Eine Entscheidung des OLG Karlsruhe schafft Unklarheiten
Das Oberlandesgericht Karlsruhe hat die Gelegenheit zur Klärung einer zentralen Rechtsfrage im Datenschutzrecht zur Schaffung von Rechtssicherheit für Auftraggeber und Bieter in Vergabeverfahren verstreichen lassen. Statt materiell-rechtliche Fragestellungen zu überprüfen, verweist der Vergabesenat auf den guten Glauben an Garantien im Angebot zur vertragskonformen Leistungserbringung.
Ein Angebot eines Bieters ist aus Sicht des OLG Karlsruhe selbst dann nicht gemäß §57 Abs. 1 Nr. 4 VgV vom Vergabeverfahren auszuschließen, wenn sich durch die Angaben im Angebot und den Vortrag im Nachprüfungsverfahren ergeben sollte, dass er die nachgefragten Leistungen derzeit nicht entsprechend der Vorgaben der Vergabeunterlagen erbringt. Der Auftraggeber könne sich vielmehr auch in einem solchen Fall auf die Versicherung des Bieters im Angebot verlassen, dass er die Leistungen zum Zeitpunkt der Auftragsdurchführung vertragsgemäß erbringen werde.
Eine sorgfältige Gestaltung der Vergabeunterlagen für Auftraggeber, die IT-Leistungen ausschreiben, wird durch die Entscheidung des OLG Karlsruhe im Hinblick auf Art. 5 Abs. 2 DSGVO sowie im Hinblick auf die Möglichkeiten zum Umgang mit Angeboten, die Zweifel an einer Rechtskonformität begründen, aber Garantien für eine rechtskonforme Leistungserbringung enthalten, umso wichtiger.
Der Sachverhalt
Mit Beschluss vom 13. Juli 2022 hatte die Vergabekammer Baden-Württemberg (Az. 1 VK 23/22) eine viel beachtete und diskutierte Entscheidung zur bislang ungeklärten Frage getroffen, ob US-Anbieter digitaler IT- und Cloudleistungen ihre Dienstleistungen über europäische Tochtergesellschaften erbringen können oder ob eine Zusammenarbeit mit US-Anbietern nach Wegfall des Privacy-Shields (vgl. EuGH, Urteil vom 16. Juli 2020 – Az. C-311/18; „Schrems-II“) trotz der Verwendung sog. Standarddatenschutzklauseln ggf. unzulässig ist. Im konkreten Sachverhalt ging es allerdings nicht nur um die Frage, ob die US-Rechtslage ggf. per se einer Eignung von US-Konzerngesellschaften als Auftragsverarbeiter gem. Art. 28 DSGVO entgegenstehe, sondern (vorrangig) um rechtliche Fragestellungen auf Basis konkreter Vertragsbedingungen, die eine Übermittlung von personenbezogenen Daten zuließen, soweit dies „für die Erbringung der Services erforderlich“ ist sowie um eine Bewertung von nur sehr rudimentär vereinbarten zusätzlichen Garantien gemäß Art. 46 DSGVO. Insoweit wurde die Entscheidung der Vergabekammer – wie auch die des OLG Karlsruhe in die andere Richtung – regelmäßig missverstanden. Die Vergabekammer hat nicht entschieden, dass ein Einsatz von US-Konzerngesellschaften per se unzulässig sei, und das OLG Karlsruhe hat nicht entschieden, dass ein solcher Einsatz per se zulässig sei (s.u.).
Im Verfahren vor der Vergabekammer war der Sachverhalt bezüglich des konkreten Einsatzes der europäischen Tochtergesellschaft X unstreitig. Der Einsatz des betreffenden Unternehmens ist im Angebot des betroffenen Bieters festgehalten. Die vertraglichen Regelungen zwischen dem Bieter und der europäischen Tochtergesellschaft X, die – auch dies war im Verfahren vor der Vergabekammer unstreitig – im Rahmen der Leistungserbringung zur Anwendung kommen sollen, sehen für Einzelfälle die Berechtigung der europäischen Tochtergesellschaft zur Übermittlung von Daten in die USA vor.
Die Vergabekammer Baden-Württemberg hatte vor diesem Hintergrund entschieden, dass das Angebot des betroffenen Bieters wegen eines Abweichens von den Vergabeunterlagen, die ausdrücklich die Einhaltung des Datenschutzrechts und insbesondere der DSGVO gefordert haben, gemäß § 57 Abs. 1 Nr. 4 VgV vom Vergabeverfahren auszuschließen sei. Nach Auffassung der Vergabekammer würde eine datenschutzrechtlich unzulässige Übermittlung von personenbezogenen Daten in ein Drittland (außerhalb der EU) auch dann vorliegen, wenn der entsprechende Server von einer in der EU ansässigen Gesellschaft betrieben wird, die ihrerseits Teil eines US-Konzerns ist, sofern – wie vorliegend – keine Erlaubnis gemäß Art. 46 DSGVO erfüllt ist. Die Möglichkeit, dass auf personenbezogene Daten durch die nichteuropäische Muttergesellschaft zugegriffen werden kann, führe zu einer sogenannten „Übermittlung“ im Sinne der DSGVO, dies unabhängig davon, ob ein solcher Zugriff durch die US-Muttergesellschaft tatsächlich erfolgt. Diese Übermittlung sei nach Ansicht der Vergabekammer nach Wegfall des US-Privacy-Shields unzulässig, sie könne vorliegend insbesondere nicht durch den Abschluss von Standardvertragsklauseln (sog. SCC's) ohne Vereinbarung zusätzlicher Garantien legitimiert werden. Hervorzuheben ist dabei, dass die Vergabekammer die Übermittlung u.E. nicht allein auf das US-Recht gestützt hat, sondern – wenn auch ggf. nicht mit der letzten Deutlichkeit – vorrangig auf die vertraglichen Regelungen, dass eine Übermittlung schon allein „zur Erbringung der Services“ zugelassen sei. Aufgrund dieser vertraglichen Vereinbarung kam es auf die Frage, ob das US-Recht und die sich aus diesem ergebenden möglichen Herausgabeverlangen durch US-Behörden bereits eine Übermittlung begründe, nicht an. Auch eine Übermittlung an die US-Mutter ist – unabhängig einer Übermittlung an US-Behörden – eine Übermittlung gemäß Art. 44 DSGVO. Diese hat die Vergabekammer als nicht gemäß Art. 45 ff. DSGVO legitimiert angesehen.
Gegen diese Entscheidung der Vergabekammer ist der unterlegene Bieter im Rahmen eines Beschwerdeverfahrens vorgegangen. Dabei änderte dieser gegen Ende des Verfahrens seinen Vortrag dahingehend, dass selbst dann, wenn möglicherweise einzelne datenschutzrechtliche Verstöße in seinem Angebot bzw. seiner momentanen Leistungserbringung vorhanden sein könnten, dies jedoch letztendlich dahinstehen könne, da er – angeblich – jedenfalls bis zum Beginn der Leistungserbringung gegenüber den Auftraggeberinnen eine datenschutzrechtlich korrekte Leistungserbringung sicherstellen werde. Insoweit habe er auch die Zusage der europäischen Tochtergesellschaft X.
Die Entscheidung des OLG Karlsruhe
Der Vergabesenat ist der Argumentation der Beschwerdeführerin gefolgt und hat die Entscheidung der Vergabekammer mit dem Argument aufgehoben, dass der Auftraggeber auf die im Angebot enthaltenen Garantien vertrauen dürfe und die – auch für den Senat durchaus ersichtlichen – Zweifel an einer Rechtskonformität allein die Ausführungsphase betreffen würden.
Der Vergabesenat hat im Ergebnis letztlich allein darauf abgestellt, dass der Bieter in seinem Angebot ausdrücklich zugesichert habe, die in den Vergabeunterlagen bezüglich des Datenschutzes festgehalten Vorgaben einzuhalten. Er habe insbesondere zugesichert, dass personenbezogene Gesundheitsdaten ausschließlich in Deutschland verarbeitet würden. Auf diese Leistungsversprechen dürften sich die Auftraggeberinnen verlassen.
Der Senat hat darauf hingewiesen, dass selbst wenn die bisher vom Tochterunternehmen X im Rahmen seiner AGB verwendeten Vertragsregelungen möglicherweise gegen europäisches Datenschutzrecht verstoßen würden, dies keine Zweifel an der Einhaltung der im Angebot getätigten Zusagen begründen müsse. Jedoch sei es an der Beschwerdeführerin, dafür Sorge zu tragen, dass ihre Leistungen entsprechend der von ihr abgegebenen Zusagen umgesetzt und durchgeführt würden. Die vertraglichen Inhalte seien insoweit kein Gegenstand des Angebots selbst und es sei nicht mit abschließender Sicherheit klar, dass der von der Beschwerdegegnerin behauptete vertragliche Inhalt auch auf die Ausführungsphase Anwendung finde. Zudem müsse auch nicht davon ausgegangen werden, dass das europäische Tochterunternehmen X, das Teil eines US-amerikanischen Konzerns ist, gesetzeswidrigen Anweisung der US-amerikanischen Muttergesellschaft Folge leisten werde und hierdurch möglicherweise ein Verstoß gegen die vertraglichen Zusagen eintreten könne.
Abschließend setzt sich der Vergabesenat auch mit der neueren Rechtsprechung des Kammergerichts bezüglich der Berücksichtigung geschwärzten Vortrags eines Beteiligten im Rahmen eines Vergabenachprüfungsverfahrens auseinander. Der Senat hält insoweit fest, dass auch geschwärzter Vortrag nicht unberücksichtigt bleiben dürfe. In Fällen, in denen eine Weitergabe von Informationen zum Schutz von Geschäftsgeheimnissen eines der Beteiligten unterbleiben müsse, sei dem vielmehr durch eine entsprechende Verfahrensgestaltung Rechnung zu tragen. Der Vergabesenat verweist auf die Entscheidung des Bundesgerichtshofs, Beschluss vom 31.01.2017, X ZB 10/16.
Folgen für die Praxis
Diese Entscheidung könnte dazu führen, dass Auftraggeber mögliche inhaltliche Verstöße im Angebot eines Bieters, die zu einer Vertragsverletzung führen werden, nicht mehr als Grundlage eines Ausschlusses eines Bieters nutzen, weil sie sich hierzu im Hinblick auf erfolgte Leistungsversprechen nicht mehr ermächtigt sehen, obwohl sie eine nicht rechtskonforme Leistungserbringung befürchten. Der Vergabesenat könnte insbesondere für unredliche Bieter einen Weg für ein Arbeiten mit weitreichenden Garantien geebnet haben, deren Belastbarkeit sodann Frage der Ausführungsphase bleibt. Dies steht im Widerspruch zu Entscheidungen anderer Oberlandesgerichte, wie z.B. OLG München, Beschluss vom 17. September 2007, Verg 10/07, und OLG Düsseldorf, Beschluss vom 21. Februar 2005, VII Verg 91/04, die zum Vorgehen bei Anhaltspunkten von Verstößen und der daraus folgenden Prüfungstiefe für öffentliche Auftraggeber eine abweichende Auffassung vertreten. Für konkurrierende Bieter wird es zudem schwieriger werden, einen Ausschluss eines Konkurrenten zu erreichen, auch wenn bekannt und nachweisbar ist, dass dieser die Leistung nicht vertragsgemäß erbringen wird, dies aber allein über die Angebotsinhalte ggf. nicht abschließend fest steht.
Für Auftraggeber bietet sich insoweit allerdings die Chance, den notwendigen Inhalt der Angebote mittels einer sorgfältigen Gestaltung der Vergabeunterlagen so zu definieren, dass Anhaltspunkte einer Nonkonformität (doch) das Angebot selbst betreffen. Für Auftraggeber ist dies insoweit sinnvoll, als dadurch eine Verlagerung von Streitigkeiten in die Vertragsdurchführungsphase vermieden wird, in der dann bereits – die im Vergabeverfahren erkennbaren – Rechtsverstöße eingetreten wären und die Leistung ggf. neu ausgeschrieben werden müsste, was nicht im Interesse der Auftraggeber, die zudem regelmäßig eigene Haftungsrisiken vermeiden möchten, liegen dürfte.
Bezüglich der Schwärzungen in Schriftsätzen zum Schutz von Geschäftsgeheimnissen wird es zukünftig für die Beteiligten in einem Vergabenachprüfungsverfahren weiterhin schwierig zu beurteilen sein, inwieweit Schwärzungen vorgenommen werden sollten oder nicht. Soweit sich der für die jeweilige Vergabe zuständige Vergabesenat noch nicht positioniert haben sollte, besteht auch weiterhin die Gefahr, dass geschwärzter Vortrag letztendlich bei der Entscheidungsfindung unberücksichtigt bleiben könnte.
|
