Kein automatischer Ausschluss vom Vergabeverfahren wegen Einbindung US-amerikanischer Cloud-Anbieter. Dennoch keine Entbindung von der Pflicht zur Prüfung für den Auftraggeber.

A stack of law books stands in front of a justice scale that is slightly out of focus. On top of the stack is an open law book.

Mit seinem Beschluss vom 07. September 2022 (Az. 15 Verg 8/22) hob das OLG Karlsruhe eine viel beachtete Entscheidung der Vergabekammer Baden-Württemberg (Beschluss vom 13. Juli 2022 – 1 VK 23/22) auf und fällte in diesem Zusammenhang ein neues Grundsatzurteil.

In dem streitgegenständlichen Vergabeverfahren beabsichtigte eine Bieterin bei der Auftragsdurchführung mit einem Tochterunternehmen eines amerikanischen Konzerns zusammenzuarbeiten. Diese wurde daraufhin wegen eines Verstoß gegen die verpflichtenden Vorgaben der Datenschutzgrundverordnung von dem entsprechenden Vergabeverfahren ausgeschlossen. Begründet wurde der Ausschluss vom Auftraggeber mit dem Umstand, dass personenbezogene Daten auf Servern verarbeitet werden würden, auf die amerikanische Behörden unter bestimmten Voraussetzungen Zugriff haben könnten.

Diese Entscheidung fällt vor dem Hintergrund des Schrems-Urteils des EuGH vom 16. Juli 2020 (Az. C‑311/18). In diesem erklärte der EuGH die Übermittlung personenbezogener Daten an ein Drittland nur noch für zulässig, sofern das entsprechende nationale Recht ein dem Unionsrecht vergleichbares Datenschutzniveau gewährleistet. Dies ist, nach Ansicht des EuGH bei den USA gerade nicht der Fall, weil Betroffene über keinen effektiven gerichtlichen Rechtsschutz verfügen, wenn amerikanische Behörden aus Gründen der nationalen Sicherheit auf personenbezogene Daten zugreifen sollen, die aus der Union übermittelt wurden.

Die Entscheidung der Vergabekammer hielt allerdings vor dem OLG Karlsruhe nicht stand. Nach Ansicht des OLG müsse die Zusammenarbeit mit einem Tochterunternehmen eines amerikanischen Konzerns nicht zwingend eine Verletzung von datenschutzrechtlicher Vorgaben zur Folge haben. Ein öffentlicher Auftraggeber dürfe nicht automatisch davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen werde bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der amerikanischen Muttergesellschaft Folge leiste.

Insbesondere in Fällen wie dem streitgegenständlichen Vergabeverfahren, in dem die Bieterin vertraglich vereinbart hatte, jede zu weitgehende oder unangemessene Anfrage einer (amerikanischen) staatlichen Stelle einschließlich solcher Anfragen, die im Widerspruch zum Recht der EU, anzufechten, könne der Auftraggeber davon ausgehen, dass sich der Auftragnehmer an seine vertraglichen Zusagen aus dem Angebot halten wird.

Erst wenn sich konkrete Anhaltspunkte dafür ergeben, dass dies zweifelhaft ist, sei er gehalten, durch Einholung ergänzender Informationen die entsprechende Erfüllbarkeit der Bieterin zu überprüfen.

Trotz dieser Entscheidung ist dringend anzuraten, zu prüfen, ob die entsprechenden datenschutzrechtlichen Voraussetzungen auch tatsächlich gegeben sind, da die empfindlichen Strafen für Verstöße in jedem Fall den Auftraggeber treffen, selbst wenn dieser aufgrund einer vertraglichen Regelung darauf vertraute.

    Sie haben Fragen oder Anregungen zum Artikel?

    Jetzt Kontakt aufnehmen:





    * Pflichtfeld

    Ähnliche Beiträge