Nach einer Grundsatzentscheidung des OLG Karlsruhe dürfen Behörden bei öffentlichen Vergabeverfahren auf die Zusicherungen von IT-Anbietern zur Datenschutz-Kompatibilität ihres Angebots vertrauen.
Die Entscheidung des OLG Karlsruhe betrifft ein öffentliches Vergabeverfahren zum digitalen „Entlassmanagement“ für Krankenhauspatienten, hat aber auch für Vergabeverfahren in anderen Bereichen erhebliche Bedeutung.
Vergabeverfahren für digitales Entlassmanagement
In dem vom OLG entschiedenen Fall hatten zwei in kommunaler Hand befindliche Krankenhausgesellschaften an einem öffentlichen Vergabeverfahren für ein digitales Entlassmanagement für Krankenhauspatienten teilgenommen. Eine Anbieterin sicherte in ihren Angebotsunterlagen zu, das von ihr als Hosting-Dienstleisterin beauftragte luxemburgische Tochterunternehmen eines US-Konzerns werde den Auftrag im Fall des Zuschlags ausschließlich bearbeiten. Die Daten würden ausschließlich auf in Frankfurt/Main befindlichen Servern einer deutschen GmbH verarbeitet.
Nachprüfungsantrag bei Vergabekammer
Die Krankenhausgesellschaften beurteilten das Angebot dieser Anbieterin als das wirtschaftlichste und kündigten an, dieser den Zuschlag erteilen zu wollen. Eine Konkurrentin, die sich ebenfalls um den Auftrag bewarb, stellte hierauf einen Nachprüfungsantrag bei der zuständigen Vergabekammer Baden-Württemberg. Diese verfügte darauf den Ausschluss der ausgewählten Anbieterin aus dem Vergabeverfahren. Der Einsatz des luxemburgischen Tochterunternehmens verstoße gegen zwingende Datenschutzvorschriften der DSGVO.
Vergabekammer befürchtet unzulässige Datenübermittlung
Nach Auffassung der Vergabekammer ist nicht mit absoluter Sicherheit auszuschließen, dass über die luxemburgische Tochtergesellschaft in unrechtmäßiger Weise Daten an den Mutterkonzern in den USA übermittelt werden oder US-amerikanische Behörden Zugriff auf die Daten nehmen könnten. Für eine solche Befürchtung reicht nach Auffassung der Vergabekammer bereits das latente Risiko eines Zugriffs von staatlichen und privaten Stellen außerhalb der EU aus. Die Vergabekammer konnte insoweit auf die Rechtsprechung des BVerfG verweisen, wonach für die Annahme einer Beeinträchtigung des Grundrechts der informationellen Selbstbestimmung bereits die nicht fernliegende Möglichkeit einer Grundrechtsverletzung ausreicht (BVerfG, Urteil v. 15.12.1983, 1 BvR 209/83).
Beschwerde führt zur Aufhebung der Ausschluss-Entscheidung
Die gegen den von der Vergabekammer verfügten Ausschluss vom Vergabeverfahren eingereichte Beschwerde hatte beim OLG Erfolg. Die Ausschluss-Entscheidung beruht nach Auffassung des OLG auf einer überzogenen Auslegung der Datenschutzvorschriften der DSGVO. Grundsätzlich dürften öffentliche Behörden davon ausgehen, dass die Teilnehmer an einer Ausschreibung ihre Zusicherungen hinsichtlich der späteren Auftragsdurchführung einhalten. Die Zusicherungen der Anbieterin zum Inhalt des zwischen ihr und der luxemburgischen Dienstleisterin bestehenden Vertrages seien eindeutig. Daten dürften danach von der Anbieterin ausschließlich an die luxemburgische Gesellschaft übermittelt und ausnahmslos von ihr und nur in Deutschland verarbeitet werden.
Zugehörigkeit zu US-Konzern begründet keine Zweifel an Vertragstreue
Nach Auffassung des OLG sind auch keinerlei tatsächlichen Anhaltspunkte ersichtlich, aus denen sich Zweifel an der Seriosität der gegebenen Zusicherungen ableiten ließen. Ohne konkrete Anhaltspunkte für Zweifel an der Einhaltung der gegebenen Zusicherungen könne nicht davon ausgegangen werden, dass die Anbieterin oder die Hosting-Dienstleisterin sich nicht vertragsgemäß verhalten würden. Mit einer datenschutzwidrigen Weiterleitung von Daten in die USA sei nicht zu rechnen. Allein die Tatsache, dass die Hostinggesellschaft zu einem amerikanischen Mutterkonzern gehört, gebe jedenfalls keine Veranlassung für die Annahme eines zukünftigen gesetzeswidrigen Verhaltens des Cloud-Anbieters.
Beschwerde gegen Vergabeausschluss erfolgreich
Im Ergebnis entspricht das von den Krankenhausgesellschaften bevorzugte Angebot der Beschwerdeführerin den nach der Entscheidung des OLG den Anforderungen an Datenschutz und IT-Sicherheit. Der Ausschluss dieses Angebots aus dem Vergabeverfahren war daher rechtswidrig und hat nach der rechtskräftigen Entscheidung des OLG keinen Bestand.
(OLG Karlsruhe, Beschluss v. 7.9.2022, 15 Verg 8/22)
Hintergrund:
Die Entscheidung des OLG hat weitreichende Bedeutung und stößt sowohl für große als auch für kleine IT-Anbieter die Tür zu öffentlichen Aufträgen ein Stück weiter auf.
Viele große Cloud-Anbieter betroffen
Nach der Entscheidung der Vergabekammer Baden-Württemberg wären sämtliche Hosting- Anbieter, die zu einem amerikanischen Mutterkonzern gehören, von deutschen Vergabeverfahren wegen des latenten Risikos einer Datenübermittlung in die USA ausgeschlossen. Betroffen von einer solchen Rechtsauslegung wären u.a. einige große US-Cloud-Diensteanbieter wie Amazon (AWS), Microsoft und Google, die ihre Geschäftsmodelle zur Verarbeitung ihrer Daten ausschließlich in der EU im Hinblick auf die Vorschriften der DSGVO kostenaufwändig umgestellt haben.
US-Cloudanbieter versichern Datenschutz-Kompatibilität
Nach der jetzigen OLG-Entscheidung dürfen Behörden öffentliche Aufträge an Tochtergesellschaften von US-Anbietern von Cloud-Diensten erteilen, wenn diese glaubhaft versichern, dass die Daten nur in Deutschland verarbeitet werden. Microsoft Deutschland beeilte sich denn auch zu versichern, dass eine datenschutzkonforme Nutzung seiner Produkte in Deutschland zu 100 % gewährleistet sei.