Bedeutung des neuen EU-US Datenschutzabkommens für Vergabeverfahren
Am 10. Juli 2023 erlies die Europäische Kommission auf Basis eines mit den USA ausgehandelten Datenschutzrahmens einen neuen Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten. In diesem Beschluss wird Unternehmen in den USA, die sich den Vorgaben des EU-US Datenschutzrahmens unterwerfen und dies vom US-Handelsministerium zertifiziert bekommen, ein mit dem Europäischen Wirtschaftsraum vergleichbares Datenschutzlevel bescheinigt. Es handelt sich dabei um den nunmehr dritten Angemessenheitsbeschluss für Datentransfers in die USA, nachdem der EuGH zwei vorangegangene Beschlüsse wegen einer Unvereinbarkeit mit den europäischen Datenschutzgrundrechten aufgehoben hatte (Urt. v. 06.10.2015, C-362/14 Schrems; Urt. v. 16.7.2020, C-311/18 Schrems II). In dem neuen Datenschutzrahmen wurden die Beanstandungen des EuGHs adressiert und unter anderem Beschränkungen behördlicher Zugriffsrechte sowie zusätzliche Rechtsschutzinstrumente geschaffen. Gleichwohl ist auch der neue Angemessenheitsbeschluss Kritik ausgesetzt und der Datenschutzaktivist Max Schrems hat bereits eine neue Beanstandung vor dem EuGH angekündigt.
Auswirkungen des neuen Angemessenheitsbeschlusses auf Vergabeverfahren
Bei dem neuen Angemessenheitsbeschluss der Kommission handelt es sich um einen Rechtsakt der Europäischen Union, der für Vergabestellen und Nachprüfungsinstanzen in den jeweiligen Mitgliedstaaten bindend ist. Dies dürfte die vergaberechtliche Angebotsprüfung in Bezug auf den Datenschutz erheblich erleichtern, sofern Bieter oder in die Leistungserbringung einbezogene Dritte über eine Zertifizierung nach dem neuen EU-US Datenschutzrahmen verfügen. Denn in der Angebotsprüfung bei diesen Bietern wären dann die Feststellungen aus dem neuen Angemessenheitsbeschluss der Kommission als zutreffend zu unterstellen.
Bieter mit einem Bezug zu den USA sowie Nachunternehmern oder Zulieferern mit einem derartigen Bezug, sollten daher zeitnah entsprechende Informationen und ggf. Zertifizierungen zum neuen Angemessenheitsbeschluss zusammentragen. In laufenden Vergabeverfahren kann es im Einzelfall ratsam sein, Auftraggeber auf sich daraus ergebende Erleichterungen für die Angebotsprüfung hinzuweisen, die regelmäßig im beiderseitigen Interesse liegen dürften.
Umgang mit verbleibenden Rechtsunsicherheiten
Bis der EuGH über den neuen Angemessenheitsbeschluss der Kommission entschieden hat, sind Auftraggeber und Bieter allerdings dem (Rest-) Risiko ausgesetzt, dass auch dieser Angemessenheitsbeschluss aufgehoben wird und sich damit im Nachhinein der rechtliche Rahmen der Leistungserbringung verändert. Zur Risikominimierung sollten sich öffentliche Auftraggeber daher bis zu einer Entscheidung des EuGHs nicht ausschließlich auf den neuen Angemessenheitsbeschluss verlassen. Sie sollten die Leistungsbeschreibung vielmehr so fassen, dass die Angebote auch ohne den Angemessenheitsbeschluss der Kommission eine gesetzeskonforme Leistung vorsehen.
Rechtslage ohne Angemessenheitsbeschluss der Europäischen Kommission
In den letzten Jahren hatten Auftraggeber bei der Beschaffung von Cloud Leistungen vereinzelt versucht, einzelne Bieter wegen eines Bezugs zu den USA (wie z.B. einem dort ansässigen Mutterkonzern) aus Vergabeverfahren auszuschließen, obwohl diese eine Leistungserbringung aus Rechenzentren innerhalb der EU angeboten hatten. Dies wurde jeweils mit einem (mutmaßlich) von US-Behörden ausgehenden abstrakten Zugriffsrisiko begründet, das eine Datenschutzwidrigkeit des gesamten Angebots zur Folge hätte. Vergaberechtliche Nachprüfungsinstanzen haben dies wiederholt mit dem Argument zurückgewiesen, ein bloßer US-Bezug eines Bieters und etwaige damit verbundene abstrakte Zugriffsrisiken von US-Behörden seien keine hinreichende Basis für einen Bieterausschluss (grundlegend OLG Karlsruhe 07.09.2022 – 15 Verg 8/22). Gleichwohl blieb weiterhin umstritten, inwieweit konkrete Cloud Angebote von einzelnen Anbietern mit US-Bezug mit dem geltenden Datenschutzrecht vereinbar sind. Die Bundesdatenschutzkonferenz verneinte dies z.B. zuletzt für eine Version von Microsoft Office 365 und begründete dies neben anderen Beanstandungen auch mit etwaigen datenschutzwidrigen Offenlegungen personenbezogener Daten gegenüber US-Behörden. Dieser Teil der datenschutzrechtlichen Angebotsprüfung erübrigt sich fürs Erste, solange mit dem Angemessenheitsbeschluss festgestellt wird, dass von dem jeweiligen Bieter keine derartigen Risiken ausgehen.
BLOMSTEIN wird die weiteren Entwicklungen zum EU-US Datenschutzrahmen und insbesondere dessen Auswirkungen auf Vergabeverfahren detailliert verfolgen. Wenn Sie Fragen zu den möglichen Auswirkungen auf Ihr Unternehmen oder Ihre Branche haben, stehen Ihnen Dr. Florian Wolf, Dr. Christopher Wolters und Moritz Schuchert jederzeit gern zur Verfügung.