OLG Karlsruhe, Beschl. 7.9.2022 - 15 Verg 8/22
Vergabe von Cloud-Diensten unter Einbindung US-amerikanischer Tochterunternehmen in der EU
Autor: RAin Victoria JohnsonRA Jörg Kornbrust, FPS Rechtsanwälte, Berlin
Aus: IT-Rechtsberater, Heft 11/2022
Aus: IT-Rechtsberater, Heft 11/2022
Der Einsatz eines europäischen Hosting-Dienstleisters mit US-amerikanischer Muttergesellschaft führt nicht per se zu einer datenschutzrechtlich unzulässigen Übermittlung in ein Drittland gem. Art. 44 ff. DSGVO. Hierzu genügt auch nicht das latente Risiko eines Zugriffs staatlicher oder privater Stellen auf europäische Server.
DSGVO Art. 4 Abs. 2, 44, 45 Abs. 1, 46 Abs. 1, 49
Die Vergabekammer folgte in ihrer Entscheidung der Argumentation der Bieterin, wonach der Einsatz eines europäischen Hosting-Dienstleisters mit Konzernmutter in den USA und damit die Möglichkeit eines Zugriffs auf deutsche Server eine Datenübermittlung nach Art. 44 ff. DSGVO darstellt. Für eine unzulässige Übermittlung in ein Drittland, genüge das latente Risiko eines Zugriffs staatlicher (oder privater) Stellen. Dieses werde auch nicht durch die vertragliche Übernahme einer Verpflichtung zur Anfechtung der Anfrage des Zugriffs aus den USA beseitigt. Die für den Zuschlag vorgesehene Bieterin wandte sich gegen die erstinstanzliche Entscheidung mit der sofortigen Beschwerde zum OLG Karlsruhe.
Zusicherung der DSGVO-Konformität: Der öffentliche Auftraggeber dürfe grundsätzlich davon ausgehen, dass ein Bieter seiner vertraglichen Zusage zur Erfüllung der Pflichten aus der DSGVO und dem BDSG bei Einsatz einer cloudbasierten Software nachkommen werde. Der Bieter habe hiernach zugesichert, personenbezogene Gesundheitsdaten nur in Deutschland zu verarbeiten. Erst bei Vorliegen konkreter Anhaltspunkte, dass dies zweifelhaft sei, wäre der Auftraggeber gehalten, durch Einholung ergänzender Informationen die Erfüllbarkeit des Leistungsversprechens bzw. die hinreichende Leistungsfähigkeit des Bieters zu prüfen. Derartige Anhaltspunkte lägen im zugrunde liegenden Sachverhalt nicht vor.
Softwaretechnische Ausgestaltung: Ausschlusskriterium sei allein die softwaretechnische Einhaltung des den Vergabeunterlagen beigefügten DSGVO-Vertragsentwurfs gewesen. Die DSGVO konformen softwaretechnischen Möglichkeiten zur Berechtigungssteuerung sowie die Vorgabe, der gemäß die Daten ausschließlich in einem EU-/EWR-Rechenzentrum verarbeitet werden dürften, bei dem kein Subdienstleister/Konzernunternehmen in Drittstaaten ansässig sei, seien lediglich als Bewertungskriterien ausgestaltet. Deren Einhaltung habe die Zuschlagsbieterin bereits mit Unterzeichnung der DSGVO-Verträge aus den Vergabeunterlagen vertraglich zugesichert.
Tochterunternehmen eines US-amerikanischen Konzerns: Die Tatsache, dass die für den Cloudbetrieb eingesetzte Unterauftragnehmerin Tochter eines US-amerikanischen Konzerns sei, gebe für sich allein noch keinen Anlass für Zweifel an der Erfüllbarkeit des Leistungsversprechens der Zuschlagsbieterin. Insb. hätten die Auftraggeberinnen nicht davon ausgehen müssen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen komme bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzwidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisteten.
DSGVO Art. 4 Abs. 2, 44, 45 Abs. 1, 46 Abs. 1, 49
Das Problem
Zwei Krankenhausgesellschaften hatten die Beschaffung einer cloudbasierten Software für das digitale Entlassmanagement von Patienten europaweit ausgeschrieben. Laut Vergabeunterlagen sicherte der Bieter die datenschutzrechtliche Konformität des Cloud-Diensts mit der DSGVO und dem BDSG zu. Zum Betrieb der Software sah der Bieter den Einsatz eines Hosting-Dienstleisters mit Sitz in Europa, Servern in Deutschland, aber einer Muttergesellschaft in den USA vor. Mit diesem schloss er einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO nebst Anhang auf Grundlage der EU-Standardvertragsklauseln (SCC) ab. Gegen den Zuschlag wehrte sich eine andere Bieterin erfolgreich.Die Vergabekammer folgte in ihrer Entscheidung der Argumentation der Bieterin, wonach der Einsatz eines europäischen Hosting-Dienstleisters mit Konzernmutter in den USA und damit die Möglichkeit eines Zugriffs auf deutsche Server eine Datenübermittlung nach Art. 44 ff. DSGVO darstellt. Für eine unzulässige Übermittlung in ein Drittland, genüge das latente Risiko eines Zugriffs staatlicher (oder privater) Stellen. Dieses werde auch nicht durch die vertragliche Übernahme einer Verpflichtung zur Anfechtung der Anfrage des Zugriffs aus den USA beseitigt. Die für den Zuschlag vorgesehene Bieterin wandte sich gegen die erstinstanzliche Entscheidung mit der sofortigen Beschwerde zum OLG Karlsruhe.
Die Entscheidung des Gerichts
Die Entscheidung der Vergabekammer werde aufgehoben. Die Zuschlagsbieterin habe sich mit ihrem Angebot nicht in Widerspruch zu den datenschutzrechtlichen Vorgaben der Vergabeunterlagen gesetzt. Ein Ausschluss des Angebots gem. §§ 53 Abs. 7, 57 Abs. 1 Nr. 4 VgV sei demnach nicht gerechtfertigt gewesen.Zusicherung der DSGVO-Konformität: Der öffentliche Auftraggeber dürfe grundsätzlich davon ausgehen, dass ein Bieter seiner vertraglichen Zusage zur Erfüllung der Pflichten aus der DSGVO und dem BDSG bei Einsatz einer cloudbasierten Software nachkommen werde. Der Bieter habe hiernach zugesichert, personenbezogene Gesundheitsdaten nur in Deutschland zu verarbeiten. Erst bei Vorliegen konkreter Anhaltspunkte, dass dies zweifelhaft sei, wäre der Auftraggeber gehalten, durch Einholung ergänzender Informationen die Erfüllbarkeit des Leistungsversprechens bzw. die hinreichende Leistungsfähigkeit des Bieters zu prüfen. Derartige Anhaltspunkte lägen im zugrunde liegenden Sachverhalt nicht vor.
Softwaretechnische Ausgestaltung: Ausschlusskriterium sei allein die softwaretechnische Einhaltung des den Vergabeunterlagen beigefügten DSGVO-Vertragsentwurfs gewesen. Die DSGVO konformen softwaretechnischen Möglichkeiten zur Berechtigungssteuerung sowie die Vorgabe, der gemäß die Daten ausschließlich in einem EU-/EWR-Rechenzentrum verarbeitet werden dürften, bei dem kein Subdienstleister/Konzernunternehmen in Drittstaaten ansässig sei, seien lediglich als Bewertungskriterien ausgestaltet. Deren Einhaltung habe die Zuschlagsbieterin bereits mit Unterzeichnung der DSGVO-Verträge aus den Vergabeunterlagen vertraglich zugesichert.
Tochterunternehmen eines US-amerikanischen Konzerns: Die Tatsache, dass die für den Cloudbetrieb eingesetzte Unterauftragnehmerin Tochter eines US-amerikanischen Konzerns sei, gebe für sich allein noch keinen Anlass für Zweifel an der Erfüllbarkeit des Leistungsversprechens der Zuschlagsbieterin. Insb. hätten die Auftraggeberinnen nicht davon ausgehen müssen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen komme bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzwidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisteten.