Der Beschluss der Vergabekammer Baden-Württembergs für den Ausschluss der europäischen Tochter eines US-Cloudanbieters wurde durch das Oberlandesgericht Karlsruhe aufgehoben. Geklagt hatte ein Unternehmen, das als Hostinganbieter einen Luxemburger Couddienstleister mit amerikanischer Muttergesellschaft in Anspruch genommen hatte. Das in Luxemburg beheimatete Unternehmen hatte vertraglich zugesichert, dass sämtliche Verarbeitungen personenbezogener Daten ausschließlich in Europa ohne Datentransfer in die USA stattfinden würde.
Die Richter am OLG befanden, dass diese vertragliche Zusicherung ausreicht und ohne begründeten Verdacht auf Zuwiderhandlung kein Anlass bestünde, den Anbieter vom Vergabeverfahren auszuschließen.
Karlsruhe korrigiert eine Fehlentwicklung
Mit dieser Entscheidung korrigiert das OLG eine Fehlentwicklung, die einer großen Anzahl von Unternehmen erhebliche Sorgen bereitet hat. Fast kein größeres Unternehmen kommt ohne die Dienstleistungen US-amerikanischer IT-Konzerne aus. Nach dem Schrems II Urteil des europäischen Gerichtshofs ist der Transfer personenbezogener Daten in die USA nur unter der Bedingung zusätzlicher Absicherungen zur Anwendung der Standarddatenschutzklauseln der EU möglich.
Die Vergabekammer hatte mit der (theoretischen) Möglichkeit eines vertragswidrigen Datenabflusses argumentiert und einen Anbieter, der auf die Dienste der europäischen Tochter eines US-Anbieters zurückgriff, vom Bieterverfahren ausgeschlossen.
Die Praxis vieler Unternehmen, über ein europäisches Unternehmen datenschutzrechtliche Garantien vertraglich zu verankern, wurde mit dem Beschluss des OLG gestärkt.
Kein Freibrief: Einzelfallprüfung erforderlich
Eine generelle Unbedenklichkeitsbescheinigung stellt die Entscheidung des OLG definitiv nicht dar. Im Einzelfall sind die jeweiligen vertraglichen Bedingungen zu prüfen und an den Anforderungen der DSGVO und des BDSG auszurichten. Die Prüfung ist in die Pflichtdokumentation nach DSGVO aufzunehmen und das Ergebnis zu dokumentieren.
Generell bleibt die Verpflichtung des Verantwortlichen bestehen, die Einhaltung vertraglicher Bestimmungen durch Auftragsverarbeiter nach Art. 28 zu kontrollieren und diese Kontrollen ggf. nachzuweisen. (Weitere Infos zur Auftragsverarbeitung und Kontrolle finden Sie hier auf dieser Seite.)
Fragen?
Bei Fragen zum Thema kontaktieren Sie uns doch einfach über unser Kontaktformular.