Zu der Feststellung, dass IT-Dienstleistungen auf deutschen Servern unter Umständen datenschutzwidrig sein können, kommt die Vergabekammer Baden-Württemberg in einem aktuellen Verfahren. Das betrifft in diesem Fall in Deutschland oder der EU ansässige Töchter amerikanischer Firmen, die IT- und Clouddienstleistungen auf ihren Servern anbieten.
Die Vorgeschichte dazu ist, dass amerikanische Unternehmen nach dem Wegfall des Privacy Shields Mitte 2020 sich darauf verlegten, deutsche und EU-Server zu nutzen und sich dabei auf die Standarddatenschutzklauseln der EU-Kommission zu berufen, was die Konformität mit der DSGVO betrifft.
In dem Verfahren hat die Vergabekammer Baden-Württemberg festgestellt, dass es datenschutzwidrig ist, IT- und Clouddienstleistungen an EU-Töchter amerikanischer Firmen zu vergeben, denn dadurch bestehe die Gefahr einer unzulässigen Übermittlung personenbezogener Daten in die USA. Ausgelöst wurde die noch nicht rechtskräftige Entscheidung durch die Beschaffung einer Software durch die öffentliche Hand. In dem Angebot eines Bieters wurde die Server- und Hostingleistung durch eine in der EU ansässige Firma erbracht. Es handelte sich dabei um die Tochtergesellschaft eines US-Mutter-Konzerns. Nach Ansicht der Kammer verletzt das Angebot geltendes Datenschutzrecht.
Bild: Dayne Topkin on Unsplash