OLG Karlsruhe: Auftraggeber dürfen sich auf bindende Zusagen verlassen – auch zum Datenschutz (Beschl. v. 07.09.2022 – 15 Verg 8/22)
Die Vergabekammer Baden-Württemberg hat die Zulässigkeit der Verwendung von Infrastrukturdiensten europäischer Tochterunternehmen US-amerikanischer Cloud-Anbieter in Frage gestellt (siehe hierzu ). In dem sofortigen Beschwerdeverfahren hat nun das OLG Karlsruhe entschieden und die Entscheidung der Vergabekammer aufgehoben. Was passiert ist, erläutert das OLG Karlsruhe in der nachfolgenden Pressemitteilung. Eine Besprechung der Entscheidung finden Sie in Kürze hier auf Vergabeblog.
Die Anbieterin eines digitalen Entlassmanagements für Patienten ist nicht allein deswegen aus einem Vergabeverfahren zweier kommunaler Krankenhausgesellschaften auszuschließen, weil sie die luxemburgische Tochtergesellschaft eines US-amerikanischen Unternehmens als Hosting-Dienstleisterin einbinden will. Die öffentlichen Auftraggeber dürfen sich vielmehr auf die bindenden Zusagen der Anbieterin verlassen, dass die Daten ausschließlich in Deutschland verarbeitet und in kein Drittland übermittelt werden.
Mit dieser Aussage hat der Vergabesenat des Oberlandesgerichts Karlsruhe durch Beschluss vom 7. September 2022 eine entgegenstehende Entscheidung der Vergabekammer Baden-Württemberg vom 13. Juli 2022 aufgehoben. Der Nachprüfungsantrag einer konkurrierenden Anbieterin wurde zurückgewiesen.
In dem Vergabeverfahren zweier kommunaler Krankenhausgesellschaften für ein digitales Entlassmanagement für Patienten war vorausgesetzt, dass die Anforderungen der Datenschutzgrundverordnung und des Bundesdatenschutzgesetzes hinsichtlich der personenbezogenen Daten der zur Entlassung anstehenden Patienten erfüllt sein müssen. Eine der Anbieterinnen sicherte in ihren Angebotsunterlagen zu, das von ihr als Hosting-Dienstleisterin eingebundene luxemburgische Tochterunternehmen eines US-amerikanischen Konzerns werde den Auftrag ausschließlich bearbeiten und die Daten würden ausnahmslos auf einem in Frankfurt/Main stehenden Server einer deutschen GmbH verarbeitet. Die Krankenhausgesellschaften kündigten im Vergabeverfahren an, dieser Anbieterin den Zuschlag erteilen zu wollen, weil sie ihr Angebot als das wirtschaftlichste ansähen.
Auf einen nachfolgenden Nachprüfungsantrag einer Konkurrentin, die sich ebenfalls um den Auftrag bewirbt, entschied die Vergabekammer Baden-Württemberg jedoch, die ausgewählte Anbieterin aus dem Vergabeverfahren auszuschließen, da der Einsatz des luxemburgischen Tochterunternehmens gegen die Datenschutzgrundverordnung verstoße und daher die Anforderungen der Vergabeunterlagen nicht eingehalten seien. Die Nutzung von Diensten der luxemburgischen Tochtergesellschaft eines US-amerikanischen Unternehmens gehe mit einer unzulässigen Datenübermittlung in ein Drittland (hier: die USA) einher. Für diese Annahme reiche bereits das latente Risiko eines Zugriffs von staatlichen und privaten Stellen außerhalb der Europäischen Union aus.
Der gegen diese Entscheidung erhobenen Beschwerde hat das Oberlandesgericht Karlsruhe mit Beschluss vom 7. September 2022 stattgegeben. Die Entscheidung der Vergabekammer wurde aufgehoben und der Nachprüfungsantrag zurückgewiesen. Nach Auffassung des Senats ist im Rahmen der Nachprüfung einer Vergabeentscheidung grundsätzlich davon auszugehen, dass ein Bieter seine vertraglichen Zusagen erfüllen wird. Erst wenn sich aufgrund konkreter Anhaltspunkte Zweifel daran ergeben, muss der öffentliche Auftraggeber ergänzende Informationen einholen und die Erfüllbarkeit des Leistungsversprechens prüfen. Im jetzt entschiedenen Fall hatte die Anbieterin jedoch eindeutige Zusicherungen zu dem Inhalt des Vertrags zwischen ihr und der luxemburgischen Holding-Dienstleisterin gemacht. Danach dürfen Daten ausschließlich an diese luxemburgische Gesellschaft übermittelt und ausnahmslos von ihr und nur in Deutschland verarbeitet werden. Die Krankenhausgesellschaften können auf dieser Grundlage berechtigt darauf vertrauen, dass die Anbieterin diese Vorgaben auch in ihrem Verhältnis zur Hosting-Dienstleisterin vertragsgemäß umsetzen wird. Sie müssen nicht damit rechnen, dass die luxemburgische Gesellschaft vertragswidrige und gegen europäisches Recht verstoßende Weisungen befolgen und personenbezogene Daten in die USA übermitteln wird.
Wörtlich hat der Senat ausgeführt: „Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.“
Das von den Krankenhausgesellschaften bevorzugte Angebot weicht damit nicht von den bei der Ausschreibung formulierten Anforderungen an Datenschutz und IT-Sicherheit ab. Der Senat hat daher keinen Grund dafür gesehen, dieses Angebot aus dem Vergabeverfahren auszuschließen.
Die Entscheidung ist rechtskräftig.
Quelle: OLG Karlsruhe
Anmerkung der Redaktion
Eine Besprechung der Entscheidung finden Sie in Kürze hier auf Vergabeblog.