Prüfen Sie genau, wem Sie Ihre Daten anvertrauen
Am 13.07.2022 hat die Vergabekammer in Baden-Württemberg die richtungsweisende Entscheidung getroffen, dass es unzulässig ist, wenn deutsche Tochterunternehmen von US-Firmen Server- und Clouddienstleistungen in Deutschland erbringen (siehe 1, 2, 3). Grund hierfür ist der Wegfall des EU-US Privacy Shields. Hierbei handelte es sich um den Schutz von personenbezogenen Daten, die aus der EU nach Amerika übermittelt wurden. Am 12.Juli 2016 trat das Privacy Shield in Kraft, wurde jedoch am 16.Juli 2020 durch den Europäischen Gerichtshof für ungültig erklärt.
Es blieb bisher ungeklärt, ob die Vergabe von Aufträgen an deutsche US-Tochterfirmen seit dem noch zulässig ist. Die Entscheidung der Vergabestelle Baden-Württemberg über die Unzulässigkeit beruht darauf, dass der US-Mutterkonzern die Möglichkeit hat, auf die personenbezogenen Daten zuzugreifen. Allein diese Möglichkeit führe zu einer Datenweitergabe im Sinne der DSGVO.
Die Entscheidung war nicht rechtskräftig, sorgte jedoch für viel Verunsicherung, denn sie betrifft den Einsatz vieler bekannter Cloud-Anbieter, wie Amazon, Microsoft und Google, deren Nutzung damit in Deutschland illegal wäre. Öffentliche Auftraggeber hätten dadurch bei der Beschaffung von Dienstleistungen gegen das Vergaberecht verstoßen.
Zwischenzeitlich hat das Oberlandesgericht Karlsruhe entschieden (siehe 4), dass in der EU ansässige Tochterfirmen von US-Cloud-Anbietern nicht pauschal von öffentlichen Vergabeverfahren ausgeschlossen werden können. Dennoch muss man bei Vergaben an Tochtergesellschaften von nicht in der EU ansässigen Unternehmen besonders auf die DSGVO achten. Wichtig ist unter anderem eine Zusicherung, dass Daten ausschließlich innerhalb Deutschlands verarbeitet und gespeichert werden. Jedoch zeigt die Kontroverse einmal mehr auf, wie wichtig es ist, genau zu prüfen, wem man seine Daten anvertraut.
Wo Sie und Ihre Daten auf jeden Fall in sicheren und kompetenten Händen sind, ist natürlich bei uns. Als Unternehmen mit Sitz in Karlsruhe und Rechenzentrum in Frankfurt/Main können wir die Einhaltung der DSGVO stets gewährleisten und räumen Ungewissheit somit schon vorab aus dem Weg. Gerne beraten wir Sie. Sprechen Sie uns einfach an.