Die Frage, ob und unter welchen Bedingungen Datenübermittlungen an unsichere Drittländer, wie derzeit (noch) die USA rechtmäßig sind, wird ein zunehmend auch im Vergaberecht relevantes Thema. Dort entschied jetzt die zweite Vergabekammer des Bundes über die Zulässigkeit von Drittlandübermittlungen bei abstrakten Zugriffsrisiken aus Drittländern auf in der EU gespeicherte Daten (VK-2–114/22). Demnach kann ein Angebot einer Unterauftragnehmerin mit US-Mutterkonzern nicht wegen eines abstrakten Zugriffsrisikos aus den USA etwa nach dem CLOUD Act vergaberechtlich ausgeschlossen werden. Eine Weisung des Mutterkonzerns, in der EU gespeicherte Daten über die Muttergesellschaft an US-amerikanische Behörden herauszugeben, wäre zunächst weisungs- und vertragswidrig, mitunter sogar im konkreten Fall ein Verstoß gegen §80 Abs. 2 SGB X. Die Vergabekammer führt dazu aus:
„Würde die Annahme vorherrschen, dass Daten, insbesondere grundrechtlich besonders schützenswerte Sozialdaten, bei Auftragsdatenverarbeitung durch ein europäisches Tochterunternehmen eines amerikanischen Konzerns aufgrund der amerikanischen Rechtslage nicht sicher sind, so bedürfte es der Schaffung einer gesonderten Rechtsgrundlage für einen Ausschluss dieser Unternehmen vom für alle Unternehmen ungeachtet ihrer Nationalität offenen und durch den Wettbewerbsgrundsatz geprägten Vergabewettbewerb, etwa in Gestalt einer EU-Verordnung vergleichbar der EU-Verordnung 2022/576 vom 8. April 2022, mit der – aus völlig anderen Gründen – russische Unternehmen vom Vergabewettbewerb ausgeschlossen werden. Die Gefährdungslage wird seitens der EU jedoch ganz offenbar völlig anders eingeschätzt als die ASt diese beurteilt, denn es ist ein neuer Angemessenheitsbeschluss in Bezug auf die Vergleichbarkeit der Datenschutzniveaus in den USA in Vorbereitung, dessen Inkrafttreten in Kürze erwartet wird. Die Thematik wird sich mit Inkrafttreten eines solchen Beschlusses ohnehin erledigen.“
Weiter warnt die Vergabekammer vor einem pauschalen Ausschluss vom Wettbewerb:
„Ein generelles Restrisiko, wonach ein Auftragnehmer seine Verpflichtungen nicht einhält, besteht gleichwohl stets. Wollte man aufgrund des US-Cloud Act etc., also der Rechtslage in den USA, und einer daraus resultierenden besonderen Belastung für die Unterauftragnehmerin, die aus der Nichtbeachtung einer Weisung der Muttergesellschaft folgen könnte, die Konsequenz ziehen, dass abgegebene Datenschutzerklärungen und -zusicherungen wie nicht abgegebene Erklärungen anzusehen sind und damit einen zwingenden Ausschlussgrund in Bezug auf das Angebot bedingen, so würde die Unterauftragnehmerin und mit ihr die Bg im Ergebnis haftbar gemacht für eine Rechtslage im Ausland. […] Der pauschale Ausschluss vom Wettbewerb stellt einen gravierenden und diskriminierenden Eingriff in die Rechte der Unternehmen dar, siehe die Ausführungen von[…], dies auf Basis einer Rechtslage in USA, welche die Unternehmen nicht zu vertreten haben und auf die sie auch keinen Einfluss haben. Die Bg und ihre Unterauftragnehmerin haben wie die ASt alles getan, was in ihrer Macht steht, und ein korrektes Angebot abgegeben.“
Auch für das Datenschutzrecht sind diese Aussagen bedeutsam: Denn die Ansicht der Vergabekammer bestätigt unsere Einschätzung, wonach ein abstraktes Zugriffsrisiko aus einem unsicheren Drittland auf in der EU/dem EWR gespeicherte personenbezogene Daten keine Übermittlung i.S.d. Art. 44 ff. DSGVO ist, also auch keiner Absicherung bedarf. Ebenso kann entgegen der Annahmen der Aufsichtsbehörden im Datenschutz in Deutschland ein derartiges, abstraktes Zugriffsrisiko auch keine mangelnde Zuverlässigkeit eines in der EU belegenen Auftragsverarbeiters nach einer Prüfung gemäß Art. 28 Abs. 1 DSGVO begründen, wenn im Übrigen die Vorgaben aus Art. 44 ff. DSGVO bei etwaigen Drittlandübermittlungen durch den Auftragsverarbeiter eingehalten sind. Vielmehr wären eigenmächtige Zugriffe aus einem Drittland auf in der EU gespeicherte Daten ein schlichtweg rechtswidriges Handeln eines nicht der Auftragsverarbeitung beteiligten Dritten. Hiergegen muss der Auftragsverarbeiter – wie bei jedem anderen Risiko eines missbräuchlichen Zugriffs auch, z.B. durch Cyberkriminelle – geeignete technische und organisatorische Maßnahmen i.S.d. Art. 32 Abs. 1 DSGVO treffen. Nicht mehr, aber auch nicht weniger.