Die Einhaltung der Regelungen im Datenschutz wird in Vergabeverfahren, in denen der Auftragnehmer mit schützenswerten Daten in Berührung kommt, in aller Regel zur Vorgabe gemacht. Zwei aktuelle Entscheidungen der Vergabekammer Baden-Württemberg und des Oberlandesgerichts Baden-Württemberg befassen sich mit einem erfolgten Angebotsausschluss eines Bieters, dem Verstöße gegen Datenschutzrecht vorgeworfen worden sind.
RA Henning Feldmann
Das Datenschutzrecht ist eine sog. Querschnittsmaterie, d.h. ein Rechtsgebiet, das sich in verschiedenen Rechtsgebieten auswirkt und bearbeitet wird. Hierzu gehört auch das Vergaberecht. Nicht nur haben die öffentlichen Auftraggeber das geltende Datenschutzrecht bei der Bearbeitung und Auswertung der eingegangenen Angebote bearbeiten. Auch Auftragnehmer werden vom öffentlichen Auftraggeber regelmäßig zur Einhaltung der geltenden Datenschutzvorgaben bei der Auftragsausführung verpflichtet.
Dies mag bei öffentlichen Aufträgen im Bereich Straßen- oder Brückenbau von untergeordneter Relevanz sein, wenn und weil der Bieter dort nicht oder kaum mit personenbezogenen Daten Dritter bei der Auftragsdurchführung in Berührung kommt. Bei vielen Aufträgen aber kommt der Auftragnehmer bereits bestimmungsgemäß mit schützenswerten Daten Dritter in Berührung und muss diese datenschutzkonform verarbeiten.
In der Praxis nutzen Bieter hierfür vielfach Clouddienste. Mangels rein europäischer Alternativen greifen viele Bieter hierfür auf die Clouddienste zwar europäischer Dienste zurück, die aber eine amerikanische Konzernmutter haben. Im Zuge der Angebotsprüfung muss der Auftraggeber also eigentlich überprüfen, ob der Bieter und spätere Auftragnehmer hierbei datenschutzkonform agieren wird. Es stellen sich hierbei komplexe datenschutzrechtliche Fragestellungen etwa zur Übermittlung personenbezogener Daten an Drittländer (wie die USA).
Diese Prüfung hat ein öffentlicher Auftraggeber in einem Fall aus Baden-Württemberg, über den die Vergabekammer und das Oberlandesgerichts zu entscheiden hatten, nun sehr ernst genommen und einen Bieter wegen zu erwartender Nicht-Einhaltung der Datenschutzgrundverordnung (DSGVO) ausgeschlossen.
Gegenstand des Verfahrens war Vergabeverfahren für eine IT-Lösung im Krankenhaus-/Pflegebereich. Der Auftraggeber hatte die Einhaltung der DSGVO gefordert. Ein Bieter gab ein Angebot ab und gab an, dass er Hosting-Leistungen eines europäischen Cloud-Anbieter mit U.S.-amerikanischer Konzernmutter einsetzen wollte, die Datenspeicherung aber ausschließlich auf Servern auf deutschem Boden stattfinden sollte.
Es bestand eine Auftragsdatenverarbeitungsvereinbarung des Cloud-Anbieters, wonach eine Übermittlung von personenbezogenen Daten aus Deutschland heraus nur dann möglich ist, wenn eine Herausgabe oder Übermittlung für die Erbringung der Dienste oder zur Einhaltung gesetzlicher Vorschriften oder rechtsverbindlicher Anordnungen staatlicher Stellen erforderlich ist.
Dieser Bieter sollte den Zuschlag erhalten. Ein Wettbewerber wehrte sich dagegen und forderte den Ausschluss des Bieters mit dem Argument, dass das Angebot wegen des Einsatzes des Cloud-Anbieters mit Konzernmutter in den USA gegen die DSGVO verstoße. Er bezog sich hierbei auf US-amerikanisches Recht, das gewisse Zugriffsrechte auch auf Daten einräumt, die nicht in den USA gespeichert sind.
Daher berge die Nutzung eines europäischen Cloud-Dienstleisters mit Konzernmutter aus den USA das „latente Risiko“ einer unzulässigen Übermittlung personenbezogener Daten in die USA. Der Auftraggeber und der Bieter verteidigten sich gegen diesen Vorwurf, der Wettbewerber zog ins Nachprüfungsverfahren.
Und er hatte die Vergabekammer auf seiner Seite, die sich auf für sie sicherlich unbekanntes Terrain begab und eine datenschutzrechtliche Prüfung vornahm. Die Vergabekammer entschied (Beschluss vom 13. Juli 2022, 1 VK 21/22), dass der Bieter wegen unzulässiger Änderung der Vergabeunterlagen gemäß § 57 Abs. 1 Nr. 4 VgV auszuschließen sei. Wegen des Einsatzes des Cloud-Anbieters mit Konzernmutter in den USA würde die Leistung, so die Vergabekammer, nicht wie in den Vergabeunterlagen gefordert DSGVO-konform erbracht. Die Vergabekammer schloss sich den Ausführungen des Bieters an. Ihr genügte das „latentes Risiko“ eines Zugriffs durch staatliche als auch private Stellen außerhalb der EU und vor allem in den USA.
Diese Entscheidung hat große Wellen geschlagen. Dies nicht nur aus dem Grund, dass der Entscheidung Praxisferne vorgeworfen wird. Denn welche Unternehmen gibt es schon, die Clouddienste einsetzen, die nicht zu Unternehmen mit US-amerikanischer Konzernmutter gehören? Müssen diese Unternehmen jetzt auf alle Zeit aus Vergabeverfahren ausgeschlossen werden, bis es etwas Vergleichbares zu den Clouddiensten von Alphabet, Amazon, Microsoft und anderen Anbietern aus Europa gibt? Denkt man die Entscheidung der Vergabekammer zu Ende, dürften solche Clouddienste eigentlich in der gesamten EU nicht mehr eingesetzt werden, und zwar auch im Privatsektor.
Auch rechtliche Kritik entzündete sich. In vergaberechtlicher Hinsicht wurde kritisiert, dass es der Vergabekammer an konkreten Tatsachen, die einen Rückschluss auf künftige Verstöße gegen die DSGVO zulassen, vollständig fehle und dass es die Vergabekammer sogar für „irrelevant“ hielt, „ob und wie naheliegend“ das Szenario eines Zugriffs auf Daten aus den USA tatsächlich ist. Dies reiche für einen Angebotsausschluss nicht aus.
Auch datenschutzrechtliche Kritik entzündete sich. Unter anderem der baden-württembergische Datenschutzbeauftragte kritisierte die „von der Vergabekammer vorgenommene Gleichsetzung von Zugriffsrisiko und Übermittlung“ als „rechtliche zweifelhaft“.
Er wies darauf hin, dass „gegen solche Zugriffsrisiken wirksame Gegenmittel in Gestalt sog. „technisch-organisatorischer Maßnahmen“ existieren, die letztlich jedes Risiko ausschließen können“ und dass die Vergabekammer die vom Bieter eingesetzte Verschlüsselungstechnik aus verfahrensrechtlichen Gründen nicht berücksichtigt habe (der Bieter hatte Einzelheiten zur eingesetzten Verschlüsselungstechnik nur vertraulich vorgetragen und die Vergabekammer hat sie daher nach den Grundsätzen des rechtlichen Gehörs nach Art. 103 Abs. 1 GG unberücksichtigt gelassen).
Die sofortige Beschwerde ließ daher nicht lange auf sich warten. Mit Beschluss vom 7. September 2022 (15 Verg 8/22) hob das OLG Baden-Württemberg die Entscheidung auf.
Hierbei machte es sich das OLG in seiner Begründung sehr einfach und zog sich letztlich auf ein bekanntes Entscheidungsmuster zurück: der Bieter habe in seinem Angebot ausdrücklich zugesichert, die in den Vergabeunterlagen geregelten Vorgaben zum Datenschutz einzuhalten und dass personenbezogene Gesundheitsdaten ausschließlich in Deutschland verarbeitet würden; auf dieses „Leistungsversprechen“ dürfe sich der Auftraggeber verlassen.
Selbst wenn der Bieter während der Auftragsausführung möglicherweise gegen Datenschutzrecht verstoße, müsse dies keine Zweifel an der Einhaltung der im Angebot getätigten Zusagen begründen, allerdings müsse der Auftraggeber dafür sorgen, dass der Bieter alle Zusagen aus dem Angebot während der Vertragsausführung auch einhalte.
Die Vergabekammer hat sich inhaltlich intensiv mit der DSGVO auseinandergesetzt und hierbei auch Rechtsmeinungen zugrunde gelegt, die viele Datenschutzrechtler mit guten Gründen anders sehen, etwa zur Gleichstellung von Zugriffsrisiko und Übermittlung. Ein Angebotsausschluss auf Grundlage reiner Spekulation zu einer „latenten Gefahr“ eines Datenzugriffs konnte zu Recht keinen Bestand haben.
Das OLG Baden-Württemberg geht aber genau den anderen Weg und suchte - so der Eindruck des Verfassers - einen vergaberechtlichen Ausweg, sich zu datenschutzrechtlichen Fragestellungen inhaltlich nicht äußern zu müssen: Datenschutzrecht den (spezialisierten) Datenschutzrechtlern und Vergaberecht den (spezialisierten) Vergaberechtlern, so könnte man meinen.
Dies ist einerseits nachvollziehbar, denn ein vergaberechtliches Nachprüfungsverfahren erscheint nicht als der richtige Ort, eine umstrittene Frage des Datenschutzrechts mit sehr weitreichenden Folgen potenziell für die ganze EU zu entscheiden. Andererseits wäre es wünschenswert gewesen, Rechtssicherheit insbesondere für die Vergabe von IT-Leistungen zu schaffen.
Weil die Entscheidung des OLG Baden-Württemberg den vergaberechtlichen Prüfungsmaßstab verschiebt, besteht für Auftraggeber besteht nunmehr die Gefahr, einen Bieter zu beauftragen, der im Angebot eine datenschutzkonforme Verarbeitung zusagt und sich in der Ausführungsphase nicht daranhält. Auseinandersetzungen werden daher nur vom Vergabeverfahren in die Ausführungsphase verschoben.
Als Fazit bleibt daher festzuhalten, dass öffentliche Auftraggeber öffentliche Aufträge Stand jetzt auch an Unternehmen erteilen dürfen, die im Zuge der Auftragsausführung Cloud- oder sonstige Dienste von IT-Dienstleistern einsetzen wollen, die eine Konzernmutter aus den USA haben, wenn diese glaubhaft versichern und vertraglich zusichern, dass die Daten gemäß DSGVO und nur in Deutschland oder der EU verarbeitet werden. Microsoft & Co. atmen an dieser Stelle vermutlich auf, denn die Auswirkungen hätten andernfalls mittelbar auch sie getroffen.
RA Henning Feldmann
Datenschutzrecht im Vergabeverfahren
Das Datenschutzrecht ist eine sog. Querschnittsmaterie, d.h. ein Rechtsgebiet, das sich in verschiedenen Rechtsgebieten auswirkt und bearbeitet wird. Hierzu gehört auch das Vergaberecht. Nicht nur haben die öffentlichen Auftraggeber das geltende Datenschutzrecht bei der Bearbeitung und Auswertung der eingegangenen Angebote bearbeiten. Auch Auftragnehmer werden vom öffentlichen Auftraggeber regelmäßig zur Einhaltung der geltenden Datenschutzvorgaben bei der Auftragsausführung verpflichtet. Dies mag bei öffentlichen Aufträgen im Bereich Straßen- oder Brückenbau von untergeordneter Relevanz sein, wenn und weil der Bieter dort nicht oder kaum mit personenbezogenen Daten Dritter bei der Auftragsdurchführung in Berührung kommt. Bei vielen Aufträgen aber kommt der Auftragnehmer bereits bestimmungsgemäß mit schützenswerten Daten Dritter in Berührung und muss diese datenschutzkonform verarbeiten.
In der Praxis nutzen Bieter hierfür vielfach Clouddienste. Mangels rein europäischer Alternativen greifen viele Bieter hierfür auf die Clouddienste zwar europäischer Dienste zurück, die aber eine amerikanische Konzernmutter haben. Im Zuge der Angebotsprüfung muss der Auftraggeber also eigentlich überprüfen, ob der Bieter und spätere Auftragnehmer hierbei datenschutzkonform agieren wird. Es stellen sich hierbei komplexe datenschutzrechtliche Fragestellungen etwa zur Übermittlung personenbezogener Daten an Drittländer (wie die USA).
Diese Prüfung hat ein öffentlicher Auftraggeber in einem Fall aus Baden-Württemberg, über den die Vergabekammer und das Oberlandesgerichts zu entscheiden hatten, nun sehr ernst genommen und einen Bieter wegen zu erwartender Nicht-Einhaltung der Datenschutzgrundverordnung (DSGVO) ausgeschlossen.
Der Sachverhalt
Gegenstand des Verfahrens war Vergabeverfahren für eine IT-Lösung im Krankenhaus-/Pflegebereich. Der Auftraggeber hatte die Einhaltung der DSGVO gefordert. Ein Bieter gab ein Angebot ab und gab an, dass er Hosting-Leistungen eines europäischen Cloud-Anbieter mit U.S.-amerikanischer Konzernmutter einsetzen wollte, die Datenspeicherung aber ausschließlich auf Servern auf deutschem Boden stattfinden sollte. Es bestand eine Auftragsdatenverarbeitungsvereinbarung des Cloud-Anbieters, wonach eine Übermittlung von personenbezogenen Daten aus Deutschland heraus nur dann möglich ist, wenn eine Herausgabe oder Übermittlung für die Erbringung der Dienste oder zur Einhaltung gesetzlicher Vorschriften oder rechtsverbindlicher Anordnungen staatlicher Stellen erforderlich ist.
Dieser Bieter sollte den Zuschlag erhalten. Ein Wettbewerber wehrte sich dagegen und forderte den Ausschluss des Bieters mit dem Argument, dass das Angebot wegen des Einsatzes des Cloud-Anbieters mit Konzernmutter in den USA gegen die DSGVO verstoße. Er bezog sich hierbei auf US-amerikanisches Recht, das gewisse Zugriffsrechte auch auf Daten einräumt, die nicht in den USA gespeichert sind.
Daher berge die Nutzung eines europäischen Cloud-Dienstleisters mit Konzernmutter aus den USA das „latente Risiko“ einer unzulässigen Übermittlung personenbezogener Daten in die USA. Der Auftraggeber und der Bieter verteidigten sich gegen diesen Vorwurf, der Wettbewerber zog ins Nachprüfungsverfahren.
Die Entscheidung der VK Baden-Württemberg
Und er hatte die Vergabekammer auf seiner Seite, die sich auf für sie sicherlich unbekanntes Terrain begab und eine datenschutzrechtliche Prüfung vornahm. Die Vergabekammer entschied (Beschluss vom 13. Juli 2022, 1 VK 21/22), dass der Bieter wegen unzulässiger Änderung der Vergabeunterlagen gemäß § 57 Abs. 1 Nr. 4 VgV auszuschließen sei. Wegen des Einsatzes des Cloud-Anbieters mit Konzernmutter in den USA würde die Leistung, so die Vergabekammer, nicht wie in den Vergabeunterlagen gefordert DSGVO-konform erbracht. Die Vergabekammer schloss sich den Ausführungen des Bieters an. Ihr genügte das „latentes Risiko“ eines Zugriffs durch staatliche als auch private Stellen außerhalb der EU und vor allem in den USA. Diese Entscheidung hat große Wellen geschlagen. Dies nicht nur aus dem Grund, dass der Entscheidung Praxisferne vorgeworfen wird. Denn welche Unternehmen gibt es schon, die Clouddienste einsetzen, die nicht zu Unternehmen mit US-amerikanischer Konzernmutter gehören? Müssen diese Unternehmen jetzt auf alle Zeit aus Vergabeverfahren ausgeschlossen werden, bis es etwas Vergleichbares zu den Clouddiensten von Alphabet, Amazon, Microsoft und anderen Anbietern aus Europa gibt? Denkt man die Entscheidung der Vergabekammer zu Ende, dürften solche Clouddienste eigentlich in der gesamten EU nicht mehr eingesetzt werden, und zwar auch im Privatsektor.
Auch rechtliche Kritik entzündete sich. In vergaberechtlicher Hinsicht wurde kritisiert, dass es der Vergabekammer an konkreten Tatsachen, die einen Rückschluss auf künftige Verstöße gegen die DSGVO zulassen, vollständig fehle und dass es die Vergabekammer sogar für „irrelevant“ hielt, „ob und wie naheliegend“ das Szenario eines Zugriffs auf Daten aus den USA tatsächlich ist. Dies reiche für einen Angebotsausschluss nicht aus.
Auch datenschutzrechtliche Kritik entzündete sich. Unter anderem der baden-württembergische Datenschutzbeauftragte kritisierte die „von der Vergabekammer vorgenommene Gleichsetzung von Zugriffsrisiko und Übermittlung“ als „rechtliche zweifelhaft“.
Er wies darauf hin, dass „gegen solche Zugriffsrisiken wirksame Gegenmittel in Gestalt sog. „technisch-organisatorischer Maßnahmen“ existieren, die letztlich jedes Risiko ausschließen können“ und dass die Vergabekammer die vom Bieter eingesetzte Verschlüsselungstechnik aus verfahrensrechtlichen Gründen nicht berücksichtigt habe (der Bieter hatte Einzelheiten zur eingesetzten Verschlüsselungstechnik nur vertraulich vorgetragen und die Vergabekammer hat sie daher nach den Grundsätzen des rechtlichen Gehörs nach Art. 103 Abs. 1 GG unberücksichtigt gelassen).
Sofortige Beschwerde beim OLG Baden-Württemberg
Die sofortige Beschwerde ließ daher nicht lange auf sich warten. Mit Beschluss vom 7. September 2022 (15 Verg 8/22) hob das OLG Baden-Württemberg die Entscheidung auf. Hierbei machte es sich das OLG in seiner Begründung sehr einfach und zog sich letztlich auf ein bekanntes Entscheidungsmuster zurück: der Bieter habe in seinem Angebot ausdrücklich zugesichert, die in den Vergabeunterlagen geregelten Vorgaben zum Datenschutz einzuhalten und dass personenbezogene Gesundheitsdaten ausschließlich in Deutschland verarbeitet würden; auf dieses „Leistungsversprechen“ dürfe sich der Auftraggeber verlassen.
Selbst wenn der Bieter während der Auftragsausführung möglicherweise gegen Datenschutzrecht verstoße, müsse dies keine Zweifel an der Einhaltung der im Angebot getätigten Zusagen begründen, allerdings müsse der Auftraggeber dafür sorgen, dass der Bieter alle Zusagen aus dem Angebot während der Vertragsausführung auch einhalte.
Bewertung und Fazit
Die Vergabekammer hat sich inhaltlich intensiv mit der DSGVO auseinandergesetzt und hierbei auch Rechtsmeinungen zugrunde gelegt, die viele Datenschutzrechtler mit guten Gründen anders sehen, etwa zur Gleichstellung von Zugriffsrisiko und Übermittlung. Ein Angebotsausschluss auf Grundlage reiner Spekulation zu einer „latenten Gefahr“ eines Datenzugriffs konnte zu Recht keinen Bestand haben. Das OLG Baden-Württemberg geht aber genau den anderen Weg und suchte - so der Eindruck des Verfassers - einen vergaberechtlichen Ausweg, sich zu datenschutzrechtlichen Fragestellungen inhaltlich nicht äußern zu müssen: Datenschutzrecht den (spezialisierten) Datenschutzrechtlern und Vergaberecht den (spezialisierten) Vergaberechtlern, so könnte man meinen.
Dies ist einerseits nachvollziehbar, denn ein vergaberechtliches Nachprüfungsverfahren erscheint nicht als der richtige Ort, eine umstrittene Frage des Datenschutzrechts mit sehr weitreichenden Folgen potenziell für die ganze EU zu entscheiden. Andererseits wäre es wünschenswert gewesen, Rechtssicherheit insbesondere für die Vergabe von IT-Leistungen zu schaffen.
Weil die Entscheidung des OLG Baden-Württemberg den vergaberechtlichen Prüfungsmaßstab verschiebt, besteht für Auftraggeber besteht nunmehr die Gefahr, einen Bieter zu beauftragen, der im Angebot eine datenschutzkonforme Verarbeitung zusagt und sich in der Ausführungsphase nicht daranhält. Auseinandersetzungen werden daher nur vom Vergabeverfahren in die Ausführungsphase verschoben.
Als Fazit bleibt daher festzuhalten, dass öffentliche Auftraggeber öffentliche Aufträge Stand jetzt auch an Unternehmen erteilen dürfen, die im Zuge der Auftragsausführung Cloud- oder sonstige Dienste von IT-Dienstleistern einsetzen wollen, die eine Konzernmutter aus den USA haben, wenn diese glaubhaft versichern und vertraglich zusichern, dass die Daten gemäß DSGVO und nur in Deutschland oder der EU verarbeitet werden. Microsoft & Co. atmen an dieser Stelle vermutlich auf, denn die Auswirkungen hätten andernfalls mittelbar auch sie getroffen.