Dürfen öffentliche Auftraggeber Hosting-Dienstleister mit Konzernverbindungen in die USA beauftragen?

Kerstin Kröger

Datenschutz hat als Jahrhundertthema längst auch das Vergaberecht erreicht. Dem Beschluss des OLG Karlsruhe vom 07.09.2022 (Az. 15 Verg 8/22) liegt hierbei ein prototypischer Fall zugrunde: Ein Auftrag beinhaltet die Verarbeitung personenbezogener Daten. Eine Bieterin beabsichtigt in ihrem Angebot, als Unterauftragnehmerin für Hosting-Dienstleistungen eine luxemburgische Tochtergesellschaft eines US-amerikanischen Unternehmens einzusetzen. Dadurch stehen insbesondere im Hinblick auf die Art. 44 ff. DSGVO datenschutzrechtliche Bedenken im Raum. Inwieweit diese, wenn die Vergabeunterlagen DSGVO-Konformität der Leistungserbringung verlangen, auf das Vergaberecht durchschlagen, ist zwischen der Vorinstanz und dem OLG umstritten.

03.11.2022 | Vergaberecht

I. Sachverhalt

Die Antragsgegnerinnen, zwei Krankenhausgesellschaften (nachfolgend als „Auftraggeberinnen“ bezeichnet), schrieben europaweit die Beschaffung einer Software für ein digitales Entlassmanagement für Patienten im offenen Verfahren aus.

Die Vergabeunterlagen sahen in datenschutzrechtlicher Hinsicht als Ausschlusskriterium (A-Kriterium) die softwaretechnische Einhaltung eines DSGVO-Vertragsentwurfs vor, der unter anderem die DSGVO-Konformität der Leistungserbringung beinhaltete. Kein Ausschlusskriterium, sondern lediglich ein Bewertungskriterium war, ob die Daten ausschließlich in einem EWR-Rechenzentrum verarbeitet werden, bei dem keine Subdienstleister oder Konzernunternehmen in Drittstaaten ansässig sind (B-Kriterium).

Die Antragstellerin (nachfolgend als „Bieterin A“ bezeichnet) und die Beigeladene (nachfolgend als „Bieterin B“ bezeichnet) gaben je ein Angebot ab.

Die Bieterin B gab im Zuge ihres Angebots an, die A. S.à.r.l. (im Folgenden: Unterauftragnehmerin C) als Unterauftragnehmerin mit dem Hosting der Server zu beauftragen, auf denen die zu verwaltenden Patientendaten gespeichert werden sollen. Bei der Unterauftragnehmerin C handelt es sich um eine Firma mit Sitz in Luxemburg und mit US-amerikanischem Mutterkonzern. Der genutzte physische Server sollte in Deutschland stehen. Mit der Bieterin B hatte die Unterauftragnehmerin C vereinbart, im Rahmen des Auftrags verarbeitete personenbezogene Daten nur dann ohne eine entsprechende Weisung der Bieterin B offenzulegen und in ein Drittland zu übermitteln, wenn dies zur Einhaltung von Gesetzen oder verbindlichen Anordnungen einer staatlichen Stelle notwendig ist. Ergänzend verpflichtete sich die Unterauftragnehmerin C, jede zu weitgehende oder unangemessene Anfrage einer staatlichen Stelle einschließlich solcher Anfragen, die im Widerspruch zum Recht der EU oder zum geltenden Recht der Mitgliedstaaten stehen, anzufechten.

Der DSGVO-Vertragsentwurf der Auftraggeberinnen, der unter anderem die DSGVO-Konformität der Leistungserbringung beinhaltete, wurde von der Bieterin B unterzeichnet.

Ob unter diesen Umständen ein Ausschluss des Angebots der Bieterin B (auf deren Angebot die Auftraggeberinnen beabsichtigten, den Zuschlag zu erteilen) wegen Änderung an den Vergabeunterlagen (§§ 53 Abs. 7 S. 1, 57 Abs. 1 Nr. 4 VgV) zu erfolgen hat, ist die Hauptfrage des Falls.

II. Datenschutzrechtliche Vorfrage

Zunächst ist aber der Blick auf die datenschutzrechtliche Vorfrage zu richten, die von der Vorinstanz (VK Baden-Württemberg, Beschluss vom 13.07.2022 – 1 VK 23/22) erörtert wird.

Nach Ansicht der VK Baden-Württemberg verstößt der beabsichtigte Einsatz der Unterauftragnehmerin C durch die Bieterin B gegen die Art. 44 ff. DSGVO. Gemäß Art. 44 S. 1 DSGVO ist jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, nur zulässig, wenn einer der besonderen Erlaubnisgründe der Art. 44 ff. DSGVO vorliegt.

Indem die Bieterin B die Unterauftragnehmerin C als Hosting-Dienstleisterin einsetze und diese Beauftragung auf den vertraglichen Bestimmungen zwischen der Bieterin B und der Unterauftragnehmerin C basiere, liege eine Übermittlung im Sinne von Art. 44 ff. DSVGO vor. Die Art. 44 ff. DSGVO seien auch bei der Offenlegung von personenbezogenen Daten an einen Auftragsverarbeiter in einem Drittland anwendbar. Ausreichend sei, dass eine Einstellung personenbezogener Daten auf eine Plattform erfolge, auf die von einem Drittland aus zugegriffen werden könne. Dies gelte unabhängig davon, ob der Zugriff tatsächlich erfolge und ob der Server, über den die Daten zugänglich gemacht würden, innerhalb der EU liege – ein latentes Risiko, dass eine unzulässige Übermittlung personenbezogener Daten stattfinde, ohne dass die hierfür in der DSVGO normierten rechtlichen Grundlagen gegeben seien, sei ausreichend.

Die VK Baden-Württemberg sieht dieses latente Risiko in der generalklauselartig gestalteten Vereinbarung zwischen der Bieterin B und der Unterauftragnehmerin C, die sowohl staatlichen als auch privaten Stellen außerhalb der EU und insbesondere in den USA im Rahmen der jeweiligen vertraglichen oder gesetzlichen Ermächtigung die Möglichkeit eröffnet, in bestimmten Situationen auf die bei der Unterauftragnehmerin C gespeicherten Daten zuzugreifen. Auch die Verpflichtung der Unterauftragnehmerin C zur Anfechtung EU-rechtswidriger Anordnungen staatlicher Stellen könne dieses latente Risiko nicht beseitigen.

Die für eine solche Übermittlung erforderlichen Erlaubnisgründe der Art. 44 ff. DSGVO lägen nicht vor. Es fehle an einem Angemessenheitsbeschluss i.S.d. Art. 45 Abs. 1 DSGVO, und auch die Verwendung der Standarddatenschutzklauseln i.S.d. Art. 46 Abs. 2 c) DSGVO sei nach der Prüfung im Einzelfall nicht geeignet, die Übermittlung zu legitimieren. Auch ein Ausnahmetatbestand nach Art. 49 DSGVO sei hier nicht gegeben.

III. Vergaberechtliche Konsequenzen

Doch was heißt das nun für die vergaberechtliche Beurteilung des Falls? Die VK Baden-Württemberg zieht aus ihrer Prüfung der Art. 44 ff. DSGVO den Schluss, dass das Angebot der Bieterin B wegen des Einsatzes der Unterauftragnehmerin C keine DSGVO-konforme Leistungserbringung beinhalte und daher wegen Verstoßes gegen das oben aufgeführte A-Kriterium auszuschließen sei, § 57 Abs. 1 Nr. 4 VgV.

Das OLG Karlsruhe hält sich hingegen nicht lange mit der Prüfung datenschutzrechtlicher Vorfragen auf, sondern lässt offen, ob die Vereinbarungen zwischen der Bieterin B und der Unterauftragnehmerin C konkret datenschutzrechtliche Defizite aufweisen. Stattdessen fokussiert sich das OLG Karlsruhe auf den Entscheidungshorizont der Auftraggeberinnen bei der Entscheidung über einen möglichen Ausschluss. Diese dürfen davon ausgehen, dass ein Bieter vertragliche Zusagen einhalten wird, es sei denn, es ergeben sich konkrete Anhaltspunkte für dahingehende Zweifel. Die Bieterin B habe durch die Unterzeichnung des DSGVO-Vertragsentwurfs erklärt, die Leistung DSGVO-konform zu erbringen. Ferner habe sie konkret zugesichert, dass die Gesundheitsdaten ausschließlich an die Unterauftragnehmerin C übermittelt und in Deutschland verarbeitet werden. Zudem habe die Bieterin B bestätigt, dass sie bis zur Durchführung des Auftrags sämtliche notwendigen Verträge mit der Unterauftragnehmerin C schließen wird, um ihren Zusagen aus dem Angebot – also insbesondere der DSGVO-Konformität – nachzukommen. Das OLG Karlsruhe ist der Ansicht, dass die Auftraggeberinnen auf dieses Leistungsversprechen auch vertrauen dürfen.

Zweifel an der Datenschutzkonformität der Leistung der Bieterin B können sich hierbei nicht grundsätzlich aus ihren Vereinbarungen mit der Unterauftragnehmerin C über die Weitergabe von Daten an staatliche Stellen ergeben, da die Vereinbarungen zwischen der Bieterin B und der Unterauftragnehmerin C nicht Gegenstand des Angebots der Bieterin B waren. Folglich bestand für die Auftraggeberinnen auch keine Veranlassung, an dem Leistungsversprechen zu zweifeln. Sie konnten davon ausgehen, dass die Bieterin B sich hieran hält, ungeachtet etwaiger Bestimmungen in den Vereinbarungen der Bieterin B mit der Nachunternehmerin B. Es sei nun vielmehr Sache der Bieterin B, ihre vertraglichen Verpflichtungen gegenüber den Auftraggeberinnen einzuhalten, mithin die Konformität der Leistungserbringung mit Art. 44 ff. DSGVO sicherzustellen.

Anschließend wird festgestellt, dass sich Zweifel an der Erfüllbarkeit des Leistungsversprechens auch nicht allein aus der Stellung der Unterauftragnehmerin C als Tochterunternehmen einer US-amerikanischen Konzernmutter ergeben mussten. Das OLG Karlsruhe führt hierzu ohne weitere Begründung aus, dass nicht davon ausgegangen werden musste, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.

IV. Ausblick und praktische Folgen

Mit dem Beschluss des OLG Karlsruhe ist die vergaberechtliche Seite dieser Fallgestaltung nun rechtskräftig entschieden. Öffentliche Auftraggeber dürfen danach für Hosting-Dienstleistungen auch auf europäische Tochtergesellschaften US-amerikanischer Unternehmen zurückgreifen – jedenfalls soweit diese vertraglich zusichern, die Vorschriften der DSGVO einzuhalten und keine konkreten Anhaltspunkte für Zweifel hieran bestehen.

Ob die Auftragsausführung dann auch tatsächlich DSGVO-konform erfolgt, steht auf einem anderen Blatt. Die datenschutzrechtlichen Streitigkeiten rund um Hosting-Dienstleister mit Verbindung in die USA werden somit durch den Beschluss nicht gelöst, sondern lediglich vom Vergabeverfahren in das Ausführungsstadium verlagert.

Nur konsequent erscheint es vor diesem Hintergrund auch, dass die unterlegene Antragstellerin (Bieterin A) jüngst in einer Pressemitteilung angekündigt hat, die Leistungserbringung der Beigeladenen (Bieterin B) in der sog. „Ausführungsphase“ des an diese vergebenen Auftrags aus datenschutz- und wettbewerbsrechtlicher Sicht vor einem Landgericht überprüfen zu lassen – eine Entscheidung, die zumindest mittelbar auch die Vergabepraxis beeinflussen könnte.