In einem Beschluss vom 13.07.2022 hatte die Vergabekammer Baden-Württemberg entschieden, dass Infrastrukturdienste von europäischen Tochterunternehmen US-amerikanischer Cloud-Anbieter im in Rede stehenden öffentlichen Vergabeverfahren nicht in Anspruch genommen werden dürfen (Az. 1 VK 23/22). Dabei stützt sich die Vergabekammer auf das latente Risiko eines Zugriffs auf personenbezogene Daten durch US-Behörden.
Die Vergabekammer hielt es nach ihrer Begründung nicht für ausreichend, dass sich der Cloudanbieter vertraglich verpflichtet hatte „..zu weit gehende oder unangemessene Anfragen staatlicher Stellen einschließlich solcher Anfragen, die im Widerspruch zum Recht der EU oder zum geltenden Recht der Mitgliedsstaaten stehen, anzufechten…“, um das „latente Risiko“ zu beseitigen.
Bei einer derartigen Beurteilung von Drittlandstransfers wäre eine Nutzung von Clouddienstleistungen von US-Anbietern per se unzulässig. Dies beträfe dann nahezu jeden Verantwortlichen (öffentliche und nicht-öffentliche Stellen), da Clouddienstleistungen von US-Konzernen wie Microsoft aus der heutigen Arbeitswelt kaum noch wegzudenken sind.
Der Beschluss führte auf Blogs und Sozialen Medien zu kontroversen Diskussionen.
Auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) fühlte sich zu einer ausführlichen Stellungnahme veranlasst.
Vom LDI BW wurde unter anderem die Gleichsetzung von Zugriffsrisiko und Übermittlung kritisiert.
Am 07.09.2022 hob das OLG Karlsruhe die Entscheidung der Vergabekammer Baden-Württemberg auf. Das OLG kam zu dem Ergebnis, dass die Einbindung des Tochterunternehmens eines US-Konzerns noch keine Zweifel an der Erfüllbarkeit des Leistungsversprechens (DSGVO-konforme Verarbeitung) weckt. Das OLG führte aus, dass die ausschreibende Stelle auf die Einhaltung der vertraglichen Vereinbarungen vertrauen dürfe. „Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.“, so das OLG.