Datenschutz war im öffentlichen Sektor schon immer ein heikles Thema. Zum einen, weil Menschen darauf vertrauen, dass ihre persönlichen Daten dort sicher aufbewahrt werden. Zum zweiten, weil Datenschutzverbände und Vergabekammern ein besonderes Auge auf die Behörden haben. Gleichzeitig wird von der Verwaltung erwartet, dass sie Aktenbestände digitalisiert und moderne Services anbietet. Die wechselhafte Rechtslage macht das nicht leichter: Immer wieder gibt es Privacy-Vereinbarungen zwischen der EU und den USA, die von Datenschützern angefochten und vom EuGH einkassiert werden. Es scheint immer wieder hin und her zugehen, wie bei einem Pingpong-Spiel.
In der Zwischenzeit versuchen Behörden, pragmatische Lösungen zu finden. Sie schließen Verträge ab, in denen sie die Cloud-Unternehmen verpflichten, europäische Datenschutz-Standards einzuhalten und bei Anfragen der US-Regierung alle Mittel gegen einen Zugriff auszuschöpfen. Cloud-Unternehmen aus den USA wie AWS und Microsoft stellten ihr Geschäftsmodell um und boten über europäische Tochtergesellschaften Serverfarmen mit Standorten in Deutschland oder dem europäischen Ausland an. Diese Praxis funktionierte. Bis im Juli 2022 ein Beschluss der Vergabekammer Baden-Württemberg mit dem Aktenzeichen 1 VK 23/22 für Aufsehen sorgte. Was war passiert? Die Vergabekammer hatte es zwei Krankenhausgesellschaften verboten, Infrastrukturdienste in Anspruch zu nehmen, die eine europäischen Tochtergesellschaft eines US-amerikanischen Cloud- Unternehmens angeboten hatte. Trotz Vertraulichkeitsklausel und Anfechtungsverpflichtung. Der Grund: Es sei nie völlig auszuschließen, dass US-Behörden auf personenbezogene Daten zugreifen könnten. Von einer latenten Gefahr war die Rede. Der Beschluss schien Behörden die Möglichkeit zu nehmen, die Digitalisierung rechtssicher voranzutreiben. Doch schon zwei Monate später spielte das Oberlandesgericht Karlsruhe den Ball zurück. Die Karlsruher Richter sahen die Sache anders. Sie entschieden, dass die Krankenhausgesellschaften sich auf ihr Cloud-Angebot verlassen können. Wenn es dort heißt, dass Daten nur in Deutschland verarbeitet und in kein Drittland übermittelt werden, dann dürften sie diesen Dienst in Anspruch nehmen. Erst wenn sich aufgrund konkreter Anhaltspunkte Zweifel daran ergäben, müsste ein öffentlicher Auftraggeber weitere Informationen einholen und das Angebot überprüfen, entschieden die Richter (Az.: 15 Verg 8/22).
Die öffentliche Hand atmete durch. Doch sicher ist die Lage nicht: Was tun, wenn es zu Anfechtungen kommt? Wie kann das Cloud- Angebot überprüft werden? Und was, wenn das Ergebnis negativ ausfällt? Kann durch Vertragszusätze sichergestellt werden, dass ohne das Wissen der Behörde keine dritte Partei auf die Daten zugreift? Eventuell wäre ein Wechsel angesagt. Immer mehr europäische oder sogar deutsche Cloud-Unternehmen bieten sich an. Die Cloud zu wechseln, kann aufwändig sein. Wann lohnt es sich? Die Situation bleibt angespannt.
Die Autoren des Gastbeitrags sind Reza Zanjani und Nathalie Kirches. Reza Zanjani ist Manager Corporate Development bei der OPITZ CONSULTING Deutschland GmbH. Nathalie Kirches arbeitet dort als Online-Redakteurin und Texterin.
Gemeinsam mit OPITZ CONSULTING veranstaltet der Behörden Spiegel am Freitag, den 4. November, von 10:30 bis 12 Uhr ein Partner-Webinar zum Thema “DSGVO, Schrems, Cloud Act und Co. – Worauf Behörden bei der Digitalisierung bauen können”. Die Möglichkeit zur Anmeldung gibt es hier.
