Auftraggeber setzt Einhaltung nationaler Datenschutzgesetze voraus
In dem Vergabeverfahren zweier kommunaler Krankenhausgesellschaften war vorausgesetzt, dass die Anforderungen der Datenschutzgrundverordnung und des Bundesdatenschutzgesetzes hinsichtlich der personenbezogenen Daten der zur Entlassung anstehenden Patientinnen und Patienten erfüllt sein müssen. Eine der Anbieterinnen sicherte in ihren Angebotsunterlagen zu, das von ihr als Hosting-Dienstleisterin eingebundene luxemburgische Tochterunternehmen eines US-amerikanischen Konzerns werde den Auftrag ausschließlich bearbeiten und die Daten würden ausnahmslos auf einem in Frankfurt am Main stehenden Server einer deutschen GmbH verarbeitet. Die Krankenhausgesellschaften kündigten im Vergabeverfahren an, dieser Anbieterin den Zuschlag erteilen zu wollen, weil sie ihr Angebot als das wirtschaftlichste ansähen.
Vergabekammer befürchtet unzulässige Datenübermittlung in die USA
Auf einen nachfolgenden Nachprüfungsantrag einer Konkurrentin, die sich ebenfalls um den Auftrag bewarb, entschied die Vergabekammer Baden-Württemberg jedoch, die ausgewählte Anbieterin aus dem Vergabeverfahren auszuschließen, da der Einsatz des luxemburgischen Tochterunternehmens gegen die Datenschutzgrundverordnung verstoße und daher die Anforderungen der Vergabeunterlagen nicht eingehalten seien. Die Nutzung von Diensten der luxemburgischen Tochtergesellschaft eines US-amerikanischen Unternehmens gehe mit einer unzulässigen Datenübermittlung in ein Drittland (hier: die USA) einher. Für diese Annahme reiche bereits das latente Risiko eines Zugriffs von staatlichen und privaten Stellen außerhalb der Europäischen Union aus.
OLG: Von Erfüllbarkeit der vertraglichen Zusagen ist auszugehen
Das Oberlandesgericht hat der gegen die Entscheidung erhobenen Beschwerde stattgegeben und die Entscheidung der Vergabekammer unter Zurückweisung des Nachprüfungsantrags aufgehoben. Bei Nachprüfung einer Vergabeentscheidung sei grundsätzlich davon auszugehen, dass ein Bieter seine vertraglichen Zusagen erfüllen werde. Erst wenn sich aufgrund konkreter Anhaltspunkte Zweifel daran ergäben, müsse der öffentliche Auftraggeber ergänzende Informationen einholen und die Erfüllbarkeit des Leistungsversprechens prüfen. Im entschiedenen Fall hätte die Anbieterin jedoch eindeutige Zusicherungen zu dem Inhalt des Vertrags zwischen ihr und der luxemburgischen Holding-Dienstleisterin gemacht. Danach dürften Daten ausschließlich an diese luxemburgische Gesellschaft übermittelt und ausnahmslos von ihr und nur in Deutschland verarbeitet werden.
Datenschutzversprechen nicht zweifelhaft
Die Krankenhausgesellschaften könnten auf dieser Grundlage berechtigt darauf vertrauen, dass die Anbieterin diese Vorgaben auch in ihrem Verhältnis zur Hosting-Dienstleisterin vertragsgemäß umsetzen werde. Sie müssten nicht damit rechnen, dass die luxemburgische Gesellschaft vertragswidrige und gegen europäisches Recht verstoßende Weisungen befolgen und personenbezogene Daten in die USA übermitteln werde. Die Konzernbindung allein genüge nicht, die Erfüllbarkeit des Leistungsversprechens zu bezweifeln. Das von den Krankenhausgesellschaften bevorzugte Angebot weiche damit nicht von den bei der Ausschreibung formulierten Anforderungen an Datenschutz und IT-Sicherheit ab.