Nach dem Beschluss des OLG Karlsruhe wurde tiefgreifenden, nicht leistbaren Prüfanforderungen eine Absage erteilt. Auftraggeber und Bieter können aufatmen!
Die Vergabekammer (VK) Baden-Württemberg hatte mit ihrem Beschluss vom 13. Juli 2022 (Az. 1 VK 23/22) für einigen Aufruhr gesorgt. Darin wurde die Anbieterin eines digitalen Entlassmanagements für Patienten* aus dem Vergabeverfahren ausgeschlossen, weil diese – nach Ansicht der Vergabekammer – gegen datenschutzrechtliche Vorschriften durch die Einbindung einer US-amerikanischen Unterauftragnehmerin als Hosting-Dienstleisterin verstoßen habe.
Das in der Beschwerdeinstanz angerufene OLG Karlsruhe hat diese Entscheidung mit Beschluss vom 7. September 2022 (Az. 15 Verg 8/22) aufgehoben und darauf verwiesen, dass öffentliche Auftraggeber grds. auf die bindenden Zusagen der Bieter vertrauen dürften.
Bieter eines Vergabeverfahrens bot Dienstleistungen mit US-Cloud-Anbieter an
Gegenstand des Vergabeverfahrens zweier kommunaler Krankenhausgesellschaften war die Beschaffung einer Softwarelösung für ein digitales Entlassmanagement. Hierbei war die Maßgabe, dass die Vorgaben der Datenschutzgrundverordnung (DS-GVO) einzuhalten sind und dass die Daten in keinem Rechenzentrum verarbeitet werden, dessen Subdienstleister oder Konzernunternehmen in einem Drittstaat ansässig sind. Das Angebot eines der Bieter sah vor, dass als Hosting-Dienstleisterin ein luxemburgisches Tochterunternehmen eines US-amerikanischen Konzerns eingebunden wird. Der Bieter sicherte zu, ausschließlich das Tochterunternehmen werde den Auftrag bearbeiten und die Daten würden nur auf einem in Deutschland stehenden Server verarbeitet.
Die Auftragsausführungsvereinbarung zwischen dem Bieter und der luxemburgischen Hosting-Dienstleisterin enthielt eine Klausel, die es ihr erlaubte, die im Auftrag des Auftraggebers verarbeiteten personenbezogenen Daten auch ohne bzw. entgegen einer Weisung des Auftraggebers offenzulegen und in ein Drittland zu übermitteln, wenn dies notwendig sei, um Gesetze oder verbindliche Anordnungen einer staatlichen Behörde einzuhalten. Die Krankenhausgesellschaften entschieden sich, diesem Bieter den Zuschlag zu erteilen, weil sein Angebot sich als das wirtschaftlichste darstellte.
Konkurrent wehrt sich mit dem Argument einer datenschutzrechtlich unzulässigen Datenübermittlung
Ein konkurrierender Bieter griff den beabsichtigten Zuschlag u.a. mit dem Argument an, dass das Angebot des Erstplatzierten gegen Vorschriften der DS‑GVO verstoße. Denn der Zuschlagsempfänger verarbeite durch die Unterauftragnehmerin Daten auf Servern, auf die auch Drittstaaten Zugriff haben könnten. Schon damit liege unabhängig vom tatsächlichen Speicherort eine unzulässige Datenübermittlung nach Art. 44 ff. DS-GVO vor.
Die VK Baden-Württemberg hat ebenfalls einen Verstoß gegen die DS-GVO angenommen. Durch die Auftragsausführungsvereinbarung zwischen dem Zuschlagsempfänger und seiner Unterauftragnehmerin bestehe das „latente Risiko“ eines Datenzugriffs aus Drittstaaten. Dies reiche nach Ansicht der VK zur Bejahung (der Gefahr) einer datenschutzrechtlich unzulässigen Übermittlung aus. Damit habe der Zuschlagsempfänger die Vergabeunterlagen nach § 57 Abs. 1 Nr. 4 VgV abgeändert, womit sein Angebot auszuschließen sei.
Verbindung zu einem US-amerikanischen Konzern begründet keine Zweifel an der Einhaltung datenschutzrechtlicher Vorschriften
Das OLG Karlsruhe hat die Entscheidung der Vergabekammer aufgehoben und den Nachprüfungsantrag zurückgewiesen. Dabei hat der Vergabesenat nicht wie die Vergabekammer die Einhaltung datenschutzrechtlicher Vorschriften durch den Bieter geprüft. Vielmehr hat der Vergabesenat festgestellt, der öffentliche Auftraggeber dürfe grds. davon ausgehen, dass ein Bieter seine vertraglichen Zusagen erfüllen werde. Erst wenn sich konkrete Anhaltspunkte dafür ergeben, dass dies zweifelhaft sei, ist der öffentliche Auftraggeber gehalten, durch Einholung ergänzender Informationen die Erfüllbarkeit des Leistungsversprechens zu prüfen.
Ausgehend von diesem Prüfungsmaßstab hat das OLG geprüft, ob es für den öffentlichen Auftraggeber Anhaltspunkte für Zweifel an der Einhaltung des Leistungsversprechens – nämlich der Einhaltung der DS-GVO nach den Ausführungsbedingungen – gegeben habe. Der Senat prüfte dabei insbesondere zwei mögliche Anhaltspunkte:
- Zum einen könnte die zwischen dem Bieter und dem Unterauftragnehmer geschlossene Auftragsausführungsvereinbarung bei dem Auftraggeber Zweifel an der Einhaltung des Datenschutzrechtes ausgelöst haben. Dies lehnt der Senat allerdings mit dem Argument ab, dass die Verträge mit der Unterauftragnehmerin dem Angebot nicht beizulegen waren und auch nicht beilagen. Damit bestand für den Auftraggeber keine Veranlassung an der verbindlichen Zusicherung der Bieterin zu zweifeln.
- Zum anderen stellt der Vergabesenat fest, dass auch die Verbindung der Unterauftragnehmerin zu einem US-amerikanischen Konzern keine Zweifel an der Einhaltung datenschutzrechtlicher Vorschriften begründen. Denn für den Auftraggeber haben keine Anhaltspunkte für eine rechts- und vertragswidrige Weisung zur Herausgabe personenbezogener Daten an das Tochterunternehmen vorgelegen.
Insbesondere bei unklarer Rechtslage ist der Auftraggeber nicht zu einer Prüfung des jeweiligen Fachrechts wie des Datenschutzrechts verpflichtet
Anders als die Vergabekammer hat sich der Vergabesenat bei seiner Prüfung nicht ins Datenschutzrecht „verirrt“. Dies ist auch nur stringent, nachdem der Vergabesenat den Prüfungsmaßstab dahingehend definiert hat, dass öffentliche Auftraggeber nur bei konkreten Anhaltspunkten für Zweifel an den Angaben des Bieters dessen Erfüllbarkeit des Leistungsversprechens zu prüfen haben. Dem so definierten Prüfungsmaßstab kann nur zugestimmt werden. Ein gegenteiliger Ansatz, demzufolge Auftraggeber immer auch das einzuhaltende Fachrecht mitzuprüfen hätten, wäre nicht zweckmäßig. Denn § 128 Abs. 1 S. 2 GWB verpflichtet ausdrücklich die Unternehmen bei der Ausführung öffentlicher Aufträge die für sie geltenden rechtlichen Verpflichtungen einzuhalten. Die Sicherstellung der Einhaltung dieser Vorschriften ist somit nicht Sache öffentlicher Auftraggeber, vielmehr erfolgt dies über die Vorgaben in den einzuhaltenden Regelungen selbst, da diese bereits spezielle Sanktionsmechanismen enthalten (so auch Begr. Drs. 18/6281, 113). Eine solche Interpretation und Handhabung ist somit auch der Wahrung der vom Verfassungs- und Gesetzgeber vorgesehenen Kompetenzordnung dienlich.
Die Vergabekammer hatte sich mit dem eigenen Prüfungsmaßstab nicht auseinandergesetzt. Vielmehr nahm diese pauschal den zu einem Datenschutzverstoß führenden Übermittlungsbegriff des Art. 44 DS-GVO an. So führte die Vergabekammer aus:
Es kommt insofern nicht darauf an, ob und wie naheliegend der Eintritt der in den beiden Klauseln niedergelegten Umstände, die für einen Zugriff im Einzelfall erforderlich sind, ist. Schließlich kann sich das latente Risiko jederzeit realisieren.
Damit verkennt die Vergabekammer zweierlei: Zum einen lag dem öffentlichen Auftraggeber nicht die Ausführungsvereinbarung zwischen dem Bieter und dem beabsichtigten Unterauftragnehmer vor. Zum anderen ist es datenschutzrechtlich mehr als zweifelhaft, dass eine „Übermittlung“ bereits bei einer rein theoretischen Zugriffsmöglichkeit einer US-amerikanischen Konzernmutter auf die Daten ihrer Tochterunternehmen gegeben ist. Selbst der Landesdatenschutzbeauftragte des Landes Baden-Württemberg geht nicht von einer Verwirklichung des Übermittlungsbegriffs aus (Stellungnahme vom 15. August 2022). Bei solch unklarer Rechtslage dürfte es den Nachprüfungsinstanzen nicht zukommen, eine extensive Auslegung des Übermittlungsbegriffs i.S.e. Gefährdungstatbestands vorzunehmen, zumal die Ausschlusstatbestände aufgrund ihres maximalen Sanktionscharakters und ihrer per se wettbewerbsbeschränkenden Wirkung restriktiv auszulegen sind (vgl. OLG Düsseldorf, Beschluss v. 14. Oktober 2009 – VII-Verg 9/09).
Letztlich ist allerdings darauf hinzuweisen, dass der vom Vergabesenat verwendete Prüfungsmaßstab die öffentlichen Auftraggeber nicht davon entbindet, auch fachliche Vorschriften bei der Vergabe öffentlicher Aufträge zu beachten. Öffentliche Auftraggeber sind aufgrund des Grundsatzes der Gesetzmäßigkeit der Verwaltung verpflichtet, nicht sehenden Auges Verträge mit Bietern zu schließen, die gesetzliche Bestimmungen missachten.
Öffentliche Auftraggeber sollten datenschutzrechtliche Entwicklungen im Blick behalten
Insgesamt ist die Entscheidung des Vergabesenats zu begrüßen. Allerdings ist das Ergebnis in Hinblick auf die Rechtsprechung der übrigen Vergabesenate nicht sehr überraschend. Diese haben in gefestigter Rechtsprechung zu den Eignungs- und Zuschlagskriterien bereits entschieden, dass öffentliche Auftraggeber grds. davon ausgehen dürfen, dass Bieter ihre Leistungsversprechen erfüllen (vgl. OLG Düsseldorf, Beschluss v. 26. Juli 2018 – Verg 23/18; OLG Frankfurt a.M., Beschluss v. 16. Juni 2015 – 11 Verg 3/15).
Der Vergabesenat des OLG Karlsruhe hat zutreffenderweise diese Grundsätze auf datenschutzbezogene Ausführungsbedingungen übertragen. Die Entscheidungen zeigen allerdings auch, dass öffentliche Auftraggeber und Bieter gut beraten sind, auch in Zukunft die Rechtsprechung und europarechtliche Entwicklung zum Einsatz US-amerikanischer Cloud-Anbieter intensiv zu verfolgen.
Auf die datenschutzrechtlichen Hintergründe der Entscheidungen der VK Baden-Württemberg und des OLG Karlsruhe sind wir bereits auf unserem Blog eingegangen.
*Gemeint sind Personen jeder Geschlechtsidentität. Um der leichteren Lesbarkeit willen wird im Beitrag die grammatikalisch männliche Form verwendet.