Entscheidung des Oberlandesgerichts: US-Cloud-Anbieter dürfen nicht kategorisch ausgeschlossen werden
Bei vielen Ausschreibungen wurden bisher Töchterfirmen von US-amerikanischen Unternehmen von der Vergabe ausgeschlossen. Dies schien der einzige Weg, um der Datenschutzgrundverordnung zu entsprechen. Einem Urteil des Oberlandesgerichts Karlsruhe nach, ist dies allerdings rechtlich nicht in Ordnung. Der pauschale Ausschluss solcher Unternehmen ist in Deutschland nicht rechtens. Dies kann die Vergabe von Aufträgen in Zukunft deutlich spannender gestalten.
US-amerikanische Tochterunternehmen dürfen als Hosting-Anbieter nicht ausgeschlossen werden
Die Verhandlung vor dem Oberlandesgericht Karlsruhe war nötig geworden, weil eine in Luxemburg ansässige Tochtergesellschaft eines US-amerikanischen Unternehmens gegen die Entscheidung der Vergabekammer Baden-Württemberg von 13. Juli 2022 (Az. 1 VK 23/22) geklagt hatte. Die Vergabekammer hatte in einem Vergabeverfahren entschieden, dass Tochtergesellschaften von US-Unternehmen an Vergabeverfahren der öffentlichen Hand teilnehmen könnten. Dies wurde mit der europäischen Datenschutzgrundverordnung begründet. Denn auch Tochterunternehmen von US-amerikanischen Firmen würden unzulässige Datenübermittlungen in die USA durchführen, was bei personenbezogenen Daten der DSGVO entgegensprechen würde. Diese Entscheidung war bereits im Vorfeld von verschiedenen Experten und Datenschutzbeauftragten kritisiert worden. Hier wurde die Gleichsetzung von Zugriffsrisiko und Übermittlung als rechtlich zweifelhaft bewertet. Dieser Bewertung sind die Richter des Oberlandesgerichts gefolgt.
Es müssen konkrete Zweifel am Datenschutz bestehen
Wie die Richter am Oberlandesgericht Karlsruhe eindeutig festgestellt haben, ist ein pauschaler Ausschluss solcher Firmen in Zukunft nicht mehr möglich. Allerdings – so das Gericht – bedeutet dies nicht, dass diese Firmen bei einem konkreten Verdacht nicht dennoch ausgeschlossen werden können. Es handelt sich immer um Einzelfallentscheidungen, bei denen die verschiedenen Umstände berücksichtigt werden müssen. Im konkreten, vor dem Gericht verhandelten Fall, hatte die in Luxemburg ansässige Firma versichert, die Daten ausschließlich in Deutschland zu speichern und zu verarbeiten. Der Auftraggeber kann und darf nicht pauschal davon ausgehen, dass die Firma vertragswidrig und entgegen des Gesetzes anders mit den Daten umgeht, als vertraglich vereinbart. Wenn ein Auftraggeber konkrete Zweifel daran hat, muss dieser ergänzende Informationen zum Unternehmen und zu dessen Verhalten einholen und die “Erfüllbarkeit des Leistungsversprechen prüfen”. Allein die rein rechtliche Tatsache, dass es sich um ein US-amerikanisches Tochterunternehmen handelt, genüge nicht, um eine Firma von Vergabeverfahren der öffentlichen Hand auszuschließen.
Fazit: Die Auswahl an Anbietern steigt bei öffentlichen Vergabeverfahren
Viele US-amerikanische Unternehmen werden das Urteil mit einiger Erleichterung aufgenommen haben. Schließlich ist das Urteil wichtig, damit die eigenen Tochterunternehmen in der EU weiter profitabel arbeiten können. Es bedeutet allerdings nicht, dass es pauschal für diese Unternehmen einfacher wird. Denn der Datenschutz bei Speichern außerhalb der EU bleibt weiterhin kritisch und entspricht in beinahe allen Fällen nicht der DSGVO. Seit der Schrems-II-Entscheidung im Juli 2020 des Europäischen Gerichtshofs arbeiten die EU und die USA an einem neuen EU-US-Privacy Shield. Wann dieses zustande kommt und ob mit diesem die Probleme im Bereich Datenschutz aufhören werden, steht allerdings noch immer in den Sternen. Denn die Wichtigkeit der personenbezogenen Daten wird in der EU deutlich höher eingestuft als in den USA. In welchem Maße sich dies auf unser alltägliches Leben auswirken wird und wie Unternehmen in Zukunft agieren können, steht noch immer nicht fest.
Quelle: chinnarach© / Adobe Stock