Möglichkeit der Weitergabe von personenbezogenen Daten von europäischen Tochterunternehmen an US-Mutterkonzernen stellt eine unzulässige Übermittlung an Drittstaaten dar
Die Vergabekammer Baden-Württemberg hat mit Urteil vom 13.07.2022 (1 VK 23/22) entschieden, dass schon die Möglichkeit der Übermittlung personenbezogener Daten an ein Tochterunternehmen eines US-Konzerns eine unzulässige Übermittlung im Sinne des Art. 44 S. 1 DSGVO darstellt.
In dem Vergabeverfahren für eine Software wurde als Vergabevoraussetzung festgelegt, dass die angebotene Software den technischen Anforderungen der DSGVO genügen muss.
Diesen Anforderungen genügte das Angebot eines Bewerbers nicht. Der Bewerber war ein Unternehmen mit Sitz in Europa, auch die zum Unternehmen zugehörigen Server hatten ihren physischen Standort in Europa. Der Bewerber war allerdings die Tochter eines Konzerns, der in den USA ansässig ist. Das Tochterunternehmen hatte mit dem Mutterkonzern zwei Vereinbarungen abgeschlossen, die den Mutterkonzern zwar verpflichten die vom Tochterunternehmen erlangten personenbezogenen Daten nicht zu nutzen.
Allerdings wurden auch gleich mehrere Ausnahmen von diesem Grundsatz aufgenommen:
Die Daten dürfen genutzt werden, wenn dies für die Erhaltung oder Zurverfügungstellung der Dienste erforderlich ist, wenn es zur Einhaltung des geltenden Rechts notwendig ist oder wenn dies durch einen Akt hoheitlicher Gewalt angeordnet wird. Gleichzeitig verpflichtete sich der Mutterkonzern auch dazu, jede Entscheidung über die Nutzung der Daten anzufechten. Das Tochterunternehmen hatte im Vergabeverfahren den Zuschlag erhalten.
Die Antragstellerin, ebenfalls Bewerberin in dem Vergabeverfahren, rügte, dass das Angebot des Mitbewerbers mit US-Mutter nicht den Anforderungen der DSGVO entspreche, insbesondere gegen die Art. 44 ff. DSGVO verstoße, und daher von dem Vergabeverfahren auszuschließen sei. Durch die Vereinbarung zwischen Mutter- und Tochterunternehmen bestehe die stets vorhandene latente Gefahr der Übermittlung personenbezogener Daten in ein Drittland.
Dieser Auffassung folgte die Vergabekammer Baden-Württemberg.
Die Nutzung von Diensten des Tochterunternehmens verstößt nach Ansicht der Kammer gegen Art. 44 ff. DSGVO. Gem. Art. 44 Satz 1 DSGVO ist jede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, nur zulässig, wenn einer der besonderen Erlaubnisgründe der Art. 44 ff. DSGVO vorliegt.
Kernfrage der Entscheidung war also, ob schon die latente Gefahr der Übermittlung personenbezogener Daten in ein Drittland eine Übermittlung im Sinne des Art. 44 S. 1 DSGVO darstellt. Dies wird von der Kammer bejaht.
Die Übermittlung im Sinne des Art. 44 S. 1 DSGVO sei anders zu verstehen, als in Art. 4 Nr. 2 DSGVO, da Art. 44 S. 2 DSGVO ein höheres Schutzniveau der Vorschriften bestimme. Der Begriff der Übermittlung im Sinne des Art. 44 S. 1 DSGVO sei daher weit zu verstehen. Übermittlung sei dabei jede Offenlegung personenbezogener Daten gegenüber einem Empfänger in einem Drittland oder einer internationalen Organisation, wobei es weder auf die Art der Offenlegung, noch auf die Offenlegung gegenüber einem Dritten ankomme. Eine solche Offenlegung liegt auch vor, wenn die Einstellung personenbezogener Daten auf eine Plattform erfolge, auf die von einem Drittland aus zugegriffen werden kann, und zwar unabhängig davon, ob ein solcher Zugriff auch tatsächlich erfolge.
Aus diesem Grund sei auch der physische Standort der Server unerheblich. Die Kammer begründet diese Auffassung mit Art. 44 S. 2 DSGVO. Dieser mache deutlich, dass der Schutzzweck der Bestimmung ein hohes Schutzniveau für natürliche Personen gewährleisten soll, und daher bereits ein latentes Risiko ausreiche, da dieses keine in der DSGVO normierte rechtliche Grundlage finde.
Die durch die Vereinbarung zwischen Tochterunternehmen und US-Mutterkonzern geschaffene Möglichkeit, in bestimmten Fällen durchaus auf die personenbezogenen Daten zuzugreifen, stelle eine solche latente Gefahr dar. Das Tochterunternehmen gebe die bereitgestellten Daten zumindest partiell aus der Hand. Daran ändere auch nichts, dass sich der Mutterkonzern dazu verpflichtet habe, Entscheidungen über die Nutzung der Daten anzufechten. Trotz dieser Verpflichtung bestehe die latente Gefahr weiter.
Aufgrund des Fehlens eines besonderen Erlaubnisgrundes nach Art. 44 ff. DSGVO stellte die Nutzung des Dienstes also einen Verstoß gegen die DSGVO dar, weswegen die US-Tochter als Bewerberin von dem Vergabeverfahren auszuschließen war.
© Stefan Müller-Römer, Joshua Müller, April 2023