Vergabeblog
"Der Fachblog des Deutschen Vergabenetzwerks (DVNW)"Mitgliederlogin DVNW
Noch kein Mitglied? Kostenfrei beantragen
Vergabekammer auf Abwegen: Zum Einsatz europäischer Cloud-Dienstleister mit U.S.-Konzernmutter (VK Baden-Württemberg, Beschluss v. 13.07.2022 – 1 VK 23/22)
Folgt man der VK Baden-Württemberg, verstößt der Einsatz europäischer Cloud-Dienstleister mit U.S.-amerikanischer Konzernmutter bei personenbezogenen Daten generell gegen die DSGVO. Das hört sich abenteuerlich und praxisfern an — hat jetzt aber einen deutschen IT Solution Provider, der solche Cloud-Dienste einsetzen wollte, erst einmal den Auftrag gekostet. Der folgende Beitrag erläutert, was an der (nicht rechtskräftigen) VK-Entscheidung nicht stimmt.
§ 57 Abs. 1 Nr. 4 VgV, Art. 44 ff. DSGVO
Leitsatz
Der Einsatz von Hosting-Leistungen eines europäischen Cloud-Anbieters mit U.S.-amerikanischer Konzernmutter zur Verarbeitung personenbezogener Daten verstößt gegen die DSGVO. Denn bereits der Einsatz solcher Hosting-Leistungen stellt aufgrund des damit verbundenen latenten Risikos eines Zugriffs durch U.S.-Stellen eine nach Artikel 44 ff. DSGVO unzulässige Datenübermittlung in ein Drittland dar. Das gilt selbst dann, wenn der Cloud-Anbieter die Daten ausschließlich auf Servern in Deutschland speichert. Ein Angebot für eine DSGVO-konforme IT-Lösung, welches den Einsatz solcher Hosting-Leistungen vorsieht, ist daher wegen Änderung der Vergabeunterlagen auszuschließen.
Sachverhalt
In einem Vergabeverfahren für eine IT-Lösung im Krankenhaus-/Pflegebereich, bei der der Auftraggeber u.a. die Einhaltung der DSGVO gefordert hatte, unterbreitete der erstplatzierte Bieter ein Angebot, das den Einsatz von Hosting-Leistungen eines europäischen Cloud-Anbieter mit U.S.-amerikanischer Konzernmutter vorsah. Die Datenspeicherung sollte ausschließlich auf Servern in Deutschland erfolgen. Die Auftragsverarbeitungsvereinbarung des Cloud-Anbieters sah vor, dass eine Herausgabe von Kundendaten an Dritte bzw. eine Übermittlung aus Deutschland heraus ausgeschlossen ist, außer sofern eine Herausgabe oder Übermittlung für die Erbringung der Dienste oder zur Einhaltung gesetzlicher Vorschriften oder rechtsverbindlicher Anordnungen staatlicher Stellen erforderlich ist.
Ein konkurrierender Bieter griff den beabsichtigten Zuschlag u.a. mit dem Vorwurf an, das Angebot entspreche aufgrund des vorgesehenen Einsatzes des Cloud-Anbieters nicht der DSGVO. Die Nutzung von Hosting-Leistungen eines europäischen Cloud-Dienstleisters mit U.S.-amerikanischer Muttergesellschaft stelle unabhängig vom Ort der Datenspeicherung eine unzulässige Datenübermittlung in ein Drittland dar. Denn aufgrund der Zugriffsrechte nach dem „U.S.-Überwachungsrecht“ bestehe zumindest ein latentes Risiko einer unzulässigen Übermittlung personenbezogener Daten in die USA; das genüge bereits für eine unzulässige Übermittlung im Sinne der Art. 44 ff. DSGVO. Auch die Vertragsbedingungen des Cloud-Anbieters stellten eine unmittelbare Grundlage für eine aktive Weitergabe von Daten in die USA dar.
Der Auftraggeber und der ausgewählte Bieter verteidigten sich gegen den Vorwurf eines DSGVO-Verstoßes u.a. damit, dass die Daten ausschließlich in Deutschland gespeichert würden. Eine bloß theoretische Zugriffsmöglichkeit aus dem Ausland sei noch keine „Übermittlung“ dorthin im Sinne von Artikel 44 ff. DSGVO. Ein rein hypothetisches latentes Risiko einer Übermittlung erfülle den Tatbestand gerade nicht. Unabhängig davon sei eine etwaige Datenübermittlung aufgrund der Verwendung von Standardvertragsklauseln im Sinne von Artikel 46 Abs. 2 Buchst. c) DSGVO zulässig. Zudem würden die Daten so verschlüsselt, so dass ein Zugriff vom Cloud-Anbieter selbst und erst recht von außen schon rein faktisch ausgeschlossen sei.
Die Entscheidung
Die Vergabekammer Baden-Württemberg (Beschl. v. 13.07.2022 – 1 VK 21/22) gab dem Antragsteller recht und verfügte den Ausschluss des erstplatzierten Angebots wegen unzulässiger Änderung der Vergabeunterlagen i.S.v. § 57 Abs. 1 Nr. 4 VgV. Denn aufgrund des vorgesehenen Einsatzes des Cloud-Anbieters mit U.S.-amerikanischer Konzernmutter würde die Leistung nicht wie in den Vergabeunterlagen gefordert DSGVO-konform erbracht.
Bei der Nutzung der Hosting-Infrastruktur des Cloud-Anbieters bestehe unabhängig von dessen Sitz in der EU und des Umstands, dass die Datenspeicherung ausschließlich auf Servern in Deutschland erfolgen solle, ein „latentes Risiko“ eines Zugriffs sowohl durch staatliche als auch private Stellen außerhalb der EU und insbesondere in den USA. Bereits ein solches latentes Risiko reiche aus, um eine nach Art. 44 ff. DSGVO unzulässige Datenübermittlung in ein Drittland anzunehmen. Ob und wie naheliegend ein Zugriff sei, sei irrelevant. Soweit sich der ausgewählte Bieter auf eine Verschlüsselung der Daten berufe, die einen Zugriff auf die Daten faktisch ausschließe, könne das nicht berücksichtigt werden. Denn der Bieter habe die Einzelheiten der eingesetzten Verschlüsselungstechnik nur vertraulich vorgetragen, d.h. sie dem Konkurrenten, der die Nachprüfung beantragt hatte, nicht offengelegt; der Vortrag zur Verschlüsselung müsse daher nach den Grundsätzen des rechtlichen Gehörs (Art. 103 Abs. 1 GG) unberücksichtigt bleiben (in Anlehnung an KG Beschl. v. 18.05.2022, Verg 7/21, vgl. Vergabeblog.de vom 18/07/2022, Nr. 50321)
Kritik
Die Entscheidung ist nicht nur völlig praxisfern, sondern auch rechtlich aus einer Reihe von Gründen unhaltbar. Sie ist auch unter Datenschützern auf Kritik gestoßen (siehe etwa die Stellungnahme des baden-württembergischen Datenschutzbeauftragten Stefan Brink).
Erwartete Nichteinhaltung gesetzlicher Vorschriften bei der Auftragsausführung als „Änderung der Vergabeunterlagen“?
Es ist bereits verwunderlich, dass die Vergabekammer die vermeintliche Nichteinhaltung der DSGVO als „Änderung der Vergabeunterlagen“ i.S.v. § 57 Abs. 1 Nr. 4 VgV einordnet. Verlangt der Auftraggeber in den Vergabeunterlagen, dass der Auftragnehmer bei der Auftragsausführung bestimmte Rechtsvorschriften einhält (was bei zwingenden Rechtsvorschriften wie der DSGVO keinen echten Sinn ergibt, weil diese unabhängig von den Vorgaben des Auftraggebers in jedem Fall eingehalten werden müssen, wie § 128 Abs. 1 Satz 1 GWB klarstellt), handelt es sich um eine Ausführungsbedingung im Sinne von § 128 GWB (OLG Düsseldorf, 15.07.2015 – VII-Verg 11/15). Ob ein Bieter, der die Einhaltung einer solchen Bedingung im Angebot verbindlich zugesagt hat, sich daran bei der Vertragsausführung halten wird, ist grundsätzlich nicht im Vergabeverfahren zu prüfen, sondern betrifft ausschließlich die Ausführungsphase. Etwaige Verstöße sind dann vertraglich zu ahnden (etwa durch Schadensersatzforderungen, Vertragsstrafen oder Kündigung).
Anders liegt es nur, wenn der Auftraggeber im Vergabeverfahren „konkrete Tatsachen“ feststellt, die den Rückschluss auf die beabsichtigte künftige Nichteinhaltung der Verpflichtungen zulassen (OLG Düsseldorf, a.a.O.). Solche konkreten Tatsachen hat die Vergabekammer jedoch gerade nicht festgestellt — sie hält es im Gegenteil ausdrücklich für „irrelevant“, „ob und wie naheliegend“ der von ihr befürchtete Datenzugriff ist. Auf derart spekulativer Basis ist der Ausschluss eines Angebots wegen der Besorgnis, der Bieter werde im Auftragsfall seine Verpflichtungen nach der DSGVO nicht erfüllen, unzulässig.
Nutzung von europäischen Cloud-Diensten mit U.S.-Konzernmutter ist keine Datenübermittlung in die U.S.A.
Völlig verrannt hat sich die Vergabekammer vor allem aber mit ihrer These, bereits die Nutzung von Hosting-Leistungen eines europäischen Cloud-Anbieters mit U.S.-amerikanischer Muttergesellschaft stelle aufgrund des damit verbundenen „latenten“ Risikos eines Zugriffs aus den U.S.A eine unzulässige „Übermittlung“ von Daten in ein Drittland i.S.v. Artikel 44 ff. DSGVO dar. Diese Auffassung der Vergabekammer ist aus einer ganzen Reihe von Gründen unhaltbar.
Übermittlung erfordert (zumindest) tatsächliche Eröffnung eines Datenzugangs, nicht nur ein „latentes Zugriffsrisiko“
Die These der Vergabekammer ist schon deshalb falsch, weil eine Datenübermittlung i.S.v. Artikel 44 ff. DSGVO voraussetzt, dass Daten entweder an einen ausländischen Empfänger übertragen und ihm dadurch offengelegt werden, oder dass sie ihm auf andere Weise tatsächlich zur Verfügung gestellt werden. Das ergibt sich einerseits aus dem normalen Sprachgebrauch des Begriffs „Übermittlung“ (auch wenn dieser in der DSGVO nicht definiert ist), andererseits aus der Definition des Europäischen Datenschutzausschusses, der gemäß Artikel 70 DSGVO die einheitliche Anwendung der DSGVO sicherstellt und in diesem Rahmen Leitlinien, Empfehlungen und bewährte Verfahren u.a. zur Datenübermittlung nach Artikel 44 ff. DSGVO bereitstellt (vgl. Artikel 70 Abs. 1 Buchst. i) und j) DSGVO). Nach dieser Definition setzt eine „Übermittlung“ in ein Drittland unter anderem voraus, dass ein Verantwortlicher oder Verarbeiter (Exporteur) im Geltungsbereich der DSGVO einem anderen Verantwortlichen oder Verarbeiter (Importeur) in einem Drittland Daten im Rahmen einer Verarbeitung i.S.v. Artikel 4 Abs. 2 DSGVO „durch Übertragung offenlegt“ (englisch: „discloses by transmission“) oder „auf andere Weise zur Verfügung stellt“ (englisch: „otherwise makes available“) (Europäischer Datenschutzausschuss, Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR, Rn. 7).
Außer in Fällen einer Übertragung im Sinne eines echten aktiven Datenflusses kann eine „Übermittlung“ danach allenfalls dann angenommen werden, wenn Daten dem Importeur auf andere Weise tatsächlich willentlich zur Verfügung gestellt werden. Das kann zwar auch in der Weise geschehen, dass dem Importeur unmittelbarer Zugriff auf einen inländischen Server gegeben wird, von dem die Daten abgerufen werden können. Dass der Einsatz einer Hosting-Infrastruktur eines EU-Anbieters mit U.S.-amerikanischer Muttergesellschaft U.S.-Stellen eine solche direkte Zugriffsmöglichkeit eröffnet, scheint aber nicht einmal die Vergabekammer anzunehmen. Nach Ansicht der Vergabekammer reicht es vielmehr aus, dass sich aus dem U.S.-Überwachungsrecht oder den Nutzungsbedingungen des Cloud-Anbieters ein „latentes Risiko“ eines Zugriffs ergebe. Gemeint ist damit offenbar, dass die Vergabekammer es nicht für ausgeschlossen hält, dass der Cloud-Anbieter eine Zugriffsmöglichkeit eröffnen könnte.
Die Vergabekammer verwechselt damit die tatsächliche Eröffnung eines direkten Zugangs (die ggf. eine „Übermittlung“ i.S.v. Artikel 44 ff. DSGVO darstellen kann) mit der bloßen Gefahr, dass ein solcher Zugang zukünftig unter bestimmten, noch ungewissen Umständen gewährt werden könnte. Eine solches bloßes Risiko (von der Vergabekammer selbst als „latent“ bezeichnet) stellt aber gerade noch keine Übermittlung im Rechtssinne dar. Der Einsatz einer Cloud-Infrastruktur, bei der lediglich ein solches latentes Zugriffsrisiko besteht, ist damit als solcher kein Verstoß gegen die DSGVO.
Dass die Nutzung von Serverkapazitäten eines Cloud-Anbieters, dessen Konzernmutter in den U.S.A. sitzt, bereits eine „Übermittlung“ dorthin darstellt, wird entgegen der Auffassung der VK auch nicht durch den (mittlerweile vom VGH Hessen aufgehobenen) Beschluss des VG Wiesbaden vom 01.12.2021 – 6 L 738/21.WI – im „Cookiebot“-Fall bestätigt. Dieser Fall war anders gelagert. Insbesondere erfolgte die Speicherung dort laut Antragsteller-Vortrag direkt auf Servern der U.S.-amerikanischen Muttergesellschaft des Anbieters, auf die die U.S.-Gesellschaft daher unmittelbar zugreifen konnte. Um einen solchen Fall geht es bei der VK Baden-Württemberg nicht.
„Theoretische“ bzw. „latente“ Zugriffsmöglichkeiten für U.S.-Stellen?
Zentraler Irrtum der VK Baden-Württemberg ist indes die pauschale Annahme, der Einsatz von Cloud-Diensten europäischer Anbieter mit U.S.-Konzernmutter würde als solcher bereits ein „latentes Risiko“ eines Zugriffs durch U.S. Stellen eröffnen.
Woraus sich dieses vermeintliche Risiko im Einzelnen ergeben sollen, erläutert die VK nicht. Damit bleibt unklar, ob sie einen Datenzugriff durch die U.S.-Konzernmutter oder von U.S.-Behörden befürchtet, oder beides, und ob sich diese Gefahr aus dem „U.S.-Überwachungsrecht“ (auf das sich der Antragsteller berufen hatte) oder den Nutzungsbedingungen des Anbieters ergeben soll. Hätte die Kammer dies näher analysiert, hätte sie bemerkt, dass ihre Annahme unhaltbar ist, jedenfalls aber jede tragfähige Begründung vermissen lässt.
Direkte Zugriffsmöglichkeit der U.S.-Konzernmutter?
Das gilt zunächst für die (etwaige) Annahme, die vom EU-Anbieter gespeicherten Daten unterlägen aufgrund der Konzernstruktur oder der Nutzungsbedingungen dem direkten Zugriff der U.S.-Konzernmutter. Der Beschluss der Kammer enthält dazu nichts; sie verweist lediglich auf den ihres Erachtens „generalklauselartigen“ Charakter der Vertraulichkeitsregelungen bzw. diesbezüglichen Ausnahmen in den Nutzungsbedingungen des Cloud-Anbieters. Soweit diese Regelungen von der VK mitgeteilt werden, ergibt sich daraus jedoch keineswegs eine direkte Zugriffsmöglichkeit der Muttergesellschaft. Da der Bieter ausschließlich Hosting-Leistungen auf Servern in Deutschland nutzen wollte, lag insbesondere kein Fall vor, in welchem ein Datentransfer in ein Drittland „für die Erbringung der Dienste erforderlich“ war und dementsprechend die diesbezügliche vertragliche Ausnahme gegriffen hätte. Zudem hätte sich die Kammer bei einem befürchteten Datentransfer innerhalb des Konzerns mit dem Einwand des Bieters auseinandersetzen müssen, dass er mit dem Cloud-Anbieter Standardvertragsklauseln im Sinne von Artikel 46 Abs. 2 Buchst. c) DSGVO abgeschlossen habe, die eine Übermittlung zulassen würden. Die VK hat diesen Einwand mit der Begründung zurückgewiesen, die Standardvertragsklauseln bedürften einer Einzelfallprüfung; eine solche hat sie jedoch gerade unterlassen.
Die These vom langen Arm des „U.S.-Überwachungsrechts“ – viel Mythos, wenig Fakten
Die Ausführungen der Vergabekammer legen nahe, dass es ihr vor allem um die vermeintlichen Zugriffsmöglichkeiten von U.S.-Behörden nach den einschlägigen U.S.-Überwachungsvorschriften ging.
Im Fokus der diesbezüglichen Fachdiskussion steht seit längerem der sog. „CLOUD Act“ von 2018. Durch dieses Gesetz wurde der in den U.S.A seit langem geltende „Stored Communications Act“ („SCA“, 18 U.S. Code §§ 2701 ff.), der den U.S.-Ermittlungsbehörden das Recht gibt, von Telekommunikations- und Remote Computing-Anbietern unter bestimmten Voraussetzungen aufgrund gerichtlicher Anordnung die Herausgabe gespeicherter Kundendaten zu verlangen, um eine Klarstellung ergänzt, dass dieses Recht unabhängig davon gilt, ob der Anbieter die Daten innerhalb oder außerhalb der U.S.A. gespeichert hat. Insbesondere in Deutschland wurde und wird hieraus mitunter gefolgert, dass auch europäische Tochterunternehmen von U.S.-Cloud-Anbietern den U.S.-Beschlagnahmevorschriften unterliegen würden.
Das widerspricht jedoch allen internationalrechtlichen Grundsätzen und ist durch nichts belegt. U.S.-Recht gilt – wie jedes nationale Recht – nur für solche Rechtssubjekte, die der Hoheitsgewalt des betreffenden Staates, d.h. hier der U.S.A. unterstehen. Das sind insbesondere U.S.-Bürger und U.S.-Unternehmen sowie Personen und Unternehmen, die sich in den U.S.A. aufhalten oder dort geschäftlich aktiv sind. EU-Unternehmen, die ausschließlich in Europa tätig sind, unterfallen dagegen nicht der U.S.-Hoheitsgewalt. Dass für EU-Unternehmen mit U.S.-amerikanischer Konzernmutter etwas anderes gilt, ist nicht ersichtlich; auch nicht nach dem CLOUD Act. Die U.S.-Regierung hat im Gegenteil in einer offiziellen Erläuterung zum CLOUD Act klargestellt, dass das Gesetz in subjektiver Hinsicht weiterhin ausschließlich für solche Clouddienstleister gilt, die der U.S.-Hoheitsgewalt unterstehen (im Original: „that are subject to U.S. jurisdiction“; U.S. Department of Justice, Promoting Public Safety, Privacy, and the Rule of Law Around the World: The Purpose and Impact oft he CLOUD Act, White Paper April 2019, Seite 6, 7, und 8).
Soweit im deutschen Schrifttum mitunter vertreten wird, der CLOUD Act gelte auch für EU-Töchter von U.S.-Konzernen (z.B. Rosenkötter/Hansen/Tegeler, NZBau 2021, 355, 357), ist nicht erkennbar, worauf sich das stützt (so verweisen Rosenkötter/Hansen/Tegeler zwar auf Johnson/Brechtel, ITRB 2020, 285, 286; dort findet sich jedoch nichts, was die Annahme stützen würde). Es gibt auch keine U.S.-Rechtsprechung, der zufolge U.S.-Gesetze generell oder der SCA bzw. CLOUD Act im Besonderen auch für EU-Töchter von U.S.-Unternehmen gelten würden.
Verschlüsselung vollständig ausgeblendet
Völlig unverständlich (oder nur vom gewünschten Ergebnis her zu erklären) ist schließlich, dass die Vergabekammer es abgelehnt hat, sich mit dem Einwand auseinanderzusetzen, die Daten würden verschlüsselt und bereits dadurch wirksam gegen einen unzulässigen Zugriff bzw. eine Herausgabe geschützt. Das ist deshalb umso irritierender, als sowohl die europäische Rechtsprechung (etwa der französische Conseil d‘État in der viel beachteten „Doctolib“-Entscheidung vom 12.03.2021, ECLI:FR:CEORD:2021:450163.20210312, Tz. 8) als auch deutsche Datenschützer (vgl. die Stellungnahme des baden-württembergischen Datenschutzbeauftragten Stefan Brink) einer Datenverschlüsselung zentrale Bedeutung für einen wirksamen Schutz vor unzulässiger Übermittlung im Sinne der DSGVO beimessen. Die Kammer begründete ihr Vorgehen damit, der Bieter habe die konkrete Ausgestaltung der Verschlüsselungstechnik nur der Vergabekammer offengelegt, nicht aber auch der Antragstellerin, weshalb eine Berücksichtigung des Arguments den Anspruch des Antragstellers auf rechtliches Gehör verletzen würde (angelehnt an KG Beschl. v. 18.05.2022 – Verg 7/21).
Die Vergabekammer setzt sich damit zunächst über die Rechtsprechung des BGH hinweg, der zufolge die Nachprüfungsinstanzen sich auch mit Akteninhalten auseinandersetzen müssen, für die ein Beteiligte Geschäftsgeheimnisschutz in Anspruch nimmt. Die Vergabekammer muss in diesem Fall zunächst eine Abwägung zwischen den widerstreitenden Interessen – Schutz des Geschäftsgeheimnisses einerseits und Anspruch des anderen Beteiligten auf rechtliches Gehör andererseits – treffen (BGH Beschl. v. 31.01.2017 – X ZB 10/16, Rn. 48 ff.). Kommt die Kammer zu dem Ergebnis, dass die Aktenbestandteile nicht offen zu legen sind, ist der Vortrag gleichwohl nicht pauschal unberücksichtigt zu lassen. Vielmehr muss die Vergabekammer ihn vertraulich (in einem sog. „In-camera-Verfahren“) sachlich prüfen; erweist er sich als entscheidungsrelevant, hat die Vergabekammer ferner zu prüfen, ob er zumindest in allgemeiner oder anonymisierter Form offengelegt werden kann. Dass dieses Vorgehen nur für Inhalte der Vergabeakte des Auftraggebers gelten soll, nicht aber auch für weiteren Vortrag der Beteiligten im Nachprüfungsverfahren (wie das KG in seiner Entscheidung vom 18.05.2022 meint) ist nicht ersichtlich und läuft sowohl dem Zweck des Geheimnisschutzes als auch der Logik des BGH diametral zuwider.
Dass die Kammer es sich zu einfach gemacht hat, ergibt sich aber auch daraus, dass sie sich mit dem Einwand der Verschlüsselung überhaupt nicht auseinandergesetzt hat, obwohl die Beteiligten den Umstand der Verschlüsselung als solchen offengelegt hatten. Unter Verschluss bleiben sollte lediglich die genaue Ausgestaltung der Verschlüsselungstechnik. Dass es für die Prüfung des Arguments, die Verschlüsselung schließe einen Datenzugriff aus dem Ausland bereits faktisch aus, gerade auf die Einzelheiten der Verschlüsselung angekommen wäre, ist jedoch nicht ersichtlich und wird von der Vergabekammer auch nicht behauptet. Dass die Vergabekammer das völlige Ausblenden des Arguments ausgerechnet mit dem Grundsatz des rechtlichen Gehörs begründet, ist fast schon eine ironische Pointe.
Unabsehbare Konsequenzen für die Praxis
Die Entscheidung der VK ist nicht nur rechtlich unhaltbar, sondern sie würde – wenn sie nicht korrigiert wird – auch die IT-Praxis vor unübersehbare Hürden stellen. Denn die Erwägung der VK, dass die Nutzung von EU-Cloud-Anbietern mit einer Konzernmutter in den U.S.A. oder einem sonstigen Drittland (und das sind nicht nur global, sondern auch in der EU die meisten) gegen die DSGVO verstößt, betrifft keineswegs nur Auftragsvergaben der deutschen öffentlichen Hand. Zu Ende gedacht laufen die Erwägungen der Kammer darauf hinaus, dass solche Cloud-Dienste in der gesamten EU überhaupt nicht mehr zur Verarbeitung personenbezogener Daten eingesetzt werden dürfen, und zwar nicht nur im öffentlichen Sektor, sondern auch im Privatsektor. Das hätte für nicht nur für den IT-Markt, sondern die ganze europäische Wirtschaft unabsehbare Folgen.
Die Gerichte in anderen EU-Ländern haben längst anders entschieden. Bekannt ist vor allem die „Doctolib“-Entscheidung des französischen Conseil d’État, des obersten französischen Verwaltungsgerichts, wonach die Nutzung von AWS-Cloud-Diensten für eine Internet-Buchungsplattform für Impftermine nicht gegen die DSGVO verstößt. Das Gericht begründete das damit, dass die Daten bei dem Dienstleister durch rechtliche und technische Schutzmaßnahmen, insbesondere eine wirksame Verschlüsselung, ausreichend gerade auch gegen einen unzulässigen Zugriff durch U.S.-Behörden geschützt sind (Conseil d’État, Beschl. v. 12.03.2021, ECLI:FR:CEORD:2021:450163.20210312). Dass in Deutschland etwas anderes gelten soll, ist schwer verständlich.
Anmerkung der Redaktion
Dieser Beitrag ist Teil unseres Streitgesprächs: Tochterunternehmen von US-amerikanischen Cloud-Anbietern von europäischen Vergaben auszuschließen? (s. Vergabeblog.de vom 24/08/2022, Nr. 50698).
Über Dr. Wolfram Krohn, M.P.A. (Harvard)
Dr. Wolfram Krohn ist Rechtsanwalt und Partner der Kanzlei Dentons Europe LLP in Berlin. Er ist Co-Leiter der Praxisgruppe Vergaberecht der Kanzlei. Zu seinen Praxisschwerpunkten gehören die Beratung von Bietern und Auftraggebern bei öffentlichen IT-Vergaben und bei Aufträgen in den Bereichen Verteidigung und Sicherheit sowie Transport und Logistik. Er ist Mitherausgeber des Beck'schen Handbuchs Vergaberecht und veröffentlicht regelmäßig zu vergaberechtlichen Themen.
(29 votes, average: 3,17 out of 5)
Loading...
Artikel im Deutschen Vergabenetzwerk (DVNW) diskutieren
.
Dann schlaft mal schön weiter, denn schon MS WIN telefoniert munter nach Hause.
Ich werde nicht müde darauf hinzuweisen, dass die inflationäre Anwendung des Ausschlussgrundes „Änderung a n den Vergabeunterlagen“ auch in Fällen, in denen überhaupt n i c h t s an den Vergabeunterlagen geändert wurde, angesichts des klaren Wortlauts der Norm keien vertretbare Auslegung, sondern eine unzulässige Analogie ist, die zudem häufig in die Irre führt und den Blick auf einen richtigen Löungsansatz verschleiert.
Mir wird auch immer ein Rätsel bleiben, wie man auf die Idee kommen kann, aus der auf einer Verschwörungstheorie aufbauenden Vermutung, ein Bieter werde als Auftragnehmer gegen eine gesetzliche Ausführungsbestimmung verstoßen, eine „Änderung an den Vergabeunterlagen zu konstruieren
Wer zu feige ist, unter seinem Namen zu posten, sollte es lassen und nicht Äpfel mit Walnüssen vergleichen.
Geaehrter Herr Anonymous,
you do not even realize yourself that u posted without giving your name?
And your law since 25 yrs goes like:
„(2) Anbieter von Telemedien haben die Nutzung von Telemedien und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Der Nutzer von Telemedien ist über diese Möglichkeit zu informieren.“
https://www.gesetze-im-internet.de/ttdsg/__19.html
Goethe said: Names sint Schall und Rauch, Arguement zaehlen.
Regards, Anna H. B.
Eine juristische Verteidigungsschrift könnte wohl so aussehen: Völlig einseitig, störende Fakten ignorierend und falschverstehendes Lesen des Entscheidungstextes.
Vor einer rein juristischen Entgegnung, zu der ich nun, da ich nun erst den untigen Text während meiner Arbeitszeit formulierte, möglicherweise aus Zeitründen nun nicht mehr komme, eine gröbere rechtliche Einordnung:
Das uns als Ausländer konkret entscheidend diskriminierende US-Rechtssystem (Ausschluss vom MENSCHENrecht auf Privatheit, u.a. Datenschutz, 4ter Verfassungszusatz) ist hier das Problem.
Das können sogar US-Bürger in der EU jederzeit einklagen.
Nicht jedoch wir Europäer in den USA: Es existiert nicht, wir bzw. unsere Daten sind vogelfrei.
Das ist die Grundlage des US-Überwachungskapitalismus.
DER neue Rohstoff, nach Sklaven und als die Sklaven durch Maschinen an Wert verloren, dann das Öl.
Die Sklaverei hätte nicht funktioniert, hätte man diese nicht als Tiere, als Sachen behandeln dürfen.
Das Öl war geschmeidig, meldete keine Ansprüche an.
Nun sind wir dran mit unseren persönlichen Daten, weil sowohl Sklaven als auch Maschinen den Investoren nicht mehr „den Hebel“ bieten.
Den bieten, etwa seit Google (2004), nun „persönliche Daten“ von US-Ausländern.
Wir haben historische Erfahrungen – anders als die USA – mit dem massenhaften Missbrauch persönlicher Daten, etwa von den Spitzeln der metternichschen Geheimpolizeyen 1815 ff. über 1933-1945 bis – im Osten – 1989.
Wir sind – insoweit – erfahrener, kultivierter, klüger als die USA.
Die USA kennen sich dafür mit Schusswaffen besser aus, veredelten sie durch ihre Verfassung zum Grundrecht. Die Begründung dafür, nämlich, dass die Bürger eine freidrehende Bundesregierung notfalls mit Waffengewalt zähmen können müssten, erwies sich über Jahrhunderte als bloße Idee, die deutsche Begründung für den Schutz persönlicher Daten erwuchs tatsächlich aus dem Machtexzessen antidemokratischer Kräfte, nachfolgenden Bergen von Leichen, Millionen Toter. Unsere Sorge hat sich bestätigt, eine freidrehende Bundesregierung droht in Washington erstmals mit Trump. (Und ob Bürgerbewaffnung da hülfe … aber gut, ich bin Europäer.)
Wir in der EU erhoben unsere persönlichen Daten zu einem „großen Recht“, einem MENSCHENrecht.
Ohne Privatheit kann nämlich Demokratie, Freiheit und Menschenwürde nicht funktionieren. Das wissen auch die USA. Die Verfassungsrechte wurden ja nicht dem Volk als Luxus geschenkt, sondern auch die USA wissen, dass sie staatsnotwendig sind. Und auch, dass sie Grundlage der staatlichen und persönlichen Souveränität. Die USA gönnen Drittstaaten aber also nicht Demokratie, Menschwürde und Freiheit. D.h. doch, aber nur dann und solange, wie diese komplett in der Hand der USA liegt, wer auf seine Souveränität pocht, Land, Rohstoffe, Regierungen, Bürgermeister und Leute NICHT US-Investoren zur Verfügung stellt, gilt schnell als „unfreier“ Staat. Wer sich gegen US-Totalüberwachung wehrt, der macht sich verdächtig …
Ich hoffe, Sie haben ihren LinkedIn-Account? Xing reicht nicht! Wenigstens WhatsApp, Instagram oder Facebook? Sie erregen dann weniger die Aufmerksamkeit des US-Einreisebeamten, wenn sie das vorweisen können, alles geht schneller, bequemer … Wollen Sie sich gar bei einem US-Unternehmen bewerben (oder einer Tochtergesellschaft hier in Europa? Dann gilt dasselbe. Alles ist einfacher.).
Der Autor meint ganz offenbar, wir sollten auf „die Seriösität“ der – seit Snowden exakt dokumentiert – nachweislich gezielt lügenden, betrügenden US-Dienste, die gern auch mal hunderttausende unschuldige Tote provozieren (Irak 2003 ff.), vertrauen?
Oder den US-Geheimgerichten? Warum erwähnt der Autor diese nicht? Er kennt sie offenbar nicht? Ihre Existenz ist gesichert nachgewiesen und zugestanden. Dass diese vorliegend ganz relevant sein können, scheint der Autor nicht zu ahnen? Seinen Text dennoch ernst nehmen?
Und verlangt der Autor wirklich von seinen Lesern, daran zu glauben, ein hiesiger Geschäftsführer jemand käme einer einschlägigen mündlichen Weisung der Gesellschafter (US-Mutter) NICHT nach?
Könnte sich der für Europäer völlig fremdartigen Ethik verweigern, die da von Kindesbeinen heißt: Daten von Ausländern sind wertlos, frei verfüg- und handelbar?
US-amerikanische Kinder, können täglich an US-Einreiseflughäfen erleben wie Tagebücher, Laptops, Smartphones von Ausländern ‚links‘ gemacht werden, während die US-Eltern murmelten: „Ja, das kann uns nicht passieren! Wir sind US-Bürger!“
Und dann soll ein US-Manager in Deutschland oder ein zuvor typischerweise auf seine US-begeisterte Haltung über Jahre darauf geprüfter US-„Ausländer“, ob er US-Werte hemmungslos vertritt, seinen – auch rein mündlich – weisungsbefugten Gesellschaftern ein „njet“ entgegenmurmeln und damit seinen hochdotierten Job riskieren?
Ich halte das für, gelinde gesagt, naiv.
Juristisch(er):
1. Keine Übermittlung?
Eine Übermittlung der Daten liegt vor, auch wenn sie angeblich (seriös?) verschlüsselt sind.
a. Sie müssen in der Cloud entschlüsselt werden, damit eine Datenverarbeitung in der Cloud stattfinden kann. Wo sind dann die Schlüssel, wo die Klardaten? In der Cloud.
b. Google arbeitet am Quantencomputer und ist teils damit bereits erfolgreich. Ziel von Quantencomputerentwicklung ist u.a. die Entschlüsselung bisher nicht entschlüsselbarer Daten.
c. Die USA haben bisher routiniert Verschlüsselungsverfahren korrumpiert (NSA-Unterlagen -> Snowden).
Der Autor meint, die VK habe den „Einwand mit der Begründung zurückgewiesen, die Standardvertragsklauseln bedürften einer Einzelfallprüfung; eine solche hat sie jedoch gerade unterlassen.“
Nicht die VK muss die Einzelfallprüfung vornehmen, sondern der unterlegene Bieter hätte diese nachweisen müssen.
Eine Verschlüsselungstechnik, die nicht quelloffen ist (open source) kann nicht seriös geprüft werden.
Sogar ich könnte da ansonsten leichtens verdeckt eine Programmzeile einbauen, die – nach Gusto – die ‚geheimen‘ Schlüssel an einen beliebigen Empfänger „verschlüsselt“ exportiert oder beliebigen Zugriff auf vorgeblich verschlüsselte Informationen erlauben würde, indem ich bei einer der notwendigen Schnittstellen den Code „3452133jki33AA“ eingebe.
2. zu „Die These vom langen Arm des „U.S.-Überwachungsrechts“ – viel Mythos, wenig Fakten“
Extreme, geheime Totalüberwachung erschafft selbst systematisch Mythen, ist deshalb einer vorgeblich rechtsstaatlichen Demokratie nicht würdig.
Lügende, manipulierende Geheimdienste SCHAFFEN systematisch Verschwörungstheorien und bewirken, dass die Menschen diese auch selbst generieren, eben WEIL sie wissen, dass sie gerade auch dem eigenen Staat nicht mehr vertrauen können, dieser systematisch Lügen generiert und manipuliert: Snowden wies nicht nur den extremen Umfang der anlasslosen Totalüberwachung durch die NSA nach, sondern auch genau das: Es wird systematisch gelogen und manipuliert, geht es gegen ausgewählte ‚targets‘.
https://www.heise.de/newsticker/meldung/NSA-Skandal-Geheimdienste-manipulieren-und-diskreditieren-im-Netz-2123236.html
Wenn der Autor meint, er durchschaue die Methoden und absichtlich geschaffenen „Mythen“ der CIA/NSA, dann … dürfen wir lächeln.
Er tut so, als habe er „die Fakten“ und alles andere seien Mythen.
Damit verkennt er die Grenzen dessen, was er wissen kann und darf und auch Wesen und Aufgabe ademokratisch agierender Geheimdienste.
3. Der Autor: „Die U.S.-Regierung hat im Gegenteil in einer offiziellen Erläuterung zum CLOUD Act klargestellt, dass das Gesetz in subjektiver Hinsicht weiterhin ausschließlich für solche Clouddienstleister gilt, die der U.S.-Hoheitsgewalt unterstehen ….“
Auch hier: Meint der Autor im Ernst, dass die US-Geheimgerichte ihn darüber informierten, wann sie auf welchem Wege Herausgabe von Daten von US-Töchtern in aller Welt verlangen?
Ich glaube, der Autor meint, die durch Snowden bekannt gewordenen US-Geheimgerichte müsste es eigentlich gar nicht geben, richtig?
Ja, dann wäre es tatsächlich so einfach, wie der Autor es darstellt …
Lieber Wolfram Krohn,
vielen Dank für den spannenden Beitrag, der viele wichtige und richtige Problempunkte in Bezug auf das Urteil der Vergabekammer aufzeigt. Insbesondere die Ausführungen zur fehlenden Bewertung der technischen und organisatorischen Maßnahmen treffen den Kern des Problems. Es erscheint hier tatsächlich befremdlich, dass eine Partei zu diesem Thema vorträgt, damit aber gerade nicht gehört werden kann, weil dies gegen den Grundsatz auf rechtliches Gehör nach Art. 103 Abs. 1 GG der andere Partei verstoße. Auch üebr die Berliner Entscheidung hierzu lässt sich trefflich diskutieren. Auch den Überlegungen in Bezug auf die Reichweite der Zusicherung im Vergabeverfahren und der Ausführungsphase ist unserem Verständnis nach zuzustimmen (ähnlich hat sich auch das OLG Karlsruhe, dem der Rechtsstreit mittlerweile vorliegt, in der mündlichen Verhandlung geäußert).
Da wir in Bezug auf die Reichweite des Cloud- Acts auch direkt im Beitrag angesprochen sind, möchten wir gerne hierzu direkt erwidern. In Bezug auf die Zugriffsmöglichkeit im Rahmen des us-amerikanischen CLOUD Acts sowie den Datenübermittlungen in die USA sind wir in der Tat anderer Ansicht: .
1.
Der CLOUD Act findet unabhängig von Territorialbezug oder Konzernzugehörigkeit Anwendung auf Unternehmen, sofern diese dem US-Recht unterfallen. Dabei sind zwei Aspekte relevant – zum einen der Ort der Speicherung und zum anderen der Zugriff us-amerikanischer Sicherheitsbehörden auf Daten, die von europäischen Töchtern amerikanischer Dienstleistern in Europa gespeicherte werden:
Dass auch außerhalb der USA gespeicherte Daten dem CLOUD Act unterfallen ergibt sich bereits aus dessen Wortlaut, wonach „[e]in Anbieter elektronischer Kommunikationsdienste oder Remote-Computing-Dienste […] die in diesem Kapitel enthaltenen Verpflichtungen zur Aufbewahrung, Sicherung oder Offenlegung des Inhalts einer drahtgebundenen oder elektronischen Kommunikation und aller Aufzeichnungen oder anderer Informationen über einen Kunden oder Abonnenten erfüllen [muss], die sich im Besitz, Gewahrsam oder unter der Kontrolle eines solchen Anbieters befinden, unabhängig davon, ob sich diese Kommunikation, Aufzeichnung oder andere Informationen innerhalb oder außerhalb der Vereinigten Staaten befinden.“ (vgl. Vorschrift 18 U.S.C. § 2713 CLOUD Act)
Und dass auch europäische Töchter von amerikanischen Unternehmen dem US-Recht unterfallen, ist nach Angaben des US-Justizministeriums der Fall, wenn diese „hinreichend Berührungspunkte mit den Vereinigten Staaten haben, um die Anwendbarkeit amerikanischen Rechts geboten erscheinen zu lassen“ (vgl. White Paper des US-Justizministeriums zum CLOUD Act, 2019, S. 17; übereinstimmend auch: Gutachten Greenberg Traurig LLP für niederländische National Cyber Secrity Center, S. 3 f.). Bewertungskriterien hierfür sind (i) Intensität der geschäftlichen Beziehungen in die USA sowie (ii) strategische Geschäftsentwicklung in den USA. Ähnlich äußerst sich auch das Gutachten von Herrn Vladek zur Schrems II-Entscheidung des EuGH (vgl. dort S. 14 f.).
Im Ergebnis bedeutet diese Formulierung des Justizministeriums, dass bei entsprechender Argumentation und Verflochtenheit auch eine europäische Tochtergesellschaft mit Servern in der EU dem CLOUD Act unterworfen sein dürfte. Dies entspricht auch der allgemeinen Ansicht deutscher Datenschutzbehörden. Zutreffend ist allerdings auch, dass der CLOUD Act keine explizite Aussage dahingehend trifft, dass europäische Töchter amerikanische Unternehmen allein aufgrund dieser Tatsache dem Cloud Act unterfallen.
2.
Soweit in dem Beitrag argumentiert wird, dass das bloß potentielle Risiko eines Zugriffs durch amerikanische Sicherheitsbehörden keine Übermittlung im Sinne der DSGVO sei, liegt dies auch auf der Linie der Datenschutzbehörde Baden-Württemberg. Hauptargument dafür ist, dass in diesem Moment faktisch noch keine Übermittlung stattfinde. (vgl. Stellungnahme des Datenschutzbeauftragten Baden-Württemberg vom 15.08.2022). Die ganz überwiegende Ansicht in der juristischen Literatur ist jedoch anderer Ansicht (Kühling/Buchner/Schröder, 3. Aufl. 2020, DS-GVO Art. 44 Rn. 16; Gabel, in: Taeger/Gabel, 4. Aufl. 2022, DS-GVO Art. 44 Rn. 5-14; BeckOK DatenschutzR, 40. Ed. 1.11.2021, DS-GVO Art. 44 Rn. 14-16; Pauly, in: Paal/Pauly, DS-GVO, 3. Aufl. 2021, Art. 44 Rn. 3-5: jedes Zugänglichmachen der Daten ggü. einem Dritten ist ausreichend).
Auch das OLG Karlsruhe hat in der mündlichen Verhandlung erklärt, dass in der Zugriffsmöglichkeit bereits eine Übermittlung zu sehen sei. Die VK Baden-Württemberg hatte argumentiert, dass sie unter dem Begriff des latenten Risikos nichts anderes versteht, als die vertraglich festgelegten Zugriffsmöglichkeit auf die Daten (vgl. VK Baden-Württemberg, Beschluss vom 13.07.2022 – 1 VK 23/22, BeckRS 2022, 18405, Rn. 62ff.). Dass die Möglichkeit des Zugriffs für den Übermittlungsbegriff ausreichend sei und „ein „physischer“ Export der Daten […] nicht erforderlich“, vertritt dem folgend der Datenschutzbeauftragte des Landes Baden-Württemberg (vgl. LfDI Baden-Württemberg, OH: Was jetzt in Sachen internationaler Datentransfer?, 40 Aufl. 2021, S. 12, dies scheint im Übrigen der von ihm selbst vertretenen, oben zitierten Stellungnahme vom 12.08.2022 zu wiedersprechen).
Zudem besteht auch trotz eines so weitreichenden Verständnisses der Übermittlung natürlich die Möglichkeit, durch entsprechende technische und organisatorische Maßnahmen das Risiko eines Zugriffs zu reduzieren (vgl. Stellungnahme des Datenschutzbeauftragten Baden-Württemberg vom 15.08.2022). Insoweit würde bei Implementierung entsprechender Sicherheitsmaßnahmen ein hinreichender Schutz für die Daten bestehen.
3.
Zum Abschluss: Nach Ansicht der Vorsitzenden Richterin in der mündlichen Verhandlung beim OLG Karlsruhe, sei die Frage nach der datenschutzrechtlichen Compliance der jeweiligen Vertragsaddenda der Bieterin mit ihren Auftragsverarbeitern nicht relevant für das vergaberechtliche Verfahren. Das Gericht stützt dies – ebenso wie der Blogbeitrag von Herrn Dr. Krohn – darauf, dass diese nicht Vertragsbestandteil geworden seien und erst in der Ausführungsphase relevant werden würden. Bis zu diesem Zeitpunkt ist für die Vergabe die vom Bieter abgegebene Garantie, Datenschutzrecht einzuhalten, ausreichend. Insofern ist auf größere Klarheit zu hoffen, wenn das Urteil verkündet wird.
Beste Grüße Annette Rosenkötter, Hauke Hansen, David Schwarze
Liebe Frau Kollegin Rosenkötter, liebe Herrn Kollegen Hansen und Schwarze,
vielen Dank für diesen fundierten und eingehenden Kommentar!
In der – m.E. zentralen – Frage, ob der U.S. CLOUD Act auch für europäische Konzerntöchter von U.S.-Unternehmen gilt, bin ich allerdings dezidiert anderer Auffassung.
Einigkeit besteht wohl darüber, dass dafür maßgeblich ist, ob das betreffende EU-Unternehmen der Hoheitsgewalt (personal jurisdiction) der U.S.A. unterfällt. Wie Sie richtig sagen, ist das nicht (nur) eine Frage der Staatsangehörigkeit bzw. des Sitzes. Ein Anknüpfungspunkt für die Geltung des U.S.-Rechts kann sich auch aus anderen hinreichenden Berührungspunkten mit den U.S.A. ergeben.
Solche Berührungspunkte können insbesondere dauerhafte intensive Geschäftsaktivitäten des Unternehmens in den U.S.A. sein. Dass auch die reine Konzernzugehörigkeit zu einer U.S.-Konzernmutter ein hinreichender Berührungspunkt ist, wird zwar gelegentlich behauptet (auch von einigen deutschen Datenschützern), ist jedoch soweit ersichtlich durch nichts belegt. Es gibt insbesondere keine U.S.-Gerichtsentscheidung, die eine generelle Erstreckung der U.S. jurisdiction auf ausländische Konzerngesellschaften von U.S.-Unternehmen feststellen würde. Auch das von Ihnen angesprochene Vladek-Gutachten, welches wohl den fundiertesten öffentlich zugänglichen Überblick über die Materie gibt, enthält eine dahingehende Aussage gerade nicht.
Nach deutschem (Prozess-)Recht bedürfte es für eine Gerichts- oder Vergabekammer-Entscheidung, die sich auf den Umstand stützt, dass ein EU-Unternehmen aufgrund seiner Zugehörigkeit zu einem U.S.-Konzern dem U.S. CLOUD Act unterliegt, jedoch einer klaren und belastbaren Feststellung (gemäß § 293 ZPO). Das hat die Vergabekammer übersehen und wird auch sonst in der Diskussion oft nicht beachtet.
Herzliche kollegiale Grüße
Wolfram Krohn
Pressetext zur OLG-Entscheidung:
https://oberlandesgericht-karlsruhe.justiz-bw.de/pb/,Lde/10537397/?LISTPAGE=7373457
Aus der Pressemeldung:
„Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.“
Eine merkwürdige, symptomatische Unschärfe ist sofort offenbar:
1.
Und was ist eigentlich mit der Pflicht zur Risikoabwägung, der Pflicht zur Datenschutz-Folgenabschätzung (DSGVO 35)?
Ich bin gespannt, ob das OLG diese Pflicht gesehen und angesprochen hat.
2.
Und im Übrigen: Wie schnell wäre die Geschäftsleitung in die USA ausgeflogen?
Sie würde – mit der in solchen Fällen üblich gewordenen Behauptung „entgegenstehender nationaler Interessen“ – nicht ausgeliefert.
Denn es geht hier nicht (!) um die DSGVO und den Cloud Act, nicht nur um „zivile“ Datenverarbeitung oder Datenverarbeitung im Rahmen Strafverfolgung.
Der EuGH hat zweifach klargestellt, dass es hier auch um das Recht der Nachrichtendienste und Menschenrechte (Art. 8 EU-Grundrechtecharta) geht.
3.
Wenn etwas hanebüchen ist, dann die Annahme eine 100%tige US-Tochter würden NICHT auch also solche handeln.
Dazu gibt es schallendes Gelächter allüberall, im gesamten Ausland.
Der nationale Patriotismus, der US-Nationalismus, das ist allen Beteiligten klar, gebietet es wie bei religiösen Fundamentalisten, andere nationale Recht zu ignorieren, wo „nötig“.
Ein kulturelles und ein rechtliches Indiz zum Schmunzeln (und danach: Leugnen):
Nur ein Bruchteil der hier lesenden Anwälte wurde förmlich und ernst gemeint gefragt, ob er sich von den US-Kollegen mit Vornamen anreden lassen wolle … aber keiner wird es zugeben. Unter europäischen Wirtschaftsanwälten ist es üblich, dass zähneknirschend zu erdulden „und dann auf die Rechnung zu setzen“.
Und:
Zaubern Sie mal ein gequältes Grinsen auf das Gesicht eines jedes Managers eines US-Tochter in Deutschland, indem sie ihn fragen, wie ernst er das Betriebsverfassungsgesetz nehme? Ob ihm die Strafbestimmungen dort Sorgen machten?
Und dennoch, klar, wird ganz ernst in die Mikrofone der hiesigen Medien gesagt, man nehme das alles ggggaaaannnnzzzz doll örnst!
Das OLG träumt insoweit, scheint mir.
Das dürfen die, denn die haben mit der Realität der Wirtschaft nichts zu tun.
Wollten das nie – seit dem Abitur möglichst ohne Zahlen und moderne Fremdsprachen – und leben in einer risikominimierten Parallelwelt.
Maximal die nächste, weitgehend routiniert ablaufende Beförderung und die „vom Ehepartner“ „leider!“ organisierte Kreuzfahrt „Genua nach Capri“ wird als „existenzielle Herausforderung“ empfunden.
4.
Der Cloud Act ist schon unverschämt, aber nicht einmal entscheidend
Ich hoffe, das OLG ist nicht in diese Falle getappt.
Eine Falle wäre es nur dann nicht, wenn es, was ich für richtig hielte, festgestellt hätte, dass SCHON der Cloud Act ein Ausscheiden aus einem ordentlichen Vergabeverfahren bewirken muss.
Denn genausowenig wie die DSGVO Spionage, ja nicht einmal Strafverfolgung, mitregelt, beschäftigt sich der Cloud Act mit der hier – auch nach EuGH-Entscheidungen Schrems I und II – relevanten NSA-Totalüberwachung.
Dennoch ist lohnenswert sich am Beispiel des Cloud Acts anzuschauen, wie „respektvoll“ verlangen die USA „Gehorsam verlangen“:
„Dem von der Herausgabeverpflichtung betroffenen Unternehmen steht jedoch nach dem Gesetz im Einzelfall ein Widerspruchsrecht gegen die Anordnung zur Herausgabe von Daten zu, wenn der Eigentümer der Daten kein US-Bürger ist, nicht in den USA lebt und das Unternehmen durch die Herausgabe der Daten gegen Recht in anderen Ländern verstoßen würde.[3] Dies gilt für Länder, die mit den USA ein Abkommen unter dem CLOUD Act abgeschlossen haben. Aktuell hat lediglich Großbritannien ein solches Executive Agreement unterzeichnet,[4] sodass es diese Möglichkeit für alle anderen Bürger weltweit nicht gibt.“
https://de.wikipedia.org/wiki/CLOUD_Act
D.h. solange wir uns nun nicht mit den USA einigen, hat unsere Regierung dieses Widerspruchsrecht eben NICHT.
Ist das nicht süß?
Entweder ihr einigt euch mit uns oder eure Bürger haben keine Rechte!
Und wenn die USA dann in die „Einigung“ schreiben, dass monatlich für die zuständige US-Behörde 2 Mio USD als „behördliche Aufwandsentschädigung“ zu zahlen ist, dann muss Deutschland das unterschreiben, weil … sonst keine Einigung? (Microsoft meinte auch, die Deutschen müssten büßen, weil sie hiesige Cloud-Server verlangten und verlangte eine Zusatzzahlung: Die US-Server wurden billiger angeboten.)
5.
Die Totalüberwachung der NSA bleibt völlig unberührt, aus US und Transatlantikersicht sozusagen „selbstverständlich“, denn man betrachtet die Tätigkeit der „Dienste“ als jedenfalls nützlich.
Und desto ungeregelter, rechtsstaatswiderlicher, desto mehr.
Schon das BND-Urteil des BVerfG irritierte 2020 viele dieser vernarbten „Haudegen“, wie sie sich selbst gern seit Burschenschaftszeiten nennen.
Selbstverständlich ist für die USA, dass sie darüber lächeln, wenn Ausländer Datenschutz begehren. Nun, einige wenige US-Juristen schämen sich schon dafür, bspw.:
https://www.justsecurity.org/2668/foreigners-nsa-spying-rights/
Aber auf der anderen Seite kann man diese Rechtsgrundlage des US-„Überwachungskapitalismus“* nicht gefährden.
(Prof. Zuboff, „Zeitalter des Überwachungskapitalismus“, auch als Hörbuch!)
Die GAFA-Unternehmen sind längst – vor allem durch die NSA – als systemrelevant identifziert per u.a. NSA-Prism vertraglich eingebunden.
Selbstverständlich dürfen sie darüber lügen.
Aber woher soll das OLG das wissen!
6.
Dass die EU-Kommission routiniert und sehenden Auges Grundrechte, ja, Menschenrechte ignoriert, durfte schon verwundern.
Aber man staunt ja auch über die immensen Lobbygelder, die die US-Datenkraken in Brüssel und Berlin lassen …
Dabei entschied die Kommission beide Male „sehenden Auges“, denn sie wurde öffentlich mit exakt den Argumenten versorgt, die der EuGH dann verwendete, um ihr nun zum zweiten Mal illegale „Angemessenes-Schutzniveau“-Beschlüsse vorzuwerfen.
Warum aber ein OLG offenbar meint, europäische Menschenrechte (Art. 8 EU-Grundrechtecharta) auf diese Weise behandeln zu müssen, das bleibt hoffentlich nur bis zum Studium des Urteilstextes rätselhaft: Es kann sich nur bei der Pressemeldung nur um eine ganz schlechte Urteilszusammenfassung handeln, das dortige Zitat kann gar nicht wirklich die Essenz der Begründung darstellen.
Das wäre ja naiv angesichts der Tragweite.
Die müssten doch wissen, dass der EuGH das zu Recht auch wieder kippt?
Sehen Sie, kommen Sie, unter uns: Das gibt wieder Prozesse, Beratungsmandate en masse!
Ihr Neumüller
Mit Beschluss vom 7. September 2022 (15 Verg 8/22) hat das OLG Karlsruhe die Entscheidung der Vergabekammer Baden-Württemberg aufgehoben und den Nachprüfungsantrag zurückgewiesen.
https://oberlandesgericht-karlsruhe.justiz-bw.de/pb/,Lde/Startseite/Medien/Kein+Ausschluss+aus+Vergabeverfahren+wegen+Einbindung+der+luxemburgischen+Tochtergesellschaft+eines+US-amerikanischen+Unternehmens+als+Hosting-Anbieterin/?LISTPAGE=7373457
Siehe zum Beschluss des OLG Karlsruhe vom 7.9.2022 hier auch den Redaktionsbeitrag im Vergabeblog:
https://www.vergabeblog.de/2022-09-08/olg-karlsruhe-auftraggeber-duerfen-sich-auf-bindenden-zusagen-verlassen-auch-zum-datenschutz-beschl-v-07-09-2022-15-verg-8-22/