Spätestens seit dem Schrems-II-Urteil ist klar, dass die Übermittlung von Daten in Länder außerhalb der EU (Drittländer) datenschutzrechtlich problematisch sein kann. Doch reicht dafür schon die Gefahr der Übermittlung in ein Drittland aus? Dieser Ansicht ist zumindest die Vergabekammer Baden-Württemberg.

Den aktuellen Stand der datenschutzrechtlichen Debatte erfahren Sie hier.

Vergabekammer: Zugriffsrisiko im Drittland ist Verarbeitung im Drittland

Die Vergabekammer Baden-Württemberg ist der Ansicht, dass eine Übermittlung (und damit Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO) bereits vorliegt, wenn die Gefahr besteht, dass die Daten in ein Drittland übermittelt werden.

Rolle von Vergabekammern

Die Vergabekammern der Länder sind genauso wie die Landesdatenschutzbeauftragten unabhängige Kontrollbehörden (§ 157 GWB). Vergabekammern haben dabei nicht die Funktion einer Aufsichtsbehörde, sondern fungieren vielmehr gerichtsähnlich. Sie überprüfen die Vergabe von öffentlichen Aufträgen, wenn ein Mitwettbewerber Beschwerde einreicht (§ 155 GWB).

Standpunkt der Vergabekammer

Der Vergabekammer Baden-Württemberg wurde ein Sachverhalt vorgelegt, bei dem es um den Zuschlag zu einer Softwareanschaffung für digitales Einlassmanagement für Krankenhäuser ging. Ein erfolgloser Mitbewerber, der damit warb, die Daten nur auf deutschen Servern zu speichern, legte Beschwerde ein. Der Konkurrent, der den Zuschlag erhielt, hielt sich nach Ansicht des erfolglosen Mitbewerbers nicht an das Datenschutzrecht. Er würde nämlich die Dienste einer EU-Tochtergesellschaft eines großen US-Clouddienstes nutzen, was die Gefahr mit sich brächte, dass der Mutterkonzern von amerikanischer Seite auf die in der EU gespeicherten Daten zugreife und diese dann nicht mehr so sicher sind, wie es die DSGVO fordert.

Die Vergabekammer schloss sich dieser Ansicht an und hob den Zuschlag auf. Sie führte dazu aus, dass der Übermittlungsbegriff in Art. 4 Nr. 2 und Art. 44 DSGVO nicht der gleiche sei. Eine Übermittlung im Sinne einer Verarbeitung nach Art. 44 DSGVO liege vielmehr schon dann vor, wenn die Gefahr der Übermittlung in ein Drittland bestünde.

Dazu führt die Vergabekammer aus: „Der Übermittlungsbegriff ist im Lichte des weil [gemeint ist hier wohl „weit“] gefassten Wortlauts des Art. 44 S. 1 DS-GVO sowie der in Art. 44 S. 2 DS-GVO niedergelegten Anweisung in Bezug auf die Normanwendung auszulegen und damit umfassend zu verstehen: Übermittlung ist jede Offenlegung personenbezogener Daten gegenüber einem Empfänger in einem Drittland oder einer internationalen Organisation, wobei es weder auf die Art der Offenlegung, noch auf die Offenlegung gegenüber einem Dritten ankommt.“ Eine Offenlegung in diesem Sinne liege schon vor, wenn die Möglichkeit besteht, dass ein Drittland zugreift, unabhängig vom tatsächlichen Zugriff.

Datenschutzbehörde: TOM´s sind zur Risikominimierung da

Nach diesem Beschluss hat sich auch der Landesdatenschutzbeauftragte zum Beschluss der Vergabekammer positioniert: Er stimmt der Auslegung nicht zu.

Der Landesdatenschutzbeauftragte bemängelt, dass in der Argumentation der Vergabekammer übersehen wird, dass es gerade die technischen und organisatorischen Maßnahmen (TOM´s) gibt, die das aufgezeigte Risiko des Zugriffes minimieren (Art. 32 DSGVO). Diese seien „wirksame Gegenmittel“. Sie könnten anhand einer einzelfallbezogenen Risikoabschätzung ein optimales Datenschutzniveau schaffen.

Problematisch an dem Beschluss sei vor allem die unterschiedliche Auslegung der Übermittlung in Art. 4 Nr. 2 und Art. 44 DSGVO. Dies sei weder aus dem Wortlaut noch aus den Erwägungsgründen ersichtlich.

Eine pauschale Ausgrenzung von Unternehmen mit Verbindungen zu amerikanischen Dienstleistern sei weder elegant noch wirtschaftlich. Die Ansicht der Vergabekammer würde lediglich dazu führen, dass keine amerikanischen Dienstleister in Anspruch genommen werden können, selbst wenn diese Serverfarmen in der EU betreiben.

Und jetzt?

Wie die Debatte sich letztlich auflöst, bleibt abzuwarten. Der Beschluss der Vergabekammer wird nun vom Oberlandesgericht Karlsruhe überprüft. Die Stellungnahme des Landesdatenschutzbeauftragten lässt vermuten, dass das Gericht den Beschluss kippen wird. Noch gibt es kein pauschales Transferverbot, sondern es werden vielmehr Einzelfallprüfungen vorgenommen.

Sie suchen nach professioneller Beratung in allen Bereichen rund um den Datenschutz? Unser Team an Experten steht Ihnen gern zur Seite. Kontaktieren Sie uns!

DSB buchen
de_DEDeutsch