US-Cloudprovider nicht DSGVO-konform
In Baden-Württemberg beschäftigt sich die Vergabekammer aktuell mit einem äußerst spannenden Fall in Bezug auf die Nutzung von Cloud-Providern, der je nach Ausgang erhebliche Auswirkungen für Anbieter und Einrichtungen im Rahmen der Ausschreibungen haben könnte. Die Entscheidung ist bisher noch nicht rechtskräftig.
Inhalt des Streitgegenstands
Hintergrund war eine öffentliche Ausschreibung zu einem Entlassmanagement, bei der ein Bieter seine Dienstleitungen mit Amazon Webservices (AWS) als Subunternehmer anbot. In den Ausschreibungsunterlagen war aber die Konformität zur DSGVO gefordert.
Ein unterlegener Bieter, welcher ausschließlich europäische Rechenzentren nutzt, legte gegen die Vergabe Einspruch ein. Der Bieter bekam in dieser Sache Recht: Die Nutzung von Amazon Webservices sei nicht datenschutzkonform, da eine Übermittlung in die Vereinigten Staaten nicht ausgeschlossen werden könne. Die Standardvertragsklauseln bieten demnach keinen ausreichenden Schutz.
Achtung: Hierbei handelt es sich bisher um kein allgemeingültiges, rechtskräftiges Urteil. Bisher gilt dies nur in Baden-Württemberg und ausschließlich für den vorliegenden Fall.
Unsere Empfehlung für Sie:
- Werfen Sie einen kritischen Blick auf erstellte oder sich in der Erstellung befindenden Ausschreibungsunterlagen. Überarbeiten Sie Ihren Anforderungskatalog dahingehend, dass Anforderungen klar und eindeutig formuliert sind.
- Nehmen Sie hier Abstand von zu pauschalen Angaben, wie „agieren Sie datenschutzkonform“?
- Die Zusammenarbeit mit US-Anbietern (auch Subunternehmern) muss immer als existierendes Risiko in Ihre Risikobetrachtung mit einfließen, da immer ein Restrisiko besteht, dass dieser Datentransfer nicht zulässig ist.
Was diese in Bezug auf die existierenden (KHZG-)Ausschreibungen bedeutet, bleibt abzuwarten. Wir halten Sie über weitere Entwicklungen auf dem Laufenden!