Datenschutzrechtliche Anforderungen an den Einsatz von US-Cloud- Anbietern - nicht nur in Vergabeverfahren Zugleich Anmerkung zu Vergabekammer Baden-Württemberg, Entsch. v. 13.7.2022 - 1 VK 23/22, und OLG Karlsruhe, Beschl. v. 7.9.2022 - 15 Verg 8/22

Der Beitrag stellt die datenschutzrechtlichen Anforderungen bei Einsatz von US-Cloud-Anbietern dar, ordnet die Ergebnisse in den vergaberechtlichen Kontext im Rahmen von Vergabeverfahren ein und gibt Praxishinweise für die Durchführung von Beschaffungsverfahren. Einleitend stellt der Verfasser die EuGH Entscheidung Schrems II (EuGH, Urt. v. 16.07.2020 C-311/18) und die Folgen für den Einsatz von US-Dienstleistern dar. Hierbei geht er insbesondere auf den FISA 702 und seine Auswirkungen auf EU-Tochterunternehmen von US-Konzern ein. Er zeigt auf, dass selbst wenn bei Einsatz solcher Unternehmen keine Datenexporte vorgesehen seien und auch die Anforderungen des Art. 28 Abs. 3 DSGVO erfüllt werden sollten, immer noch weitere technische und organisatorische Maßnahmen erforderlich seien, welche die Einhaltung der DSGVO bei der Auftragsverarbeitung hinreichend garantieren. Mit Blick auf konkrete Anwendungsszenarien von Cloudleistungen weist er darauf hin, dass es für den häufigen Praxisfall der Klardatenverarbeitung bisher nicht gelungen sei, geeignete ergänzende Schutzmaßnahmen zu identifizieren. Daher dürfte es schwer werden, hinreichende Garantien für die Einhaltung der DSGVO im Rahmen der Auftragsverarbeitung für diese Fälle zu finden. Eine abweichende Beurteilung können sich in den begrenzten Anwendungsfällen ergeben, bei denen z.B. kein Zugang zu unverschlüsselten Daten erforderlich sei, pseudonymisierte Daten übermittelt werden oder wenn die Verarbeitung durch mehrere Beteiligte erfolgt bzw. aufgeteilt ist. Auch vertragliche Zusagen von US-Anbietern, gegen Offenlegungsverpflichtungen rechtlich vorzugehen oder über die Offenlegung an Drittlands-Behörden zu informieren, würden nicht weiterhelfen, da diese Behörden des Drittlands nicht binden oder die vereinbarte Information sogar verboten werden könne. Daher seien zusätzliche technische und organisatorische Maßnahmen erforderlich. Mit Blick auf die Entscheidung der Vergabekammer Baden-Württemberg und des OLG Karlsruhe stellt der Verfasser fest, dass allein der Umstand, dass bei einer Tochtergesellschaft eines US-Unternehmens, das FISA 702 unterliegt und damit die Gefahr besteht, dass personenbezogene Daten an US-Behörden offengelegt werden müssen, noch kein Datenexport im Sinne des Kapitels V DSGVO vorliege. Im Hinblick auf die Ausführungen des OLG, das der Auftraggeber grundsätzlich davon ausgehen könne, dass ein Bieter seine vertraglichen Zusagen erfüllen werde und erst bei konkreten Anhaltspunkten eine weitere Prüfung erforderlich seinen kann, bemängelt er, dass vor dem Hintergrund das FISA 702 auch auf die Verarbeitungen personenbezogener Daten in der EU durch EU-Töchter von US-Unternehmen Anwendung findet, das OLG nicht begründe, warum keine Zweifel in Betracht kommen. Sodann nimmt er die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO in den Mittelpunkt der Betrachtung. Diese führe dazu, dass der Verantwortliche die Erfüllung der Anforderungen des Art. 28 Abs. 1 DSGVO zweifelsfrei nachweisen können muss. Aus dem Umstand, dass ggf. keine vergaberechtliche Verpflichtung bestehe, die Erfüllbarkeit des Leistungsversprechens und damit letztlich die datenschutzrechtliche Zuverlässigkeit des Unterauftragsverarbeiters zu prüfen, folge daher gerade nicht, dass damit der Einsatz von US-Cloud-Anbietern freigegeben wäre, das Datenschutzrecht verlange vielmehr zwingend eine solche Überprüfung, zwar nicht vor Zuschlag, jedoch vor der Aufnahme der Auftragsverarbeitung. Der Verfasser empfiehlt daher bereits für das Vergabeverfahren ein Ausschlusskriterium zu definieren, das einem Bieter, dessen Leistung Drittlands-Recht unterliegt, den Nachweis abverlangt, dass er trotz Anwendbarkeit des Drittland-Rechts seine datenschutzrechtlichen Verpflichtungen einhalten kann. Hierzu gibt er abschließend ein Formulierungsbeispiel.