(Doch) Kein grundsätzlicher Ausschluss US-amerikanischer IT-Dienstleiter in öffentlichen Vergabeverfahren
Das OLG Karlsruhe hat eine Entscheidung der Vergabekammer Baden-Württemberg aufgehoben und entschieden, dass die Einbindung eines in der EU ansässigen Tochterunternehmens eines US-amerikanischen IT-Dienstleisters nicht grundsätzlich gegen europäische Datenschutzvorgaben verstößt.
Im Zuge der Digitalisierung steigt der Bedarf an IT-Dienstleistungen nicht nur in der Privatwirtschaft, sondern auch bei der öffentlichen Hand.
Seit der bahnbrechenden „Schrems II“-Entscheidung des Europäischen Gerichtshofs vom 16. Juli 2020 (EuGH, Rechtssache C-311/18) ist die Auftragsvergabe an US-amerikanische IT-Dienstleister aufgrund des damit potenziell einhergehenden sogenannten Drittlanddatentransfers (aus der Europäischen Union bzw. dem Europäischen Wirtschaftsraum in ein datenschutzrechtlich „unsicheres“ Drittland) besonders risikoreich.
Entscheidung der Vergabekammer Baden-Württemberg
Vor diesem Hintergrund hatte die Vergabekammer Baden-Württemberg in einem Vergabeverfahren, das ein digitales Entlassungsmanagement für Patienten zum Gegenstand hatte, mit Beschluss vom 13. Juli 2022 auf einen Nachprüfungsantrag einer Konkurrentin hin entschieden, dass bei Einbeziehung eines Unternehmens mit US-amerikanischer Muttergesellschaft als Hosting-Dienstleister von einem unzulässigen Drittlanddatentransfer auszugehen sei.
Und dies, obwohl der im Vergabeverfahren ausgewählte US-amerikanische IT-Dienstleister in den Angebotsunterlagen zugesichert hatte, dass ausschließlich die luxemburgische Tochtergesellschaft den Auftrag bearbeiten und die Daten ausschließlich auf einem in Frankfurt am Main stehenden Server einer deutschen Konzerngesellschaft verarbeitet würden.
Nach Ansicht der Vergabekammer genüge aber schon das latente Risiko des Zugriffs staatlicher Stellen außerhalb der Europäischen Union auf personenbezogene Daten. Hierüber hatten wir bereits in unserem Blogbeitrag im August berichtet.
Entscheidung des Oberlandesgerichts Karlsruhe
Das Oberlandesgerichts Karlsruhe (OLG) sah dies nunmehr anders und ließ eine solche abstrakte „Gefahr“ eines unzulässigen Datenzugriffs nicht genügen. Das OLG argumentierte im Wesentlichen, dass sich der öffentliche Auftraggeber auf bindende vertragliche Zusagen eines Bieters (hier: keine Datenverarbeitung außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums) verlassen dürfe und hob die Entscheidung der Vergabekammer dementsprechend auf.
Das OLG stellte klar, dass der öffentliche Auftraggeber erst, „wenn sich aufgrund konkreter Anhaltspunkte Zweifel […] ergeben“ ergänzende Informationen einholen und die Erfüllbarkeit des Leistungsversprechens prüfen müsse.
Das OLG führte weiter aus: „Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.“
Praktische Folgen
Die Entscheidung des OLG zeigt, dass trotz der grundsätzlichen strengen datenschutzrechtlichen Anforderungen an die Prüfung eines geeigneten IT-Dienstleisters keine übermäßigen Anforderungen an die Auswahl zu stellen sind. Insbesondere ist die bloße Konzernstruktur bzw. potenzielle Möglichkeit eines sogenannten Drittlanddatentransfers kein (alleiniges) Ausschlusskriterium.
Aus Praxissicht führt die Entscheidung des OLG somit zu einem angemessenen Interessenausgleich zwischen Datenschutz einerseits und (vergaberechtlichem) Wettbewerb andererseits.
Oberlandesgericht Karlsruhe, Beschluss vom 7.9.2022, Aktenzeichen: 15 Verg 8/22
Vorinstanz: Vergabekammer Baden-Württemberg, Entscheidung vom 13.7.2022, Aktenzeichen: 1 VK 23/22