Es ist ein Beschluss der Vergabekammer Baden-Württemberg, der momentan hohe Wellen schlägt. Die Vergabekammer hat einen Anbieter von einem Verfahren ausgeschlossen, weil dieser US-Cloud-Dienste angeboten hatte. Die Verarbeitung von Daten sei laut Vergabekammer nach dem Wegfall des Privacy-Shields-Abkommen aus DSGVO-Gründen unzulässig, auch wenn der Server in Europa steht. Ergo sei das Angebot des betreffenden Bietern vom Verfahren auszuschließen.
Anzeige
Der Beschluss der Vergabekammer Baden-Württemberg (Az. 1 VK 23/22) vom 13. Juli 2022 trifft eine richtungsweisende Entscheidung zur bislang ungeklärten Frage, ob US-Anbieter digitaler Server- und Cloud-Leistungen ihre Dienstleistungen über europäische Tochtergesellschaften erbringen können. Es betrifft auch die Frage, ob eine Zusammenarbeit mit US-Anbietern nach Wegfall des Privacy-Shields-Abkommens mit der EU (vgl. EuGH, Urteil vom 16. Juli 2020 – Az. C-311/18; "Schrems-II") trotz der Verwendung sog. Standarddatenschutzklauseln unzulässig ist.
Worum ging es?
In einem Vergabeverfahren hatte die EU-Tochter einer US-Firma ein Angebot eingereicht, welches Leistungen eines US-Cloud-Anbieters enthielt. Die für die Erbringung der Leistungen notwendigen Cloud-Leistungen sollten durch Server in der EU bereitgestellt werden. Die Vergabekammer Baden-Württemberg hat in oben zitierter Entscheidung (ist noch nicht rechtskräftig), diesen Anbieter vom Gebotsverfahren mit der nachfolgenden Begründung ausgeschlossen. In Kurz: Wenn es einen Datenschutzverstoß durch das Angebot gibt, ist der Bieter vom Vergabeverfahren auszuschließen (Angebot entspricht nicht den Vergabeunterlagen).
Datenschutzrechtlich unzulässig
Nach Ansicht der Vergabekammer Baden-Württemberg liegt eine datenschutzrechtlich unzulässige Übermittlung von personenbezogenen Daten in ein Drittland (außerhalb der EU) auch dann vor, wenn der entsprechende Server von einer in der EU ansässigen Gesellschaft betrieben wird, die ihrerseits Teil eines US-Konzerns ist. Die Kammer argumentiert:
Allein die Möglichkeit, dass auf personenbezogene Daten durch die nichteuropäische Muttergesellschaft zugegriffen werden kann, führt zu einer sog. "Weitergabe" im Sinne der DSGVO, dies unabhängig davon, ob ein solcher Zugriff durch die US-Muttergesellschaft tatsächlich erfolgt. Diese Weitergabe ist nach Ansicht der Vergabekammer nach Wegfall des US-Privacy-Shields unzulässig, sie konnte in dem Verfahren insbesondere nicht durch den Abschluss von Standardvertragsklauseln (sog. SCC's) legitimiert werden.
Die (nicht bestandskräftige) Entscheidung der Vergabekammer Baden-Württemberg hat – losgelöst vom konkreten Einzelfall aus dem Bereich des digitalen Entlass-Managements – potentiell erhebliche Auswirkungen auf die Zusammenarbeit deutscher Unternehmen mit US-Tech-Anbietern bzw. deren europäischen Konzerngesellschaften.
Anzeige
Dass in einem komplexen Vergabeverfahren ein Ausschluss eines Bieters erfolgt, weil dieser eine Tochtergesellschaft eines US-Anbieters einsetzt, könnte zudem erheblichen Einfluss auf die künftige Gestaltung und Durchführung von Vergabeverfahren haben.
In dem Verfahren vor der Vergabekammer Baden-Württemberg hat GRUENDELPARTNER mit einem Team um die beiden Partner Stephan Schuldt (Leiter IT/Datenschutz) und Jan Wehner (Leiter Vergaberecht) die in Thüringen ansässige Pflegeplatzmanager GmbH (PPM) beraten und vertreten. PPM ist einer der führenden deutschen Anbieter von digitalen Plattformtechnologien und Dienstleistungen im Bereich des Aufnahme-, Entlass- und Überleitungsmanagements im Pflegebereich.
Revision angestrebt
Da der Beschluss nichts rechtskräftig ist, kann die betreffende Partei dort Beschwerde gegen den Ausschluss vom Vergabeverfahren und gegen den Spruch der Vergabekammer einlegen. Das ist laut nachfolgendem Tweet passiert.
Das Thema ist aus juristischer Sicht eine äußerst spannende Kiste – und das Ganze könnte einigen Cloud-Propagandisten noch arg auf die Füße fallen, sofern diese Entscheidung der Vergabekammer Bestand haben sollte. Nur zum Nachlesen hier ein Kommentar aus der Schweiz, warum der Beschluss der VK abzulehnen sei, bzw. wo sich die VK die Sache "viel zu leicht gemacht habe". Manches in der Argumentation von David Vasella halte ich persönlich für "windig", da es auf "hätte, hätte, Fahrradkette" hinausläuft. Glücklicherweise leben wir in einem Rechtsstaat – eine Beschwerde ist eingelegt und ein Senat des OLG Karlsruhe wird sich sicherlich mit diesen Rechtsfragen beschäftigen.
Es hilft alles nichts, es muss ein Datenschutzabkommen mit den USA her, welches vor dem Europäischen Gerichtshof auch Bestand hat. Die bisherigen Abkommen wurden ja vom EuGH für ungültig erklärt. Der Beschluss der Vergabekammer ist aus meiner Sicht daher nachvollziehbar, folgerichtig und eigentlich überfällig. Warten wir nun die Entscheidung des betreffenden Senats des Oberlandesgerichts Karlsruhe ab.
Ergänzung: Die unterlegene Bieterpartei hatte Beschwerde gegen den Beschluss vor dem OLG Karlsruhe eingelegt. Dieses hat dann das Ganze etwas korrigiert – eine erste Reflektion habe ich im Blog-Beitrag US-Cloud-Verbotsbeschluss der Vergabekammer Baden-Württemberg verworfen veröffentlicht.
Anzeige
>> Allein die Möglichkeit, dass auf personenbezogene Daten durch die nichteuropäische Muttergesellschaft zugegriffen werden kann, führt zu einer sog. "Weitergabe" im Sinne der DSGVO, dies unabhängig davon, ob ein solcher Zugriff durch die US-Muttergesellschaft tatsächlich erfolgt.
Aus zwei mehreren Gründen sinnvoll:
1. Nur durch harte Konserquenzen bei Missachtung kann die Durchsetzung der DSGVO erzwingen.
2. wird die Formulierung "allein die Möglichkeit" genutzt, um Lizenz-Gebühren einzufordern – dann hat gleiches auch für Pflichten zu gelten.
In dem Sinne sollten auch Windows10/Office/Skype/Teams OnPremises mit Internet-Verbindung neu betrachtet werden. Nicht weil ich Microsoft verdrängen will, sondern die Einhaltung der DSGVO in Europa erwartet werden darf. Es liegt bei Microsoft ihre Produkte entsprechend zu gestalten.
Was ja aber nicht geht, da man grundsätzlich unterstellt, dass die US-Regierung jedes Unternehmen, welches auch nur los mit US-Unternehmen zusammenhängt, durchleuchten kann.
Somit kann sich Microsoft hier gar nicht anders positionieren, denn Microsoft als solches ist ein US-Unternehmen.
Ich finde diese ganze Diskussion sowieso unglaublich gruselig. Die Datenschutzbestimmungen bei Microsoft und die damit verbundene Datensicherheit sind sicherlich um Zehnerpotenzen höher als bei deutschen Anbietern ala Strato. Dennoch will man die Benutzer eher zu europäischen Dienstleistern zwingen – mit dem Argument der DSGVO.
Die DSGVO wird hier missbraucht. Es ging nie darum die Menschen vor den US-Staaten zu schützen. Es ging darum, dass Facebook und Co nicht einfach alle Daten abgreifen dürfen, weil sie sich überall reinhängen. Das hat man aber erfolgreich kaputt-gelobbyt. Danke EU.
"Die Datenschutzbestimmungen bei Microsoft und die damit verbundene Datensicherheit sind sicherlich um Zehnerpotenzen höher als bei deutschen Anbietern ala Strato. "
Also das scheint mir eine "persönlich gefühlte Datensicherheit" zu sein. Mein Gefühl sagt mir was anderes, genau anders herum. Allein schon bei https://techcommunity.microsoft.com/t5/azure-database-for-postgresql/architecting-petabyte-scale-analytics-by-scaling-out-postgres-on/ba-p/969685 graut es mir vor Windows-Nutzung.
Ein guter Anfang.
Naja ein Windows Update kann auch zum Datenzugriff führen, wenn die Argumentation bestand hat, läuft es auf ein Verbot kommerzieller Software hinaus.
Verstehe ich nicht. Warum ein Verbot kommerzieller Software? Ich setze auf dem PC diverse kommerzielle Software ein; mit Ausnahme von Windows führt das in keinem Fall dazu, dass die USA – oder irgendjemand sonst – Zugriff auf meine Daten bekommen oder bekommen können.
Woher weißt man was ein Windows oder Office Update oder AV Update beinhaltet? Ein Defender kann Files genauso in die Cloud laden wie OneDrive.
Google Chrome scannt den PC sogar wie ein Virenscanner, ebenso viele Spiele.
Die Möglichkeit eines Zugriffs besteht, weil der Anwender weder Mittel noch Möglichkeit hat zu testen was ein Update macht .
Dann kann man Dienste über Host-Europe und damit verbundene Töchter wie Domain Factory nicht mehr anbieten weil die Muttergesellschaft goDaddy ist und in den USA sitzt. Kann Host Europe jetzt zu machen? Deren Server stehen in Frankreich (Data Dock) und ein kleiner Teil in Köln.
Ist es das, was dieses Urteil bedeutet?
Sie könnten natürlich auch eigenständig werden oder einem Eigentümer aus der EU schöne Augen machen. GoDaddy könnte natürlich auch einfach seinen Firmensitz in die EU verlagern. Also außer Dicht machen gibt es da schon mehr Möglichkeiten die geltenden Gesetze in der EU einzuhalten.
Ansonsten ja bitte dicht machen – für die IT-Branche in der EU wäre es wohl ein Segen die US Konkurrenz los zu sein und wenn die US Tech Branche weiterhin Geschäfte mit dem größten Wirtschaftsraum der Welt machen will, werden sie dann schon offene Schnittstellen schaffen müssen oder den EU Milliarden by by sagen…
Wenn der Beschluss der Vergabekammer vor dem OLG Bestand hat, wäre die logische Konsequenz, genau diese Anbieter von der Vergabe öffentlicher Aufträge in diesem Bereich auszuschließen.
Geht es in der Argumentation weiter, wäre die log. Konsequenz, dass auch keine IT-Systeme oder der Blog hier bei diesen Anbietern gehostet werden können. Genau diese Giftpille hätte es vor 10 Jahren gebraucht – dann wären nämlich die ganzen Übernahmen im IT-Bereich nicht lukrativ gewesen.
Letztendlich bleibt nur, dass die Politik ihre Hausaufgaben macht und ein Datenschutzabkommen mit den USA abschließt, welches vor dem EuGH Bestand hat.
"Letztendlich bleibt nur, dass die Politik ihre Hausaufgaben macht und ein Datenschutzabkommen mit den USA abschließt, welches vor dem EuGH Bestand hat."
Genau das ist ja eben technisch nicht möglich, da das europäische Datenschutzrecht und die US-amerikanische Gesetzeslage nicht in Übereinstimmung zu bringen sind. Es müsste also einer von beiden für so ein Abkommen seine Gesetze ändern. Und ich hoffe nicht, das wir das sind.
Ich würde noch weiter gehen. Die Anbieter sind nicht nur von öffentlichen Aufträgen auszuschließen. Es begeht jede europäische Institution oder Firma einen gravierenden Verstoß gegen die DSGVO, wenn sie Dienste dieser Unternehmen nutzen. Wenn das dann auch entsprechend verfolgt und geahndet wird, kommen wir endlich dahin, Datenschutz wirklich zu leben anstatt uns nur auf irgendwelche Vertragswerke zu verlassen. Ich würde mir das wünschen…
Oh, sind diese Diskussionen mühselig.
Im schweizer Kommentar steht: "DSGVO wäre dann wirklich 'the law of everything'".
So kommt es mir auch vor. Da helfen auch keine Schrems-Urteile (wie viele auch noch kommen mögen). Alles löblich. Doch es wird wohl nicht funktionieren.
Es geht nicht ohne Cloud. Und eine (Hardware)sichere Cloud muss global verteilt sein. Dass soll, nur als Beispiel, die Telekom für Europa leisten? Wann?
Und was ist, wenn in diesem fiktiven Telekombetrieb ein US-Bürger arbeitet? Der wird verständlicherweise alles tun, was seine Regierung von ihm verlangt.
Das Pferd wird von hinten aufgezäumt….
Auch der Zusatz, dass die Politik ihre Hausaufgaben machen muss, ringt mir nur ein müdes Grinsen ab.
"Es geht nicht ohne Cloud." – das hängt davon ab, wie man Cloud definiert. Eine Cloud ist an sich nichts Böses, solange ich die Systeme dazu in meinem eigenen Rechenzentrum in meiner eigenen Verantwortung hoste. Das Problem sind doch nur die ganzen BWLer, die zwar die dicken Gehälter kassieren, aber keine (Betriebs-)Verantwortung mehr übernehmen wollen. "Meine Hand für mein Produkt" und wenn ich keine IT habe, die mir solche Systeme sicher bereitstellen kann, dann kann ich eben keine Cloud machen. Aber es ist ja einfacher, das Zeugs alles zu MS und Co. auszulagern und mich auf Verträgen und SLAs auszuruhen…
Solange das Recht eines Staates nicht mit der DSGVO konform ist, die Rechtsprechung des Landes vorsieht, dass jede Dependanz, unabhängig vom Standort, eines Unternehmens mit Hauptsitz in dem Staat rechtlich in den eigenen Rechtsverfügungsraum eingeschlossen wird, unabhängig davon in welchem Rechtverhältnis das Unternehmen mit anderen steht (Standard Klauseln), solange NDAs den Unternehmen sogar verbieten Datenzugriffe transparent zu monitoren oder öffentlich zu machen … uswusf.
"Konsequenz, dass auch keine IT-Systeme oder der Blog hier bei diesen Anbietern gehostet werden können."
Das ist ein wenig überzogen. Wenn der Blog keine privaten Daten sammelt, sehe ich da keinen Anlass für so eine Annahme.
Hallo,
warum wird eigentlich immer diskutiert?
Seit wann sind Gesetze bestenfalls Handlungsempfehlungen bzw. werden als Unterhaltungslektüre wahr genommen?
Ich bin auch mit vielem sicher nicht einverstanden aber Gesellschaft funktioniert nun mal nur so.
Was passiert wenn man sich aus diesem Konsens verabschiedet sieht man ja gerade in den USA live und in Farbe.
Gruß
"es muss ein Datenschutzabkommen mit den USA her, welches vor dem Europäischen Gerichtshof auch Bestand hat". Warum? Es gibt keinen Grund Daten bei US Firmen zuspeichern. Aus meiner Sicht ist das einfach nicht nötig. Und es wird auch kein Datenschutzabkommen geben, das den USA den Zugriff auf die Daten grundsätzlich verbietet und auch Sanktionen, wie z. B. Importverbot für IT Produkte, beinhaltet, falls sich die USA und ihre Geheimdienste nicht daran halten.
Mein Satz bezieht sich auf "Anerkennung des Faktischen" – denn sonst hieße es, alle Windows-Systeme, alle Office-Installationen, Teams, Power BI und, und, und aus Ausschreibungen verbannen sowie am Ende des Tages auch bestehende Systeme abschalten. Und niemand dürfte mehr ein Apple- oder Android-Gerät im beruflichen Bereich einsetzen. Denn im Grunde segelt die ganze europäische IT-Branche bzgl. DSGVO (mit ganz wenigen Ausnahmen) in grauen Gewässern.
Genau. Wir verstoßen alle wissentlich gegen europäisches Recht, but so what? Eine Änderung der amerikanischen Gesetzgebung wird es nur geben, wenn die EU als Markt komplett ausfällt. Ich bin dafür. Beim Boykott gegen russisches Gas scheut die Bundesregierung und Europa doch auch keine Schmerzen. Vielleicht sollte man sich das zu Herzen nehmen und die Apples, Microsofts, Googles und so weiter genau so behandeln wie russische Unternehmen. Warnen, Gelder einfrieren, Zahlungsverkehr blockieren usw. Bleibt als einzige Gefahr, dass die Amis uns nuken, so what?
Ich bin nicht so pessimistisch, was die US-Regulierung betrifft. Ich hatte kürzlich einen Bericht, dass Datenschutz-Aktivisten in den USA eine Gesetzesinitiative recht weit vorangetrieben hätten, so dass sie "kurz vor Verabschiedung sei" und sich an die europäische GDPR anlehne. Leider finde ich den Link nicht mehr und hatte den Beitrag auch nur überflogen.
…davon habe ich noch Nichts gehört.
Die US Gesellschaft ist was das angeht mMn deutlich anders als unsere: mich erninnert es immer an Dead Kennedys Album "Give Me Convenience Or Give Me Death"…
Ich wäre sehr pessimistisch dabei zu glauben, dass "die USA" ihre bisherige Idee von imperialer Rechtsausübung aufgäben, ohne dass ihnen andernfalls der Verwertungsraum entzogen wird.
Und, ja, selbstverständlich muss man die Situation bewerten und Konsequenzen festlegen, wenn man Services von Firmen aus den USA (China, Ungarn, Russland) nutzt, solange die Rechtsauffassung dort so ist, wie sie ist. Meine Güte. Die Idee hinter Datensouveränität ist nicht sie aus Faulheit sofort aufzugeben.
Der Wortlaut der Ausschreibung ist sehr! eindeutig was die Verwendung von Diensten unter US Jurisdiction angeht und wenn ich hier lese, dass es um Patientendaten geht (aka besonders schützenswerte Daten) kann ich dies auch gut nachvollziehen,
Der ausgeschlossene Bieter wollte die AWS Cloud nutzen…wenn es um Compute/Data Centre Ressourcen geht, haben wir wahrlich genug Auswahl in D/EU, bei der keine Patientendaten an US Dienste abfließen könnten. Ich bevorzuge hier Noris Network, aber es gibt etliche weitere Anbieter.
Danke für die Information – hast Du noch mehr Details – ggf. Link zur Ausschreibung? Der Spruch der Vergabekammer ist ja diesbzüglich anonymisiert.
Sorry für die späte Antwort.
Der Spruch der Vergabekammer ist anonymisiert, aber der Wortlaut des US Cloud Anbieters ist enthalten -X. GDPR DATA PROCESSING ADDENDUM – und wenn man nach diesem Sucht, enstammt der Text der TOS der AWS Cloud.
Servus,
Links zum Urteil des OLG Karslruhe
Gruß
VGem-e
Danke für die Links – waren aber teilweise gebrochen (auch die Pressemitteilung des OLG Karlsruhe lässt sich wegen Störung nicht aufrufen). Daher habe ich die Links in obigem Kommentar entfernt.
Ich habe das Thema inzwischen in einem separaten Beitrag (siehe oben, am Artikelende) einsortiert, dort auf verfügbare Quellen verlinkt, und thematisiert.