Neuer Evergreen? Deutsche Tochter mit US-Mutter (VK Bund, Beschl. v. 20.06.2023 – VK 2-34/23)

EntscheidungMit ihrem Beschluss vom 20. Juni 2023, Aktenzeichen VK 2-34/23, ging die 2. Vergabekammer des Bundes in die nächste Runde und betonte, wie auch schon in ihrem Beschluss vom 13.02.2023, VK 2-114/22 (siehe hierzu Hartwecker, in Vergabeblog vom 05/06/2023, Nr. 53478), dass grundsätzlich ein Vertrauen in deutsche Unternehmen mit ausländischen Muttergesellschaften besteht. Gleichzeitig unterstreicht die Kammer jedoch die Verantwortung der Auftraggeber, vor der Vergabe von Aufträgen eine umfangreiche und detaillierte Prüfung sicherzustellen.

Leitsätze

  1. Die Integration einer in Deutschland ansässigen Tochtergesellschaft eines US-amerikanischen Mutterkonzerns als Hosting-Dienstleister durch einen Bieter braucht den Auftraggeber nicht per se dazu veranlassen, die Umsetzbarkeit des Leistungsversprechens infrage zu stellen. (Anschluss an VK Bund, Beschluss vom 13.02.2023 – VK 2-114/22 und OLG Karlsruhe, Beschluss vom 07.09.2022 – 15 Verg 8/22).
  2. Hat der Auftraggeber Zweifel an der Einhaltung der auftraggeberseitigen Vorgaben, hat er dies aufzuklären, um sicherzustellen, dass nur ein leistungsgemäßes Angebot bezuschlagt wird. Ein Verlassen auf vertragliche Sanktionsmechanismen, die die nicht ordnungsgemäße Leistungserbringung abstraft, wird dem vergaberechtlichen Wettbewerb nicht gerecht.

Sachverhalt

Die Antragsgegnerin gab eine Bekanntmachung für ein offenes Verfahren in europaweiter Ausschreibung zur Beschaffung von Reisebüroleistungen heraus. Die Kriterien für die Zuschlagserteilung umfassten den Preis (bis zu 30 Leistungspunkte) sowie die erwartete Qualität der Leistung anhand der vorgelegten Konzepte (bis zu 70 Leistungspunkte).

Ziff. 3. der Leistungsbeschreibung definiert das Anforderungsprofil für die zu beschaffenden Reisebürodienstleistungen, die in Basisleistungen (Ziff. 3.1) und Zusatzleistungen (Ziff. 3.2) aufgeteilt sind. Ziff. 3.15 enthält für die Basisleistungen folgende Vorgabe:

3.1.5 Datenhaltung: Alle Datenhaltungen inklusive Back Office Systeme erfolgt auf Servern in der EU, idealerweise in Deutschland.

Gemäß § 11 des bei den Vergabeunterlagen befindlichen Vertragsentwurfs sollte u.a. folgendes vereinbart werden:

„(1) Die Auftragnehmerin ist gesetzlich zur Einhaltung des Datenschutzes verpflichtet. …

Sowohl die Antragstellerin als auch die förmlich zum Nachprüfungsverfahren hinzugezogene Beigeladene gaben jeweils ein Angebot ab. Die Beigeladene erklärte in ihrem Angebotsschreiben, sie biete

„… zu den in den Vergabeunterlagen aufgeführten Bedingungen … die ausgeschriebene Leistung an. Mein Angebot entspricht den Vorgaben der Vergabeunterlagen. …“

Die Antragstellerin unterlag mit ihrem eingereichten Angebot und rügte daraufhin ihre eigene Konzeptbewertung und die beabsichtigte Bezuschlagung der Beigeladenen, u.a. mit dem Hinweis auf datenschutzrechtliche Verstöße der Beigeladenen. Die Antragsgegnerin informierte die Beigeladene über die Rüge und bat um Stellungnahme zu den vorgeworfenen, datenschutzrechtlichen Verstößen. Die Beigeladene ging in ihrer Stellungnahme lediglich auf die Wertung der Konzepte der Antragstellerin ein, beantwortete jedoch nicht die vorgeworfenen, datenschutzrechtlichen Verstöße.

Nach erneuter Bewertung verblieb das Angebot der Antragstellerin immer noch hinter dem der Beigeladenen, woraufhin die Antragsgegnerin die Antragstellerin erneut nach § 134 GWB informierte.

Am 17. April 2023 rügte die Antragstellerin erneut die beabsichtigte Zuschlagserteilung an die Beigeladene, deren Eingang die Antragsgegnerin bestätigte und eine weitere Analyse der Konzepte ankündigte.

Am 20. April 2023 beantragte die Antragstellerin die Einleitung eines Nachprüfungsverfahrens. Der Nachprüfungsantrag wurde am 21. April 2023 von der Vergabekammer an die Antragsgegnerin übermittelt.

In ihrem Nachprüfungsantrag machte die Antragstellerin die Missachtung von § 57 Abs. 1 Nr. 4 VgV durch die Antragsgegnerin im Zusammenhang mit dem Datenschutz geltend. Sie argumentierte, dass das Angebot der Beigeladenen nicht den Anforderungen zur Einhaltung des Datenschutzrechts – wie in Ziffer 3.1.5 der Leistungsbeschreibung bzw. § 11 Abs. 1 des Vertrags festgelegt – entspreche. Die Beigeladene, als GmbH und Tochtergesellschaft eines US-amerikanischen Mutterkonzerns, habe in ihrem Angebot die Übermittlung personenbezogener Daten in Drittländer, insbesondere in die USA oder nach Großbritannien, vorgesehen. Diese Übermittlung erfordere gemäß den Art. 44 ff., Art. 32 Abs. 1, 2 und Art. 5 Abs. 1 lit. f) DSGVO ein erhöhtes Datenschutzniveau.

Weiter beanstandete sie, dass weder die Beurteilung der Angemessenheit gemäß Art. 44 DSGVO noch die Sicherstellung eines ausreichenden Datenschutzniveaus gemäß Art. 46 DSGVO die vorgesehene Datenübermittlung seitens der Beigeladenen rechtfertigen würden. Diese Beanstandung sei einerseits auf die „Binding Corporate Rules“ (BCR) der Beigeladenen zu stützen, die eine Datenweitergabe innerhalb des Konzerns ermöglichen und Grundlage für die Übermittlungen personenbezogener Daten in Drittländer nach Art. 46 Abs. 2 lit. b) DSGVO sein soll. Andererseits stütze die Verwendung eines Preisvergleichstool, das derzeit ausschließlich auf Servern in den Vereinigten Staaten betrieben werde, die Beanstandung. Darüber hinaus befänden sich die maßgeblichen, für die Auftragsausführung verantwortlichen Personen teilweise außerhalb der Europäischen Union, nämlich in den Vereinigten Staaten, Großbritannien und Indien.

In Anbetracht dieser Umstände ist die Antragstellerin der Ansicht, dass die Verarbeitung der im Rahmen dieses Prozesses anfallenden personenbezogenen Daten zwangsläufig und hauptsächlich über unsichere Drittländer im Sinne des Art. 44 DSGVO erfolge. Zudem fehle es an angemessenen Garantien für einen datenschutzrechtskonformen Transfer in die USA, da sich die Beigeladene nicht auf die von der Beigeladenen herangezogenen Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 lit. c) DSGVO berufen könne.

Die Entscheidung

Die 2. VK Bund hielt den Nachprüfungsantrag im Hinblick auf eine fehlerhaft vorgenommenen Aufklärung gem. § 15 Abs. 5 S. 1 VgV insofern für begründet, als sich aus den möglichen datenschutzrechtlichen Verstößen ein Ausschlussgrund wegen Änderungen oder Ergänzungen an den Vergabeunterlagen nach § 57 Abs. 1 Nr. 4 VgV ergeben könnte.

Die 2. VK Bund hob zunächst hervor, dass die AG grundsätzlich dem Leistungsversprechen des Bieters trotz Konzernverbindung zu einer US-Mutter vertrauen dürfe. Aus der Tatsache als solcher, dass es sich bei der Beigeladenen um ein Unternehmen mit britisch/us-amerikanischer Gesellschafterstruktur handelt, folge entgegen der Darlegungen der Antragstellerin zur Einbindung in eine Konzernstruktur nichts anderes. Die Beigeladene ist eine GmbH nach deutschem Recht und unterliegt der nationalen Rechtsordnung. Die von der Rechtsordnung vorgegebenen Bestimmungen der DSGVO habe die Beigeladenen – was nach § 128 GWB ganz generell und unabhängig von den Vorgaben des streitgegenständlichen Vergabeverfahrens auch vergaberechtlich beachtlich ist – daher einzuhalten.

Die Vergabekammer erkannte an, dass die Beigeladene ihrem Angebot zugesagt habe, die Vorgaben der DSGVO einzuhalten. Darüber hinaus habe sie sich verpflichtet, gemäß Ziffer 3.1.5 der Leistungsbeschreibung die Datenhaltung in der EU zu beachten, idealerweise in der Bundesrepublik Deutschland. Es bestehe grundsätzlich kein Zweifel daran, dass die Beigeladene in der Lage sei, die Datenschutzregeln und die Datenhaltung in der EU zu gewährleisten.

Soweit die Antragstellerin befürchte, dass die Geschäftsführung der Beigeladenen aufgrund des US-amerikanischen Sicherheitsrechts, insbesondere des US-CLOUD Act oder der FISA 702, möglicherweise angewiesen werden könnte, personenbezogene Daten zweckwidrig herauszugeben, könne nicht per se davon ausgegangen werden, dass die Beigeladene sich den Datenschutzpflichten widersetze. Gemäß Artikel 48 der DSGVO wäre eine solche Datenübermittlung ohne entsprechendes Ersuchen einer drittstaatlichen Behörde unzulässig. Die Vergabekammer führt aus, dass eine konzerninterne Weisung, die gegen gesetzliche Pflichten verstößt, nach § 43 Absatz 1 GmbHG rechtswidrig wäre und daher nicht befolgt werden dürfe. Damit bestehe kein Anlass anzunehmen, dass die Beigeladene von den Vorgaben des Vertrages abweiche (Anschluss an: 2. Vergabekammer des Bundes, Beschluss vom 13. Februar 2023, VK 2-114/22 und OLG Karlsruhe, Beschluss vom 7. September 2022, 15 Verg 8/22;).

Aber: Gleichzeitig erkannte die Vergabekammer jedoch die Notwendigkeit zusätzlicher Aufklärung bezüglich des Angebots der Beigeladenen. Denn aus allgemein zugänglichen datenschutzrelevanten Mitteilungen der Beigeladenen (insb. aus Auszügen ihres öffentlichen Internetauftritts) ergäben sich nach Einschätzung der Vergabekammer Unsicherheiten in Bezug auf ihr Leistungsversprechen:

Es bestehe nach Ansicht der Vergabekammer insoweit Klärungsbedarf, inwieweit die Binding Corporate Rules während der Auftragsausführung durch die Beigeladene relevant seien und tatsächlich das erforderliche Datenschutzniveau gewährleisten können. In den BCR wird eine konzerninterne Übermittlung bzw. Verarbeitung personenbezogener Daten aus der EU in Drittländer, einschließlich der USA, wo sich nach dieser Erklärung der Hauptserver des Konzerns befindet, für möglich gehalten. Die Vergabekammer führt dazu aus, dass die Beigeladene weder näher konkretisiert noch die Antragsgegnerin näher geprüft oder hinterfragt habe, ob vor diesem Hintergrund das Angebot konkret mit den datenschutzrechtlichen Anforderungen der DSGVO und damit den Anforderungen aus den Vergabeunterlagen vereinbar sein konnte. Die Beigeladene habe in ihren Stellungnahmen jedenfalls nicht ausgeschlossen, dass Datenübermittlungen an unsichere Drittstaaten bzw. Drittstaaten ohne Angemessenheitsbeschluss im Auftragsfall anfallen können. Auf dieser Tatsachengrundlage konnte die 2. VK Bund jedenfalls nicht feststellen, ob das Angebot der Beigeladenen nach § 57 Abs. 1 Nr. 4 VgV wegen Abänderung oder Abweichens von den Vorgaben der Vergabeunterlagen auszuschließen sei.

Auch die Antwort der Beigeladenen auf die Aufklärungsverfügung der Vergabekammer konnte ebenso wenig die Zweifel eines nicht den Vergabeunterlagen entsprechenden Leistungsversprechens ausräumen. Die Antwort der Beigeladenen auf die Frage zur Anwendung der Standarddatenschutzklausel: „Deren Inhalt umfasst potenziell auch weitere ergänzende Maßnahmen, die im konkreten Einzelfall zu ermitteln und zu implementieren sind, um etwaige Rechtsschutzlücken im Drittland zu schließen und die Einhaltung des unionsrechtlichen Schutzniveaus zu gewährleisten.“, sei dafür unzureichend. Damit sei unklar, ob das Angebot der Beigeladenen die für die Auftragsausführung geltenden datenschutzrechtlichen Anforderungen der DSGVO (vgl. hierzu EuGH, Urteil vom 16. Juli 2020, Rs C-311/18, Rn. 131 ff.) einhalten kann oder nicht. Dies hätte weiter aufgeklärt werden müssen.

Auch das Preisvergleichstool warf für die Vergabekammer Fragen auf. Nach Angaben der Antragstellerin nutzt die Beigeladene ein Tool, welches ausschließlich auf Servern in den USA betrieben wird. Dies war zwischen den Beteiligten auch unstreitig. Um das Tool zu verwenden, muss der gesamte Datensatz des Reisenden an die Server in den USA zunächst weitergegeben werden. Unklar und aufzuklären war damit, ob nicht sogar eine Auftragsdatenverarbeitung vorlag. Dies hätte zur Folge, dass von den konkreten Vorgaben der Vergabeunterlagen abgewichen werden würde.

Insgesamt habe die Beigeladene nach Ansicht der Vergabekammer in ihren Ausführungen zur Aufklärung lediglich allgemeine Informationen zur Einhaltung der datenschutzrechtlichen Anforderungen durch ihre konzerninternen BCR und die Nutzung von Standardvertragsklauseln sowie zur Datenhaltung in der EU gegeben, ohne die spezifischen Widersprüche aufzulösen oder konkrete Abläufe für den Auftrag zu erläutern.

Nach Ansicht der Vergabekammer blieb folglich unklar, wie das Angebot der Beigeladenen im Detail die Einhaltung der Vorgaben sicherstellen wird. Auf dieser Grundlage vermochte die Vergabekammer weder festzustellen, ob das Angebot der Beigeladenen wegen Abänderung oder Abweichens der Vorgaben in den Vergabeunterlagen gemäß § 57 Abs. 1 Nr. 4 VgV auszuschließen sei, noch ob der Zuschlag an dieses Angebot erteilt werden könne. Es hätte weiter aufgeklärt werden müssen.

Abschlägig beurteilte die Vergabekammer auch die Argumentation der Antragsgegnerin, dass die datenschutzrechtliche Sicherheit über die vertragliche Ebene mittels vertraglicher Sanktionsmechanismen gesichert sei. Dies komme für den vergaberechtlichen Wettbewerb zu spät.

Fazit

Die Entscheidung der 2. VK Bund bestätigt noch einmal die ebenfalls von der 2. VK Bund getroffene Entscheidung vom 13.02.2023, VK 2-114/22 (siehe hierzu Hartwecker, in Vergabeblog vom 05/06/2023, Nr. 53478) sowie die des OLG Karlsruhe, Beschluss vom 07.09.2022 – 15 Verg 8/22), dass grundsätzlich ein Vertrauen in deutsche Unternehmen mit ausländischen Muttergesellschaften besteht.

Das Vertrauen besteht zunächst so lange, wie das EU-Tochterunternehmen die Datenhaltung und -verarbeitung DSGVO-konform sowie nach den geforderten Anforderungen in den Vergabeunterlagen sicherstellt und mit dem Angebot zusichert. Dieses Vertrauen kann jedoch nach Ansicht der 2. VK Bund durch Aussagen in allgemein zugänglichen Quellen – wie der eigenen Internetpräsenz – erschüttert werden, wenn diese im Widerspruch zum eigentlichen Angebot stehen. Im Fall geschah dies durch die anschließende Antragsgegnerin, die innerhalb ihrer Rügen auf die angeblichen Missstände des Angebotes und dessen Widersprüche bei der Beigeladenen aufmerksam machte. Selbst eingereicht hatte die Beigeladenen die entgegenstehenden Informationen mit ihrem Angebot nicht. Auch deren übrige Angebotsunterlagen selbst gaben keinen Anlass für nähere Nachforschungen der Auftraggeberin. Hier sah die VK Bund dann die Aufgreifschwelle für eine nähere Aufklärung gegeben. Denn die öffentlichen Aussagen der Beigeladenen hatten nach Ansicht der VK Bund das Potential, die Vorgaben in den Vergabeunterlagen abzuändern oder von diesen abzuweichen.

Richtig ist zunächst: Ausgangspunkt für eine weitere Aufklärung des Angebotes bildet dieses selbst. Finden sich bereits in diesem Widersprüche, hat der Auftraggeber diese selbstverständlich vor Bezuschlagung auszuräumen. Werden diese nicht ausgeräumt, ist wegen Abänderung oder Abweichens von den Vergabeunterlagen auszuschließen.

Können allgemeine, öffentliche Aussagen eine weitere Aufklärung des Auftraggebers auslösen? Die Vergabekammer bejaht dies. Sie geht aber davon aus, dass die allgemeinen, öffentlichen Aussagen mit dem Angebot derart in Verbindung stehen, dass diese die konkreten Aussagen im Angebot in Zweifel ziehen. Dies kann in dieser Bestimmtheit so nicht stehen bleiben. Allgemeine, öffentliche Aussagen sollten konkrete Aussagen im Angebot grundsätzlich nicht in Zweifel ziehen können. Es bleibt an dieser Stelle unklar, warum die Beigeladene nicht in der Lage war, die allgemeinen Aussagen auszuräumen. Eine Aufgreifschwelle für eine weitere Aufklärung können und sollten die allgemeinen, öffentlichen Aussagen dennoch bilden. Hierbei sollte jedoch zunächst aufgeklärt werden, ob die allgemeinen Aussagen überhaupt im konkreten Angebot zur Anwendung kommen.

Ob die Entscheidung so bestehen bleibt, wird die sofortige Beschwerde, eingelegt beim OLG Düsseldorf unter dem Aktenzeichen VII Verg 25/23, zeigen.

Was die Entscheidung bereits schon zeigt, ist, dass das Thema EU-Tochter mit US-Mutter auch im Vergaberecht ein neuer Evergreen zu werden scheint. In einer immer weiter vernetzten Welt werden sich auch in Vergabeverfahren immer wieder Unternehmen mit Konzernverbindungen in die USA gerade im IT-Bereich beteiligen. Hier wird sich zukünftig immer u.a. die Frage stellen, ob die Daten DSGVO-konform erhoben und verarbeitet werden.


Empfehlung der Redaktion
Themen wie und Cloud-Nutzung in der öffentlichen Verwaltung und IT-Beschaffung behandeln wir auch bei unserer Tagung „IT-Vergabetag: Praxis und Perspektiven der Verwaltungsdigitalisierung – Was Deutschland voranbringt“ am 5. Juni in Berlin.
Jetzt Ticket sichern!