Mitten im Sommerloch 2022 hatte eine Entscheidung der Vergabekammer Baden-Württemberg hohe Wellen geschlagen: In ihrem Beschluss vom 13.07.2022 (abrufbar hier) hatte die Vergabekammer festgestellt, dass der Einsatz einer Cloud-Lösung eines EU-Tochterunternehmens eines US-Anbieters gegen geltendes Datenschutzrecht verstoße, was zum Ausschluss des betreffenden Angebots vom Vergabeverfahren führen müsse. Die Vergabekammer nahm dabei den Verstoß an, obwohl die Daten auf Servern in Deutschland gespeichert wurden und EU-Standardvertragsklauseln implementiert waren. Nicht nur der Landesdatenschutzbeauftragte des Landes Baden-Württemberg (siehe dessen Stellungnahme hier), sondern auch Vergabe- und Datenschutzrechtler:innen bundesweit zeigten sich daraufhin alarmiert. Nun hat der Vergabesenat beim OLG Karlsruhe mit Beschl. v. 07.09.2022 (Az. 15 Verg 8/22) die Entscheidung der Vergabekammer aufgehoben; allerdings mit einer vornehmlich formal-vergaberechtlichen Begründung. Was genau das OLG Karlsruhe entschieden hat und was sich hieraus für die Praxis ergibt, lesen Sie hier im Blog:
Der Sachverhalt
In dem Verfahren ging es um eine EU-weit ausgeschriebene Software-Lösung im Krankenhaus-/Pflegesektor. Die Vergabeunterlagen stellten klar, dass Angebote die Anforderungen aus der EU-Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) erfüllen müssten. Das zu prüfende Angebot basierte auf einer Cloud-Lösung mit Servern in Deutschland. Die hierfür eingesetzte Unterauftragnehmerin ist die Tochtergesellschaft eines US-IT-Anbieters. Im Zusammenhang mit der Beauftragung waren ein Auftragsverarbeitungsvertrag und ein Anhang hierzu auf Grundlage der EU-Standardvertragsklauseln (SCC) abzuschließen.
Gegen den Zuschlag auf dieses Angebot wehrte sich eine Konkurrentin und führte unter anderem an, das Angebot verstoße gegen die Regeln der DSGVO. Die Vergabekammer folgte dieser Argumentation in der ersten Instanz und verpflichtete die öffentliche Stelle, das Vergabeverfahren in den Stand vor der Angebotsbewertung zu versetzen und diese unter Beachtung der Rechtsauffassung der Vergabekammer zu wiederholen. Hauptargument der Vergabekammer war dabei, dass bei der Nutzung der Hosting-Infrastruktur des konkreten Cloud-Anbieters aufgrund dessen Verflechtung mit seiner US-Muttergesellschaft ein „latentes Risiko“ eines Zugriffs sowohl durch staatliche als auch private Stellen außerhalb der EU und insbesondere in den USA bestehe. Dies reiche aus, um eine nach Art. 44 ff. DSGVO unzulässige Datenübermittlung in ein Drittland anzunehmen (eine ausführlichere Darstellung der Entscheidung der VK Baden-Württemberg finden Sie in unserem Blogbeitrag hier).
Gegen diese erstinstanzliche Entscheidung wandte sich die für den Zuschlag vorgesehene Bieterin mit einer sofortigen Beschwerde zum OLG Karlsruhe.
Die Entscheidung des OLG Karlsruhe
Mit Erfolg! Das OLG Karlsruhe hat mit Beschl. v. 07.09.2022 die Entscheidung der Vergabekammer aufgehoben und den Nachprüfungsantrag der Antragstellerin zurückgewiesen. In Hinblick auf den gerügten Datenschutzrechtsverstoß hat das OLG dabei Folgendes ausgeführt:
Entgegen der Auffassung der Vergabekammer habe sich die zum Verfahren beigeladene Zuschlagsbieterin mit ihrem Angebot nicht in einen Widerspruch zu den datenschutzrechtlichen Vorgaben der Vergabeunterlagen gesetzt, so dass ein Ausschluss des Angebotes gemäß §§ 53 Abs. 7, 57 Abs. 1 Nr. 4 VgV nicht angezeigt sei. Dabei sei insbesondere zu beachten, dass nach der obergerichtlichen Vergaberechtsprechung (vgl. u. a. OLG Düsseldorf, Beschl. v. 26.07.2018, Verg 28/18) ein öffentlicher Auftraggeber grundsätzlich davon ausgehen dürfe, dass ein Bieter seine vertraglichen Zusagen erfüllen werde. Erst wenn sich konkrete Anhaltspunkte dafür ergäben, dass dies zweifelhaft sei, sei der öffentliche Auftraggeber gehalten, durch Einholung ergänzender Informationen die Erfüllbarkeit des Leistungsversprechens des Bieters zu prüfen und – sollten sich die Zweifel nicht ausräumen lassen – das betreffende Angebot auszuschließen. Solche Anhaltspunkte lägen im konkreten Sachverhalt nicht vor.
Insoweit sei zu berücksichtigen, dass nach den Vergabeunterlagen allein die softwaretechnische Einhaltung des DSGVO-Vertragsentwurfs Ausschlusskriterium gewesen sei, während die DSGVO-konformen softwaretechnischen Möglichkeiten zur Berechtigungssteuerung ebenso wie die Vorgabe, Daten ausschließlich in einem EU-/EWR-Rechenzentrum zu verarbeiten, bei dem kein Nachunternehmen / Konzernunternehmen in Drittstaaten ansässig sei, lediglich als Bewertungskriterien gestaltet worden seien. Bereits durch die Unterzeichnung der DSGVO-Verträge aus den Vergabeunterlagen habe die Zuschlagsbieterin aber erklärt, diese einzuhalten. Das Angebot habe auch keine anderen Erklärungen beinhaltet, die Zweifel an diesem Leistungsversprechen angezeigt erschienen ließen.
Ebenso wenig habe allein die Tatsache, dass die für die Datenspeicherung eingesetzte Unterauftragnehmerin Tochter eines US-amerikanischen Konzerns sei, Anlass für Zweifel an der Erfüllbarkeit des Leistungsversprechens gegeben. Denn die ausschreibenden Stellen hätten nicht davon ausgehen müssen, so der Vergabesenat wörtlich, „dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird“. Damit kam es für den Vergabesenat des OLG Karlsruhe – anders als noch für die Vergabekammer – auch nicht mehr darauf an, ob die Zuschlagsbieterin zugesagt hatte, Verschlüsselungstechniken anzuwenden, die eine DSGVO-konforme Übermittlung von Daten in die USA ermöglichen.
Wozu der Vergabesenat nichts gesagt hat
Die –rechtlich konsequente und somit, nicht zu kritisierende – formal-juristische Herangehensweise des OLG Karlsruhe führt dazu, dass das Gericht die nach der erstinstanzlichen Entscheidung heiß diskutierte, datenschutzrechtliche Dimension des zugrundeliegenden Falls (beinahe) ignorieren konnte. Das mag man betrauern, bleiben die Aussagen der Vergabekammer, nach denen schon ein „latentes Risiko“ eines Datenzugriffs eine „unzulässige Datenübermittlung“ beinhalte, hierdurch doch zunächst einmal unwidersprochen im Raum stehen. Allerdings werden sich wahrscheinlich einige Datenschutzrechtler:innen auch umgekehrt erleichtert zeigen, dass es am Ende nicht ein Vergabesenat war, der die erste obergerichtliche Entscheidung in Deutschland zur Datenschutzkonformität einer Cloud-Lösung mit Datenspeicherung durch ein deutsches Unternehmen mit US-Mutter getroffen hat.
Was der Vergabesenat darüber hinaus offen gelassen hat, ist die Frage, welche Pflichten den Auftraggeber einer Cloud-basierten Softwarelösung treffen, um nach Zuschlagserteilung – also in der Ausführungsphase – zu kontrollieren, ob die in einem vorgelagerten Vergabeverfahren bzw. der Vertragsanbahnung gegebenen Leistungsversprechen denn auch wirklich eingehalten werden. Diese Frage drängt sich geradezu auf, zumal auch das OLG betont, dass die Zuschlagsbieterin natürlich „dafür Sorge zu tragen [habe], dass sie ihre Leistung entsprechend der abgegebenen Garantien umsetzt und durchführt“. Dass dies auch dem Auftraggeber nicht gleichgültig sein kann, in dessen Auftrag die Daten gespeichert bzw. verarbeitet werden, liegt auf der Hand, zumal dieser als datenschutzrechtlich Verantwortlicher letztendlich für die Einhaltung der Anforderungen der DSGVO sorgen muss.
Was sonst noch spannend an der Entscheidung ist
Auch aus vergaberechtlicher Perspektive ist die Entscheidung in gleich mehrerer Hinsicht interessant. So finden sich in der Entscheidung z. B. lesenswerte Ausführungen zu den Substantiierungspflichten bei Erhebung einer Rüge als Zulässigkeitsvoraussetzung eines Vergabenachprüfungsverfahrens. Außerdem tritt das OLG Karlsruhe der Vergabekammer – und dem Kammergericht aus Berlin, dem die Vergabekammer insoweit gefolgt war (vgl. KG, Beschl. v. 18.05.2022, Verg 7/21) – entgegen, was die in Vergabenachprüfungsverfahren äußerst brisante Frage angeht, ob auch solcher Vortrag von den Nachprüfungsinstanzen berücksichtigt werden muss, der aus Gründen des Geheimnisschutzes nicht allen Beteiligten offen gelegt worden ist. Während die Vergabekammer das noch verneint hatte, bejaht das OLG Karlsruhe diese Frage unter Hinweis auf die Grundsatzentscheidung des BGH v. 31.01.2017 (X ZB 10/16) zum sog. In-camera-Verfahren.
Ein Sturm im Wasserglas? – Fazit und Ausblick
Mit der Entscheidung des OLG Karlsruhe dürfte öffentlichen und privaten Auftraggebern in Deutschland zwar noch nicht der sprichwörtliche Stein vom Herzen gefallen sein. Wohl aber darf man von einer deutlichen Entspannung der Situation sprechen. Denn es gibt nun – jedenfalls derzeit – keine rechtskräftige Entscheidung, in der eine datenschutzrechtliche Bewertung vertreten wird, nach der, konsequent zu Ende gedacht, Cloud-Dienste unter Einbindung US-amerikanischer Tochterunternehmen in der EU überhaupt nicht mehr ohne Datenschutzrechtsverstoß zur Verarbeitung personenbezogener Daten hätten eingesetzt werden können.
Sowohl private als auch öffentliche Auftraggeber sind aber dennoch gewarnt. Das letzte Kapitel betreffend die Auslegung des Begriffs der „Übermittlung“ i.S.v. Artikel 44 ff. DSGVO ist womöglich noch nicht gesprochen. Zumindest ist nicht auszuschließen, dass auch in anderen Bundesländern bzw. Vergabeverfahren IT-Dienstleister nun den Zeitpunkt als gekommen sehen, die Datenschutzkonformität der Angebote ihrer Mitbewerber mit US-Konzernverflechtung in einem Vergabenachprüfungsverfahren auf den Prüfstand zu stellen. Wie in einem solchen Fall andere Vergabekammern und -senate entscheiden werden, ist nicht sicher abzusehen, zumal das OLG Karlsruhe, wie gezeigt, die datenschutzrechtliche Grundsatzfrage nach der Definition der „Übermittlung“ von Daten unbeantwortet gelassen hat. Je nach Fallkonstellation ist nicht auszuschließen, dass eine andere Vergabenachprüfungsstelle die Frage aber ausdrücklich wird beantworten müssen.
Eines steht jedenfalls fest: Private wie öffentliche Auftraggeber müssen beim Einkauf von Cloud-Lösungen unter Einbindung von Datenverarbeitern mit US-Bezug besondere Vorkehrungen dafür treffen, dass Datenschutzverstöße sicher ausgeschlossen werden. Angesichts der Kritik an den EU-Standardvertragsklauseln, sollten sie dabei einen besonderen Fokus auf ausreichende technisch-organisatorischen Maßnahmen (TOMs) legen. Ein Kernelement wird dabei regelmäßig eine sichere Verschlüsselung der zu speichernden personenbezogenen Daten sein. Anbieter von Cloud-Lösungen wiederum müssen – vor allem in öffentlichen Vergabeverfahren – ihre Angebote sorgsam erstellen, um sicherzugehen, dass die (inhaltliche) Zuschlagsfähigkeit des Angebotes gegeben bleibt.
Haben Sie Fragen im Zusammenhang mit dem Einkauf, der Ausschreibung oder dem Anbieten von Cloud-Leistungen? Fragen Sie uns gerne!