Home

Intern

Deutsch|English

Jetzt anmelden – 25. Forum Global am 20. Juni 2024 in Nürnberg » |

Weltweit

Anscheinend ist in Ihrem Browser JavaScript nicht aktiviert. Aktivieren Sie bitte JavaScript, und versuchen Sie es erneut.

Beschaffung von Software – Haben Sie auch an den Datenschutz gedacht?

veröffentlicht am 2. Oktober 2023

Im Rahmen von Software-Beschaffungen sind eine Vielzahl von Hürden zu meistern. Eine dieser Hürden ist regelmäßig auch der Datenschutz. Dieser war nicht zuletzt Gegenstand der jüngeren Rechtsprechung zum Vergaberecht. Diese Rechtsprechung stellen wir kurz vor. Eine wichtige Erkenntnis ist auch hier, dass wie so häufig im Vergaberecht, eine ordnungsgemäße und vollständige Dokumentation des Verfahrens Probleme lösen kann.

In dem Fall, der zur Entscheidung vorlag, schrieb der Auftraggeber ein digitales Entlassmanagement in einem europaweiten offenen Verfahren aus. Im Rahmen der Ausschreibungsunterlagen war unter anderem geregelt, dass die zu beschaffende Software zusammenfassend formuliert den Anforderungen der DSGVO genügen muss.

Nach Auswertung der Angebote sollte Bieter 2 der Zuschlag erteilt werden, wohingegen Bieter 1 eine negative Vorabinformation erhielt. Bieter 1 wendete sich gegen die Beauftragung von Bieter 2, da dieser unter anderem mit seinem Angebot gegen die zwingenden Vorgaben der DSGVO verstoße. Bieter 2 setze nämlich A als Unterauftragnehmer ein, dessen Muttergesellschaft in den USA ihren Sitz habe. Somit hätte ein Drittstaat Zugriff auf die Daten, die auf den Servern gespeichert seien. Das Angebot des Bieters 2 sei aus diesen Gründen gemäß § 57 Abs. 1 Nr. 4 VgV auszuschließen. Zwischen der Muttergesellschaft und A gebe es eine Regelung, die es A erlaube, die auf Servern gespeicherten Daten offenzulegen und diese Informationen in die USA zu übermitteln. Bieter 2 argumentierte dagegen und legte dar, dass zwischen ihm und A Standardvertragsklauseln sowie ergänzende vertragliche Bestimmungen geschlossen wurden, die zum Beispiel zum Gegenstand haben, dass ein Herausgabeverlangen der staatlichen Behörden rechtswegserschöpfend angefochten würde, zudem würden die Daten verschlüsselt. Überdies sei der Standort der Server zur Datenspeicherung in Deutschland gelegen.

Zusammenfassend war also zu klären, ob Bieter 2 auszuschließen sei, weil das Angebot nicht den Anforderungen der Vergabeunterlagen entspricht – konkret nicht DSGVO-konform sei – oder darf der Auftraggeber Bieter 2 glauben, dass er die leistungsbeschreibungskonforme Vertragsdurchführung „schon sicherstellen” wird?

Entscheidung der Vergabekammer

Die VK¹ folgte weitgehend der Argumentation des Bieters 1 und entschied:

Eine Änderung der Vergabeunterlagen liege vor, wenn das Unternehmen von den Vorgaben der Vergabeunterlagen inhaltlich abweicht und im Ergebnis ein Aliud, also eine andere als die ausgeschriebene Leistung anbietet. Der Begriff der Änderung setzt hierbei nicht voraus, dass das Unternehmen formell den Wortlaut der Vergabeunterlagen abändert, etwa durch Ergänzungen oder Streichungen.²
Das Unternehmen ändert die Vergabeunterlagen im Sinne des § 57 Abs. 1 Nr. 4 VgV ab, wenn es – anders als in der Ausschreibung gefordert – keine mit dem anwendbaren Datenschutzrecht zu vereinbarende Leistungserbringung anbietet.³
Die Nutzung von Diensten der A verstößt gegen anwendbares Datenschutzrecht, da sie nach den Art. 44 ff. DSGVO als unzulässige Datenübermittlung in ein Drittland zu qualifizieren ist. Gemäß Art. 44 Satz 1 DSGVO ist jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, nur zulässig, wenn einer der besonderen Erlaubnisgründe der Art. 44 ff. DSGVO vorliegt.⁴

Die Vergabekammer gelangte zusammengefasst zu dieser Einschätzung, da Bieter 2 den A als Unterauftragnehmer einsetze und damit die latente Gefahr verbunden sei, dass ein Drittland auf Daten zugreifen können, indem diese offengelegt würden. Dies sei begrifflich mit einer „Übermittlung” im Sinne der Art. 44 ff. DSGVO gleichzusetzen.

Kritik an dieser Entscheidung

Der Datenschutzbeauftragte des Landes Baden-Württemberg kritisierte die Entscheidung der Vergabekammer unter anderem, da sie das latente Zugriffsrisiko mit einer Übermittlung als Verarbeitungsform gleichsetze. Zudem habe sich die Vergabekammer zu wenig mit den technisch-organisatorischen Maßnahmen auseinandergesetzt, die Bieter 2 veranlasst habe, um DSGVO-konform leisten zu können.⁵

Entscheidung des Oberlandesgerichtes

Das OLG⁶ hob die Entscheidung der VK auf und entschied:

Der öffentliche Auftraggeber darf ohne Widerspruch zu § 127 Abs. 4 Satz 1 GWB grundsätzlich davon ausgehen, dass ein Bieter seine vertraglichen Zusagen erfüllen wird. Erst wenn sich konkrete Anhaltspunkte dafür ergeben, dass dies zweifelhaft ist, ist der öffentliche Auftraggeber gehalten, durch Einholung ergänzender Informationen die Erfüllbarkeit des Leistungsversprechens beziehungsweise die hinreichende Leistungsfähigkeit des Bieters zu prüfen.⁷
Durch die Unterzeichnung der von dem Auftraggeber vorgegebenen DSGVO-Verträge hat Bieter 2 erklärt, die gemachten Vorgaben einzuhalten. Er hat zudem seine Leistungen beim Einsatz von Dienstleistern und im Bereich von Datenschutz und IT-Sicherheit im Angebot im Einzelnen näher beschrieben und hierbei ein klares und eindeutiges Leistungsversprechen abgegeben. Bieter 2 hat in diesem Zuge zugesichert, dass personenbezogene Gesundheitsdaten ausschließlich an die A übermittelt werden und auch zu ihrer Verarbeitung die EU nicht verlassen, sondern nur in Deutschland verarbeitet werden.⁸
Der Umstand, dass es sich bei der Unterauftragnehmerin um ein Tochterunternehmen eines US-amerikanischen Konzerns handelt, stellt keinen Ausschlussgrund dar. Trotz der Konzernbindung müsse der Auftraggeber nicht davon ausgehen, dass es zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.⁹

Ausblick

Die vorstehend vorgestellte Rechtsprechung zeigt, dass der Auftraggeber nicht allein aufgrund der Konzernzugehörigkeit eines bietenden Unternehmens an dessen leistungsbeschreibungskonformer Vertragserfüllung zweifeln muss. Ähnlich entschied zuletzt die VK Bund.¹⁰ Die Entscheidungen sind neben den datenschutzrechtlichen Aspekten auch interessant, da sie aufs Neue die Frage aufwerfen, wie weit die Prüfpflicht des Auftraggebers im Hinblick auf die Angebote gehen muss, die er im Rahmen eines Vergabeverfahrens erhalten hat. Muss der öffentliche Auftraggeber bis ins letzte Detail bspw. den Datenschutz überprüfen?

Eine Pflicht zur (umfassenden) Überprüfung kann zumindest bei konkreten Zweifeln entstehen. Hierbei kann das Institut der Angebotsaufklärung diese Überprüfung unterstützen. Dem Auftraggeber ist jedenfalls zu empfehlen, die ohnehin notwendige Dokumentation des Verfahrens auch auf Erwägungen zum Datenschutz zu erstrecken, um die Gründe für seine ggf. vorliegenden oder fehlenden Zweifel vorsorglich festzuhalten.

_________________________________________________________________________________________________

¹ VK Baden-Württemberg, Beschluss vom 13.7.2022, 1 VK 23/22.

² VK Baden-Württemberg, Beschluss vom 13.7.2022, 1 VK 23/22, Rn 79 in juris.

³ VK Baden-Württemberg, Beschluss vom 13.7.2022, 1 VK 23/22, Rn 80 in juris.

⁴ VK Baden-Württemberg, Beschluss vom 13.7.2022, 1 VK 23/22, Rn 81 und 82 in juris.

⁵ Stellungnahme des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg vom 15.8.2022 zum Beschluss der VK Baden-Württemberg.

⁶ OLG Karlsruhe, Beschluss vom 7.9.2022, 15 Verg 8/22.

⁷ OLG Karlsruhe, Beschluss vom 7.9.2022, 15 Verg 8/22, Rn. 29.

⁸ OLG Karlsruhe, Beschluss vom 7.9.2022, 15 Verg 8/22, Rn. 34.

⁹ OLG Karlsruhe, Beschluss vom 7.9.2022, 15 Verg 8/22, Rn. 36.

¹⁰ VK Bund, Beschluss vom 13.2.2023, VK 2-114/22.