AWS-Cloud der luxemburgischen Tochter kann DSGVO-konform mit vertraglichen Zusage und Servern in Frankfurt eingesetzt werden
Mit Beschluss vom 7.9.2022 hat das OLG Karlsruhe die umstrittene Entscheidung der Vergabekammer Baden-Württemberg vom 13.07.2022 aufgehoben, mit der ein Wettbewerber erfolgreich den Ausschluss eines Anbieters mit AWS-Cloud wegen Verstoß gegen die DSGVO in einem Vergabeverfahren eines öffentlich-rechtlichen Krankenhauses erwirkt hatte. Laut Vorinstanz (Vergabekammer Baden-Württemberg 13.7.2022, – 1 VK 23/22) war das Angebot mit AWS-Cloudservices trotz Vertrag mit der luxemburgischen Tochter und Serverstandort Frankfurt am Main nicht vereinbar mit der DSGVO, weil das latente Risiko eines Zugriffs der US-amerikanischen Mutter bzw. der US-Behörden auf die sensiblen Patientendaten bestehe, und zwar auch dann, wenn wie hier die Daten in einer europäischen Serverumgebung der luxemburgischen Tochtergesellschaft des US-amerikanischen Amazon-Web-Services-AWS-Konzerns gespeichert sind. Laut Vorinstanz sei der Serverstandort Frankfurt am Main unbeachtlich, da allein die latente Möglichkeit des Zugriffs der US-Behörden oder US-Muttergesellschaft Amazon Web Services aufgrund der US-amerikanischen Gesetzeslage ein erhebliches latentes Risiko einer unzulässigen Übermittlung der Patientendaten in die USA darstelle. Die USA ist datenschutzrechtlich ein unsicheres Drittland, in dem europäische Patienten praktisch keinen Rechtsschutz wegen Verletzung ihrer Datenschutz- und Persönlichkeitsrechte haben. Diese umstrittene Entscheidung hatte Aufsehen erregt, da es ja nur um das latente Risiko einer Übermittlung oder Zugriff aus den USA ging, die Server in Frankfurt/Main in einem sicheren Rechenzentrum stehen und AWS vertraglich zusichert, dass kein Zugriff aus Drittländern wie den USA gewährt wird. Nun hat laut Pressemeldung des Gerichts das OLG Karlsruhe mit Beschluss vom 7.9.2022, Aktenzeichen 15 Verg8/22 diese Entscheidung wieder aufgehoben. Die Entscheidung ist rechtskräftig.
Auftraggeber kann sich auf Zusagen verlassen, solange keine anderen Anhaltspunkte bekannt sind
Laut Pressemeldung ist der wesentliche Grund, dass die Krankenhausgesellschaft sich nach Ansicht des Senats durchaus auf die verbindlichen vertraglichen Zusagen des Anbieters verlassen dürfe, dass die Daten allein auf den Servern in Frankfurt am Main der luxemburgischen Tochter von AWS gespeichert bleibe und hierfür auch technische und organisatorische Maßnahmen getroffen worden seien. Erst wenn es tatsächliche Anhaltspunkte dafür gebe, dass die vertraglich gemachten Zusagen insofern nicht eingehalten werden, gelte anderes.
Praxishinweis
Damit hat das OLG Karlsruhe ein für die Praxis wichtige Entscheidung getroffen, wonach unter Umständen auch europäische Tochtergesellschaften, die entsprechende vertragliche und technisch-organisatorische Maßnahmen zum Schutz vor unbefugten Zugriffen getroffen haben, einsetzbar sind. Dies ist für die Praxis in vielen Bereichen wichtig, da gerade im Bereich von Hosting und sonstigen Clouddiensten oft US-amerikanische Unternehmen verbundene Unternehmen der europäischen Anbieter sind und auf diese Weise in vielen Bereichen viele Anbieter für deutsche oder europäische Anwenderunternehmen nicht DSGVO-konform einsetzbar wären, wenn sensible Kunden- oder Mitarbeiterdaten im Spiel sind. update: Die Entscheidung liegt inzwisschen im Volltext OLG Karlsruhe (Az.15 Verg 8/22) vor. Stark verkürzt ergibt sich die wesentliche Begründung bereits aus der Pressemeldung vom 7.9.2022 OLG Karlsruhe Beschluss Az. 15 Verg 8/22
Haben Sie ähnliche Fragen?
Haben Sie Fragen zur DSGVO-Konformität oder andere vertragliche Fragen beim Einsatz eines IT-Dienstleisters? Gerne übernehme ich eine Vertragsprüfung und berate Sie hierzu, damit Sie eine Haftung oder Bußgelder bei Rechtsverstößen vermeiden können. Schreiben Sie mir gerne eine Nachricht mit qualifizierter Anfrage.