Deutsche Behörden dürfen weiterhin auf US-Clouds wie Amazon, Microsoft oder Google zurückgreifen – zumindest, wenn die Anbieter zusichern, dass die Daten in Deutschland verarbeitet werden. Das hat das OLG Karlsruhe in einem Vergabeverfahren entschieden.
Die Anbieterin eines digitalen Entlassmanagements für Patienten darf auch dann an einem regionalen Vergabeverfahren teilnehmen, wenn sie die Tochtergesellschaft eines US-amerikanischen Unternehmens als Hosting-Dienstleisterin einbinden will. Schließlich habe die Anbieterin zugesagt, dass personenbezogene Daten ausschließlich in Deutschland verarbeitet würden und in kein Drittland abwanderten – auf diese Aussage könnten sich die Behörden verlassen. Mit diesem Beschluss hat das Oberlandesgericht (OLG) Karlsruhe hat eine Entscheidung der Vergabekammer Baden-Württemberg kassiert (OLG, Beschluss v. 07.09.22, Az. 15 Verg 8/22).
Nach dieser Rechtsauffassung dürfen deutsche Behörden damit trotz datenschutzrechtlicher Probleme weiterhin US-Anbieter wie Amazon, Microsoft oder Google nutzen, sofern die Daten innerhalb der EU bleiben und nicht in die USA abwandern.
Latentes Risiko eines Datenschutzverstoßes?
Hintergrund war das Vergabeverfahren zweier Krankenhausgesellschaften für ein digitales Entlassmanagement. Dabei wurde die Einhaltung der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) hinsichtlich der personenbezogenen Daten zu entlassener Patienten vorausgesetzt. Die Vergabekammer hatte allerdings eine Anbieterin, der auch US-Dienste einbinden wollte, wegen datenschutzrechtlicher Bedenken ausgeschlossen. Dabei handelte es sich ausgerechnet um die Anbieterin, der die Gesellschaften den Zuschlag hatten geben wollen.
Grund für die Rechtsauffassung der Vergabekammer ist das „Schrems II“-Urteil des Europäischen Gerichtshofs (EuGH, Urt. 16.07.2020, Rs. C‑311/18). Seitdem können sich EU-Unternehmen bei der Datenübermittlung in die USA nicht mehr auf das transatlantische „Privacy Shield“ berufen. Denn die Luxemburger Richter urteilten, dass es US-Überwachungsgesetze amerikanischen Sicherheitsbehörden ermöglichen, auch auf Daten von EU-Bürgern zuzugreifen. Damit entspreche der Datenschutzstandard in den USA nicht dem in der EU. Seitdem setzen europäische und US-Unternehmen beim transatlantischen Datenaustausch zwar auf die sog. Standardvertragsklauseln, welche die EU-Kommission Anfang Juni 2021 in aktualisierter Version herausgegeben hat. Doch auch deren Wirksamkeit wird aufgrund derselben Sicherheitsbedenken gerade angezweifelt.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Wegen der schwierigen Lage im Hinblick auf die Datenübermittlung in die USA hatten verschiedene Cloud-Anbieter mit europäischen Tochtergesellschaften bereits Serverfarmen mit Standorten in Deutschland oder dem europäischen Ausland eingeführt, die den strengen Anforderungen deutscher Datenschützer gerecht werden sollten. Dementsprechend sicherte auch die Anbieterin in diesem Fall zu, das von ihr eingebundene luxemburgische Tochterunternehmen des US-amerikanischen Konzerns sei vertrauensvoll, weil der Auftrag ausnahmslos auf einem in Frankfurt am Main stehenden Server einer deutschen GmbH verarbeitet werde.
Nach erfolgter Nachprüfung hegte die Vergabekammer wegen potenzieller Verstöße gegen die DSGVO jedoch weiterhin Zweifel und schloss die ausgewählte Anbieterin aus dem Vergabeverfahren aus. Die Nutzung von Diensten des Konzerns gehe mit einer unzulässigen Datenübermittlung in die USA als Drittland einher. Zumindest bestehe das „latente Risiko“, dass amerikanische Behörden auf die personenbezogenen Daten europäischer Bürger zugreifen könnten.
Vertrauensvolles Datenschutzversprechen
Das sah das OLG, das über die Beschwerde gegen die Entscheidung Vergabekammer zu entscheiden hatte, nun allerdings anders. Es sei davon auszugehen, dass ein Bieter seine vertraglichen Zusagen erfülle und nicht unmittelbar und ohne konkrete Anhaltspunkte Zweifel an dem Leistungsversprechen entstehen dürften.
Im entschiedenen Fall habe die Anbieterin die eindeutige und vertrauensvolle Zusicherung abgegeben, der Inhalt des Vertrages werde ausnahmslos von der luxemburgischen Gesellschaft in Deutschland verarbeitet. Sofern die ausschließliche Verarbeitung in Deutschland zugesichert werde, dürften die Krankenhausgesellschaften darauf vertrauen, dass keine vertragswidrigen oder gegen europäisches Recht verstoßenden Weisungen befolgt würden, so das OLG. Eine bloße Konzernbindung genüge jedenfalls nicht, um die Erfüllbarkeit des Leistungsversprechens zu bezweifeln.
Die Entscheidung des OLG ist rechtskräftig.