Mit Beschluss vom 7. September 2022, Az. 15 Verg 8/22 hob das OLG Karlsruhe eine kontroverse Entscheidung der Vergabekammer Baden-Württemberg (Beschluss vom 13. Juli 2022, Az. 1 VK 23/22) auf. Mit dieser Entscheidung schafft das OLG mehr Klarheit für Ausschreibungen von Cloud-Lösungen durch die öffentliche Hand.
Auslöser des Streits waren die datenschutzrechtlichen Anforderungen an eine Cloud-Lösung, mit der Patientendaten von Krankenhäusern verarbeitet werden sollen. Die Ausschreibung erforderte die Einhaltungen der Anforderungen der DSGVO und des BDSG sowie eine Datenverarbeitung ausschließlich in Rechenzentren innerhalb des Europäischen Wirtschaftsraums (EWR).
Vor der anstehenden Zuschlagserteilung an den bestplatzierten Bieter wandte sich ein Bieter an die Vergabekammer und rügte verschiedene Verstöße gegen das Vergaberecht. Insbesondere sei der Wettbewerber auszuschließen, weil dessen Software bei der luxemburgischen Tochter eines US-amerikanischen Konzerns auf Cloud-Systemen in Frankfurt betrieben werde.
Die Antragstellerin warf dem Wettbewerber vor, mit der angebotenen Lösung unzulässig Daten in die USA zu übermitteln, weil die Daten den Zugriffsmöglichkeiten des „US-Überwachungsrechts“ unterlägen. Darin liege ein nicht heilbarer Verstoß gegen Europäisches und nationales Datenschutzrecht, der zum Ausschluss des Angebotes führen müsse.
Die Vergabekammer folgte dieser Auffassung und schloss den Wettbewerber von der Teilnahme an der Ausschreibung aus. Der Einsatz des Cloudanbieters sei unzulässig. Denn es soll aufgrund einer „latenten“ Zugriffsmöglichkeit der US-Muttergesellschaft gegenüber der europäischen Gesellschaft die unzulässige Datenübermittlung in ein Drittland drohen. Dabei ließ sich die Vergabekammer weder durch die getroffenen vertraglichen, noch von den technischen Maßnahmen zum Schutz der personenbezogenen Daten (insbesondere Verschlüsselung) von dieser Sicht abbringen.
Die Entscheidung der Vergabekammer stieß selbst bei dem Datenschutzbeauftragten des Landes Baden-Württemberg (LfDI) auf Kritik, weil sich die Vergabekammer weder mit den durch die EU-Kommission neu aufgestellten Standardvertragsklauseln noch mit den getroffenen technischen und organisatorischen Maßnahmen auseinandergesetzt hatte. Der LfDI macht in seiner Stellungnahme deutlich, dass pauschale Transferverbote nicht geboten sind.
Das OLG hob die Entscheidung der Vergabekammer ohne eine Detailprüfung der datenschutzrechtlichen Fragen auf. Kernaussage der Entscheidung ist, dass der öffentliche Auftraggeber grundsätzlich davon ausgehen darf, dass ein Bieter seine vertraglichen Zusagen erfüllen wird. Durch die Unterzeichnung der von dem öffentlichen Auftraggeber vorgegebenen DSGVO-Verträge habe der Bieter erklärt, die gemachten Vorgaben einzuhalten. Dieser habe zudem seine Leistungen beim Einsatz von Dienstleistern und im Bereich von Datenschutz und IT-Sicherheit im Angebot näher beschrieben und hierbei ein klares und eindeutiges Leistungsversprechen abgegeben und weiterhin zugesichert, dass personenbezogene Gesundheitsdaten die EU nicht verlassen, sondern nur in Deutschland verarbeitet werden. Daraus leitet das OLG ab, dass der Wettbewerber bzw. das ausschreibende Krankenhaus nicht damit rechnen müsse, dass die luxemburgische Tochtergesellschaft vertragswidrige und gegen europäisches Recht verstoßende Weisungen ihrer Konzernmutter befolgen und personenbezogene Daten in die USA übermitteln werde.
Das OLG hat der – verbreiteten und häufig undifferenzierten - Ablehnung von Cloud-Angeboten von Tochterunternehmen von US-Konzernen eine klare Abfuhr erteilt. Dabei hat es zurecht vermieden, in eine grundsätzliche Prüfung der datenschutzrechtlichen Zulässigkeit des Einsatzes von europäischen Tochterunternehmen einzusteigen. Wie auch vom LfDI beschrieben, kommt es bei dem Einsatz von Dienstleistern auf eine differenzierte risikobasierte Betrachtung und auf die Ausgestaltung der vertraglichen Beziehung und der technischen und organisatorischen Maßnahmen an. Dies ist Aufgabe des eingesetzten Dienstleisters im Verhältnis zu dem Rechenzentrumbetreiber.
Einsatz von Cloud-Lösungen durch öffentliche Stellen
Ungeachtet der Klarstellungen durch das OLG Karlsruhe ist eine datenschutz- und IT-sicherheitsrechtlich konforme Ausgestaltung der Vergabe- und Vertragsunterlagen sowie Ausschreibungskonditionen von cloudbasierten Beschaffungsvorhaben essenziell. Nicht nur öffentliche Auftraggeber, sondern auch private Unternehmen, die bei fördermittelfinanzierten Aufträgen die aus den Zuwendungsbescheiden angeordneten (vergabe-rechtlichen) Vorgaben beachten müssen, sind gut beraten, bei der Strukturierung von Vergabeverfahren die relevanten datenschutzrechtlichen Vorfragen zu klären und vergaberechtskonform umzusetzen, auch um etwaige Rückforderungsrisiken bei fördermittelhinterlegten Beschaffungsvorhaben auszuschließen.
Die international tätigen US-Cloud-Anbieter haben die Herausforderungen der DSGVO angenommen und – wie im vorliegenden Fall – Infrastruktur bei europäischen Tochtergesellschaften aufgebaut. So hat z. B. Microsoft Produkte in mehreren Rechenzentren im EWR eingerichtet, die für die Verarbeitung europäischer Kundendaten dediziert bereitstehen. Bis zum 1. Januar 2023 will Microsoft mit der „European Data Boundary“ die Übermittlung von pseudonymen Telemetriedaten in die USA vollständig einstellen, was die Verarbeitung der besonders kritischen Gesundheits- oder sogar Sozialdaten in Microsoft-Produkten erleichtern wird.
Beratung durch BDO
Im Rahmen unserer Beratung begleiten wir die Migration in die Cloud rechtlich. Hierbei erstellen wir die Datenschutzfolgeabschätzungen und – in Fällen in denen eine Datenübermittlung in die USA erfolgt – auch Transferfolgeabschätzungen. Wir beraten und vertreten unsere Mandanten zudem sowohl auf Auftraggeber- als auch Bieterseite in allen Bereichen des nationalen und europäischen Vergaberechts. Unser Beratungsspektrum erstreckt sich von der Strukturierung des Vergabeverfahrens bis hin zur gerichtlichen Vertretung vor den zuständigen Nachprüfungsinstanzen auf nationaler und europäischer Ebene. Zum Beratungsangebot gehören damit auch die Strukturierung von Ausschreibungen, die Prüfung von Teilnahmeanträgen und Angeboten, die rechtliche Begleitung bei den Verhandlungen sowie - im Bedarfsfall - Risikoeinschätzungen und Handlungsalternativen.
Hierbei können wir gemeinsam mit der BDO Digital GmbH auch integrierte Beratungspakete anbieten, die auch die technische und organisatorische Umsetzung mit einbeziehen.
Sie haben Fragen zu unserer Beratung? Wir sind gerne für Sie da.