Verwendete Dienste und Cookies

Unsere Website nutzt Cookies, um Ihre Nutzungserfahrung zu verbessern. Einige Cookies sind essentiell für das Funktionieren und Managen der Seite, während andere für anonyme Statistiken oder personalisierte Inhalte verwendet werden. Bitte beachten Sie, dass bei eingeschränkter Cookie-Nutzung bestimmte Webseitenfunktionen beeinträchtigt sein können.

Weitere Informationen: Impressum, Datenschutz

Notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche der Webseite ermöglichen oder z.B. Ihre Cookie-Einstellungen speichern. Die Webseite kann ohne diese Cookies nicht richtig funktionieren. Diese Kategorie kann nicht deaktiviert werden.
  • Name:
    ukie_a_cookie_consent_manager
  • Domain:
    blomstein.com
  • Zweck:
    Speichert die Cookie-Einstellungen der Website-Besucher.
  • Name:
    blomstein_session
  • Domain:
    blomstein.com
  • Zweck:
    Der Session-Cookie ist für das grundlegende Funktionieren der Website unerlässlich. Er ermöglicht es den Nutzern, durch die Website zu navigieren und ihre grundlegenden Funktionen zu nutzen.
  • Name:
    XSRF-TOKEN
  • Domain:
    blomstein.com
  • Zweck:
    Dieser Cookie dient der Sicherheit und hilft, Cross-Site Request Forgery (CSRF)-Angriffe zu verhindern. Er ist technisch notwendig.
Diese Cookies sammeln Informationen darüber, wie Sie eine Website nutzen, z. B. welche Seiten Sie besucht und auf welche Links Sie geklickt haben.
  • Name:
    _ga
  • Domain:
    blomstein.com
  • Zweck:
    Das Google Analytics Cookie _ga wird verwendet, um Benutzer zu unterscheiden, indem es eine eindeutige Identifikationsnummer für jeden Besucher vergibt. Diese Nummer wird bei jedem Seitenaufruf an Google Analytics gesendet, um Nutzer-, Sitzungs- und Kampagnendaten zu sammeln und die Nutzung der Website statistisch auszuwerten. Das Cookie hilft Website-Betreibern zu verstehen, wie Besucher mit der Website interagieren, indem es Informationen anonym sammelt und Berichte generiert.
  • Name:
    _ga_*
  • Domain:
    blomstein.com
  • Zweck:
    Das Cookie _ga_[container_id], spezifisch für Google Analytics 4 (GA4), dient der Unterscheidung von Website-Besuchern durch Zuweisung einer einzigartigen ID für jede Sitzung und jeden Nutzer. Es ermöglicht die Sammlung und Analyse von Daten über das Nutzerverhalten auf der Website in anonymisierter Form. Dies umfasst das Tracking von Seitenaufrufen, Interaktionen und dem Weg, den Nutzer auf der Website zurücklegen, um Website-Betreibern tiefere Einblicke in die Nutzung ihrer Seite zu geben und die Benutzererfahrung zu verbessern.
  • Name:
    _gid
  • Domain:
    blomstein.com
  • Zweck:
    Das Cookie _gid ist ein von Google Analytics gesetztes Cookie, das dazu dient, Benutzer zu unterscheiden. Es weist jedem Besucher der Website eine einzigartige Identifikationsnummer zu, die bei jedem Seitenaufruf an Google Analytics gesendet wird. Dies ermöglicht es, das Nutzerverhalten auf der Website über einen Zeitraum von 24 Stunden zu verfolgen und zu analysieren.
  • Name:
    _gat_gtag_UA_77241503_1
  • Domain:
    blomstein.com
  • Zweck:
    Das Cookie _gat_gtag_UA_77241503_1 ist Teil von Google Analytics und Google Tag Manager und wird verwendet, um die Anfragerate zu drosseln, d.h., es begrenzt die Datensammlung auf Websites mit hohem Verkehrsaufkommen. Dieses Cookie ist mit einer spezifischen Google Analytics-Property-ID (in diesem Fall UA-77241503-1) verknüpft, was bedeutet, dass es für die Leistungsüberwachung und -steuerung der Datenerfassung für diese spezielle Website-Property eingesetzt wird.

Bedeutung des neuen EU-US Datenschutzabkommens für Vergabeverfahren

Am 10. Juli 2023 erlies die Europäische Kommission auf Basis eines mit den USA ausgehandelten Datenschutzrahmens einen neuen Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten. In diesem Beschluss wird Unternehmen in den USA, die sich den Vorgaben des EU-US Datenschutzrahmens unterwerfen und dies vom US-Handelsministerium zertifiziert bekommen, ein mit dem Europäischen Wirtschaftsraum vergleichbares Datenschutzlevel bescheinigt. Es handelt sich dabei um den nunmehr dritten Angemessenheitsbeschluss für Datentransfers in die USA, nachdem der EuGH zwei vorangegangene Beschlüsse wegen einer Unvereinbarkeit mit den europäischen Datenschutzgrundrechten aufgehoben hatte (Urt. v. 06.10.2015, C-362/14 Schrems; Urt. v. 16.7.2020, C-311/18 Schrems II). In dem neuen Datenschutzrahmen wurden die Beanstandungen des EuGHs adressiert und unter anderem Beschränkungen behördlicher Zugriffsrechte sowie zusätzliche Rechtsschutzinstrumente geschaffen. Gleichwohl ist auch der neue Angemessenheitsbeschluss Kritik ausgesetzt und der Datenschutzaktivist Max Schrems hat bereits eine neue Beanstandung vor dem EuGH angekündigt.

Auswirkungen des neuen Angemessenheitsbeschlusses auf Vergabeverfahren

Bei dem neuen Angemessenheitsbeschluss der Kommission handelt es sich um einen Rechtsakt der Europäischen Union, der für Vergabestellen und Nachprüfungsinstanzen in den jeweiligen Mitgliedstaaten bindend ist. Dies dürfte die vergaberechtliche Angebotsprüfung in Bezug auf den Datenschutz erheblich erleichtern, sofern Bieter oder in die Leistungserbringung einbezogene Dritte über eine Zertifizierung nach dem neuen EU-US Datenschutzrahmen verfügen. Denn in der Angebotsprüfung bei diesen Bietern wären dann die Feststellungen aus dem neuen Angemessenheitsbeschluss der Kommission als zutreffend zu unterstellen.

Bieter mit einem Bezug zu den USA sowie Nachunternehmern oder Zulieferern mit einem derartigen Bezug, sollten daher zeitnah entsprechende Informationen und ggf. Zertifizierungen zum neuen Angemessenheitsbeschluss zusammentragen. In laufenden Vergabeverfahren kann es im Einzelfall ratsam sein, Auftraggeber auf sich daraus ergebende Erleichterungen für die Angebotsprüfung hinzuweisen, die regelmäßig im beiderseitigen Interesse liegen dürften.

Umgang mit verbleibenden Rechtsunsicherheiten

Bis der EuGH über den neuen Angemessenheitsbeschluss der Kommission entschieden hat, sind Auftraggeber und Bieter allerdings dem (Rest-) Risiko ausgesetzt, dass auch dieser Angemessenheitsbeschluss aufgehoben wird und sich damit im Nachhinein der rechtliche Rahmen der Leistungserbringung verändert. Zur Risikominimierung sollten sich öffentliche Auftraggeber daher bis zu einer Entscheidung des EuGHs nicht ausschließlich auf den neuen Angemessenheitsbeschluss verlassen. Sie sollten die Leistungsbeschreibung vielmehr so fassen, dass die Angebote auch ohne den Angemessenheitsbeschluss der Kommission eine gesetzeskonforme Leistung vorsehen.

Rechtslage ohne Angemessenheitsbeschluss der Europäischen Kommission

In den letzten Jahren hatten Auftraggeber bei der Beschaffung von Cloud Leistungen vereinzelt versucht, einzelne Bieter wegen eines Bezugs zu den USA (wie z.B. einem dort ansässigen Mutterkonzern) aus Vergabeverfahren auszuschließen, obwohl diese eine Leistungserbringung aus Rechenzentren innerhalb der EU angeboten hatten. Dies wurde jeweils mit einem (mutmaßlich) von US-Behörden ausgehenden abstrakten Zugriffsrisiko begründet, das eine Datenschutzwidrigkeit des gesamten Angebots zur Folge hätte. Vergaberechtliche Nachprüfungsinstanzen haben dies wiederholt mit dem Argument zurückgewiesen, ein bloßer US-Bezug eines Bieters und etwaige damit verbundene abstrakte Zugriffsrisiken von US-Behörden seien keine hinreichende Basis für einen Bieterausschluss (grundlegend OLG Karlsruhe 07.09.2022 – 15 Verg 8/22). Gleichwohl blieb weiterhin umstritten, inwieweit konkrete Cloud Angebote von einzelnen Anbietern mit US-Bezug mit dem geltenden Datenschutzrecht vereinbar sind. Die Bundesdatenschutzkonferenz verneinte dies z.B. zuletzt für eine Version von Microsoft Office 365 und begründete dies neben anderen Beanstandungen auch mit etwaigen datenschutzwidrigen Offenlegungen personenbezogener Daten gegenüber US-Behörden. Dieser Teil der datenschutzrechtlichen Angebotsprüfung erübrigt sich fürs Erste, solange mit dem Angemessenheitsbeschluss festgestellt wird, dass von dem jeweiligen Bieter keine derartigen Risiken ausgehen.

BLOMSTEIN wird die weiteren Entwicklungen zum EU-US Datenschutzrahmen und insbesondere dessen Auswirkungen auf Vergabeverfahren detailliert verfolgen. Wenn Sie Fragen zu den möglichen Auswirkungen auf Ihr Unternehmen oder Ihre Branche haben, stehen Ihnen Dr. Florian Wolf, Dr. Christopher Wolters und Moritz Schuchert jederzeit gern zur Verfügung.