KHZG: US-Cloud-Dienste vergaberechtlich unzulässig (?)

[Aktualisiert am 08.09.2022]

Bei einigen KHZG-finanzierten Projekten wird oftmals On-Demand-Software angeboten, deren Daten zwar auf einem Server in Europa gespeichert werden, der Anbieter der Serverdienste jedoch ein US-amerikanisches Unternehmen ist.
Der aktuelle Beschluss der Vergabekammer Baden-Württemberg hat einen zwingenden Ausschluss eines Angebotes angeordnet, in dem ein US-Cloud-Dienst genutzt wird.
Das OLG Karlsruhe hat datenschutzrechtliche Bedenken der Vergabekammer am 07.09.2022 kassiert.

Im Rahmen der öffentlichen Vergabeverfahren bei KHZG-finanzierten Projekten sind die Krankenhäuser angehalten, umfangreiche Aspekte zu berücksichtigen. Dies beinhaltet auch die Kenntnis und Anwendung von aktueller Rechtssprechung zum Vergaberecht.
Ein aktuelles Beispiel liefert eine richtungsweisende, aber noch nicht rechtskräftigte Entscheidung der Vergabekammer Baden-Württember vom 13. Juli 2022 (Az. 1 VK 23/22) .

Die Vergabekammer beschäftigte sich mit dem Nachprüfungsantrag eines unterlegenen Bieters, der beantragt hat, das Angebot des erstplatzierten Bieters zwingend auszuschliessen, weil dieses Angebot gegen die Regelungen des DS-GVO verstöße.

Die Vergabekammer prüfte darauf hin, ob die Zusammenarbeit eines Bieters mit einem US-Anbieter (Cloud-Dienst) nach Wegfall des Privacy-Shiled-Abkommens mit der EU (vgl. EuGH, Urteil vom 16. Juli 2020 – Az. C-311/18; “Schrems-II”) bei Verwendung der sog. Standarddatenschutzklauseln, zulässig ist.
Das auszuschliessende Angebot beinhaltete dabei die Zusicherung, dass die Daten auf Servern in der EU gespeichert werden. Die Vergabekammer kam dabei zum folgenden Ergebnis:

“Allein die Möglichkeit, dass auf personenbezogene Daten durch die nichteuropäische Muttergesellschaft zugegriffen werden kann, führt zu einer sog. “Weitergabe” im Sinne der DSGVO, dies unabhängig davon, ob ein solcher Zugriff durch die US-Muttergesellschaft tatsächlich erfolgt. Diese Weitergabe ist nach Ansicht der Vergabekammer nach Wegfall des US-Privacy-Shields unzulässig, sie konnte in dem Verfahren insbesondere nicht durch den Abschluss von Standardvertragsklauseln (sog. SCC’s) legitimiert werden.”

Folglich soll – nach VK Baden-Württemberg – bereits dann ein Verstoß gegen die DS-GVO vorliegen, wenn die bloße Möglichkeit des Zugriffs auf personenbezogene Daten durch das US-Mutterunternehmen besteht. Die Vergabekammer hat daher das betroffene Angebot, auf das eigentlich der Zuschlag ergehen sollte, vom Verfahren ausgeschlossen.

[Es bleibt abzuwarten, ob die eingelegte sofortige Beschwerde beim Oberlandesgericht Karlsruhe zu einer anderen Bewertung führen wird. Bis dahin bleiben die Kliniken auf der sicheren Seite, wenn sie in den Vergabeunterlagen den Beschaffungsbedarf so definieren, dass sie nicht mit dem o.g. Problem konfrontiert werden.
Denn sollte das OLG Karlsruhe die Entscheidung der Vergabekammer bestätigen, so stünden vor allem Krankenhäuser, die bereits Zuschläge erteilt haben, vor einem großen Problem. Der Zuschlag auf ein auszuschliessendes Angebot ist als grober Vergabefehler zu bewerten, der sich förderschädlich auswirken kann.]

Nach Entscheidung des OLG Karlsruhe dürfen sich die öffentlichen Auftraggeber auf die bindenden Zusagen des Anbieters verlassen, dass die Daten ausschließlich in Deutschland verarbeitet werden und keine Daten in ein Drittland übertragen werden. Es sei davon auszugehen, dass ein Bieter sich an seine vertraglichen Zusagen hält. Die Entscheidung ist rechtskräftig.


Ob und wie sich das Krankenhaus aus einem solchen Vertrag im Nachhinein lösen könnte, ist ein anderes spannendes Thema.

Adam Pawelek
projectontime.de

Veröffentlicht in Beschaffung, KHZG, Vergabe und verschlagwortet mit , , , , , , .