Haufe Online Redaktion
Haufe Online Redaktion
US-Cloud-Anbieter sind bei öffentlichen Vergaben zuzulassen
Bild: Pete Linforth/ pixabay.com Öffentliche Aufträge dürfen an Tochtergesellschaften von US-Anbietern von Cloud-Diensten erteilen, wenn diese glaubhaft versichern, dass die Daten nur in Deutschland verarbeitet werden.

Nach einer Grundsatzentscheidung des OLG Karlsruhe dürfen Behörden bei öffentlichen Vergabeverfahren auf die Zusicherungen von IT-Anbietern zur Datenschutz-Kompatibilität ihres Angebots vertrauen.

Die Entscheidung des OLG Karlsruhe betrifft ein öffentliches Vergabeverfahren zum digitalen „Entlassmanagement“ für Krankenhauspatienten, hat aber auch für Vergabeverfahren in anderen Bereichen erhebliche Bedeutung.

Vergabeverfahren für digitales Entlassmanagement

In dem vom OLG entschiedenen Fall hatten zwei in kommunaler Hand befindliche Krankenhausgesellschaften an einem öffentlichen Vergabeverfahren für ein digitales Entlassmanagement für Krankenhauspatienten teilgenommen. Eine Anbieterin sicherte in ihren Angebotsunterlagen zu, das von ihr als Hosting-Dienstleisterin beauftragte luxemburgische Tochterunternehmen eines US-Konzerns werde den Auftrag im Fall des Zuschlags ausschließlich bearbeiten. Die Daten würden ausschließlich auf in Frankfurt/Main befindlichen Servern einer deutschen GmbH verarbeitet.

Nachprüfungsantrag bei Vergabekammer

Die Krankenhausgesellschaften beurteilten das Angebot dieser Anbieterin als das wirtschaftlichste und kündigten an, dieser den Zuschlag erteilen zu wollen. Eine Konkurrentin, die sich ebenfalls um den Auftrag bewarb, stellte hierauf einen Nachprüfungsantrag bei der zuständigen Vergabekammer Baden-Württemberg. Diese verfügte darauf den Ausschluss der ausgewählten Anbieterin aus dem Vergabeverfahren. Der Einsatz des luxemburgischen Tochterunternehmens verstoße gegen zwingende Datenschutzvorschriften der DSGVO.

Vergabekammer befürchtet unzulässige Datenübermittlung

Nach Auffassung der Vergabekammer ist nicht mit absoluter Sicherheit auszuschließen, dass über die luxemburgische Tochtergesellschaft in unrechtmäßiger Weise Daten an den Mutterkonzern in den USA übermittelt werden oder US-amerikanische Behörden Zugriff auf die Daten nehmen könnten. Für eine solche Befürchtung reicht nach Auffassung der Vergabekammer bereits das latente Risiko eines Zugriffs von staatlichen und privaten Stellen außerhalb der EU aus. Die Vergabekammer konnte insoweit auf die Rechtsprechung des BVerfG verweisen, wonach für die Annahme einer Beeinträchtigung des Grundrechts der informationellen Selbstbestimmung bereits die nicht fernliegende Möglichkeit einer Grundrechtsverletzung ausreicht (BVerfG, Urteil v. 15.12.1983, 1 BvR 209/83).

Beschwerde führt zur Aufhebung der Ausschluss-Entscheidung

Die gegen den von der Vergabekammer verfügten Ausschluss vom Vergabeverfahren eingereichte Beschwerde hatte beim OLG Erfolg. Die Ausschluss-Entscheidung beruht nach Auffassung des OLG auf einer überzogenen Auslegung der Datenschutzvorschriften der DSGVO. Grundsätzlich dürften öffentliche Behörden davon ausgehen, dass die Teilnehmer an einer Ausschreibung ihre Zusicherungen hinsichtlich der späteren Auftragsdurchführung einhalten. Die Zusicherungen der Anbieterin zum Inhalt des zwischen ihr und der luxemburgischen Dienstleisterin bestehenden Vertrages seien eindeutig. Daten dürften danach von der Anbieterin ausschließlich an die luxemburgische Gesellschaft übermittelt und ausnahmslos von ihr und nur in Deutschland verarbeitet werden.

Zugehörigkeit zu US-Konzern begründet keine Zweifel an Vertragstreue

Nach Auffassung des OLG sind auch keinerlei tatsächlichen Anhaltspunkte ersichtlich, aus denen sich Zweifel an der Seriosität der gegebenen Zusicherungen ableiten ließen. Ohne konkrete Anhaltspunkte für Zweifel an der Einhaltung der gegebenen Zusicherungen könne nicht davon ausgegangen werden, dass die Anbieterin oder die Hosting-Dienstleisterin sich nicht vertragsgemäß verhalten würden. Mit einer datenschutzwidrigen Weiterleitung von Daten in die USA sei nicht zu rechnen. Allein die Tatsache, dass die Hostinggesellschaft zu einem amerikanischen Mutterkonzern gehört, gebe jedenfalls keine Veranlassung für die Annahme eines zukünftigen gesetzeswidrigen Verhaltens des Cloud-Anbieters.

Beschwerde gegen Vergabeausschluss erfolgreich

Im Ergebnis entspricht das von den Krankenhausgesellschaften bevorzugte Angebot der Beschwerdeführerin den nach der Entscheidung des OLG den Anforderungen an Datenschutz und IT-Sicherheit. Der Ausschluss dieses Angebots aus dem Vergabeverfahren war daher rechtswidrig und hat nach der rechtskräftigen Entscheidung des OLG keinen Bestand.

(OLG Karlsruhe, Beschluss v. 7.9.2022, 15 Verg 8/22)

Hintergrund:

Die Entscheidung des OLG hat weitreichende Bedeutung und stößt sowohl für große als auch für kleine IT-Anbieter die Tür zu öffentlichen Aufträgen ein Stück weiter auf.

Viele große Cloud-Anbieter betroffen

Nach der Entscheidung der Vergabekammer Baden-Württemberg wären sämtliche Hosting- Anbieter, die zu einem amerikanischen Mutterkonzern gehören, von deutschen Vergabeverfahren wegen des latenten Risikos einer Datenübermittlung in die USA ausgeschlossen. Betroffen von einer solchen Rechtsauslegung wären u.a. einige große US-Cloud-Diensteanbieter wie Amazon (AWS), Microsoft und Google, die ihre Geschäftsmodelle zur Verarbeitung ihrer Daten ausschließlich in der EU im Hinblick auf die Vorschriften der DSGVO kostenaufwändig umgestellt haben.

US-Cloudanbieter versichern Datenschutz-Kompatibilität

Nach der jetzigen OLG-Entscheidung dürfen Behörden öffentliche Aufträge an Tochtergesellschaften von US-Anbietern von Cloud-Diensten erteilen, wenn diese glaubhaft versichern, dass die Daten nur in Deutschland verarbeitet werden. Microsoft Deutschland beeilte sich denn auch zu versichern, dass eine datenschutzkonforme Nutzung seiner Produkte in Deutschland zu 100 % gewährleistet sei.

Schlagworte zum Thema:  Datenschutz-Grundverordnung, Datenschutz, Vergaberecht
Meistgelesene Beiträge
Neueste Beiträge
Zum Haufe Shop
Zum Thema Wirtschaftsrecht
Ist „C[xxx]bot“ nicht datenschutzkonform?: Datenspeicherung auf Cloud-Servern von US-Konzernen gerichtlich untersagt
Cookie on the keyboard

Einer Hochschule wurde der Einsatz einer Cookie-Management-Plattform im Eilverfahren verboten, weil die IP-Adressen der Nutzer auch auf Cloud-Servern von US-Konzernen gespeichert werden. Sie fallen damit unter den Cloud-Act und US-Behörden haben auf sie Zugriff. Die Entscheidung des VG Wiesbaden sorgt für Verunsicherung. Sollte der Beschluss stand halten, hätte dies Auswirkungen auf viele Websites.
Microsoft 365, Azure & Co.: Microsoft führt EU-Datengrenze schrittweise ein
Microsoft-Logo

Seit dem 1.1.2023 bietet Microsoft die Möglichkeit, bei bestimmten Produkten Daten ausschließlich innerhalb der EU-Datengrenze zu speichern und zu verarbeiten. Damit erweitert Microsoft die bestehenden Maßnahmen zur Speicherung und Verarbeitung auf Servern in der EU und setzt die Anforderungen der DSGVO zumindest teilweise um.
Rechte und Pflichten: Praxishandbuch KI und Recht
Praxishandbuch KI und Recht

Das Buch führt in die rechtlichen Grundlagen im Zusammenhang mit dem Einsatz von KI ein. Insbesondere werden die neue europäische KI-Verordnung (AI Act) und die sich daraus ergebenden Rechte und Pflichten behandelt. Auch Haftungsfragen und für die datenschutzkonforme KI-Nutzung werden dargestellt. 
HR-Software: Markttrends und Anbieterübersicht
Personalmagazin plus HR-Software 2022

Die Digitalisierung in HR bleibt ein Dauerthema. Der Markt an Lösungen und Lösungsanbietern entwickelt sich stetig weiter. Mehr Leistung, mehr Möglichkeiten - die Versprechen sind zahlreich. Ebenso die Chancen, wenn sie von Personalverantwortlichen ergriffen ...
OLG Karlsruhe 15 Verg 8/22
OLG Karlsruhe 15 Verg 8/22

  Tenor 1. Die Entscheidung der Vergabekammer Baden-Württemberg vom 13.07.2022, Az. 1 VK 23/22, wird aufgehoben. Der Nachprüfungsantrag der Antragstellerin wird zurückgewiesen. 2. Die bei der Vergabekammer angefallenen Verfahrenskosten sowie die den ...

4 Wochen testen