12 Minuten

Zitierangaben: Vergabeblog.de vom 05/06/2023 Nr. 53478

Sicheres Datenschutzversprechen trotz US-amerikanischer Mutter (VK Bund, Beschl. v. 13.02.2023 – VK2-114/22)

EntscheidungAbermals beschäftigt sich eine Vergabekammer mit der Frage, ob deutsche Tochterunternehmen mit US-amerikanischer Muttergesellschaft allein wegen dieser Verflechtung vom Vergabeverfahren auszuschließen sind. Klar und deutlich entschied die VK Bund, dass eine solche Verflechtung allein nicht zum Ausschluss führen kann, wenn das Tochterunternehmen ausreichend Sicherheiten für die konforme Leistungsausführung bietet.

Die Entscheidung enthält außerdem Ausführungen zu Rechtsanwälten als Beschaffungsdienstleistern und zu § 7 VgV sowie zu Quervergleichen in der Konzeptbewertung. Diese bleiben an dieser Stelle unberücksichtigt, da der Fokus auf die Frage des möglichen Ausschlusses von Datenverarbeitungsangeboten deutscher Tochterunternehmen mit US-amerikanischer Muttergesellschaften gelegt wird.

Leitsätze

  1. Grundsätzlich kann der öffentliche Auftraggeber davon ausgehen, dass ein Bieter seine vertraglichen Verpflichtungen erfüllen wird. Erst bei konkreten Anhaltspunkten, kann er ergänzende Informationen einholen, um die Leistungsversprechen zu überprüfen.
  2. Die Einbindung einer in Deutschland ansässigen Tochtergesellschaft eines US-amerikanischen Unternehmens als Hosting-Dienstleisterin durch einen Bieter muss den Auftraggeber nicht zwangsläufig an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. (Anschluss an OLG Karlsruhe, Beschluss vom 07.09.2022 – 15 Verg 8/22).

Sachverhalt

Mehrere gesetzliche Krankenkassen führten ein europaweites Verhandlungsverfahren mit Teilnahmewettbewerb für den Abschluss von Rahmenvereinbarungen für technische Anwendungen für die elektronische Patientenakte durch. Das Verfahren war in zwei Lose aufgeteilt: Los 1 umfasste die Entwicklung und Überlassung von ePA-Anwendungen im Frontend und Backend, während Los 2 den Betrieb dieser Anwendungen sowie die Erfüllung delegierter Aufgaben beinhaltete. Die Verträge sollten am 1. Januar 2023 beginnen und am 30. Juni 2027 enden.

Es werden verschiedene Details und Anforderungen bezüglich des Datenschutzes in den Ausschreibungsunterlagen beschrieben. Es wird deutlich gemacht, dass die Betriebsumgebungen der ePA-Anwendungen in einem EU-Mitgliedstaat oder dem EWR liegen müssen. Es wird betont, dass sämtliche Leistungen, die einen Zugriff auf Sozialdaten oder personenbezogene Daten ermöglichen, innerhalb der EU, des EWR oder eines Drittstaats mit angemessenem Datenschutzniveau durchgeführt werden müssen. Zudem wird festgelegt, dass keine Daten an Dritte weitergegeben oder diesen Zugriff gewährt werden dürfen, es sei denn, es liegt entsprechende Weisung oder Zustimmung seitens der Auftraggeber vor. Die Leistungsbeschreibung enthielt detaillierte Vorgaben hinsichtlich der Datenschutzbestimmungen. Die Vertragsentwürfe enthielten außerdem Klauseln zum Datenschutz und zur Datensicherheit. Abgesichert war dies mit einer Vertragsstrafenregelung.

Die Antragstellerin und die Beigeladene nahmen am Teilnahmewettbewerb teil und gaben Angebote ab. Im Ergebnis entschied die Vergabekommission der Auftraggeberinnen auf der Grundlage des ausgearbeiteten Bewertungsvorschlags am 5. Dezember 2022, den Zuschlag an die Beigeladene zu erteilen. Mit Schreiben vom 9. Dezember 2022 informierten die Auftraggeberinnen die Antragstellerin gemäß § 134 GWB, sie beabsichtigten, die Zuschläge für die Lose 1 und 2 auf das Kombinationslos-Angebot der Beigeladenen zu erteilen.

Die Antragstellerin rügte die beabsichtigte Bezuschlagung, u.a. in Bezug auf die Datenschutzanforderungen und trug folgende Hauptargumente vor:

Nach der Antragstellerin bestände das Risiko, dass US-Geheimdienste Zugriff auf sensible Daten von Versicherten erhalten könnten, wenn diese von einem Unternehmen mit einem US-Mutterkonzern verarbeitet werden. Weiterhin, dass ein Verstoß gegen § 80 Abs. 2 SGB X vorliege, wenn ein deutsches Tochterunternehmen eines US-amerikanischen Mutterkonzerns Sozialdaten verarbeitet, ohne dass ein Angemessenheitsbeschluss nach Art. 45 DSGVO vorliegt. § 80 SGB X sei außerdem restriktiv, um auch abstrakte Risiken der Datenverarbeitung zu verhindern und Grundrechtsgefährdungen auszuschließen. Auch existieren nach Ansicht der Antragstellerin keine technischen und organisatorischen Maßnahmen oder Verschlüsselung die einen Datenabfluss in die USA verhindern, da US-Geheimdienste selbst bei Ende-zu-Ende-Verschlüsselung in der Lage wären, die Personen anhand ihrer Daten zu identifizieren. Die Antragstellerin bezweifelt zudem, dass die Zulassung der Nachunternehmerin und ihrer Komponenten der gematik GmbH Gewähr dafür biete, dass die Datenverarbeitung datenschutzkonform erfolge.

Die Auftraggeberinnen argumentieren, dass der von der Antragstellerin vorgebrachte Ausschlussgrund, das Angebot der Beigeladenen genüge nicht den datenschutzrechtlichen Anforderungen, nicht greife. Sie führen aus, dass die datenschutzrechtlichen Anforderungen lediglich Vertragsbedingungen seien und diese Ausgestaltung keine durch die Nachprüfungsinstanzen zu prüfenden, vergaberechtlichen Vorschriften verletze. Die Beigeladene habe die datenschutzrechtlichen Vorgaben erfüllt und biete hinreichende Garantien nach Art. 28 DSGVO

Begründetheit

Der Nachprüfungsantrag ist zulässig, aber unbegründet.

Innerhalb der Antragsbefugnis geht die VK Bund davon aus, dass nach dem Vortrag der Antragstellerin die von ihr behaupteten Unvereinbarkeiten mit § 80 Abs. 2 SGB X den Ausschlusstatbestand nach § 57 VgV verwirklichen soll und damit den gebotenen vergaberechtlichen Anknüpfungstatbestand darstelle. Dies begründe die Berufung auf die Einhaltung von „Bestimmungen über das Vergabeverfahren“ gemäß § 97 Abs. 6 GWB und genüge damit der Antragsbefugnis.

Die VK Bund führt hinsichtlich der Begründetheit aus, dass vergaberechtliche Verstöße weder hinsichtlich des datenschutzrechtlichen Vortrags der Antragstellerin festzustellen seien.

Ein Ausschluss des Angebots der Beigeladenen im Hinblick auf die von der Antragstellerin behaupteten datenschutzrechtlichen Verstöße kommt nach Ansicht der VK Bund nicht in Betracht. Denn die Auftragsdatenverarbeitung erfolgt nach dem Angebot der Beigeladenen ausschließlich in Deutschland. Bezüglich des Verstoßes gegen § 80 Abs. 2 SGB X greift nach Ansicht er VK Bund bereits die 1. Alternative, die Verarbeitung im Inland. Aus diesem Grund bedürfe es auch keines Angemessenheitsbeschlusses für die USA. Diesen bedürfte es nur, wenn eine Datenverarbeitung in den USA stattfände, was aufgrund der alleinigen Verarbeitung im Inland gerade nicht der Fall sei. Auf das Leistungsversprechen der Beigeladenen dürfen die Auftraggeberinnen vertrauen, denn es gäbe keinen Anlass, anzunehmen, die Nachunternehmerin könnte nicht in der Lage sein, ihre Zusagen einzuhalten, die Auftragsdatenverarbeitung dem Zweck der zugrunde liegenden Vereinbarung zwischen der Antragsgegnerin und der Beigeladenen angebotsgemäß auszuführen. Die VK Bund führt aus, dass eine Art von eigenmächtigem, zwangsweisen Datenzugriff amerikanischer Behörden– ungeachtet dessen, wie wahrscheinlich ein solches Ansinnen in der Praxis überhaupt sein könne – mangels US-amerikanischer Staatsgewalt in Deutschland nicht realisierbar sei. Ebenso wenig könne die Unterauftragnehmerin der Beigeladenen über ihre Muttergesellschaft gezwungen werden, Daten an diese herauszugeben. Denn in der Übermittlung an die in den USA ansässige amerikanische Muttergesellschaft der Unterauftragnehmerin läge nicht nur eine im Verhältnis zu den Auftraggeberinnen weisungs- und damit vertragswidrige Datenherausgabe, sondern daneben ein Verstoß gegen § 80 Abs. 2 SGB X. Eine Datenübermittlung an die amerikanische Muttergesellschaft wäre nach dieser Vorschrift rechtswidrig, denn die Datenübermittlung stellt eine Form der Verarbeitung dar, die nur nach der 4. Variante von § 80 Abs. 2 SGB X zulässig sei. Nach der VK Bund wäre eine Weisung der Muttergesellschaft nach § 37 Abs. 1 GmbHG zur Datenherausgabe damit unbeachtlich für die deutsche Tochtergesellschaft. Würde – so die VK Bund – die Annahme vorherrschen, dass Daten, insbesondere grundrechtlich besonders schützenswerte Sozialdaten, bei Auftragsdatenverarbeitung durch ein europäisches Tochterunternehmen eines amerikanischen Konzerns aufgrund der amerikanischen Rechtslage nicht sicher sein, so bedürfte es der Schaffung einer gesonderten Rechtsgrundlage für einen Ausschluss dieser Unternehmen vom für alle Unternehmen ungeachtet ihrer Nationalität offenen und durch den Wettbewerbsgrundsatz geprägten Vergabewettbewerb, etwa in Gestalt einer EU-Verordnung. Etwa vergleichbar der EU-Verordnung 2022/576 vom 8. April 2022, mit der – aus völlig anderen Gründen – russische Unternehmen vom Vergabewettbewerb ausgeschlossen werden. Die von der Antragstellerin behauptete Gefährdungslage werde seitens der EU jedoch ganz offenbar völlig anders eingeschätzt, denn es ist ein neuer Angemessenheitsbeschluss in Bezug auf die Vergleichbarkeit der Datenschutzniveaus in den USA in Vorbereitung, dessen Inkrafttreten in Kürze erwartet wird. Die Thematik wird sich mit Inkrafttreten eines solchen Beschlusses ohnehin erledigen.

Einen Verstoß gegen § 57 Abs. 1 Nr. 4 VgV wegen Abweichens ihres Angebots von den Vergabeunterlagen lehnte die VK Bund ab. Zwar müsse ein Bieter auch für Defizite eines von ihm eingeschalteten Unterauftragnehmers einstehen und sich zurechnen lassen, wenn etwa der Unterauftragnehmer mit seinem Leistungsteil Vorgaben der Vergabeunterlagen nicht einhält, denn dieser Leistungsteil ist Bestandteil des Angebots des Bieters. Die Stellung der Unterauftragnehmerin als deutsches Tochterunternehmen einer US-amerikanischen Muttergesellschaft genügt diesen Anforderungen jedoch nicht:

Die Vergabeunterlagen verlangten als Bedingung für die Ausführung des Auftrags an mehreren Stellen die Einhaltung bestimmter Datenschutzvorgaben nebst Abgabe von darauf bezogenen Erklärungen. Diese Erklärungen wurden – nach Ansicht der VK Bund – eingereicht. Es wurde mithin eine vollständige Leistungserbringung im Inland zugesichert. Soweit die Antragstellerin argumentiere, dass die besondere Sensibilität der Sozialdaten, die gespeichert werden sollen, eine besondere Grundrechtsrelevanz haben, habe sie die eindeutig formulierten Tatbestandsmerkmale von § 80 Abs. 2 SGB X und von Art. 44 DSGVO missverstanden und wolle diese auf nicht erfasste Fallgestaltungen anwenden. Dies kreiere neue Tatbestände, die der Gesetzgeber nicht vorgesehen hat. Diese Erweiterung des Anwendungsbereichs der Vorschriften auf latente Zugriffsrisiken sei nach Ansicht der VK Bund nicht erforderlich. Stattdessen erfordere nach Ansicht der VK Bund die Grundrechtsrelevanz das Vorliegen eines Angemessenheitsbeschlusses nur bei Drittlandverarbeitung.

Nach Ansicht der VK Bund kann eine direkte, zwangsweise Durchsetzung von Datenherausgabeverlangen seitens US-amerikanischer Behörden gegenüber einer deutschen Unterauftragnehmerin nicht durchgesetzt werden, da die Unterauftragnehmerin als juristische Person nach deutschem Recht nicht US-amerikanischem Recht unterworfen sei und US-amerikanischen Behörden keine Staatsgewalt in Deutschland zukäme. Es gäbe kein spezifisches, im Vergleich zu Unternehmen ohne US-amerikanische Muttergesellschaft erhöhtes Zugriffsrisiko auf Sozialdaten. Wenn man auf US-geheimdienstliche Rechtsgrundlagen abstellen würde, müsse die Auftragsdatenverarbeitung von Sozialdaten gänzlich unterbleiben, um einen Zugriff auf Basis dieser Rechtsgrundlagen vollkommen auszuschließen.

Die VK Bund erkennt zwar die theoretische Möglichkeit an, dass US-Behörden aufgrund des US-Cloud Acts die Herausgabe von Daten verlangen kann und die US-Muttergesellschaft theoretisch eine Weisung an die Geschäftsführung der deutschen Unterauftragnehmerin zur Datenherausgabe erteilen könnte. Allerdings habe sich im konkreten Fall die Unterauftragnehmerin bereits mit der Abgabe aller geforderten Datenschutzerklärungen verbindlich dazu verpflichtet, entsprechenden Weisungen nicht Folge zu leisten. Der theoretische Zielkonflikt bestehe somit nicht. Auch gesellschaftsrechtlich gäbe es keinen Zwang für die Unterauftragnehmerin, einer solchen Weisung zu folgen. Eine Weisung, die Daten herauszugeben, wäre mangels Angemessenheitsbeschluss rechtswidrig und unbeachtlich. Auch § 80 Abs. 2 SGB X erlaube die Auftragsverarbeitung von Sozialdaten unter bestimmten Alternativen: so (1) im Inland, (2) in der EU (3) im EWR, (4) in einem Drittland, für das ein Angemessenheitsbeschluss vorliegt. Da die Unterauftragnehmerin vorliegend eine Verarbeitung im Inland und damit Variante (1) vorsieht, ist irrelevant, dass kein Angemessenheitsbeschluss in Bezug auf die USA vorliege; da Variante (1) bereits griffe, müsse nicht noch zusätzlich Variante (4) vorliegen.

Dennoch bestehe nach der VK Bund stets ein generelles Restrisiko, wonach ein Aufragnehmer seine Verpflichtungen nicht einhält. Der pauschale Ausschluss aller Unternehmen mit US-amerikanischen Muttergesellschaften wäre nach Ansicht der VK Bund ein schwerwiegender und diskriminierender Eingriff in ihre Rechte, da die Unternehmen keine Verantwortung für die Rechtslage in den USA tragen und keinen Einfluss darauf haben. Das vorhandene Vergaberecht erlaube keinen Ausschluss aufgrund dieser Sachlage. Es existiere keine gesonderte Rechtsgrundlage für einen Ausschluss, und grundrechtliche Schutzpflichten können sie nicht ersetzen.

Auch ein Ausschluss der Beigeladenen als Unternehmen nach § 128 Abs. 1 GWB komme nicht in Betracht, solange sie die geltenden rechtlichen Bestimmungen einhalte und nicht bereits vor Auftragserteilung feststeht, dass sie gegen Datenschutzbestimmungen verstoßen werden (vergleichbar etwa Art. 5 k der EU-VO 2022/576 zu russischen Unternehmen). Die vorbereitende Executive Order der US-Regierung und der Entwurf eines neuen Angemessenheitsbeschlusses der EU-Kommission, die Bedenken aus dem Schrems II-Urteil des EuGH begegnen, führt nicht zu einer Andersbeurteilung. Es verbliebe daher dabei, dass das Risiko des Datenabflusses als nicht relevant eingestuft würde..

Fazit

Auch die VK Bund erkennt einmal mehr die Souveränität der Europäischen Union an. Europäische Tochterunternehmen unterliegen nicht per se US-amerikanischen Recht nur, weil sie in einen US-amerikanischen Konzernverbund verflochten zu sein scheinen.

Das Risiko des Abfließens von Daten in die USA ist natürlich abstrakt gegeben. Im Rahmen eines Nachprüfungsverfahrens spielt es jedoch nur dann eine Rolle, wenn konkrete Normen des Vergabeverfahrens betroffen sind. Wie dieser Fall eindringlich zeigt, kann mittels konkreter Ausgestaltung der Leistungsbeschreibung und der Vergabeunterlagen das ins Feld geführte „latente Risiko“ eines Datenabflusses verhindert und unterbunden werden. Die VK Bund stellt eindringlich klar, dass abgegebene Leistungsversprechen und Garantien der Bieter rein theoretisch bestehende Möglichkeiten des Datenabflusses nicht zum Ausschluss führen können. Zwar erkennt die VK Bund die Möglichkeit an, dass US-Behörden gemäß dem US-Cloud Act die Herausgabe von Daten verlangen können, jedoch hat die deutsche Unterauftragnehmerin bereits verbindlich erklärt, solchen Weisungen nicht nachzukommen. Richtig ist außerdem, dass kein gesetzlicher Zwang besteht, daten heruaszugeben. Deutlich stellt die VK Bund heraus, dass eine Weisung zur Datenherausgabe daher rechtswidrig und unbeachtlich ist, da keine Angemessenheitsbeschlüsse für die USA vorliegen. Die VK Bund sucht damit nahtlos den Anschluss an die Entscheidung des OLG Karlsruhe (Beschl. v. 07.09.2022 – 15 Verg 8/22), welches bereits letztes Jahr betonte, dass ein latentes Risiko des Abflusses von Daten nicht als für einen Ausschluss ausreichend erachtete.

Eingehend beschäftigt sich die VK Bund auch mit dem Thema, wann welches Datenschutzniveau bei Sozialdaten bei den verschiedenen Varianten des § 80 Abs. 2 SGB X gegeben sein muss. Die VK Bund macht deutlich, dass ein Angemessenheitsbeschluss dann nicht notwendig ist, wenn die Verarbeitung im Inland (1. Variante) bereits zugesagt wurde. Diese Einschätzung basiert auf der konkreten Norm, die Abstufungen hinsichtlich des Datensicherungsniveaus anhand des Verarbeitungsortes der Daten vornimmt. Soweit solche Normen außerhalb des SGB existieren (bspw. für die Verarbeitung von Gesundheitsdaten im Krankenhausbereich) ist der Auftraggeber gut beraten, auch solche zu analysieren und die Vergabeunterlagen inkl. Verträgen entsprechend diesen auszugestalten.

Die VK Bund betont, dass der Auftraggeber konkrete Maßnahmen ergreifen kann, um den Datenzugriff US-amerikanischer Muttergesellschaften ausschließen zu können. So bspw. die Zusicherung des EU-Tochterunternehmen, dass Daten auf Servern im Inland gespeichert und verarbeitet werden und die gesamte Leistungserbringung im Inland erfolgt. Weiter die Garantie, des EU-Tochterunternehmens, Daten nicht an Dritte, wie beispielsweise ausländische Sicherheits- oder Geheimdienstbehörden, herauszugeben. Auch die Verpflichtung des Bieters, Weisungen der Muttergesellschaft zur Datenweitergabe nicht zu befolgen, führt zu einer Absicherung. Im konkreten Fall wurde dies außerdem durch Regelungen zu Vertragsstrafen für den Fall schuldhafter Verletzungen der datenschutzrechtlichen Vorgaben abgesichert. Einem Ausschluss kann so vorgebeugt werden.

Anzumerken ist noch, dass die beim OLG Düsseldorf zunächst eingelegte sofortige Beschwerde nicht weiter verfolgt wurde.

Avatar-Foto

Annett Hartwecker

Annett Hartwecker ist Rechtsanwältin und Fachanwältin für Vergaberecht in der auf Vergabe- und Baurecht spezialisierten Sozietät LEINEMANN & PARTNER RECHTSANWÄLTE mbB in Berlin. Ihr Tätigkeitsschwerpunkt liegt im Vergaberecht, wobei Frau Hartwecker Vergabestellen ebenso wie Bieter bei Vergabeverfahren sowohl aus dem Bau- wie dem Liefer- und Dienstleistungsbereich berät, aber auch die Vertretung in Vergabenachprüfungsverfahren übernimmt. Darüber hinaus berät Frau Hartwecker im Öffentlichen Recht, insbesondere im Planungs- und Umweltrecht.

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (64 Bewertungen, durchschn.: 4,84aus 5)

Loading…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert