Kein pauschaler Ausschluss von Tochtergesellschaften von US-amerikanischen Cloud-Dienst-Anbietern wegen datenschutzrechtlicher Bedenken bei öffentlichen Auftragsvergaben!

Nach der aktuellen Entscheidung des OLG Karlsruhe (OLG Karlsruhe, Beschluss vom 07.09.2022 – AZ.: 15 Verg 8/22) dürfen bei öffentlichen Vergabeverfahren im Gesundheitswesen auch weiterhin Tochtergesellschaften von US-amerikanischen Cloud-Dienst-Anbietern genutzt werden.

Hintergrund der Entscheidungen war ein Vergabeverfahren zweier Krankenhausgesellschaften. Beschaffungsgegenstand war ein digitales Entlassmanagement. Dabei wurde in den Vergabeunterlagen die Einhaltung der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) hinsichtlich der personenbezogenen Daten der zu entlassenden Patienten vorausgesetzt. Die Vergabekammer Baden-Württemberg hatte das Angebot eines Bieters, der US-amerikanische Cloud-Dienst Anbieter einbinden wollte, wegen datenschutzrechtlicher Bedenken ausgeschlossen. Das OLG hat diesen in der Branche sehr umstrittenen Beschluss der Vergabekammer Baden-Württemberg nunmehr zu Recht verworfen.

1. Zum Hintergrund: Entscheidung der VK Baden-Württemberg

Ausgangspunkt war der Beschluss der Vergabekammer vom 13.07.2022 (AZ.: 1 VK 23/22), demgemäß der Einsatz europäischer Cloud-Dienstleister mit U.S.-amerikanischer Konzernmutter bei personenbezogenen Daten gegen die DSGVO verstoße. Nach Ansicht der Vergabekammer habe der betreffende Bieter damit Vergabeunterlagen unzulässig abgeändert i.S.v. § 57 Abs. 1 Nr. 4 VgV, was den Ausschluss des Angebots zur Folge hat. Die Vergabekammer unterstellt insofern, der Bieter unter Einsatz des Cloud-Anbieters mit U.S. amerikanischer Konzernmutter die Leistung nicht – wie in den Vergabeunterlagen gefordert DSGVO-konform – erbringen könne.

Bei der Nutzung der Hosting-Infrastruktur des Cloud-Anbieters bestehe unabhängig von dessen Sitz in der EU und des Umstands, dass die Datenspeicherung ausschließlich auf Servern in Deutschland erfolgen solle, ein „latentes Risiko“ eines Zugriffs sowohl durch staatliche als auch private Stellen außerhalb der EU und insbesondere in den USA. Bereits ein latentes Risiko reiche aus, um eine nach Art. 44 ff. DSGVO unzulässige Datenübermittlung in ein Drittland anzunehmen. Ob und wie naheliegend ein Zugriff sei, sei irrelevant.

Die Vergabekammer beruft sich insoweit auf das sog. „Schrems II“-Urteil des Europäischen Gerichtshofs (EuGH, Urt. 16.07.2020, Rs. C-311/18). Demnach können personenbezogenen Daten nicht mehr auf Grundlage des Durchführungsbeschlusses 2016/1250 der Kommission über die Angemessenheit des sog. „EU-US Privacy Shield“ in die USA übermittelt werden. Der EuGH hatte den Durchführungsbeschluss zum EU-US Privacy Shield für unwirksam erklärt, da die USA kein angemessenes Schutzniveau für personenbezogenen Daten gewährleisten. Nach aktueller Rechtslage erfolgt der Datenaustausch zwischen einem EU- und einem US-Unternehmen regelmäßig auf Grundlage der Standardvertragsklauseln, verbunden im Einzelfall mit ausreichenden technischen Schutzmaßnahmen und vertraglichen Garantien.

Die Entscheidung der Vergabekammer erfuhr in der Praxis große Kritik. Insbesondere hat der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) zu dem Beschluss der VK Baden-Württemberg Stellung genommen. Es sei zweifelhaft, ein latentes Zugriffsrisiko einer „Übermittlung“ (als Verarbeitungsform nach Art. 4 Nr. 2 DSGVO) gleichzusetzen.

Zudem übersehe die Vergabekammer, dass gegen Zugriffsrisiken wirksame Gegenmaßnahmen in Gestalt von sog. „technisch-organisatorischen Maßnahmen“ (TOM) existieren, die im Einzelfall helfen können, entsprechende Risiken zu reduzieren. Zudem müsse zwischen den verschiedenen Versionen der Standardvertragsklauseln (SCC), die als Schutzmechanismus für einen Datentransfer in die USA in Betracht kämen, unterschieden werden. Von dem bezuschlagten Bieter seien Klauseln verwendet worden, die hinter der aktuell einsetzbaren Version der Klauseln zurückbleiben. Der LfDI hält daher auch nach dem Beschluss weiterhin daran fest, keine pauschalen Übermittlungsverbote vorzunehmen, sondern einzelfallbezogene Alternativprüfungen durchzuführen.

Die Entscheidung der Vergabekammer war somit sowohl aus vergaberechtlicher als auch aus datenschutzrechtlicher Sicht eine große Überraschung. Seit der Schrems II-Entscheidung des EuGH hatte keine Datenschutzaufsichtsbehörde pauschal den Einsatz von U.S. Cloud-Dienstleistern untersagt, soweit bekannt. Zudem ist aufgrund der hohen praktischen Relevanz von U.S. Cloud-Dienstleistern hier viel im Fluss. Einige U.S. Cloud-Dienstleister bieten inzwischen neue Vertragsmodelle an, um auf die Kritik der europäischen Aufsichtsbehörden unmittelbar einzugehen.

2. Korrektur durch das OLG

Das OLG Karlsruhe hat die Entscheidung der Vergabekammer nunmehr korrigiert und betont, dass die Datenverarbeitung bei Vergabeverfahren weiterhin durch eine europäische Tochtergesellschaft von U.S. Cloud-Dienstleistern erfolgen darf. Entscheidend ist, dass das Unternehmen verbindlich zusichert, die personenbezogenen Daten ausschließlich in Deutschland und in keinem Drittland zu verarbeiten. Nach Maßgabe des Vergabesenates beim OLG Karlsruhe darf ein öffentlicher Auftraggeber grundsätzlich davon ausgehen, dass ein Bieter seine vertraglichen Zusagen erfüllen wird. Erst bei Vorliegen konkreter Anhaltspunkte ist ein öffentlicher Auftraggeber gehalten, ergänzende Informationen in Bezug auf die Erfüllbarkeit des Leistungsversprechens einzuholen.

Vorliegend hatte das betreffende Bieterunternehmen die von dem öffentlichen Auftraggeber vorgegebenen DSGVO Verträge unterzeichnet. Ferner hat es diese in Bezug auf die Leistungen beim Einsatz von Dienstleistern und im Bereich von Datenschutz und IT-Sicherheit im Angebot näher beschrieben und ein klares und eindeutiges Leistungsversprechen abgegeben.

Eine bloße Konzernbindung genügt nach Ansicht des OLG jedenfalls nicht, um die Erfüllbarkeit des Leistungsversprechens zu bezweifeln.

Die Entscheidung ist insofern interessant, als sie die zwischenstaatliche Kollision verschiedener Rechtskreise betrifft. Wie damals beim „Kanzlerinnenhandy“ und dessen Überwachung durch „befreundete Dienste“ erscheint durchaus möglich, dass international aufgrund der faktischen Dominanz der US-Behörden und der Verpflichtungen der US-Unternehmen in Kauf genommen wird, dass man gegen gesetzliche und vertragliche Vorgaben aus dem EU-Raum verstößt. Dies ist jedoch schwer nachzuweisen. Insofern trifft das OLG die realitätsnahe Entscheidung, sich zunächst auf vertraglich bindende Versprechen zu verlassen.

3. Praktische Bedeutung der Entscheidung

Der Beschluss erleichtert den Einsatz diverser Cloud-Technologien. Wichtig ist, dass die auch von den Datenschutzbeauftragten geforderte Einzelfallprüfung im Vergabeverfahren dokumentiert wird (bezogen auf Vergabeunterlagen und auch in der Angebotsprüfung). Ebenfalls müssen aktuelle vertragliche Vorlagen zum Datenschutz verwendet werden.

Es bietet sich an, Richtung US-Unternehmen hohe Pönalen bei einem Verstoß vorzusehen und vertragliche Zusagen – nach Möglichkeit – auch technisch abzusichern (z. B. durch eine Datenverschlüsselung, bei welcher der Private Key außerhalb der Sphäre eines U.S. Cloud-Dienstleisters gespeichert wird). Dies könnte ein wirtschaftlicher Anreiz sein, sich an die EU-Datenschutzvorgaben zu halten.

Die Thematik ist übrigens auch außerhalb des reinen Vergaberechts interessant: Auch wenn ein Unternehmen nicht öffentlicher Auftraggeber ist, aber Fördermittel erhält (z.B. aufgrund des KHZG - Krankenhauszukunftsgesetz), ist aufgrund der Vorgaben des Zuwendungsrechts i.d.R. eine Ausschreibung vorgesehen. Dort werden dann o.g. Rechtsfragen wieder relevant, auch wenn sie nicht vor der Vergabekammer geklärt werden. Datenschutzverstöße können schnell ins Geld gehen.