Vergabekammer auf Abwegen: Zum Einsatz europäischer Cloud-Dienstleister mit U.S.-Konzernmutter (VK Baden-Württemberg, Beschluss v. 13.07.2022 – 1 VK 23/22)

Folgt man der VK Baden-Württemberg, verstößt der Einsatz europäischer Cloud-Dienstleister mit U.S.-amerikanischer Konzernmutter bei personenbezogenen Daten generell gegen die DSGVO. Das hört sich abenteuerlich und praxisfern an — hat jetzt aber einen deutschen IT Solution Provider, der solche Cloud-Dienste einsetzen wollte, erst einmal den Auftrag gekostet. Der folgende Beitrag erläutert, was an der (nicht rechtskräftigen) VK-Entscheidung nicht stimmt.

§ 57 Abs. 1 Nr. 4 VgV, Art. 44 ff. DSGVO

Leitsatz

Der Einsatz von Hosting-Leistungen eines europäischen Cloud-Anbieters mit U.S.-amerikanischer Konzernmutter zur Verarbeitung personenbezogener Daten verstößt gegen die DSGVO. Denn bereits der Einsatz solcher Hosting-Leistungen stellt aufgrund des damit verbundenen latenten Risikos eines Zugriffs durch U.S.-Stellen eine nach Artikel 44 ff. DSGVO unzulässige Datenübermittlung in ein Drittland dar. Das gilt selbst dann, wenn der Cloud-Anbieter die Daten ausschließlich auf Servern in Deutschland speichert. Ein Angebot für eine DSGVO-konforme IT-Lösung, welches den Einsatz solcher Hosting-Leistungen vorsieht, ist daher wegen Änderung der Vergabeunterlagen auszuschließen.

Sachverhalt

In einem Vergabeverfahren für eine IT-Lösung im Krankenhaus-/Pflegebereich, bei der der Auftraggeber u.a. die Einhaltung der DSGVO gefordert hatte, unterbreitete der erstplatzierte Bieter ein Angebot, das den Einsatz von Hosting-Leistungen eines europäischen Cloud-Anbieter mit U.S.-amerikanischer Konzernmutter vorsah. Die Datenspeicherung sollte ausschließlich auf Servern in Deutschland erfolgen. Die Auftragsverarbeitungsvereinbarung des Cloud-Anbieters sah vor, dass eine Herausgabe von Kundendaten an Dritte bzw. eine Übermittlung aus Deutschland heraus ausgeschlossen ist, außer sofern eine Herausgabe oder Übermittlung für die Erbringung der Dienste oder zur Einhaltung gesetzlicher Vorschriften oder rechtsverbindlicher Anordnungen staatlicher Stellen erforderlich ist.

Ein konkurrierender Bieter griff den beabsichtigten Zuschlag u.a. mit dem Vorwurf an, das Angebot entspreche aufgrund des vorgesehenen Einsatzes des Cloud-Anbieters nicht der DSGVO. Die Nutzung von Hosting-Leistungen eines europäischen Cloud-Dienstleisters mit U.S.-amerikanischer Muttergesellschaft stelle unabhängig vom Ort der Datenspeicherung eine unzulässige Datenübermittlung in ein Drittland dar. Denn aufgrund der Zugriffsrechte nach dem „U.S.-Überwachungsrecht“ bestehe zumindest ein latentes Risiko einer unzulässigen Übermittlung personenbezogener Daten in die USA; das genüge bereits für eine unzulässige Übermittlung im Sinne der Art. 44 ff. DSGVO. Auch die Vertragsbedingungen des Cloud-Anbieters stellten eine unmittelbare Grundlage für eine aktive Weitergabe von Daten in die USA dar.

Der Auftraggeber und der ausgewählte Bieter verteidigten sich gegen den Vorwurf eines DSGVO-Verstoßes u.a. damit, dass die Daten ausschließlich in Deutschland gespeichert würden. Eine bloß theoretische Zugriffsmöglichkeit aus dem Ausland sei noch keine „Übermittlung“ dorthin im Sinne von Artikel 44 ff. DSGVO. Ein rein hypothetisches latentes Risiko einer Übermittlung erfülle den Tatbestand gerade nicht. Unabhängig davon sei eine etwaige Datenübermittlung aufgrund der Verwendung von Standardvertragsklauseln im Sinne von Artikel 46 Abs. 2 Buchst. c) DSGVO zulässig. Zudem würden die Daten so verschlüsselt, so dass ein Zugriff vom Cloud-Anbieter selbst und erst recht von außen schon rein faktisch ausgeschlossen sei.

Die Entscheidung

Die Vergabekammer Baden-Württemberg (Beschl. v. 13.07.2022 – 1 VK 21/22 ^[1]) gab dem Antragsteller recht und verfügte den Ausschluss des erstplatzierten Angebots wegen unzulässiger Änderung der Vergabeunterlagen i.S.v. § 57 Abs. 1 Nr. 4 VgV. Denn aufgrund des vorgesehenen Einsatzes des Cloud-Anbieters mit U.S.-amerikanischer Konzernmutter würde die Leistung nicht wie in den Vergabeunterlagen gefordert DSGVO-konform erbracht.

Bei der Nutzung der Hosting-Infrastruktur des Cloud-Anbieters bestehe unabhängig von dessen Sitz in der EU und des Umstands, dass die Datenspeicherung ausschließlich auf Servern in Deutschland erfolgen solle, ein „latentes Risiko“ eines Zugriffs sowohl durch staatliche als auch private Stellen außerhalb der EU und insbesondere in den USA. Bereits ein solches latentes Risiko reiche aus, um eine nach Art. 44 ff. DSGVO unzulässige Datenübermittlung in ein Drittland anzunehmen. Ob und wie naheliegend ein Zugriff sei, sei irrelevant. Soweit sich der ausgewählte Bieter auf eine Verschlüsselung der Daten berufe, die einen Zugriff auf die Daten faktisch ausschließe, könne das nicht berücksichtigt werden. Denn der Bieter habe die Einzelheiten der eingesetzten Verschlüsselungstechnik nur vertraulich vorgetragen, d.h. sie dem Konkurrenten, der die Nachprüfung beantragt hatte, nicht offengelegt; der Vortrag zur Verschlüsselung müsse daher nach den Grundsätzen des rechtlichen Gehörs (Art. 103 Abs. 1 GG) unberücksichtigt bleiben (in Anlehnung an KG Beschl. v. 18.05.2022, Verg 7/21, vgl. Vergabeblog.de vom 18/07/2022, Nr. 50321 ^[2])

Kritik

Die Entscheidung ist nicht nur völlig praxisfern, sondern auch rechtlich aus einer Reihe von Gründen unhaltbar. Sie ist auch unter Datenschützern auf Kritik gestoßen (siehe etwa die Stellungnahme des baden-württembergischen Datenschutzbeauftragten ^[3] Stefan Brink).

Erwartete Nichteinhaltung gesetzlicher Vorschriften bei der Auftragsausführung als „Änderung der Vergabeunterlagen“?

Es ist bereits verwunderlich, dass die Vergabekammer die vermeintliche Nichteinhaltung der DSGVO als „Änderung der Vergabeunterlagen“ i.S.v. § 57 Abs. 1 Nr. 4 VgV einordnet. Verlangt der Auftraggeber in den Vergabeunterlagen, dass der Auftragnehmer bei der Auftragsausführung bestimmte Rechtsvorschriften einhält (was bei zwingenden Rechtsvorschriften wie der DSGVO keinen echten Sinn ergibt, weil diese unabhängig von den Vorgaben des Auftraggebers in jedem Fall eingehalten werden müssen, wie § 128 Abs. 1 Satz 1 GWB klarstellt), handelt es sich um eine Ausführungsbedingung im Sinne von § 128 GWB (OLG Düsseldorf, 15.07.2015 – VII-Verg 11/15 ^[4]). Ob ein Bieter, der die Einhaltung einer solchen Bedingung im Angebot verbindlich zugesagt hat, sich daran bei der Vertragsausführung halten wird, ist grundsätzlich nicht im Vergabeverfahren zu prüfen, sondern betrifft ausschließlich die Ausführungsphase. Etwaige Verstöße sind dann vertraglich zu ahnden (etwa durch Schadensersatzforderungen, Vertragsstrafen oder Kündigung).

Anders liegt es nur, wenn der Auftraggeber im Vergabeverfahren „konkrete Tatsachen“ feststellt, die den Rückschluss auf die beabsichtigte künftige Nichteinhaltung der Verpflichtungen zulassen (OLG Düsseldorf, a.a.O.). Solche konkreten Tatsachen hat die Vergabekammer jedoch gerade nicht festgestellt — sie hält es im Gegenteil ausdrücklich für „irrelevant“, „ob und wie naheliegend“ der von ihr befürchtete Datenzugriff ist. Auf derart spekulativer Basis ist der Ausschluss eines Angebots wegen der Besorgnis, der Bieter werde im Auftragsfall seine Verpflichtungen nach der DSGVO nicht erfüllen, unzulässig.

Nutzung von europäischen Cloud-Diensten mit U.S.-Konzernmutter ist keine Datenübermittlung in die U.S.A.

Völlig verrannt hat sich die Vergabekammer vor allem aber mit ihrer These, bereits die Nutzung von Hosting-Leistungen eines europäischen Cloud-Anbieters mit U.S.-amerikanischer Muttergesellschaft stelle aufgrund des damit verbundenen „latenten“ Risikos eines Zugriffs aus den U.S.A eine unzulässige „Übermittlung“ von Daten in ein Drittland i.S.v. Artikel 44 ff. DSGVO dar. Diese Auffassung der Vergabekammer ist aus einer ganzen Reihe von Gründen unhaltbar.

Übermittlung erfordert (zumindest) tatsächliche Eröffnung eines Datenzugangs, nicht nur ein „latentes Zugriffsrisiko“

Die These der Vergabekammer ist schon deshalb falsch, weil eine Datenübermittlung i.S.v. Artikel 44 ff. DSGVO voraussetzt, dass Daten entweder an einen ausländischen Empfänger übertragen und ihm dadurch offengelegt werden, oder dass sie ihm auf andere Weise tatsächlich zur Verfügung gestellt werden. Das ergibt sich einerseits aus dem normalen Sprachgebrauch des Begriffs „Übermittlung“ (auch wenn dieser in der DSGVO nicht definiert ist), andererseits aus der Definition des Europäischen Datenschutzausschusses, der gemäß Artikel 70 DSGVO die einheitliche Anwendung der DSGVO sicherstellt und in diesem Rahmen Leitlinien, Empfehlungen und bewährte Verfahren u.a. zur Datenübermittlung nach Artikel 44 ff. DSGVO bereitstellt (vgl. Artikel 70 Abs. 1 Buchst. i) und j) DSGVO). Nach dieser Definition setzt eine „Übermittlung“ in ein Drittland unter anderem voraus, dass ein Verantwortlicher oder Verarbeiter (Exporteur) im Geltungsbereich der DSGVO einem anderen Verantwortlichen oder Verarbeiter (Importeur) in einem Drittland Daten im Rahmen einer Verarbeitung i.S.v. Artikel 4 Abs. 2 DSGVO „durch Übertragung offenlegt“ (englisch: „discloses by transmission“) oder „auf andere Weise zur Verfügung stellt“ (englisch: „otherwise makes available“) (Europäischer Datenschutzausschuss, Guidelines 05/2021 ^[5] on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR, Rn. 7).

Außer in Fällen einer Übertragung im Sinne eines echten aktiven Datenflusses kann eine „Übermittlung“ danach allenfalls dann angenommen werden, wenn Daten dem Importeur auf andere Weise tatsächlich willentlich zur Verfügung gestellt werden. Das kann zwar auch in der Weise geschehen, dass dem Importeur unmittelbarer Zugriff auf einen inländischen Server gegeben wird, von dem die Daten abgerufen werden können. Dass der Einsatz einer Hosting-Infrastruktur eines EU-Anbieters mit U.S.-amerikanischer Muttergesellschaft U.S.-Stellen eine solche direkte Zugriffsmöglichkeit eröffnet, scheint aber nicht einmal die Vergabekammer anzunehmen. Nach Ansicht der Vergabekammer reicht es vielmehr aus, dass sich aus dem U.S.-Überwachungsrecht oder den Nutzungsbedingungen des Cloud-Anbieters ein „latentes Risiko“ eines Zugriffs ergebe. Gemeint ist damit offenbar, dass die Vergabekammer es nicht für ausgeschlossen hält, dass der Cloud-Anbieter eine Zugriffsmöglichkeit eröffnen könnte.

Die Vergabekammer verwechselt damit die tatsächliche Eröffnung eines direkten Zugangs (die ggf. eine „Übermittlung“ i.S.v. Artikel 44 ff. DSGVO darstellen kann) mit der bloßen Gefahr, dass ein solcher Zugang zukünftig unter bestimmten, noch ungewissen Umständen gewährt werden könnte. Eine solches bloßes Risiko (von der Vergabekammer selbst als „latent“ bezeichnet) stellt aber gerade noch keine Übermittlung im Rechtssinne dar. Der Einsatz einer Cloud-Infrastruktur, bei der lediglich ein solches latentes Zugriffsrisiko besteht, ist damit als solcher kein Verstoß gegen die DSGVO.

Dass die Nutzung von Serverkapazitäten eines Cloud-Anbieters, dessen Konzernmutter in den U.S.A. sitzt, bereits eine „Übermittlung“ dorthin darstellt, wird entgegen der Auffassung der VK auch nicht durch den (mittlerweile vom VGH Hessen aufgehobenen) Beschluss des VG Wiesbaden vom 01.12.2021 – 6 L 738/21.WI ^[6] – im „Cookiebot“-Fall bestätigt. Dieser Fall war anders gelagert. Insbesondere erfolgte die Speicherung dort laut Antragsteller-Vortrag direkt auf Servern der U.S.-amerikanischen Muttergesellschaft des Anbieters, auf die die U.S.-Gesellschaft daher unmittelbar zugreifen konnte. Um einen solchen Fall geht es bei der VK Baden-Württemberg nicht.

„Theoretische“ bzw. „latente“ Zugriffsmöglichkeiten für U.S.-Stellen?

Zentraler Irrtum der VK Baden-Württemberg ist indes die pauschale Annahme, der Einsatz von Cloud-Diensten europäischer Anbieter mit U.S.-Konzernmutter würde als solcher bereits ein „latentes Risiko“ eines Zugriffs durch U.S. Stellen eröffnen.

Woraus sich dieses vermeintliche Risiko im Einzelnen ergeben sollen, erläutert die VK nicht. Damit bleibt unklar, ob sie einen Datenzugriff durch die U.S.-Konzernmutter oder von U.S.-Behörden befürchtet, oder beides, und ob sich diese Gefahr aus dem „U.S.-Überwachungsrecht“ (auf das sich der Antragsteller berufen hatte) oder den Nutzungsbedingungen des Anbieters ergeben soll. Hätte die Kammer dies näher analysiert, hätte sie bemerkt, dass ihre Annahme unhaltbar ist, jedenfalls aber jede tragfähige Begründung vermissen lässt.

Direkte Zugriffsmöglichkeit der U.S.-Konzernmutter?

Das gilt zunächst für die (etwaige) Annahme, die vom EU-Anbieter gespeicherten Daten unterlägen aufgrund der Konzernstruktur oder der Nutzungsbedingungen dem direkten Zugriff der U.S.-Konzernmutter. Der Beschluss der Kammer enthält dazu nichts; sie verweist lediglich auf den ihres Erachtens „generalklauselartigen“ Charakter der Vertraulichkeitsregelungen bzw. diesbezüglichen Ausnahmen in den Nutzungsbedingungen des Cloud-Anbieters. Soweit diese Regelungen von der VK mitgeteilt werden, ergibt sich daraus jedoch keineswegs eine direkte Zugriffsmöglichkeit der Muttergesellschaft. Da der Bieter ausschließlich Hosting-Leistungen auf Servern in Deutschland nutzen wollte, lag insbesondere kein Fall vor, in welchem ein Datentransfer in ein Drittland „für die Erbringung der Dienste erforderlich“ war und dementsprechend die diesbezügliche vertragliche Ausnahme gegriffen hätte. Zudem hätte sich die Kammer bei einem befürchteten Datentransfer innerhalb des Konzerns mit dem Einwand des Bieters auseinandersetzen müssen, dass er mit dem Cloud-Anbieter Standardvertragsklauseln im Sinne von Artikel 46 Abs. 2 Buchst. c) DSGVO abgeschlossen habe, die eine Übermittlung zulassen würden. Die VK hat diesen Einwand mit der Begründung zurückgewiesen, die Standardvertragsklauseln bedürften einer Einzelfallprüfung; eine solche hat sie jedoch gerade unterlassen.

Die These vom langen Arm des „U.S.-Überwachungsrechts“ – viel Mythos, wenig Fakten

Die Ausführungen der Vergabekammer legen nahe, dass es ihr vor allem um die vermeintlichen Zugriffsmöglichkeiten von U.S.-Behörden nach den einschlägigen U.S.-Überwachungsvorschriften ging.

Im Fokus der diesbezüglichen Fachdiskussion steht seit längerem der sog. „CLOUD Act“ von 2018. Durch dieses Gesetz wurde der in den U.S.A seit langem geltende „Stored Communications Act“ („SCA“, 18 U.S. Code §§ 2701 ff.), der den U.S.-Ermittlungsbehörden das Recht gibt, von Telekommunikations- und Remote Computing-Anbietern unter bestimmten Voraussetzungen aufgrund gerichtlicher Anordnung die Herausgabe gespeicherter Kundendaten zu verlangen, um eine Klarstellung ergänzt, dass dieses Recht unabhängig davon gilt, ob der Anbieter die Daten innerhalb oder außerhalb der U.S.A. gespeichert hat. Insbesondere in Deutschland wurde und wird hieraus mitunter gefolgert, dass auch europäische Tochterunternehmen von U.S.-Cloud-Anbietern den U.S.-Beschlagnahmevorschriften unterliegen würden.

Das widerspricht jedoch allen internationalrechtlichen Grundsätzen und ist durch nichts belegt. U.S.-Recht gilt – wie jedes nationale Recht – nur für solche Rechtssubjekte, die der Hoheitsgewalt des betreffenden Staates, d.h. hier der U.S.A. unterstehen. Das sind insbesondere U.S.-Bürger und U.S.-Unternehmen sowie Personen und Unternehmen, die sich in den U.S.A. aufhalten oder dort geschäftlich aktiv sind. EU-Unternehmen, die ausschließlich in Europa tätig sind, unterfallen dagegen nicht der U.S.-Hoheitsgewalt. Dass für EU-Unternehmen mit U.S.-amerikanischer Konzernmutter etwas anderes gilt, ist nicht ersichtlich; auch nicht nach dem CLOUD Act. Die U.S.-Regierung hat im Gegenteil in einer offiziellen Erläuterung zum CLOUD Act klargestellt, dass das Gesetz in subjektiver Hinsicht weiterhin ausschließlich für solche Clouddienstleister gilt, die der U.S.-Hoheitsgewalt unterstehen (im Original: „that are subject to U.S. jurisdiction“; U.S. Department of Justice, Promoting Public Safety, Privacy, and the Rule of Law Around the World: The Purpose and Impact oft he CLOUD Act ^[7], White Paper April 2019, Seite 6, 7, und 8).

Soweit im deutschen Schrifttum mitunter vertreten wird, der CLOUD Act gelte auch für EU-Töchter von U.S.-Konzernen (z.B. Rosenkötter/Hansen/Tegeler, NZBau 2021, 355, 357), ist nicht erkennbar, worauf sich das stützt (so verweisen Rosenkötter/Hansen/Tegeler zwar auf Johnson/Brechtel, ITRB 2020, 285, 286; dort findet sich jedoch nichts, was die Annahme stützen würde). Es gibt auch keine U.S.-Rechtsprechung, der zufolge U.S.-Gesetze generell oder der SCA bzw. CLOUD Act im Besonderen auch für EU-Töchter von U.S.-Unternehmen gelten würden.

Verschlüsselung vollständig ausgeblendet

Völlig unverständlich (oder nur vom gewünschten Ergebnis her zu erklären) ist schließlich, dass die Vergabekammer es abgelehnt hat, sich mit dem Einwand auseinanderzusetzen, die Daten würden verschlüsselt und bereits dadurch wirksam gegen einen unzulässigen Zugriff bzw. eine Herausgabe geschützt. Das ist deshalb umso irritierender, als sowohl die europäische Rechtsprechung (etwa der französische Conseil d‘État in der viel beachteten „Doctolib“-Entscheidung vom 12.03.2021, ECLI:FR:CEORD:2021:450163.20210312 ^[8], Tz. 8) als auch deutsche Datenschützer (vgl. die Stellungnahme des baden-württembergischen Datenschutzbeauftragten ^[3] Stefan Brink) einer Datenverschlüsselung zentrale Bedeutung für einen wirksamen Schutz vor unzulässiger Übermittlung im Sinne der DSGVO beimessen. Die Kammer begründete ihr Vorgehen damit, der Bieter habe die konkrete Ausgestaltung der Verschlüsselungstechnik nur der Vergabekammer offengelegt, nicht aber auch der Antragstellerin, weshalb eine Berücksichtigung des Arguments den Anspruch des Antragstellers auf rechtliches Gehör verletzen würde (angelehnt an KG Beschl. v. 18.05.2022 – Verg 7/21).

Die Vergabekammer setzt sich damit zunächst über die Rechtsprechung des BGH hinweg, der zufolge die Nachprüfungsinstanzen sich auch mit Akteninhalten auseinandersetzen müssen, für die ein Beteiligte Geschäftsgeheimnisschutz in Anspruch nimmt. Die Vergabekammer muss in diesem Fall zunächst eine Abwägung zwischen den widerstreitenden Interessen – Schutz des Geschäftsgeheimnisses einerseits und Anspruch des anderen Beteiligten auf rechtliches Gehör andererseits – treffen (BGH Beschl. v. 31.01.2017 – X ZB 10/16 ^[9], Rn. 48 ff.). Kommt die Kammer zu dem Ergebnis, dass die Aktenbestandteile nicht offen zu legen sind, ist der Vortrag gleichwohl nicht pauschal unberücksichtigt zu lassen. Vielmehr muss die Vergabekammer ihn vertraulich (in einem sog. „In-camera-Verfahren“) sachlich prüfen; erweist er sich als entscheidungsrelevant, hat die Vergabekammer ferner zu prüfen, ob er zumindest in allgemeiner oder anonymisierter Form offengelegt werden kann. Dass dieses Vorgehen nur für Inhalte der Vergabeakte des Auftraggebers gelten soll, nicht aber auch für weiteren Vortrag der Beteiligten im Nachprüfungsverfahren (wie das KG in seiner Entscheidung vom 18.05.2022 meint) ist nicht ersichtlich und läuft sowohl dem Zweck des Geheimnisschutzes als auch der Logik des BGH diametral zuwider.

Dass die Kammer es sich zu einfach gemacht hat, ergibt sich aber auch daraus, dass sie sich mit dem Einwand der Verschlüsselung überhaupt nicht auseinandergesetzt hat, obwohl die Beteiligten den Umstand der Verschlüsselung als solchen offengelegt hatten. Unter Verschluss bleiben sollte lediglich die genaue Ausgestaltung der Verschlüsselungstechnik.  Dass es für die Prüfung des Arguments, die Verschlüsselung schließe einen Datenzugriff aus dem Ausland bereits faktisch aus, gerade auf die Einzelheiten der Verschlüsselung angekommen wäre, ist jedoch nicht ersichtlich und wird von der Vergabekammer auch nicht behauptet. Dass die Vergabekammer das völlige Ausblenden des Arguments ausgerechnet mit dem Grundsatz des rechtlichen Gehörs begründet, ist fast schon eine ironische Pointe.

Unabsehbare Konsequenzen für die Praxis

Die Entscheidung der VK ist nicht nur rechtlich unhaltbar, sondern sie würde – wenn sie nicht korrigiert wird – auch die IT-Praxis vor unübersehbare Hürden stellen. Denn die Erwägung der VK, dass die Nutzung von EU-Cloud-Anbietern mit einer Konzernmutter in den U.S.A. oder einem sonstigen Drittland (und das sind nicht nur global, sondern auch in der EU die meisten) gegen die DSGVO verstößt, betrifft keineswegs nur Auftragsvergaben der deutschen öffentlichen Hand. Zu Ende gedacht laufen die Erwägungen der Kammer darauf hinaus, dass solche Cloud-Dienste in der gesamten EU überhaupt nicht mehr zur Verarbeitung personenbezogener Daten eingesetzt werden dürfen, und zwar nicht nur im öffentlichen Sektor, sondern auch im Privatsektor. Das hätte für nicht nur für den IT-Markt, sondern die ganze europäische Wirtschaft unabsehbare Folgen.

Die Gerichte in anderen EU-Ländern haben längst anders entschieden. Bekannt ist vor allem die „Doctolib“-Entscheidung des französischen Conseil d’État, des obersten französischen Verwaltungsgerichts, wonach die Nutzung von AWS-Cloud-Diensten für eine Internet-Buchungsplattform für Impftermine nicht gegen die DSGVO verstößt. Das Gericht begründete das damit, dass die Daten bei dem Dienstleister durch rechtliche und technische Schutzmaßnahmen, insbesondere eine wirksame Verschlüsselung, ausreichend gerade auch gegen einen unzulässigen Zugriff durch U.S.-Behörden geschützt sind (Conseil d’État, Beschl. v. 12.03.2021, ECLI:FR:CEORD:2021:450163.20210312 ^[8]). Dass in Deutschland etwas anderes gelten soll, ist schwer verständlich.

Anmerkung der Redaktion

Dieser Beitrag ist Teil unseres Streitgesprächs: Tochterunternehmen von US-amerikanischen Cloud-Anbietern von europäischen Vergaben auszuschließen? (s. Vergabeblog.de vom 24/08/2022, Nr. 50698 ^[10]).