Kontakt

Ob Sie lieber eine E-Mail senden, zum Telefon greifen oder das gute alte Fax nutzen. Wir freuen uns, von Ihnen zu hören.

Anruf unter
+49 711 86040 00
Fax unter
+49 711 86040 01

Vergabe von Cloud-Leistungen mit U.S.- Bezug – Status Quo

Öffentliche Hand
Vergabe von Cloud-Leistungen mit U.S.- Bezug – Status Quo

In der öffentlichen Verwaltung spielt die Nutzung von Cloud-Services eine immer größere Rolle. Die Nutzung bietet einen kosteneffizienten sowie technisch niedrigschwelligen Einstieg in die digitale Zukunft der Verwaltung. Die Beschaffung der Cloud-Services stellt Kommunen und andere öffentliche Institutionen jedoch vor scheinbar unüberwindbare datenschutzrechtliche Herausforderungen: Die meisten Lösungen bauen auf IT-Infrastruktur großer U.S.-Anbieter wie Amazon, Microsoft und Co. auf. Ob der Einsatz solcher Cloud-Lösungen datenschutzkonform möglich ist, hatten die Vergabekammer Baden-Württemberg sowie das OLG Karlsruhe in zweiter Instanz jüngst zu entscheiden.

Sachverhalt

Der Auftraggeber schrieb eine IT-Lösung im Krankenhausbereich für das digitale Patientenmanagement aus. Gefordert wurde explizit eine Cloud-Lösung unter Einhaltung der datenschutzrechtlichen Anforderungen, insbesondere der DSGVO.

Der erstplatzierte Bieter unterbreitete ein Angebot, das den Einsatz von Hosting-Leistungen eines europäischen Cloud-Anbieters mit U.S.-amerikanischer Konzernmutter vorsah, wobei die Datenspeicherung ausschließlich auf Servern in Deutschland erfolgen sollte.

Der beabsichtigte Zuschlag wurde von einem an dem Verfahren beteiligten Bieter mit der Begründung angegriffen, das Angebot entspreche aufgrund des vorgesehenen Einsatz des Cloud-Anbieters mit U.S.-Bezug nicht der DSGVO.

Entscheidung

Nachdem die Vergabekammer noch den Ausschluss des Angebots festgestellt hat, hat das OLG nach dem anerkannten Grundsatz entschieden, dass öffentliche Auftraggeber Bieterangaben und deren Leistungsversprechen grundsätzlich vertrauen dürfen:

Gibt ein Bieter an, ein europäisches Tochterunternehmen eines US-amerikanischen Cloud-Anbieters als Hosting-Dienstleisterin einzusetzen und sichert mit Angebotsabgabe eine datenschutzkonforme Auftragsausführung unter Einhaltung der Vorgaben der DSGVO zu, darf der öffentliche Auftraggeber dem Leistungsversprechen vertrauen. Der öffentliche Auftraggeber muss nicht allein mit Blick auf eine Bindung an einen US-amerikanischen Konzern daran zweifeln, dass die Daten nicht ausschließlich in Deutschland verarbeitet und unzulässig in ein Drittland übermittelt werden. Insbesondere muss ein Auftraggeber nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das US-Tochterunternehmen kommen wird bzw. dieses gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.

Bewertung aus datenschutzrechtlicher Sicht

Das latente Risiko eines Zugriffs durch U.S.-Stellen auf die System des Hosting-Anbieters stellen nach Auffassung der Vergabekammer eine nach den Art. 44 ff. DSGVO unzulässige Datenübermittlung in ein Drittland dar. Ein Angebot für eine DSGVO-konforme IT-Leistung, welches den Einsatz solcher Hosting-Leistungen vorsieht, sei daher wegen Änderung der Vergabeunterlagen auszuschließen. Die Konsequenzen der Auslegung des Übermittlungsbegriffs durch die Vergabekammer würden weit über den öffentlichen Sektor hinaus reichen: Cloud-Dienste mit U.S.-Bezug könnten bei dieser weiten Auslegung des Übermittlungsbegriffs in der gesamten EU nicht mehr datenschutzkonform eingesetzt werden. Inhaltlich war diese Entscheidung daher nicht haltbar. So hat auch der baden-württembergische Datenschutzbeauftragte Stefan Brink in einer Stellungnahme unmittelbar nach Veröffentlichung der Entscheidung darauf hingewiesen, dass eine Übermittlung im datenschutzrechtlichen Sinne einen tatsächlichen Datenzugang durch eine empfangende Stelle voraussetzt.

Die Entscheidung wurde daher zu Recht durch das OLG in zweiter Instanz aufgehoben. Die Entscheidungsbegründung des OLG knüpft jedoch nicht an eine datenschutzrechtliche Bewertung des Sachverhalts, sondern bringt lediglich verfahrensrechtliche Sicherheit: Behörden dürfen öffentliche Aufträge an Tochtergesellschaften von US-Anbietern von Cloud-Diensten erteilen, wenn diese glaubhaft versichern, dass die personenbezogenen Daten datenschutzkonform verarbeitet werden. Die Vergabe des Auftrags an einen Bieter, dessen Leistungen U.S.-Bezug aufweisen, kann unter diesen Voraussetzungen daher zulässig sein. Die Zulässigkeit des Zuschlags nach vergaberechtlichen Maßstäben führt jedoch nicht dazu, dass Rechtssicherheit aus datenschutzrechtlicher Sicht bestünde. Die Rechtsprechung verschiebt die Prüfung der datenschutzrechtlichen Compliance vielmehr auf die Vertragsausführungszeit: Öffentliche Auftraggeber haben im Rahmen der Leistungserbringung durch den Auftragnehmer dafür zu sorgen, dass Leistungen entsprechen der Zusagen auch datenschutzkonform umgesetzt und durchgeführt werden.

Praxistipp

Die datenschutzrechtlichen Hintergründe zum Drittlandtransfer sind komplex. Nach Wegfall des EU-US Privacy Shield ist die Fachdiskussion zur Zulässigkeit der Datenverarbeitung durch Unternehmen mit U.S.-Bezug weiterhin höchst umstritten. Hintergrund des Streits sind Überwachungsvorschriften der USA, insbesondere der sog. „Cloud Act“, der den Zugriff von Behörden auf Kundendaten von Telekommunikations- und Cloud-Anbietern ermöglicht. Auch die besprochenen Entscheidungen bringen in dieser Frage leider keine Rechtssicherheit für öffentliche Auftraggeber.

Damit öffentliche Auftraggeber trotz des durch die Rechtsprechung des OLG ausgesprochenen Vertrauensvorschusses gegenüber den Bietern auch für die Vertragsausführungszeit eine Absicherung haben, sind daher zukünftig bereits im Vergabeverfahren Datenschutzaspekte mit Priorität zu berücksichtigen.

So ist dazu zu raten, eine sorgfältige Gestaltung der Vergabeunterlagen mit Blick auf die datenschutzrechtlichen Anforderungen vorzunehmen. Die Möglichkeiten zu pauschalen Zusagen der Bieter zur Datenschutzkonformität sollten vermieden werden und vielmehr spezifische Vorgaben zu den datenschutzrechtlichen Aspekten der Leistung gemacht werden. Insbesondere Vorgaben zur Verschlüsselung, dem Ort der Datenverarbeitung und der Vorgabe zu Zugriffsmöglichkeiten auf die zu verarbeitenden Daten sind zu erwägen.

Bei besonders sensiblen personenbezogenen Daten nach Art. 9 DSGVO sowie sicherheits- und staatskritischen Informationen sollte genau abgewogen werden, ob eine Cloud-Lösung eingesetzt werden kann. Geeignetes Instrument dafür ist die Durchführung einer Datenschutz-Folgenabschätzung.

Maßgebliche Entscheidungen: VK Baden-Württemberg, Beschl. v. 13.07.2022 – 1 VK 23/22, OLG Karlsruhe, Beschl. v. 07.09.2022 – 15 Verg 8/22

Zurück