SBS Firmengruppe Logos

| Datenschutzrecht, Sonstige Rechtsgebiete

Vergabekammer: DSGVO-Verstoß bei Datenübermittlung in USA


Mit Beschluss vom 12.07.2022 (Az. 1 VK 23/22) hat die Vergabekammer Baden-Württemberg entschieden, dass ein DSGVO-Verstoß wegen einer Datenübermittlung in die USA auch vorliegen kann, wenn die Daten zwar in der EU gespeichert werden, der zugehörige Vertrag jedoch (ggfs. auch wegen unklarer Klauseln) eine Datenübermittlung in die USA zulässt.

Vergaberecht und Vergabeverfahren

Datenschutz EU-US Privacy Shield VergaberechtDas Vergaberecht gilt nur für öffentliche Auftragsgeber. Wenn der Auftragswert eine Wertgrenze überschreitet, dann sind die Auftragsgeber verpflichtet, Aufträge öffentlich auszuschreiben. Bund, Länder und Gemeinden zählen zu den öffentlichen Auftraggebern. Die Wertgrenze ist dann überschritten, wenn der Auftragswert die Grenze der Direktvergabe übersteigt.

Hierfür muss das Vergabeverfahren eingehalten werden. Das Vergabeverfahren liegt dann vor, wenn die öffentliche Hand den Prozess der Ausschreibung einleitet. Es wird sowohl für Bauleistungen als auch bei Planungsleistungen eingesetzt. Das Verfahren regelt die Auftragsvergabe an Unternehmen. Man unterscheidet hierbei folgendermaßen:

  • Freihändige Vergaben
  • Beschränkte Ausschreibungen
  • Öffentliche Ausschreibungen

Das dient dem Zweck, die gewünschten Leistungen und Lieferungen von den Unternehmen zu beziehen, der das aus wirtschaftlicher Sicht günstigste Angebot eingereicht hat. Die Mittel müssen sparsam verwendet werden und außerdem müssen Vetternwirtschaft und Korruption verhindert werden.

An das Vergaberecht sind auch private Auftraggeber gebunden, wie zum Beispiel Trinkwasser- oder Energieversorger und Verkehrsunternehmen. Im Unterschwellenbereich wird das Verfahren durch die Unterschwellenvergabeordnung (UVgO) geregelt, während im Oberschwellenbereich die Regeln des Gesetzes gegen (Wettbewerbsbeschränkungen GWB) greifen.

Öffentliche Auftraggeber können bei der Beschaffung von Lieferungen, Dienst- und Bauleistungen nicht frei entscheiden, wo sie diese erwerben. Sie müssen grundsätzlich den Vorschriften des nationalen bzw. europäischen Vergaberechtsfolgen und ein formales Vergabeverfahren durchführen. Eine Ausnahme bildet die sogenannte Direktvergabe.


Pflicht zur Berücksichtigung mittelständischer Interessen, § 97 Absatz 4 GWB

Öffentliche Auftraggeber sind dazu verpflichtet, bei der Vergabe öffentlicher Aufträge die Interessen mittelständischer Unternehmen besonders zu berücksichtigen. Die Auftraggeber müssen die Leistungen demnach in der Menge aufteilen und nach Art oder Fachgebieten getrennt vergeben.


Vergabeverfahren: Fristen

Es gibt verschiedene Fristen im Vergabeverfahren, die es einzuhalten gilt:

  • Angebotsfrist
  • Teilnahmefrist
  • Bindefrist
  • Zuschlagsfrist

Im Folgenden werden die einzelnen Begriffe näher erläutert.

Angebotsfrist: Sie bezeichnet den Zeitraum, in der Bieterfragen gestellt werden können. Zudem können sich Unternehmen bis zum Ablauf der Frist Gedanken machen, ob sie tatsächlich an der Ausschreibung teilnehmen möchte. Man kann Angebote erstellen und korrigieren in diesem Zeitraum.

Teilnahmefrist: Hier können die Bietenden am Verfahren teilnehmen, indem sie die Unterlagen und Eignungsnachweise vorlegen.

Bindefrist: Der Auftragsgeber kann noch Nachweise und Erklärungen zur Projekts-Umsetzung verlangen.

Zuschlagsfrist: Hier steht fest, wann der Zuschlag erteilt wird. Das Ausschreibungsverfahren ist dann formal beendet, wenn die Wartefrist verstrichen ist und ein Unternehmen den Zuschlag für den Auftrag erhält. Es kann auch durch Aufhebung der Ausschreibung geschlossen werden. Jedoch besteht hier eine Schadensersatzpflicht, wenn die Aufhebung ohne sachlichen Grund erfolgt.

Schrems II Urteil des EuGH (Rs. C-311/18)

Eine Übermittlung personenbezogener Daten in die USA kann seit dem 16. Juli 2020 nicht mehr auf das sogenannte EU-US Privacy Shield gestützt werden, da der EuGH diesen Angemessenheitsbeschluss mit sofortiger Wirkung für ungültig erklärt hat. Die Gründe:

  • Unverhältnismäßige Überwachungsmaßnahmen der US-Geheimdienste
  • Fehlende Garantien für die Integrität übermittelter Daten
  • Unzureichenden Rechtsbehelfe für EU-Bürger
  • Fehlende Unabhängigkeit des im Privacy Shield Abkommen mit Schutzfunktionen betrauten Ombudsmanns.

Entscheidung der Vergabekammer Baden-Württemberg

Infrastrukturdienste von europäischen Tochterunternehmen US-amerikanischer Cloud-Anbieter dürfen in öffentlichen Vergabeverfahren nicht in Anspruch genommen werden, da ein latentes Risiko eines Zugriffs auf personenbezogenen Daten durch US-Behörden besteht. Das Risiko wird auch trotz den folgenden Klauseln nicht hinreichend eingedämmt:

  • Vertraulichkeit von Kundendaten
  • Die Pflicht, zu weitgehende oder unangemessene Anfragen staatlicher Stellen anzufechten

Problematisch ist nämlich, dass die Standardvertragsklauseln (SCC) aus dem Jahr 2010, die als Schutzmechanismus für Datentransfers in die USA weiterhin in Betracht kamen. Seit dem 04.06.2021 gibt es zwar neue Standarddatenschutzklauseln, die dem EuGH als Lösung für die Transferproblematik dienen könnten. Eine Einzelfallprüfung kann jedoch immer schwierig und mitunter auch nicht ausreichend sein. Die Standardvertragsklauseln sollen nach dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) beispielsweise durch moderne Verschlüsselungstechniken weiter ergänzt werden.

Teilnahme verboten für Europäische Tochtergesellschaft

Eine europäische Tochtergesellschaft eines US-Unternehmens darf nach dieser Entscheidung nicht am Vergabeverfahren teilnehmen. Das Risiko sei zu hoch, da die Vergabekammer einen Verstoß gegen die DSGVO annimmt. Das in Frage stehende Verfahren war eine Cloud-Plattform, für welche die europäische Tochterstelle des US-Unternehmens den Zuschlag bekam.

Nach vielen Empörungen und Rügen folgte schließlich die Überprüfung und hier wurden besagte DSGVO-Verstöße festgestellt. Maßstab für diese Entscheidung war die Entscheidung des bereits erwähnten EuGH-Beschlusses von 2020 (EU-US Privacy Shield). Die bloße Möglichkeit eines Zugriffs durch das US-Unternehmen, insbesondere durch staatliche US-Stellen reicht bereits aus.

Die neuen Standarddatenschutzklauseln helfen hier auch nicht weiter, sodass die Entscheidung – sobald sie bestandskräftig wird – ein Wegweiser für die europäisch-amerikanische Wirtschaft werden könnte.

Die EU-Kommission arbeitet bereits an einer optimierten Fassung des EU-US Privacy Shield, um mehr Rechtssicherheit zu schaffen. Abschließend lässt sich sagen, dass immer noch eine Einzelfallprüfung den besten Schutz bietet, um die DSGVO bestmöglich umzusetzen. Nach der Entscheidung der Vergabekammer folgt die Entscheidung durch das Oberlandesgericht in Karlsruhe.



SBS Legal – Anwalt für Datenschutzrecht

Datenschutz ist seit einiger Zeit das Thema, das Unternehmen fast täglich mit neuen rechtlichen Herausforderungen konfrontiert. Als Anwalt für Datenschutz befasst sich SBS LEGAL im Datenschutzrecht mit den Anforderungen der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) und dies nicht nur bei Erstellung der Datenschutzerklärung für Unternehmen aus dem Bereich des Direktvertriebs und des Mittelstandes. Das Datenschutzrecht ist dabei in das IT-Recht integriert, berührt aber zugleich auch das ArbeitsrechtWettbewerbsrechtUrheberrecht sowie eine Reihe anderer Rechtsgebiete.

Sie haben noch Fragen zum Thema Datenschutzrecht oder DSGVO?

Sie brauchen eine Beratung im Datenschutzrecht oder einen Datenschutzanwalt etwa für die Erstellung einer Datenschutzerklärung, den rechtmäßigen Umgang mit Cookies oder Sie sind auf der Suche nach einem TÜV zertifizierten Datenschutzbeauftragten - dann sind Sie bei uns richtig und können unser Anwaltsteam direkt telefonisch über unsere Hotline (040 / 7344086-0), per WhatsApp, via E-Mail oder durch Verwendung unseres Kontaktformulars am Ende dieser Seite für eine kostenneutrales Erstgespräch erreichen.

Der Erstkontakt zu SBS Legal ist immer kostenlos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht