OLG Karlsruhe kippt Entscheidung der Vergabekammer zum Einsatz von US-Dienstleistern

Hintergrund und Beschluss der Vergabekammer

Im Beschluss vom 13.07.2022 (Az. 1 VK 23/22) thematisiert die Vergabekammer Baden-Württemberg den Einsatz von Infrastrukturdiensten europäischer Tochterunternehmen, die US-amerikanischen Cloud-Anbietern zugehörig sind. Hintergrund ist die damit verbundene Datenübermittlung in Drittländer außerhalb des Europäischen Wirtschaftsraums, die mit dem Risiko eines Zugriffs durch U.S.-Behörden einhergeht. Der Europäische Gerichtshof hatte in seinem Schrems-II Urteil (C-311/18) den bestehenden Angemessenheitsbeschluss der Europäischen Kommission in Form des „EU-US Privacy Shield“ gekippt.

Vorliegend betraf der Beschluss ein Vergabeverfahren für eine IT-Lösung im Krankenhaus-/Pflegebereich, bei der Hosting-Leistungen eines europäischen Cloud-Anbieters mit U.S.-amerikanischer Konzernmutter zum Einsatz kommen sollten. Die Datenspeicherung sollte ausschließlich auf Servern in Deutschland erfolgen. Allerdings führte die Vergabekammer in Ihrer Entscheidung aus, dass die Nutzung der Hosting-Infrastruktur, unabhängig von deren Sitz in der EU und des Umstands, dass die Datenspeicherung ausschließlich auf Servern in Deutschland erfolgen solle, ein „latentes Risiko“ des Zugriffs sowohl durch staatliche als auch private Stellen in den USA bestehe. Bereits ein solches latentes Risiko reiche aus, um eine nach Art. 44 ff. DSGVO unzulässige Datenübermittlung in ein Drittland anzunehmen. Ob und wie naheliegend ein Zugriff ist, sei für die Bewertung irrelevant.

Der Einsatz von Hosting-Leistungen in der beschriebenen Konstellation ist für den Großteil aller Unternehmen eine praktische Realität. Aus diesem Grund löste der Beschluss der Vergabekammer große Unsicherheit aus, und wurde auch unter Datenschützern heiß diskutiert (siehe z.B. Stellungnahme des LfDI vom 15. August 2022). Gegen den Beschluss wurde Beschwerde eingelegt.
 

Was sagt nun das Oberlandesgericht Karlsruhe zum Sachverhalt?

Das Oberlandesgericht Karlsruhe (OLG) hat nun der Beschwerde mit Beschluss vom 7. September 2022 (Az. 15 Verg 8/22) stattgegeben. Kritisiert wurde unter anderem die pauschale Einschätzung der Vergabekammer, dass der Einsatz eines Unternehmens mit US-amerikanischem Konzernbezug bereits eine unzulässige Datenübermittlung vermuten ließe. Wörtlich führt der Senat dazu aus:

„Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. S.à.r.l ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird."
(Rn. 50, OLG Karlsruhe, Beschluss vom 07.09.2022 - 15 Verg 8/22)

Nach Einschätzung des OLG Karlsruhe ist stattdessen bei Nachprüfung einer Vergabeentscheidung zunächst davon auszugehen, dass ein Bieter seine vertraglichen Zusagen erfüllen wird. Erst bei konkreten Zweifeln an der Erfüllbarkeit des Leistungsversprechens muss der öffentliche Auftraggeber ergänzende Informationen einholen und diese prüfen. Vorliegend hatte der Dienstleister vertragliche Zusicherungen gemacht, dass Daten ausschließlich an die betreffende luxemburgische Gesellschaft übermittelt und ausnahmslos von ihr und nur in Deutschland verarbeitet werden. Die Entscheidung der Vergabekammer wurde entsprechend aufgehoben und der Nachprüfungsantrag zurückgewiesen.
 

Bedeutung der Entscheidung des OLGs für andere verantwortliche Stellen

Die Entscheidung des OLG Karlsruhe schafft Klarheit zum Einsatz von Instrastrukturdiensten europäischer Tochterunternehmen, die US-amerikanischen Cloud-Anbietern zugehörig sind. Hervorzuheben ist, dass keine pauschalen Einschätzungen zur DSGVO-Konformität getroffen werden sollen und, dass der Einsatz von Cloud-Anbietern mit US-amerikanischen Konzernbezug nicht per se rechtswidrig ist.

Stattdessen müssen die konkreten Rahmenbedingungen des Dienstleisters bewertet werden. Vorliegend wurden Daten auf Servern innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet, und vertraglich eine ausschließliche Datenverarbeitung innerhalb des EWR zugesichert.

Wir weisen darauf hin, dass die Entscheidung des OLG Karlsruhe nicht als allgemeine Erlaubnis zum Einsatz von US-Dienstleistern gesehen werden sollte. Vielmehr sollten die angeführten Aspekte im Rahmen des Transfer Impact Assessments aufgenommen werden und in die Bewertung der Datenübertragung einfließen.