Kein pauschaler Ausschluss von US-Cloud-Anbietern im Vergabeverfahren

Geschrieben am 22.09.2022 von:

Alev Mantar


zum Profil

Kontaktiere mich:


E-Mail senden

Nach der Entscheidung des OLG Karlsruhe dürfen US-Cloud-Anbieter wie Microsoft, Google & Co. aufgrund datenschutzrechtlicher Bedenken nicht pauschal aus dem Vergabeverfahren im Gesundheitswesen ausgeschlossen werden. Es muss immer erst eine Einzelfallprüfung vorgenommen werden.

Die Vergabekammer Baden-Württemberg hatte entschieden (Az. 1 VK 23/22), dass in der EU ansässige Tochtergesellschaften US-amerikanischer Konzerne nicht an öffentlichen Vergaben teilnehmen dürfen, sofern der Vergabegegenstand die Verarbeitung von personenbezogenen Daten ist. Begründet wurde dies damit, dass eine unzulässige Datenübermittlung in die USA erfolge, welche gegen die Regelungen der Datenschutz- Grundverordnung (DS-GVO) verstoße. Seit dem „Schrems II“- Urteil des EuGH können sich EU-Unternehmen bei der Datenübermittlung nicht mehr auf das sog. „Privacy Shield“ berufen, da es US-Überwachungsgesetze amerikanischen Sicherheitsbehörden ermöglichen, auch auf die Daten von EU-Bürgern zuzugreifen. Dies widerspricht dem Datenschutzstandard der EU. Die Standardvertragsklauseln der EU-Kommission, die Abhilfe leisten sollten, werden ebenfalls aufgrund von Sicherheitsbedenken kritisiert und als unzureichend eingestuft.

Die Entscheidung der Vergabekammer hat das OLG Karlsruhe rechtskräftig mit der Begründung aufgehoben (Az. 15 Verg 8/22), dass eine Einzelfallprüfung erforderlich sei: Nur die Tatsache, dass ein US-Anbieter involviert sei und eine theoretische Zugriffsmöglichkeit bestehe, reiche für einen Ausschluss bei der Vergabe nicht aus. Stattdessen müsse stets die datenschutzrechtliche Zulässigkeit für jeden einzelnen Fall geprüft werden. Sofern wie im zu entscheidenden Streit die Datenverarbeitung in Deutschland erfolge und keine Übermittlung in ein Drittland erfolgt, sei diese grundsätzlich zulässig.

Dieser Streit lässt sich zurückführen auf die immer noch bestehenden Unsicherheiten im Bereich der Datenverarbeitung zwischen einem EU-Mitgliedsstaat und Drittstaat. Insbesondere hinsichtlich der USA wird ein angemessenes Datenschutzniveau weiterhin bemängelt.  An einem Nachfolgeabkommen für den EU-US-Privacy Shield wird immer noch gearbeitet.

Wir halten dich darüber auf dem Laufenden!


zurück zu den News