OLG Karlsruhe erleichtert datenschutzrechtliche Einbindung von US-Tochtergesellschaften

Das OLG Karlsruhe hat in einem in der Praxis viel beachteten Beschluss gegen die Vergabekammer Baden-Württemberg entschieden, dass eine potentielle Einflussnahme aus den USA nicht ausreicht, um wegen datenschutzrechtlicher Bedenken ein Unternehmen aus der Vergabe auszuschließen.

Datenverarbeitung auf deutschen Servern

Es ging um ein Vergabeverfahren zweier kommunaler Krankenhausgesellschaften für ein digitales Entlassmanagement für Patienten. Dabei war vorausgesetzt worden, dass die Anforderungen der Datenschutzgrundverordnung und des Bundesdatenschutzgesetzes hinsichtlich der personenbezogenen Daten der zur Entlassung anstehenden Patienten erfüllt sein müssen.

Eine der Anbieterinnen wollte das luxemburgische Tochterunternehmen eines US-amerikanischen Konzerns als Hosting-Anbieter einsetzen. Die Patientendaten sollten ausnahmslos auf einem in Frankfurt am Main stehenden Server einer deutschen GmbH verarbeitet werden. Die Krankenhausgesellschaften wollten der Anbieterin als wirtschaftlichstes Angebot den Zuschlag erteilen. Eine Konkurrentin wandte sich an die Vergabekammer Baden-Württemberg, die entschied, die ausgewählte Anbieterin aus dem Vergabeverfahren auszuschließen.

Generalverdacht auf Zugriffsrisiko?

Der Einsatz des luxemburgischen Tochterunternehmens verstieß nach Ansicht der Vergabekammer (Entscheidung vom 13.7.2022, Aktenzeichen: 1 VK 23/22) gegen die Datenschutzgrundverordnung. Die Nutzung der Dienste des luxemburgischen Tochterunternehmens eines US-amerikanischen Unternehmens sei mit einer unzulässigen Datenübermittlung in ein Drittland (hier: die USA) verbunden. Für diese Annahme reiche bereits das latente Risiko eines Zugriffs von staatlichen und privaten Stellen außerhalb der Europäischen Union aus.

Datenschutzbehörde zweifelt

Die Entscheidung sorgte für große Aufregung in der Praxis, da damit viele große Cloud-Anbieter ausgeschlossen würden und die Praxis nur noch vor einem Scherbenhaufen gestanden hätte, denn die großen US Cloud-Diensteanbieter wie Amazon (AWS), Microsoft und Google hatten eigens ihre Geschäftsmodelle auf Verarbeitungen ausschließlich in der EU umgestellt.

Selbst der Landesbeauftragte für Datenschutz und Informationssicherheit sprach von einer rechtlich zweifelhaften Entscheidung.

Vertragliche Zusagen reichen

Die hiergegen eingereichte Beschwerde war erfolgreich. Das OLG Karlsruhe (Besch. v. 07.09.2022, 15 Verg 8/22) hob die Entscheidung auf und wies den Nachprüfungsantrag der Konkurrentin zurück.

Die Richter zur Begründung:

„Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen.

Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.“

Der Senat stellte klar, dass im Rahmen der Nachprüfung einer Vergabeentscheidung grundsätzlich davon auszugehen ist, dass ein Bieter seine vertraglichen Zusagen erfüllen wird. Nur wenn sich aufgrund konkreter Anhaltspunkte Zweifel daran ergeben, muss der öffentliche Auftraggeber ergänzende Informationen einholen und die Erfüllbarkeit des Leistungsversprechens prüfen.

Vertrauen gerechtfertigt

Im konkreten Fall gab es klare Zusicherungen der Anbieterin zur inhaltlichen Ausgestaltung der Abreden mit dem luxemburgischen Dienstleister, die eine ausnahmslose Verarbeitung durch dieses Unternehmen auf deutschen Servern vorsah. Hierauf durften die Krankenhausgesellschaften vertrauen.

Insbesondere mussten sich nicht damit rechnen, dass die luxemburgische Gesellschaft vertragswidrige und gegen europäisches Recht verstoßende Weisungen befolgen und personenbezogene Daten in die USA übermitteln wird.

Fazit

Die Entscheidung ist grundsätzlich zu begrüßen, auch wenn der Beschluss eine inhaltliche Auseinandersetzung mit der DSGVO vermissen lässt Noch immer steht eine Nachfolge des durch den Europäischen Gerichtshof im Schrems II-Urteil Mitte 2020 pulverisierten Privacy Shield Abkommens aus.

Geplant ist ein neues Abkommen zum Jahresende. Damit fehlt es an der Möglichkeit der Annahme eines gleichwertigen Datenschutzniveaus, wenn Daten in die USA übermittelt werden. Schlimmer noch: Immer wieder wird auch bei Verarbeitungen innerhalb der EU der Generalverdacht geäußert, Unternehmen, deren Tätigkeit auch nur indirekt z.B. über die Geschäftsführer der US-Jurisdiktion unterliegen, müssten Geheimdiensten und FBI Zugriff gewähren. Damit blieben nur Verschlüsselungen übrig, um entsprechende Garantien zu erhalten.

Die Entscheidung gibt für die nächsten Monaten zwar keine Sicherheit, aber etwas mehr Grundlage. Die Datenschutzbehörden werden sich jeden Einzelfall anschauen, wenn es darauf ankommt.