Die Vergabekammer Baden-Württemberg (VK) hat am 13. Juli 2022 (Az. 1 VK 23/22) einen nicht rechtskräftigen Beschluss gefasst, der Wellen geschlagen hat (siehe dazu z.B. die Kanzlei der erfolgreichen Bieterin, eine Diskussion auf Twitter und die Anmerkung von Martin Steiger).
Es ging um eine Ausschreibung eines öffentlichen Organs, an dem die bisher erfolgreiche Bieterin und eine Konkurrentin teilgenommen hatten (letztere die “Beigeladene” im Beschluss). Diese Konkurrentin hatte im Verfahren eine in der EU ansässige Tochter eines Cloud-Anbieters mit Konzerngesellschaften in den USA als Auftragsbearbeiterin genannt. Dem Beschluss ist zu entnehmen, dass diese nicht weitere Gesellschaften in den USA als Unterauftragsbearbeiter hinzuziehen würde.
Der Zuschlag ging zunächst an die erfolgreiche Bieterin. Dagegen hatte sich die Konkurrentin gewehrt, worauf die Ausschreibung erneuert wurde. Teil des Lastenhefts war dabei, dass die Anforderungen der DSGVO erfüllt werden. Daraufhin verlangte die erfolgreiche Bieterin, die Konkurrentin sei vom Vergabeverfahren auszuschliessen, u.a. weil die genannten Bedingungen nicht erfüllt seien.
Argumente der Parteien
Die erfolgreiche Bieterin brachte im Wesentlichen vor, die Konkurrentin setze einen Rechenzentrumsbetreiber ein, dessen Konzernunternehmen in Drittstaaten ansässig sei. Es finde eine unzulässige Übermittlung in die USA statt, weil das “US-Überwachungsrecht” ein “latentes Risiko” schaffe, dass es zu einer effektiven Übermittlung in die USA komme. Dies sei bereits eine Übermittlung i.S.v. DSGVO 44 ff.
Die unterlegene Bieterin brachte dagegen vor,
- eine Übermittlung setze immer eine Datenverarbeitung voraus (nach DSGVO 4 Nr. 2: “Verarbeitung [bezeichnet] jeden […] Vorgang […] im Zusammenhang mit personenbezogenen Daten wie […] die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung […]”). Eine theoretische Zugriffsmöglichkeit stelle aber keine Verarbeitung dar und sei folglich auch keine Übermittlung in einen Drittstaat.
- Unabhängig davon sei eine Übermittlung – so es denn eine solche gibt – durch die Standardvertragsklauseln legitimiert, die nach den Vertragsdokumenten zur Anwendung kommen. Auch werden ergänzende Regelungen vereinbart, die die vom EuGH geforderten “weiteren Massnahmen” umsetzen.
Erwägungen der Vergabekammer
Die VK sieht eine unzulässige Übermittlung in die USA:
- Der Begriff der Übermittlung werde zwar in DSGVO 4 Nr. 2 als Beispiel einer Verarbeitung erwähnt, aber der Begriff der “Offenlegung durch Übermittlung” i.S.v. DSGVO 4 Nr. 2 sei nicht derselbe wie der Begriff der “Übermittlung” i.S.v. DSGVO 44 ff. Es genüge vielmehr jede Offenlegung, auch ohne Verarbeitung.
- Eine solche Offenlegung sei schon dann anzunehmen, wenn Personendaten auf eine Plattform gestellt werden, auf die von einem Drittland aus zugegriffen werden kann, “und zwar unabhängig davon, ob der Zugriff tatsächlich erfolgt”. Eine Zugriffsmöglichkeit konstituiere “ein latentes Risiko, dass eine unzulässige Übermittlung personenbezogener Daten stattfinden kann”.
- Gemäss dem Vertragswerk der Cloud-Anbieterin können Kundendaten u.a. dann offengelegt werden, wenn dies zur Einhaltung von Gesetzen oder wirksamen und rechtskräftigen Anordnungen staatlicher Stellen erforderlich ist. Zwar müssen zu weitgehende oder unangemessene Anfragen staatlicher Stellen angefochten werden. Diese Bestimmungen eröffnen staatlichen und privaten Stellen in den USA aber dennoch eine Möglichkeit, auf Kundendaten zuzugreifen. Dieses latente Risiko reiche für eine unzulässige Übermittlung aus:
-
Es kommt insofern nicht darauf an, ob und wie naheliegend der Eintritt der in den beiden Klauseln niedergelegten Umstände, die für einen Zugriff im Einzelfall erforderlich sind, ist. Schließlich kann sich das latente Risiko jederzeit realisieren. Die Beigeladene gibt durch die Eingehung der Vereinbarung mit [der Cloud-Anbieterin] die Einflussmöglichkeiten im Hinblick auf die der [Cloud-Anbieterin] anvertrauten Daten jedenfalls partiell aus der Hand.
- Die Pflicht, bestimmte Anfragen anzufechten, beseitige das latente Risiko eines Zugriffs nicht.
- Auch die von derr unterlegenen Bieterin eingesetzte Verschlüsselungstechnik reiche nicht. Dies prüfte die Vergabekammer allerdings nicht in der Sache, weil die Cloud-Anbieterin die entsprechenden Unterlagen nur unter der Bedingung offenlegen wollte (oder durfte), dass sie den übrigen Beteiligten nur geschwärzt offengelegt werden; solche Unterlagen sollen nicht Gegenstand der Akten der Vergabekammer werden.
- Die SCC seien “nicht geeignet, Übermittlungen per se zu legitimieren; vielmehr bedarf es insofern einer Einzelfallprüfung”. Diese führe zur Annahme der datenschutzrechtlichen Unzulässigkeit.
Anmerkungen
Die Erwägungen der VK sind abzulehnen. Die VK hat es sich viel zu leicht gemacht. Wenn sie tatsächlich der Meinung ist, die theoretische Zugriffsmöglichkeit durch US-Behörden stelle bereits eine Übermittlung i.S.v. DSGVO 44 ff. dar, hätte sie prüfen müssen, ob tatsächlich eine Zugriffsmöglichkeit durch die US-Behörden besteht, was sie allerdings unterlassen hat (dazu unten). Aber auch ihre weite Auslegung des Übermittlungsbegriffs ist abwegig. Dass sie sich mit diesen Fragen nicht ausreichend auseinandergesetzt hat, zeigt sich auch darin, dass die VK von einer “Weitergabe” spricht, die Begriffe also selbst nicht konsistent verwendet.
Begriff der Übermittlung
Vor‑, aber eigentlich Nebenfrage: Übermittlung als Verarbeitung?
Die VK will die Übermittlung i.S.v. DSGVO 44 ff. nicht als Anwendungsfall der Verarbeitung verstehen. Offenbar will sie damit begründen, dass keine Verarbeitung für die Übermittlung erforderlich sei und letztere folglich jede noch so entfernte Zugriffsmöglichkeit einschliesse.
Für ihre Auslegung des Übermittlungsbegriffs kann sich die VK prima vista zwar auf die englische Fassung der DSGVO stützen, denn diese unterscheidet in der Tat zwischen der Übermittlung i.S.v. DSGVO 4 Nr. 2, d.h. als Anwendungsfall der Verarbeitung (deutsch: “Offenlegung durch Übermittlung”, englisch “disclosure by transmission”), und jener nach DSGVO 44 ff. (deutsch ebenfalls “Übermittlung”, englisch nun aber “transfer”).
Die VK übersieht aber, dass die DSGVO den “transfer” sehr wohl auch in der englischen Fassung als eine Verarbeitung versteht. DSGVO 28(3)(a) verlangt, dass der Auftragsverarbeiter
processes the personal data only on documented instructions from the controller, including with regard to transfers of personal data to a third country […];
Noch deutlicher wird dies in DSGVO 48, der Bestimmung, die für Übermittlungen nach ausländischem Recht auf die Rechtshilfe verweist. DSGVO 48 sagt im deutschen Text
[…] jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen […] die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird […]
Analog die englische Fassung:
[…] any decision of an administrative authority of a third country requiring […] to transfer or disclose personal data […]
Es wird also klarerweise unterschieden zwischen einer Übermittlung (“transfer”) und einer “disclosure”, die demnach etwas anderes als der Transfer sein muss.
Auch der EuGH begreift die Übermittlung i.S.v. DSGVO 44 ff. als Verarbeitung. Der EuGH hat in Schrems II in Rz. 83 festgehalten, dass
[…] die Übermittlung personenbezogener Daten aus einem Mitgliedstaat in ein Drittland als solche eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 der DSGVO dar[stellt], die im Hoheitsgebiet eines Mitgliedstaats vorgenommen wird.
Die VK konnte daher offensichtlich nicht sagen, die Übermittlung nach DSGVO 44 ff. umfasse pauschal eine Offenlegung. Aber selbst wenn – auch dann hätte sie die Frage beantworten müssen, unter welchen Voraussetzungen von einer solchen Offenlegung auszugehen ist. Dass jede theoretische Möglichkeit reicht, folgt jedenfalls nicht selbst aus dem sehr weiten Verständnis der VK.
Hauptfrage: Wann führt eine Zugriffsmöglichkeit zu einer “Übermittlung”?
Die Hauptfrage ist deshalb die Frage, wie realistisch eine Zugriffsmöglichkeit sein muss, damit sie eine “Übermittlung” i.S.v. DSGVO 4 ff. darstellen kann. Die VK hätte sich dabei nicht mit oberflächlicher DSGVO-Hermeneutik zufriedengeben dürfen. Es ist klarerweise nicht jede theoretische Zugriffsmöglichkeit von DSGVO 44 ff. erfasst:
- Das Argument der VK, eine Übermittlung brauche keine Verarbeitung, ist wie dargelegt falsch. Es könnte die Frage aber ohnehin noch nicht beantworten, unter welchen Voraussetzungen ein theoretischer Zugriff zu einer “Übermittlung” wird.
- Es ist zwar richtig, dass eine Übermittlung auch dadurch erfolgen kann, dass dem Empfänger der Daten der Zugriff eingeräumt wird (z.B. Speicherung auf einem Server mit Bekanntgabe eines Login). Damit ist aber nicht gesagt, dass jeder theoretische Zugriff reicht. Wäre letzteres der Fall, wäre jede Verarbeitung eine Übermittlung in einen Drittstaat, schon weil das Risiko eines Hackerangriffs aus einem Drittstaat nie bei null liegt.
- Die Anforderungen an die Zugriffsmöglichkeit sind nicht bei null. Das ergibt sich direkt aus der DSGVO, und zwar nicht aus Semantik, sondern aus grundlegenden Konzepten. Letztlich ist der Masstab für die Frage, wann eine Übermittlung vorliegt, derselbe wie bei der Frage, ob ein Datum anonym oder pseudonym ist. Denn beide Konzepte setzen voraus, dass der Zugriff auf einen Datensatz durch eine Person mit identifizierenden Zusatzkenntnissen ausgeschlossen wird. Und auch bei der Anonymisierung und der Pseudonymisierung verlangt niemand, jede theoretische Zugriffsmöglichkeit auszuschliessen:
- Zur Prüfung des Personenbezugs sagt Erwägungsgrund 26, es seien alle Mittel zu berücksichtigen, die “nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren”. Dabei seien “alle objektiven Faktoren” zu berücksichtigen, “wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand”. Das bedeutet, dass nicht jede theoretische Identifizierungsmöglichkeit genügt. Wäre dem so, gäbe es im Grund keine Sachdaten mehr, was klarerweise nicht das Ziel der DSGVO ist und auch nicht sein darf.
- Weiter sagt die DSGVO in Art. 4 Nr. 5 zur Pseudonymisierung, diese setze voraus, dass die identifizierenden Zusatzinformationen “gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden”. Der Hinweis auf die TOMs weist diese Frage der Datensicherheit zu, und diese verlangt bekanntlich nicht einen vollständigen, sondern einen angemessenen Schutz. Dies verdeutlicht nochmals, dass nicht jede theoretische Identifikationsmöglichkeit genügt.
- Daraus geht klar hervor, dass der Masstab für die Übermittlung i.S.v. DSGVO 44 ff. eine ausreichende Wahrscheinlichkeit ist, dass ein Empfänger in einem Drittstaat auf die fraglichen Daten zugreifen wird. Wie wahrscheinlich dies sein muss, ist offen, aber es ist klar, dass nicht jede theoretische Möglichkeit ausreicht. Zudem kann die Wahrscheinlichkeit durch geeignete TOMs gesenkt werden, und massgebend ist selbstverständlich die danach verbleibende Wahrscheinlichkeit.
Diese Wahrscheinlichkeit ist nicht eine Frage des risikobasierten Ansatzes, sondern ein Tatbestandselement der Übermittlung nach DSGVO 44 ff. Mit anderen Worten:
- Wenn einem Exporteur in den USA Personendaten so übermittelt werden, dass er diese Daten effektiv besitzt, ist eine Übermittlung erfolgt. Dann stellt sich die weitere Frage, ob die SCC genügen, und in diesem Zusammenhang spielt der risikobasierte Ansatz eine Rolle. Das ist nicht der vorliegende Fall.
- Wenn dagegen wie hier schon fraglich ist, ob einer Stelle in den USA Personendaten übermittelt werden, weil nicht klar ist, ob diese Stelle realistischerweise auf diese Personendaten – in identifizierender Form – zugreifen kann, dann folgt aus dem Begriff der Übermittlung, dass die Wahrscheinlichkeit dieser Zugriffsmöglichkeit massgebend ist.
Die VK hätte deshalb beantworten müssen, mit welcher Wahrscheinlichkeit eine US-Behörde auf Personendaten zugreifen kann oder, anders formuliert, ob diese Zugriffsmöglichkeit eine realistische oder eine bloss theoretische ist. Ohne diese Prüfung konnte sie nicht von einer Übermittlung ausgehen. Nochmals – das ist keine Frage des risikobasierten Ansatzes, sondern der Vorfrage, ob von einer Übermittlung auszugehen ist.
Offen bleibt in diesem Zusammenhang leider, was die von der Cloud-Anbieterin angebotene bzw. von ihrer Kundin eingesetzte Verschlüsselung mit Blick auf das Zugriffsrisiko aus den USA leistet, weil die Vergabekammer die entsprechenden Unterlagen nicht in geschwärzter Form zu den Akten nehmen wollte (ohne dies rechtlich zu begründen, ausser mit einem pauschalen Hinweis auf das rechtliche Gehör). Sofern Kunden der Cloud-Anbieterin Kundendaten aber so verschlüsseln, dass die Cloud-Anbieterin selbst den Schlüssel nicht einsetzen kann und/oder dass sie Kundendaten nicht nach Zielpersonen der US-Behörden durchsuchen kann, wäre ein Zugriff durch US-Behörden und damit auch eine Übermittlung ausgeschlossen.
Zugriffsrisiken nach dem US-Recht
Die VK hätte sich also näher mit dem US-Recht befassen müssen, was sie ebenfalls unterlassen hat. Es schien in diesem Zusammenhang um den Stored Communications Act (SCA) – der durch den CLOUD Act geändert wurde – zu gehen. Hier hätte die VK die Voraussetzungen eines Zugriffs prüfen müssen:
- Der EuGH hat im Schrems II-Urteil mit Bezug auf die USA nur FISA und die EO 12333 als problematisch eingestuft, d.h. nicht mit europäischen Grundsätzen (den “essential guarantees”) vereinbar. Der SCA erlaubt zwar auch Behördenzugriffe, im Zusammenhang mit einem Strafverfahren, aber in einem in Europa anerkannten Rahmen. Deshalb ist der SCA normalerweise nicht das Problem. Die VK dachte hier aber wohl an den bereits genannten Art. 48 (“[…] jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen […] die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind”). Wäre eine EU-Gesellschaft von der Cloud-Anbieterin aufgrund des SCA zu einer Herausgabe an US-Behörden verpflichtet, wäre eine Verletzung dieser Bestimmung denkbar.
- Der SCA setzt aber voraus, dass in den USA eine überhaupt eine Zuständigkeit besteht (jurisdiction). Dass dies mit Bezug auf die EU-Tochter der Cloud-Anbieterin der Fall sein soll, ist alles andere als klar, und es wurde auch nicht geprüft.
- Eine der US-Gerichtsbarkeit unterstehende Cloud-Anbieterin wäre weiter nicht verpflichtet, Daten herauszugeben, auf die sie keinen vernünftigen Zugriff hat. Ob dies vorliegend der Fall war, hängt u.a. von den technischen und organisatorischen Massnahmen ab, mit denen die Cloud-Anbieterin den Klartextzugriff ihrer US-Gesellschaften einschränkt, u.a. auch Verschlüsselungsmassnahmen.
- Weiter hätte die VK prüfen müssen, ob ein Herausgabebefehl auch gegen Art. 48 DSGVO – und allenfalls analoge Bestimmungen des auf die EU-Tochter der Cloud-Anbieterin anwendbaren Rechts – durchgesetzt würde. US-Gerichte könnten nämlich auf Basis einer Comity-Analyse zum Schluss kommen, dass eine drohende Verletzung bspw. von Art. 48 DSGVO ausreicht, um einen Herausgabebefehl aufzuheben.
Relevanz ausländischen Rechts nur bei konkreter Anwendbarkeit
Diese Fragen hätte die VK sorgfältig prüfen müssen. Eine pauschale Verweisung auf das Schrems II-Urteil kann dies nicht ersetzen, denn der EuGH hatte das Ungenügen bestimmter Rechtsgrundlagen des US-Rechts generisch festgestellt, nämlich mit Blick auf die Frage, ob der Privacy Shield als solcher einen angemessenen Schutz verleiht, ohne die Frage der Anwendbarkeit jeweils näher prüfen zu müssen.
Hier wäre aber nicht die Frage relevant gewesen, ob US-Recht in bestimmten Punkten defizitär ist, sondern ob defizitäres Recht – oder im Fall des SCA sonstiges Recht – überhaupt zur Anwendung kommt. Diese Prüfung hat wiederum nichts mit dem Risk based-Ansatz zu tun, sondern geht diesem – oder auch dem Nullrisikoansatz – als Vorfrage voraus. Denn anders als bei der Beurteilung durch den EuGH und wie bei den SCC geht es hier nicht darum, das US-Recht an sich zu beurteilen, sondern um seine Wirkung in einem bestimmten Szenario.
Mit Bezug auf die Standardklauseln hat der EuGH denn auch festgehalten (Rz. 141), dass es
als Verstoß gegen diese Klauseln anzusehen [ist], wenn einer aus dem Recht des Bestimmungsdrittlands folgenden Verpflichtung nachgekommen wird, die über das hinausgeht, was für Zwecke wie die oben genannten erforderlich ist.
Das zeigt die Selbstverständlichkeit, dass eine defizitäre Rechtsgrundlage – oder hier der SCA – einer Übermittlung auf Basis der SCC nicht entgegensteht, solange diese Rechtsgrundlage auf die übermittelten Daten nicht anwendbar ist. Aus dem gleichen Grund sieht Klausel 14 der SCC vor, dass sich die Parteien zusichern,
keinen Grund zu der Annahme zu haben, dass die […] Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland […] den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern.
Es geht also immer um lokales Recht, das im konkreten Fall zur Anwendung kommt und entsprechend zu prüfen ist.
Das hat – nochmals – mit einem risk-based-Ansatz nichts zu tun. Es geht nicht um Quantifizierung ggf. Akzept eines Zugriffsrisikos auf Basis des US-Rechts, sondern um die Frage, ob Zugriffsmöglichkeiten nach diesem Recht überhaupt bestehen (es sei denn, man unterstelle den USA generell ein Vorgehen ohne Rechtsgrundlage, was die europäischen Behörden bisher nicht tun, jedenfalls nicht offen).
Die Ausführungen der Vergabekammer sind vor diesem Hintergrund zunächst nicht präjudiziell. Zu viele rechtliche und faktische Fragen blieben ungestellt und unbeantwortet. Sie sind aber auch in der Sache und im Ergebnis abzulehnen. Sie hätten die direkte Folge, dass in Zukunft jeder Konkurrent mit dem leisesten US-Bezug mit pauschalen Behauptungen aus dem Feld geschlagen werden kann, und die indirekte Folge, dass bei jeder Datenverarbeitung jedes Risiko auszuschliessen wäre und dass es keine Anonymisierung und keine Pseudonymisierung mehr gäbe – die DSGVO wäre dann wirklich “the law of everything”. Das wäre nicht nur absurd, sondern auch einfach ausserhalb der Gesetzgebungskompetenz der EU.