Frau Werry, das OLG Karlsruhe hat vergangenen Mittwoch eine unter Datenschützern umstrittene Entscheidung der Vergabekammer Baden-Württemberg aufgehoben. Worum ging es?

Die Vergabekammer hatte über einen Fall zu entscheiden, der die Beschaffung von Software durch öffentliche Auftraggeber betraf. Die Kammer entschied, dass ein Bieter vom Verfahren auszuschließen sei, weil der Bieter eine in der EU ansässige Tochtergesellschaft eines US-amerikanischen Cloud-Anbieters als Unterauftragnehmer für die Erbringung von Dienstleistungen angegeben hatte. Nach Ansicht der Kammer liege hierin schon eine unzulässige Übermittlung von personenbezogenen Daten in die USA vor und damit ein Verstoß gegen die DSGVO sowie die Vergabekriterien.

Wie ist es ausgegangen?

Diese Entscheidung hat das OLG Karlsruhe nun aufgehoben. Das Gericht ist der Einschätzung der Vergabekammer nicht gefolgt. Nach Ansicht des OLG dürften sich die öffentlichen Auftraggeber auf die verbindlichen Zusagen der Anbieterin verlassen, dass personenbezogene Daten nur in Deutschland verarbeitet und nicht in die USA übermittelt werden. Vor allem müssten sie nicht erwarten, dass die Tochtergesellschaft des US-Cloud-Anbieters vertragswidrige und gegen die DSGVO verstoßende Weisungen befolgen und die Daten in die USA übermitteln wird.

Warum wird dieses Verfahren so heiß diskutiert?

Datenschützer haben das Verfahren mit großer Aufmerksamkeit verfolgt, denn die Entscheidung ist auch außerhalb des vergaberechtlichen Kontexts von Bedeutung. Es geht um die grundsätzliche Frage, ob und unter welchen Voraussetzungen eine Zusammenarbeit mit europäischen Tochtergesellschaften von US-amerikanischen Gesellschaften unter der DSGVO rechtlich möglich ist. An der Entscheidung der Vergabekammer wurde insbesondere kritisiert, dass schon das „latente Risiko“ eines Zugriffs auf personenbezogene Daten durch US-Behörden eine Übermittlung dieser Daten in die USA darstellen solle.

Was ist problematisch an einer Datenübertragung in die USA?

Die DSGVO schreibt vor, dass die Übermittlung von personenbezogenen Daten in ein Land außerhalb der EU nur erlaubt ist, wenn das hohe europäische Datenschutzniveau im Wesentlichen auch im Empfängerland gewährleistet ist. Bis Juli 2020 wurde dies für die USA über das sogenannte Privacy-Shield-Abkommen erreicht. Seit dieses vor zwei Jahren durch den Europäischen Gerichtshof für ungültig erklärt wurde, besteht große Rechtsunsicherheit in Bezug auf Datenübermittlungen in die USA. Ein Nachfolgeabkommen ist geplant, dieses gibt es aber noch nicht.

Wie bewerten Sie, dass die Entscheidung der Vergabekammer nun aufgehoben wurde?

Ich halte die Aufhebung für richtig, denn die Entscheidung der Vergabekammer war aus meiner Sicht rechtlich nicht tragbar und praxisfern. Wäre das OLG der Rechtsauffassung der Vergabekammer gefolgt, hätte dies die künftige Zusammenarbeit von deutschen Unternehmen und US-Cloud-Anbietern extrem er­schweren können. Für Unternehmen bedeutet der Beschluss des OLG eine enorme Erleichterung. Es wurde bestätigt, dass die Zusammenarbeit mit europäischen Tochterunternehmen von US-amerikanischen Ge­sellschaften rechtskonform möglich ist. Es müssen die vom EuGH entwickelten Anforderungen zum Schutz vor Zugriff durch US-Behörden getroffen werden. Gerade US-Cloud-Anbieter haben in den vergangenen Jahren viel investiert, um einen rechtskonformen Einsatz ihrer Dienste zu ermöglichen, zum Beispiel durch Server in der EU und Verschlüsselungsverfahren. Dies wurde im Ergebnis durch das OLG honoriert.

Ein Einzelfall?

Es zeigt sich, dass die Gerichte in Deutschland gerade in Sachen Datenschutz als wichtiges Korrektiv für ausufernde Entscheidungen der Verwaltung operieren können. So reduzierte das Landgericht Bonn letztes Jahr ein gegen 1&1 Telecommunication verhängtes Bußgeld in Höhe von circa 9,5 Mill. auf 900000 Euro. Für Unternehmen kann es sich also durchaus lohnen, datenschutzrechtliche Entscheidungen von Behörden gerichtlich anzugreifen.

Susanne Werry ist Counsel und Mitglied der globalen Tech Group von Clifford Chance.

Die Fragen stellte Sabine Wadewitz.