheinselbständige beschäftigen? Der Staat schaut nun viel genauer hin“ mit Stefan Middendorf

Wer sogenanntes Fremdpersonal beschäftigt geht viel mehr Risiken ein, als den meisten bewusst ist. KPMG Law Experte Stefan Middendorf erklärt im Podcast von Mittelstand Reloaded

10.09.2024 | In den Medien

Gastbeitrag in der stores+shops: EU-Verpackungsverordnung auf der Zielgeraden

In der neuen Ausgabe des  Handelsfachmagazins stores+shops  stellen die KPMG Law Experten Simon Meyer und Sandro Köpper die neue EU-Verpackungsverordnung vor. „Die neue EU-Verpackungsverordnung reiht…

09.09.2024 | In den Medien

Statement von Ulrich Keunecke im In-house-Counsel zum Thema Kapitalmarkt-Compliance

Für Private-Equity-Investoren ist der Börsengang die häufige Exitstrategie bei einer Unternehmensbeteiligung. Doch auch Familienbetriebe und Mittelständler können über den Aktienmarkt neues Kapital und Investoren gewinnen.…

06.09.2024 | KPMG Law Insights

Auch kleine integrierte Elektrizitätsversorgungsunternehmen müssen ab dem 1. Januar 2025 ihre Elektromobilitätssparten neu aufstellen

Der Geschäftsbereich der Ladesäuleninfrastruktur befindet sich derzeit regulatorisch im Wandel. Insbesondere für Verteilnetzbetreiber gelten nach § 7c EnWG strenge Entflechtungsvorgaben, von denen jedoch für Verteilnetzbetreiber,…

30.08.2024 | In den Medien

JUVE-Rechtsmarkt: Titelgeschichte zum Thema Legal-Tech mit KPMG Law

Wege und Werkzeuge von Kanzleien bei der Umsetzung ihrer Legal-Tech-Strategie unterscheiden sich teils massiv. Wer sich im Markt besonders hervortut, untersucht die aktuelle Ausgabe des…

27.08.2024 | KPMG Law Insights

Das bedeuten die FAQ der BaFin zur Institutsvergütungsverordnung

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat Fragen und Antworten (FAQ) zur Institutsvergütungsverordnung (InstitutsVergV) veröffentlicht. Sie ersetzen die bisherige Auslegungshilfe. Die FAQ finden nun unmittelbare Anwendung.…

26.08.2024 | In den Medien

Interview mit Moritz Püstow zum Thema Nachhaltigkeit und Effizienzsteigerung in der Bauindustrie

Wie rüstet sich die Bauindustrie für die Zukunft, die vor großen Herausforderungen steht? Den Schlüssel darin, schneller mehr Automatisierung beim Bauen zu erreichen und nachhaltiges…

22.08.2024 | Pressemitteilungen

Strategische Allianz zwischen KPMG Law und MHP – A Porsche Company

KPMG Law und MHP – A Porsche Company haben eine strategische Allianz vereinbart. MHP ist ein führendes Beratungshaus im Bereich Engineering & Digital Plattform Solutions…

21.08.2024 | In den Medien

Gastbeitrag in der dpn: Erste praktische Erfahrungen mit der Umsetzung von DORA

In Krisenlagen und Zeiten zunehmender Cyberkriminalität ist die digitale Betriebsstabilität für Unternehmen enorm wichtig. Künftig müssen Finanzunternehmen und Drittdienstleister von Informations- und Kommunikationstechnologien in ihren…

19.08.2024 | In den Medien

Gastbeitrag bei Springer Professional: Giralgeldtoken will Finanzprozesse der Industrie erleichtern

Der Giraldgeldtoken der Geschäftsbanken soll für die Industrie eine Alternative zum digitalen Euro sein und dabei den Charakter einer Einlage haben. Das könnte eine Win-Win…

Kontakt

Sebastian Hoegl, LL.M. (Wellington)

Senior Manager
Rechtsanwalt
Fachanwalt für IT-Recht
LL.M. (Wellington)

Heinrich-von-Stephan-Straße 23
79100 Freiburg im Breisgau

tel: +49 761 769999-20
shoegl@kpmg-law.com

Francois Heynike, LL.M. (Stellenbosch)

Partner
Leiter Technologierecht

THE SQUAIRE Am Flughafen
60549 Frankfurt am Main

tel: +49-69-951195770
fheynike@kpmg-law.com

© 2024 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll