Das Oberlandesgericht Karlsruhe (OLG Karlsruhe) hat kürzlich den Beschluss der Vergabekammer Baden-Württemberg vom 13. Juli 2022 aufgehoben, in dem festgestellt wurde, dass die bloße Gefahr des Zugriffs auf in der Europäischen Union gespeicherte personenbezogene Daten durch die Amerikanische Behörden würden eine Datenübertragung darstellen, die nicht mit der EU-Datenschutz-Grundverordnung (DSGVO) vereinbar wäre.
Am 7.9 ein Statement abgeben (nur in deutscher Sprache) begründete das OLG Karlsruhe, dass eine Vergabekammer einen Bieter nicht ablehnen könne, nur weil davon ausgegangen werde, dass der Bieter oder seine Unterauftragsverarbeiter gegen ihre eigene vertragliche Pflicht zur Aufbewahrung der Daten in der Europäischen Union verstoßen würden und gegen europäisches Recht verstoßen würde . Die Vergabekammer hatte argumentiert, dass die bloße Risiko für US-Behörden der Zugriff oder der Zugriff auf personenbezogene Daten in der Cloud wäre bereits eine „Übermittlung“ von dieser Tochtergesellschaft nach der DSGVO in ein Land mit unzureichendem Datenschutz (die Vereinigten Staaten) und würde damit den Bieter ausschließen.
Das OLG Karlsruhe erklärte:
Mit der Unterzeichnung der von den Beschwerdegegnern vorgelegten DSGVO-Verträge hat die zum Verfahren eingeladene Partei erklärt, sich an deren Bestimmungen zu halten. Im Beschaffungsangebot hat sie auch ihre Leistungen für den Einsatz von Dienstleistern und im Bereich Datenschutz und IT-Sicherheit detailliert dargestellt; sie hat damit ein klares und eindeutiges leistungsversprechen abgegeben. Diesbezüglich hat es zugesichert, dass personenbezogene Gesundheitsdaten nur an ASà.rl übermittelt werden. übertragen werden [the Luxembourg entity], und die EU zu keiner Datenverarbeitung verlassen, sondern die Daten ausschließlich in Deutschland verarbeitet werden. Darüber hinaus erklärte der zum Verfahren geladene Beteiligte, dass ASà.rl . . . hatte ihr zugesichert, dass alle Daten der Angeklagten in Deutschland verarbeitet würden und hatte auch während der Gerichtsverhandlung bestätigt, alle intern notwendigen Verträge mit A abzuschließen. [S.a.r.l.] bis das Angebot ausgeführt wurde, wodurch die im Angebot eingegangenen Verpflichtungen erfüllt wurden. Mit einer solchen verbindlichen Rechtszusage haben die Beklagten die Ausführungen des Verfahrensgeladenen in den Spruchunterlagen in gleicher Weise verstanden. Auf dieses Leistungsversprechen können sich die Beklagten berufen.
Das OLG Karlsruhe hat entschieden, dass der bloße Umstand, dass ASà.rl eine Tochtergesellschaft eines amerikanischen Konzerns ist, den Beschwerdegegnern keinen Anlass gibt, an der Erfüllung des Leistungsversprechens zu zweifeln oder dass es rechtswidrige Weisungen an die Tochtergesellschaft geben würde und die Vertrag, oder dass die europäische Tochtergesellschaft solche Anweisungen der US-Muttergesellschaft durch ihre Direktoren rechtswidrig befolgen würde. Das OLG Karlsruhe brachte als Kernargument vor, dass die Datenübermittlung in die Vereinigten Staaten für sich genommen „keinen Zweifel am Leistungsversprechen der Beklagten aufkommen lässt“. Grundsätzlich besteht keine Vermutung, dass eine EU-Tochtergesellschaft eines US-Cloud-Anbieters gegen EU-Recht verstoßen würde.
Was können wir dieser Aussage entnehmen? Dieses Urteil ist für viele US-Cloud-Unternehmen eine große Erleichterung, da nun klar ist, dass sie von Ausschreibungen in Deutschland nicht ausgeschlossen sind, obwohl das Gericht nicht auf das Argument der Vergabekammer eingegangen ist, dass die bloße Möglichkeit des Zugriffs auf Daten von außerhalb der Europäischen Union durch eine US-Muttergesellschaft wäre eine „Übertragung“ im Sinne der DSGVO. Das OLG Karlsruhe scheint jedoch davon auszugehen, dass die bloße Gefahr des Zugriffs von US-Behörden auf europäische Personendaten unerheblich ist, da sonst jeder Bieter mit US-Präsenz von der Ausschreibung ausgeschlossen würde. Die Entscheidung des OLG Karlsruhe ist endgültig.