IT-Vergaben – weiterhin keine Rechtssicherheit für Auftraggeber und Bieter zu zentraler Datenschutzfrage (OLG Karlsruhe, Beschl. v. 07.09.2022 – 15 Verg 8/22)

Das Oberlandesgericht Karlsruhe hat die Gelegenheit zur Klärung einer zentralen Rechtsfrage im Datenschutzrecht zur Schaffung von Rechtssicherheit für Auftraggeber und Bieter in Vergabeverfahren verstreichen lassen. Statt materiell-rechtliche Fragestellungen zu überprüfen, verweist der Vergabesenat auf den guten Glauben an Garantien im Angebot zur vertragskonformen Leistungserbringung.

Zusammenfassung

Ein Angebot eines Bieters ist aus Sicht des OLG Karlsruhe selbst dann nicht gemäß § 57 Abs. 1 Nr. 4 VgV vom Vergabeverfahren auszuschließen, wenn sich durch die Angaben im Angebot und den Vortrag im Nachprüfungsverfahren ergeben sollte, dass er die nachgefragten Leistungen derzeit nicht entsprechend der Vorgaben der Vergabeunterlagen erbringt. Der Auftraggeber könne sich vielmehr auch in einem solchen Fall auf die Versicherung des Bieters im Angebot verlassen, dass er die Leistungen zum Zeitpunkt der Auftragsdurchführung vertragsgemäß erbringen werde.

Eine sorgfältige Gestaltung der Vergabeunterlagen für Auftraggeber, die IT-Leistungen ausschreiben, wird durch die Entscheidung des OLG Karlsruhe im Hinblick auf Art. 5 Abs. 2 DSGVO sowie im Hinblick auf die Möglichkeiten zum Umgang mit Angeboten, die Zweifel an einer Rechtskonformität begründen, aber Garantien für eine rechtskonforme Leistungserbringung enthalten, umso wichtiger.

Sachverhalt

Mit Beschluss vom 13. Juli 2022 hatte die Vergabekammer Baden-Württemberg (Az. 1 VK 23/22) eine viel beachtete und diskutierte Entscheidung zur bislang ungeklärten Frage getroffen, ob US-Anbieter digitaler IT- und Cloudleistungen ihre Dienstleistungen über europäische Tochtergesellschaften erbringen können oder ob eine Zusammenarbeit mit US-Anbietern nach Wegfall des Privacy-Shields (vgl. EuGH, Urteil vom 16. Juli 2020 – Az. C-311/18; „Schrems-II“) trotz der Verwendung sog. Standarddatenschutzklauseln ggf. unzulässig ist. Im konkreten Sachverhalt ging es allerdings nicht nur um die Frage, ob die US-Rechtslage ggf. per se einer Eignung von US-Konzerngesellschaften als Auftragsverarbeiter gem. Art. 28 DSGVO entgegenstehe, sondern (vorrangig) um rechtliche Fragestellungen auf Basis konkreter Vertragsbedingungen, die eine Übermittlung von personenbezogenen Daten zuließen, soweit dies „für die Erbringung der Services erforderlich“ ist sowie um eine Bewertung von nur sehr rudimentär vereinbarten zusätzlichen Garantien gemäß Art. 46 DSGVO. Insoweit wurde die Entscheidung der Vergabekammer – wie auch die des OLG Karlsruhe in die andere Richtung – regelmäßig missverstanden. Die Vergabekammer hat nicht entschieden, dass ein Einsatz von US-Konzerngesellschaften per se unzulässig sei, und das OLG Karlsruhe hat nicht entschieden, dass ein solcher Einsatz per se zulässig sei (s.u.).

Im Verfahren vor der Vergabekammer war der Sachverhalt bezüglich des konkreten Einsatzes der europäischen Tochtergesellschaft X unstreitig. Der Einsatz des betreffenden Unternehmens ist im Angebot des betroffenen Bieters festgehalten. Die vertraglichen Regelungen zwischen dem Bieter und der europäischen Tochtergesellschaft X, die – auch dies war im Verfahren vor der Vergabekammer unstreitig – im Rahmen der Leistungserbringung zur Anwendung kommen sollen, sehen für Einzelfälle die Berechtigung der europäischen Tochtergesellschaft zur Übermittlung von Daten in die USA vor.

Die Vergabekammer Baden-Württemberg hatte vor diesem Hintergrund entschieden, dass das Angebot des betroffenen Bieters wegen eines Abweichens von den Vergabeunterlagen, die ausdrücklich die Einhaltung des Datenschutzrechts und insbesondere der DSGVO gefordert haben, gemäß § 57 Abs. 1 Nr. 4 VgV vom Vergabeverfahren auszuschließen sei. Nach Auffassung der Vergabekammer würde eine datenschutzrechtlich unzulässige Übermittlung von personenbezogenen Daten in ein Drittland (außerhalb der EU) auch dann vorliegen, wenn der entsprechende Server von einer in der EU ansässigen Gesellschaft betrieben wird, die ihrerseits Teil eines US-Konzerns ist, sofern – wie vorliegend – keine Erlaubnis gemäß Art. 46 DSGVO erfüllt ist. Die Möglichkeit, dass auf personenbezogene Daten durch die nichteuropäische Muttergesellschaft zugegriffen werden kann, führe zu einer sogenannten „Übermittlung“ im Sinne der DSGVO, dies unabhängig davon, ob ein solcher Zugriff durch die US-Muttergesellschaft tatsächlich erfolgt. Diese Übermittlung sei nach Ansicht der Vergabekammer nach Wegfall des US-Privacy-Shields unzulässig, sie könne vorliegend insbesondere nicht durch den Abschluss von Standardvertragsklauseln (sog. SCC`s) ohne Vereinbarung zusätzlicher Garantien legitimiert werden. Hervorzuheben ist dabei, dass die Vergabekammer die Übermittlung u.E. nicht allein auf das US-Recht gestützt hat, sondern – wenn auch ggf. nicht mit der letzten Deutlichkeit – vorrangig auf die vertraglichen Regelungen, dass eine Übermittlung schon allein „zur Erbringung der Services“ zugelassen sei. Aufgrund dieser vertraglichen Vereinbarung kam es auf die Frage, ob das US-Recht und die sich aus diesem ergebenden möglichen Herausgabeverlangen durch US-Behörden bereits eine Übermittlung begründe, nicht an. Auch eine Übermittlung an die US-Mutter ist – unabhängig einer Übermittlung an US-Behörden – eine Übermittlung gemäß Art. 44 DSGVO. Diese hat die Vergabekammer als nicht gemäß Art. 45 ff. DSGVO legitimiert angesehen.

Gegen diese Entscheidung der Vergabekammer ist der unterlegene Bieter im Rahmen eines Beschwerdeverfahrens vorgegangen. Dabei änderte dieser gegen Ende des Verfahrens seinen Vortrag dahingehend, dass selbst dann, wenn möglicherweise einzelne datenschutzrechtliche Verstöße in seinem Angebot bzw. seiner momentanen Leistungserbringung vorhanden sein könnten, dies jedoch letztendlich dahinstehen könne, da er – angeblich – jedenfalls bis zum Beginn der Leistungserbringung gegenüber den Auftraggeberinnen eine datenschutzrechtlich korrekte Leistungserbringung sicherstellen werde. Insoweit habe er auch die Zusage der europäischen Tochtergesellschaft X.

Die Entscheidung

Der Vergabesenat ist der Argumentation der Beschwerdeführerin gefolgt und hat die Entscheidung der Vergabekammer mit dem Argument aufgehoben, dass der Auftraggeber auf die im Angebot enthaltenen Garantien vertrauen dürfe und die – auch für den Senat durchaus ersichtlichen – Zweifel an einer Rechtskonformität allein die Ausführungsphase betreffen würden.

Der Vergabesenat hat im Ergebnis letztlich allein darauf abgestellt, dass der Bieter in seinem Angebot ausdrücklich zugesichert habe, die in den Vergabeunterlagen bezüglich des Datenschutzes festgehalten Vorgaben einzuhalten. Er habe insbesondere zugesichert, dass personenbezogene Gesundheitsdaten ausschließlich in Deutschland verarbeitet würden. Auf diese Leistungsversprechen dürften sich die Auftraggeberinnen verlassen.

Der Senat hat darauf hingewiesen, dass selbst wenn die bisher vom Tochterunternehmen X im Rahmen seiner AGB verwendeten Vertragsregelungen möglicherweise gegen europäisches Datenschutzrecht verstoßen würden, dies keine Zweifel an der Einhaltung der im Angebot getätigten Zusagen begründen müsse. Jedoch sei es an der Beschwerdeführerin, dafür Sorge zu tragen, dass ihre Leistungen entsprechend der von ihr abgegebenen Zusagen umgesetzt und durchgeführt würden. Die vertraglichen Inhalte seien insoweit kein Gegenstand des Angebots selbst und es sei nicht mit abschließender Sicherheit klar, dass der von der Beschwerdegegnerin behauptete vertragliche Inhalt auch auf die Ausführungsphase Anwendung finde. Zudem müsse auch nicht davon ausgegangen werden, dass das europäische Tochterunternehmen X, das Teil eines US-amerikanischen Konzerns ist, gesetzeswidrigen Anweisung der US-amerikanischen Muttergesellschaft Folge leisten werde und hierdurch möglicherweise ein Verstoß gegen die vertraglichen Zusagen eintreten könne.

Abschließend setzt sich der Vergabesenat auch mit der neueren Rechtsprechung des Kammergerichts bezüglich der Berücksichtigung geschwärzten Vortrags eines Beteiligten im Rahmen eines Vergabenachprüfungsverfahrens auseinander. Der Senat hält insoweit fest, dass auch geschwärzter Vortrag nicht unberücksichtigt bleiben dürfe. In Fällen, in denen eine Weitergabe von Informationen zum Schutz von Geschäftsgeheimnissen eines der Beteiligten unterbleiben müsse, sei dem vielmehr durch eine entsprechende Verfahrensgestaltung Rechnung zu tragen. Der Vergabesenat verweist auf die Entscheidung des Bundesgerichtshofs, Beschluss vom 31.01.2017, X ZB 10/16.

Rechtliche Würdigung

Der Vergabesenat wollte nach unserem Eindruck – unabhängig des sich dann ergebenden Ergebnisses – vermeiden, eine inhaltliche Entscheidung zu datenschutzrechtlichen Fragestellungen im Rahmen eines Vergabenachprüfungsverfahrens zu treffen, obwohl sich ihm die Möglichkeit hierzu geboten hat.

Hierdurch wäre es möglich gewesen, Rechtssicherheit zu schaffen, die im vergaberechtlichen Sinne insbesondere Auftraggebern im Rahmen einer Vergabe von IT-Leistungen gedient hätte. Diese stehen regelmäßig vor der Problematik, dass sie in datenschutzrechtlicher und IT-rechtlicher Hinsicht für eine fehlerhafte Leistungserbringung mit in der Verantwortung bleiben. In datenschutzrechtlicher Hinsicht ergibt sich insbesondere aus Art. 5 Abs. 2 DSGVO eine weitreichende Nachweispflicht, dass die – über den bezuschlagten Bieter erfolgenden – Verarbeitungsvorgänge datenschutzkonform ausgestaltet sind. Der Auftraggeber wird dabei regelmäßig als „Verantwortlicher“ gemäß Art. 4 Nr. 7 DSGVO agieren, der für Pflichtverletzungen seines Subdienstleisters (der in IT-Vergaben regelmäßig als Auftragsverarbeiter gemäß Art. 28 DSGVO agiert) grundsätzlich verantwortlich bleibt.

Der Vergabesenat hat – den insoweit eher konservativen vergaberechtlichen Ansichten folgend – demgegenüber den Prüfungsmaßstab im Hinblick auf eine Rechtskonformität der angebotenen Leistungen sehr eingeschränkt. Für Auftraggeber besteht dabei aber die Gefahr, dass sie einen Bieter beauftragen – ggf. sogar gegen ihren Willen beauftragen müssen –, der in der Ausführungsphase seine Leistungsversprechen nicht einhält oder einhalten kann.

Diskussionswürdig ist die Entscheidung des OLG Karlsruhe insbesondere auch dahingehend, dass der Senat die – unstreitige – Ausgestaltung des Plattformangebots der vor der Vergabekammer unterlegenen Bieterin unberücksichtigt gelassen hat. Der Senat hat im Ergebnis allein darauf abgestellt, dass die Art der konkreten Beauftragung und der Leistungserbringung des Tochterunternehmens X noch nicht final feststehe. Nach Ansicht des Senats ergaben sich zwar aus dem – zwischen den Parteien zunächst unstreitigen – Teil der vertraglichen Abreden mit dem Subdienstleister aus dem US-Konzern zwar nicht unerhebliche datenschutzrechtlichen Risiken. Der Senat hat in der mündlichen Verhandlung sogar darauf hingewiesen, dass die Leistungserbringung in der Ausführungsphase dann wohl hoffentlich nicht durch die insoweit streitgegenständlichen vertraglichen Vereinbarungen mit dem Tochterunternehmen X ausgestaltet werde. Dennoch hat der Senat keine hinreichenden Anhaltspunkte für nahezu sicher eintretende Rechtsverstöße gesehen, da die Ausführungsphase noch nicht begonnen habe und die Verträge mit dem Subdienstleister kein notwendiger Bestandteil des Angebots waren und daher nicht zwingend mit diesem vorgelegt werden mussten.

Der Senat hat vorliegend nach unserer rechtlichen Einschätzung nicht mit der letzten Konsequenz hinreichend berücksichtigt, dass es im Rahmen der zu entscheidenden IT-Vergabe nicht um noch später weiter auszudefinierende Leistungen bzw. vertragliche Inhalte ging, sondern um die Lizensierung einer SaaS-Standardsoftware, für die die Vertragslage mit den Subdienstleistern zum Zeitpunkt der mündlichen Verhandlung feststand. Es wäre u.E. vertretbarer / zutreffender gewesen, in diesem Kontext eine Prüfpflicht (und in diesem Kontext auch ein Prüfrecht) des Auftraggebers dazu anzunehmen, wie der Bieter im Rahmen der Ausführungsphase die derzeit kritischen Inhalte abzuändern gedenkt und weshalb ihm dies – ohne Anspruch auf einseitige Vertragsanpassung gegenüber seinem Subdienstleister im bestehenden Vertragsverhältnis – möglich sein soll. Die Eingrenzung des vergaberechtlichen Prüfmaßstabs sollte jedenfalls nicht dazu führen, dass Auftraggeber im Hinbdlick auf durch Bieter erfolgende Garantien generell die Augen vor Zweifeln verschließen dürften oder müssten. Dies würde die Risiken – insbesondere für Auftraggeber im Hinblick auf eine etwaig später mangelhafte Leistung – im Ergebnis nur auf Streitigkeiten bzw. Risiken in der Ausführungsphase verlagern.

Der Vergabesenat hat damit – insoweit letztlich aber (teilweise) konsequent – auch die Möglichkeit einer Klärung der zentralen datenschutzrechtlichen Fragestellung zur Auslegung von Art. 44 DSGVO dahingehend, wann von einer „Übermittlung“ im Sinne der Art. 44 ff. DSGVO auszugehen ist, durch die Möglichkeit einer Vorlage an den EuGH verpasst.  Nicht konsequent war dies allerdings im Hinblick auf die Frage, ob allein das US-Recht und die aus diesem folgenden Herausgabebegehren amerikanischer Behörden bei dem Einsatz einer europäischen US-Konzerngesellschaft zu einer Übermittlung personenbezogener Daten gemäß Art. 44 DSGVO oder zu einer Ungeeignetheit des Auftragsverarbeiters gemäß Art. 28 DSGVO führen. Diese streiterheblichen Fragen hat das OLG Karlsruhe letztlich insgesamt inhaltlich nicht entschieden, sondern allein darauf abgestellt, dass der Auftraggeber nicht per se damit rechnen müsse, dass US-Gesellschaften gegenüber ihren Töchtern rechtswidrige gesellschaftsrechtliche Weisungen aussprechen.

Wie auch immer man sich zu den Fragen positioniert, ob allein die US-Rechtslage per se einem angemessenen Schutzniveau entgegensteht und wie weit sich die Möglichkeiten von Herausgabeverlangen auf europäische Tochtergesellschaften erstrecken, lassen sich diese Fragen jedenfalls nicht mit einer Wahrscheinlichkeit von rechtwidrigen gesellschaftsrechtlichen Weisungen begründen. Der Senat lässt dabei insbesondere – schon nahezu unvertretbar – im Rahmen der 7 Zeilen umfassenden Begründung hierzu unberücksichtigt, dass die Weisung – aus einer Betrachtung der US-Konzerngesellschaften – weder rechtswidrig, noch vertragswidrig wäre. Das etwaige Herausgabeverlangen der US-Behörde wäre ja gerade von der US-Rechtslage legitimiert, und nicht rechtswidrig (obgleich es rechtswidrig geltend gemacht werden könnte). Der Geschäftsführer könnte die sich daraus ergebende Weisung der Muttergesellschaft auch nicht – als vermeintlich rechtswidrig – unberücksichtigt lassen. Einerseits würde er dies schon rein faktisch nicht tun, wenn er leitender Angestellter in einem US-Konzern bleiben möchte; zudem wäre aus Sicht der europäischen US-Konzerngesellschaft die Herausgabe auch vertraglich legitimiert, da es gerade Gegenstand der vertraglichen Regelungen mit dem Bieter ist, dass die Daten im Falle von Herausgabeverlangen von US-Behörden auch tatsächlich übermittelt werden dürfen. Der Subdienstleister würde insoweit seine vertraglichen Pflichten überhaupt nicht verletzen; das Risiko verbleibt auch hier beim Auftraggeber. Soweit man das US-Recht dergestalt bewertet, dass es der Stellung von US-Konzerngesellschaften als geeigneter Auftragsverarbeiter gemäß Art. 28 DSGVO entgegensteht (wie es jedenfalls von einigen deutschen Datenschutzaufsichtsbehörden vertreten wird), müsste sich vielmehr der Auftraggeber fragen lassen, weshalb er die Daten dem Zugriffsrisiko der US-Behörden ausgesetzt hat und den entsprechenden (ungeeigneten) Auftragsverarbeiter ausgewählt hat. An diesem Thema geht die Entscheidung des OLG Karlsruhe letztlich insgesamt vorbei.

Dies ist u.a. deshalb schade, da eine Digitalisierung öffentlicher Auftraggeber durch eine belastbare Entscheidung zu dieser Thematik – unabhängig des Ergebnisses – hätte erheblich begünstigt werden können.

Aus vergaberechtlicher Sicht ist abschließend noch besonders anzumerken, dass sich der Vergabesenat des OLG Karlsruhe nunmehr ausdrücklich gegen die Auffassung des Kammergerichts bezüglich der Nichtberücksichtigung geschwärzten Vortrags stellt. Insoweit ist die Entscheidung sicherlich zu begrüßen.

Praxistipp

Es ist zu befürchten, dass die Entscheidung dazu führen könnte, dass Auftraggeber mögliche inhaltliche Verstöße im Angebot eines Bieters, die zu einer Vertragsverletzung führen werden, nicht mehr als Grundlage eines Ausschlusses eines Bieters nutzen, weil sie sich hierzu im Hinblick auf erfolgte Leistungsversprechen nicht mehr ermächtigt sehen, obwohl sie eine nicht rechtskonforme Leistungserbringung befürchten. Der Vergabesenat könnte insbesondere für unredliche Bieter einen Weg für ein Arbeiten mit weitreichenden Garantien geebnet haben, deren Belastbarkeit sodann Frage der Ausführungsphase bleibt. Dies steht im Widerspruch zu Entscheidungen anderer Oberlandesgerichte, wie z.B. OLG München, Beschluss vom 17. September 2007, Verg 10/07, und OLG Düsseldorf, Beschluss vom 21. Februar 2005, VII Verg 91/04, die zum Vorgehen bei Anhaltspunkten von Verstößen und der daraus folgenden Prüfungstiefe für öffentliche Auftraggeber eine abweichende Auffassung vertreten. Für konkurrierende Bieter wird es zudem schwieriger werden, einen Ausschluss eines Konkurrenten zu erreichen, auch wenn bekannt und nachweisbar ist, dass dieser die Leistung nicht vertragsgemäß erbringen wird, dies aber allein über die Angebotsinhalte ggf. nicht abschließend fest steht.

Für Auftraggeber bietet sich insoweit allerdings die Chance, den notwendigen Inhalt der Angebote mittels einer sorgfältigen Gestaltung der Vergabeunterlagen so zu definieren, dass Anhaltspunkte einer Nonkonformität (doch) das Angebot selbst betreffen. Für Auftraggeber ist dies insoweit sinnvoll, als dadurch eine Verlagerung von Streitigkeiten  in die Vertragsdurchführungsphase vermieden wird, in der dann bereits – die im Vergabeverfahren erkennbaren – Rechtsverstöße eingetreten wären und die Leistung ggf. neu ausgeschrieben werden müsste, was nicht im Interesse der Auftraggeber, die zudem regelmäßig eigene Haftungsrisiken vermeiden möchten, liegen dürfte.

Bezüglich der Schwärzungen in Schriftsätzen zum Schutz von Geschäftsgeheimnissen wird es zukünftig für die Beteiligten in einem Vergabenachprüfungsverfahren weiterhin schwierig zu beurteilen sein, inwieweit Schwärzungen vorgenommen werden sollten oder nicht. Soweit sich der für die jeweilige Vergabe zuständige Vergabesenat noch nicht positioniert haben sollte, besteht auch weiterhin die Gefahr, dass geschwärzter Vortrag letztendlich bei der Entscheidungsfindung unberücksichtigt bleiben könnte.

Kontribution

Der Beitrag wurde gemeinsam mit Herrn Rechtsanwalt Stephan Schuldt verfasst.

Anmerkung der Redaktion

Bei den Autoren dieses Beitrags handelt es sich um die Verfahrensbevollmächtigten der Antragstellerin/Beschwerdegegnerin.

Dieser Beitrag ist Teil unseres Streitgesprächs: Tochterunternehmen von US-amerikanischen Cloud-Anbietern von europäischen Vergaben auszuschließen? (s. Vergabeblog.de vom 24/08/2022, Nr. 50698 ^[1]).