Am 13. Juli 2022 hat die Vergabekammer Baden-Württemberg (Az. 1 VK 23/22) im Zusammenhang mit einem Vergabeverfahren ein richtungsweisendes Urteil auch im Hinblick auf den Datenschutz gefällt. Dabei ging es um US-Dienstleister, welche ihre Tochtergesellschaften in der EU haben, bei denen es bisher möglich war eine DS-GVO-konforme Zusammenarbeit durch Standardvertragsklauseln zu gewährleisten. Nach Ansicht der Vergabekammer Baden-Württemberg liegt hierbei allein bei der Zusammenarbeit schon eine unzulässige Übermittlung in ein Drittland vor. Hier wurde allein auf die Möglichkeit abgestellt, dass von dem nichteuropäischen Mutterkonzern auf die Daten zugegriffen werden kann als Weitergabe im Sinne der DS-GVO – dabei spielt es keine Rolle, ob dies tatsächlich erfolgt.

Unabhängig davon kann diese Entscheidung auf sämtliche Zusammenarbeiten mit europäischen Unternehmen, die einen US-Mutterkonzernen im Technikbereich angehören, weitreichende Auswirkungen haben. Künftige Vergabeverfahren können davon stark beeinflusst werden, wenn Bieter in komplexen Vergabeverfahren aufgrund des Einsatzes einer Tochtergesellschaft eines US-Anbieters ausgeschlossen werden.

Wie können Sie sich also verhalten im Hinblick auf eventuelle Anpassungen aufgrund dieser Entscheidung auch im Datenschutz? Wir empfehlen grundsätzlich auf den Einsatz von nichteuropäischen Diensten und Anbietern zu verzichten und Alternativen auf dem europäischen Markt zu suchen. Infomieren Sie sich darüber, welche Dienste ggf. ersetzt werden können und lassen Sie diese dann von Ihrem Datenschutzbeauftragten auf Tauglichkeit prüfen. Bei Einführung neuer Software, Systeme oder sonstiger Dienste achten Sie am besten von Anfang an darauf keine Anbieter mit einem US-amerikanischen Mutterkonzern zu wählen.

Es handelt sich hierbei um keine feste Entscheidung im Datenschutzrecht und damit sind Sie auch nicht verpflichtet dies um jeden Preis und sofort umzusetzen. Allerdings bietet die Entscheidung einen neuen Denkanstoß und einen Blick in die Glaskugel, was in Zukunft im Datenschutz relevant werden könnte. Vor allem vor der Einführung neuer Dienste sollte man verstärkt Acht geben, von welchem Anbieter man sich diese ins Unternehmen holt. Also prüfen Sie künftig kritischer, wo der Mutterkonzern sitzt und wappnen Sie sich für mögliche Anpassungen im Datenschutz.