Stellungnahme des LfDI Baden-Württemberg zum Beschluss der Vergabekammer Baden-Württemberg vom 13.07.2022 (Az. 1 VK 23/22)
Seit dem sogenannten Schrems II Urteil des Europäischen Gerichtshofs vom 16. Juli 2020 (Rs. C-311/18) kann eine Übermittlung personenbezogener Daten in die USA nicht mehr auf das sogenannte EU-US Privacy Shield gestützt werden, da der EuGH diesen Angemessenheitsbeschluss mit sofortiger Wirkung für ungültig erklärt hat. Begründet wurde dies mit unverhältnismäßigen Überwachungsmaßnahmen der US-Geheimdienste, fehlenden Garantien für die Integrität übermittelter Daten, unzureichenden Rechtsbehelfen für EU-Bürger_innen sowie der fehlenden Unabhängigkeit des im Privacy Shield Abkommen mit Schutzfunktionen betrauten Ombudsmanns.
Die Standardvertragsklauseln (SCC) aus dem Jahr 2010, die als Schutzmechanismus für Datentransfers in die USA weiterhin in Betracht kamen, sind mittlerweile zwar durch neue Standarddatenschutzklauseln vom 4. Juni 2021 ersetzt worden und können eine Lösung für die vom EuGH aufgezeigte Transferproblematik darstellen – allerdings ist ihre Wirkung in jedem Einzelfall zu prüfen und reicht häufig, etwa bei der Übermittlung sensibler Daten, nicht aus. Daher rät der LfDI Baden-Württemberg in der inzwischen 4. Auflage seiner Orientierungshilfe zum internationalen Datentransfer dazu, die SCC weiter zu ergänzen. Zusätzlich sollten Datenexporteure sich an den praktischen Beispielen des Europäischen Datenschutzausschusses zu möglichen zusätzlichen Garantien orientieren und diese wo möglich implementieren (zum Beispiel moderne Verschlüsselungstechnik einsetzen).
In einem Beschluss vom 13.07.2022 hat die Vergabekammer Baden-Württemberg nun entschieden, dass Infrastrukturdienste von europäischen Tochterunternehmen US-amerikanischer Cloud-Anbieter im in Rede stehenden öffentlichen Vergabeverfahren nicht in Anspruch genommen werden dürfen (Az. 1 VK 23/22). Dabei stützt sich die Vergabekammer auf das latente Risiko eines Zugriffs auf personenbezogene Daten durch US-Behörden, welches weder durch die verwendete Klausel zur Vertraulichkeit von Kundendaten noch die Klausel zur Verpflichtung, zu weit gehende oder unangemessene Anfragen staatlicher Stellen anzufechten, hinreichend eingedämmt werde.
Der Beschluss ist zwar fachlich qualifiziert und von über den (aus einem behördlichen Vergabeverfahren herrührenden) Ausgangsfall hinausweisender Bedeutung. Er ist jedoch aus folgenden Gründen kritisch zu sehen:
Zum einen hatte das Verfahren Klauseln zum Prüfungsgegenstand, die aus Sicht der Vergabekammer noch hinter den Anforderungen der aktuell einsetzbaren Standarddatenschutzklauseln zurückblieben. Hier scheint der Vergabekammer nicht durchgängig der Zugriff auf die jeweils einschlägige Vertragsklausel gelungen zu sein. Das ist angesichts der Komplexität der einzubeziehenden Regularien auch nicht verwunderlich.
Problematisch erscheinen hier durchaus solche Klauseln zum Verbot von Datenübermittlungen, welche die Einschätzung, welche Anfragen (dritt-)staatlicher Stellen zu weit gehen, nicht dem Datenexporteur überlassen und die auch nicht ausnahmslos eine (letztinstanzliche) Anfechtung aller staatlichen Anfragen vorsehen. Doch darauf geht die Vergabekammer nicht näher ein.
Zum anderen ist die von der Vergabekammer vorgenommene Gleichsetzung von Zugriffsrisiko und Übermittlung (als Verarbeitungsform nach Art. 4 Nr. 2 DS-GVO) rechtlich zweifelhaft. In Randnummer 64 der Entscheidung heißt es: „Das durch die Implementierung dieser Klauseln … bewirkte latente Risiko eines Zugriffs reicht nach den geltenden datenschutzrechtlichen Grundsätzen aus, um eine datenschutzrechtlich unzulässige Übermittlung zu bejahen. Es kommt insofern nicht darauf an, ob und wie naheliegend der Eintritt der in den beiden Klauseln niedergelegten Umstände, die für einen Zugriff im Einzelfall erforderlich sind, ist. Schließlich kann sich das latente Risiko jederzeit realisieren.“ Dass ein Zugriffsrisiko ohne weiteres einen Übermittlungstatbestand erfüllt, kann mit guten Gründen bestritten werden. Dass die DS-GVO einen „risikobasierten Ansatz“ zugunsten Verantwortlicher eingeführt habe, wird von interessierten Kreisen zwar immer wieder (und in dieser Pauschalität wenig überzeugend) vorgebracht. Dass dieser Ansatz jetzt aber zu Lasten von Verantwortlichen und Auftragsverarbeitern umgedreht werden dürfte, überzeugt ebenso wenig. Zudem übersieht diese Argumentation, dass gegen solche Zugriffsrisiken wirksame Gegenmittel in Gestalt sog. „technisch-organisatorischer Maßnahmen“ existieren, die letztlich jedes Risiko ausschließen können. Gerade dieser Aspekt wurde aber von der Vergabekammer überhaupt nicht betrachtet, insbesondere wurde die vom Mitbieter eingesetzte Verschlüsselungstechnik aus vergabeverfahrensrechtlichen Gründen nicht weiter geprüft.
Der LfDI Baden-Württemberg hält daher auch nach der beachtlichen Entscheidung der Vergabekammer Baden-Württemberg an den Maßgaben seiner Orientierungshilfe zu Datentransfers fest; nach wie vor sind einzelfallbezogene Alternativprüfungen und nicht pauschale Transferverbote das Mittel der Wahl, die Vorgaben der DS-GVO bestmöglich umzusetzen.
Auch vor diesem Hintergrund darf die anstehende Überprüfung der Entscheidung der Vergabekammer durch das OLG Karlsruhe mit Spannung erwartet werden.
Für Rückfragen erreichen Sie uns unter der Telefonnummer
0711/615541-23 und per E-Mail: pressestelle@lfdi.bwl.de
Weitere Informationen zu Datenschutz und Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.