Mit dem Beschluss vom 13.07.2022 hat die Vergabekammer Baden-Württemberg über die Frage entschieden, ob bereits dadurch eine Drittlandübermittlung vorliegt, dass Cloudlösungen von europäischen Tochterunternehmen US-amerikanischer Cloud-Anbieter eingesetzt werden.
Laut dem Beschluss der Vergabekammer ist es egal, wo die Server ihren physischen Standort haben. Die US-Behörden können trotzdem von der Muttergesellschaft in den USA fordern, die Daten in Europa herauszugeben. Da die nichteuropäische Muttergesellschaft auf die Daten zugreifen kann, besteht eine Übermittlung im Sinne der DS-GVO. Es ist unerheblich, ob ein Zugriff tatsächlich stattfindet.
Zusammenfassung:
Allein die hypothetische Zugriffsmöglichkeit amerikanischer Muttergesellschaften auf Cloud-Server, die in der EU stehen, wird als Datenübermittlung in das Drittland USA gewertet.
Hinsichtlich einer Datenübermittlung in die USA fehlt es an einem Angemessenheitsbeschluss gemäß Art. 45 Abs. 1 DS-GVO. Nach der Auffassung der Vergabekammer seien Standarddatenschutzklauseln im Sinne der DS-GVO in diesem Fall jedoch nicht geeignet, Übermittlungen zu legitimieren. Das latente Risiko des Eingriffs wurde mithilfe der Standarddatenschutzklauseln nicht beseitigt.
Laut dem Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg ist der Beschluss des Vergabekammers kritisch zu sehen, weil das bloße Risiko eines Eingriffs durch US-Behörden nicht mit einem tatsächlichen Zugriff gleichgestellt werden sollte.
Zudem übersehe die Vergabekammer, dass wirksame Mittel gegen Zugriffsrisiken eingesetzt werden können. Ein pauschales Übermittlungsverbot sei daher abzulehnen. Stattdessen seien Einzelfallprüfungen bei Drittlandübermittlungen weiterhin Mittel der Wahl, die Vorgaben der DS-GVO bestmöglich umzusetzen. Die Vergabekammer habe zusätzliche technisch-organisatorische Maßnahmen nicht weiter geprüft.
Diese Auffassung unterscheidet sich nicht von der Meinung der Datenschutzkonferenz (DSK) zum Drittlandtransfer, die sich aus dem Kurzpapier 4 ergibt.
Infolgedessen ist man nicht automatisch auf der sicheren Seite, wenn man im Rahmen der Verwendung von z.B. AWS, Microsoft Azure oder Google Cloud Europa als Datenstandort auswählt.
Es ist also immer zu raten, dass Unternehmen beim Einsatz außereuropäischer Cloud-Dienste ein Transfer Impact Assessment (TIA) durchführen.
Sie haben Fragen zum Transfer Impact Assessment? Wir unterstützen Sie gerne.
Wer ist die Vergabekammer Baden-Würtemberg?
Die Vergabekammer ist eine gerichtsähnliche Instanz, die grundsätzlich über die Besetzung von Positionen und die Vergabe von Aufträgen entscheidet. Sie ist rechtlich unabhängig.
Welche Rechtswirkung hat die Entscheidung einer Vergabekammer?
Grundsätzlich ist die Entscheidung einer Vergabekammer für die private Wirtschaft nicht bindend. Das bedeutet, dass Entscheidungen von Aufsichtsbehörden und Gerichten nicht anerkannt werden müssen.
