Skip to content

OLG Karlsruhe: US-Cloud-Anbieter bzw. deren europäische Tochterunternehmen sind nicht generell wegen fehlender DSGVO-Konformität von Vergabeverfahren auszuschließen

OLG Karlsruhe
Beschluss vom 07.09.2022
15 Verg 8/22


Das OLG Karlsruhe hat entschieden, dass US-Cloud-Anbieter bzw. deren europäische Tochterunternehmen nicht generell wegen fehlender DSGVO-Konformität von Vergabeverfahren auszuschließen sind.

Aus den Entscheidungsgründen:
b) Das Angebot der Beigeladenen ist auch nicht auszuschließen, weil ihr Angebot von den Anforderungen der Antragsgegnerinnen an Datenschutz und IT-Sicherheit abweicht.

aa) Der öffentliche Auftraggeber darf ohne Widerspruch zu § 127 Abs. 4 Satz 1 GWB grundsätzlich davon ausgehen, dass ein Bieter seine vertraglichen Zusagen erfüllen wird (OLG Düsseldorf, Beschluss vom 26.08.2018, Verg 23/18, juris Rn. 71; KG, Beschluss vom 21.11.2014, Verg 22/13, juris, Rn. 36). Erst wenn sich konkrete Anhaltspunkte dafür ergeben, dass dies zweifelhaft ist, ist der öffentliche Auftraggeber gehalten, durch Einholung ergänzender Informationen die Erfüllbarkeit des Leistungsversprechens beziehungsweise die hinreichende Leistungsfähigkeit des Bieters zu prüfen (OLG Düsseldorf, a.a.O.; KG, a.a.O.; OLG Frankfurt a.M., Beschluss vom 16.06.201, 11 Verg 3/15, juris, Rn. 82; OLG Brandenburg, Beschluss vom 20.11.2012, Verg W 10/12, juris Rn. 21).

bb) Die Vergabeunterlagen verlangten die softwaretechnische Einhaltung des beigefügten DS-GVO-Vertragsentwurfs (4.1.1. lit. c der Vergabeunterlagen). Weiter heißt es, „die Einzelheiten ergeben sich aus dem Leistungsverzeichnis und dem Lastenheft der Vergabeunterlagen.“ Im Lastenheft heißt es unter 2.8 „Erfüllung der Anforderungen aus der DS-GVO und dem BDSG, insbesondere

- Erfüllung der datenschutzrechtlichen Grundsätze, Art. 5, 25 DS-GVO (insbesondere Datenminimierung, Datenschutz durch Technikgestaltung, Datenschutz durch datenschutzfreundliche Voreinstellungen)

- Umsetzung ausreichender technischer und organisatorischer Maßnahmen (Art. 32 DS-GVO) oder anderer geeigneter Garantien (z.B. Zertifizierung nach Art. 42 DS-GVO); Möglichkeit zur Vorortprüfung des Auftragnehmers muss gegeben sein.“

Im Lastenheft weisen die Antragsgegnerinnen darauf hin, dass die Anforderungen an die Leistungen als zum Ausschluss führende A-Kriterien und bewertungsrelevante B-Kriterien ausgestaltet sind. Danach ist allein die softwaretechnische Einhaltung des DS-GVO-Vertragsentwurfs Ausschlusskriterium (Lastenheft lfd. Nr. 19), während die DS-GVO konformen softwaretechnischen Möglichkeiten zur Berechtigungssteuerung (Lastenheft lfd. Nr. 20) und die Vorgabe, wonach die Daten ausschließlich in einem EU-/EWR-Rechenzentrum verarbeitet werden, bei dem kein Subdienstleister / Konzernunternehmen in Drittstaaten ansässig ist (Lastenheft lfd. Nr. 21), als B-Kriterien ausgestaltet.

Durch die Unterzeichnung der von den Antragsgegnerinnen vorgegebenen DS-GVO-Verträgen hat die Beigeladene erklärt, die gemachten Vorgaben einzuhalten. Sie hat zudem ihre Leistungen beim Einsatz von Dienstleistern und im Bereich von Datenschutz und IT-Sicherheit im Angebot im Einzelnen näher beschrieben und hierbei ein klares und eindeutiges Leistungsversprechen abgegeben. Sie hat in diesem Zuge zugesichert, dass personenbezogene Gesundheitsdaten ausschließlich an die A. S.à.r.l., L., übermittelt werden und auch zu ihrer Verarbeitung die EU nicht verlassen, sondern nur in Deutschland verarbeitet werden. Zudem hat die Beigeladene erklärt, dass die A. S.à.r.l., L. ihr gegenüber zugesichert habe, dass alle Daten der Beigeladenen in Deutschland verarbeitet werden und in der mündlichen Verhandlung vor dem Senat zudem bestätigt, dass sie bis zur Angebotsverwirklichung sämtliche intern notwendigen Verträge mit A. schließen wird, die ihre Zusagen, wie sie im Angebot gemacht werden, umsetzen. Im Sinne einer solchen bindenden Zusicherung haben die Antragsgegnerinnen die Erklärungen der Beigeladenen in den Vergabeunterlagen auch verstanden. Auf dieses Leistungsversprechen dürfen die Antragsgegnerinnen vertrauen.

(1) Zweifel mussten die Antragsgegnerinnen nicht deshalb haben, weil A. Verträge im Allgemeinen unter Einbeziehung der A. DPA abschließt. Die A. DPA waren nicht Gegenstand des Angebots der Beigeladenen. Die Verträge mit A. waren nach den Vergabeunterlagen nicht vorzulegen und lagen dem Angebot auch nicht bei. Folglich bestand für die Antragsgegnerinnen keine Veranlassung, an den im Leistungsversprechen gemachten Zusicherungen zu zweifeln, weil die A. DPA möglicherweise datenschutzrechtliche Defizite aufweisen könnten, wie dies die Vergabekammer aufgezeigt hat oder weil deren Formulierung als dreiseitige Vereinbarung, in die auch die A. Inc., USA, einbezogen ist, Zweifel an der Einhaltung der DS-GVO begründen könnten. Aufgrund des im Angebot beschriebenen Leistungsversprechens und den abgegebenen Garantien in Bezug auf die konkrete Auftragsdurchführung können die Antragsgegnerinnen davon ausgehen, dass die Beigeladene sich hieran hält und ihre Verträge mit A. entsprechend gestaltet, ungeachtet etwaiger Bestimmungen in den als AGB ausgestalteten A. DPA. Die Beigeladene hat folglich dafür Sorge zu tragen, dass sie ihre Leistung entsprechend der abgegebenen Garantien umsetzt und durchführt.

(2) Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. S.à.r.l ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erfüllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.

(3) Die erstmals am Schluss der mündlichen Verhandlung vor dem Vergabesenat von der Antragstellerin erhobene Rüge, die Beigeladene setze C. ein, wobei von A. Daten in die USA übertragen würden, auch werde die IP-Adresse in die USA übertragen, was die Beigeladene bestritten hat, ist wegen des im Vergabenachprüfungsverfahren im Interesse der Auftraggeber und der Allgemeinheit an einer raschen Auftragsvergabe geltenden Beschleunigungsgrundsatzes unbeachtlich. Weshalb die Antragstellerin dies nicht hätte früher rügen können, hat sie nicht nachvollziehbar erklärt. Es ist nicht davon auszugehen, dass die Recherche besonders aufwendig war, denn es genügte eine Eingabe in die R.-APP, um diese Informationen zu erhalten, wie die Antragstellerin erklärt hat. Der behauptete Verstoß gegen die DS-GVO wegen einer Datenübermittlung in die USA war bereits Kernargument des Rügeschreibens der Antragstellerin vom 09.05.2022.

Selbst wenn man den Vortrag als zulässig erachten würde, wird das Leistungsversprechen der Beigeladenen damit nicht in Zweifel gezogen. Denn daraus lässt sich nicht schließen, dass die Verwendung von C. und die Übermittlung der IP-Adresse in die USA Teil der den Antragsgegnerinnen angebotenen Leistung ist.

(4) Da die Antragsgegnerinnen folglich nicht davon ausgehen mussten, dass die personenbezogenen Gesundheitsdaten von der Beigeladenen im Rahmen der Vertragserfüllung in ein Drittland übermittelt werden, bedurfte es der Durchführung eines Transfer Impact Assessments nicht. Dessen Fehlen stellt keine Abweichung von den Ausschreibungsbedingungen dar.

(5) Im Hinblick auf das Versprechen der Beigeladenen, dass die Daten ausschließlich in Deutschland verarbeitet werden, kommt es nicht darauf an, ob die Beigeladene begleitende organisatorische und technische Maßnahmen, insbesondere auch im Hinblick auf eine sichere Verschlüsselung, zusagte, die erforderlich sind, damit die Übermittlung von Daten in die USA im Einklang mit den Bestimmungen der DS-GVO steht.

Allerdings weist der Senat darauf hin, dass die Vergabekammer, die einen anderen rechtlichen Ansatz wählte und für die es daher für die Einhaltung der DS-GVO unter anderem auf eine effiziente Verschlüsselungstechnik ankam, die von der Beigeladenen als geheimhaltungsbedürftig gekennzeichneten Angaben nicht hätte unberücksichtigt lassen dürfen. In Fällen, in denen eine Weitergabe von Informationen zum Schutz von Geschäftsgeheimnissen eines der Beteiligten unterbleiben muss, ist dem vielmehr durch eine entsprechende Verfahrensgestaltung (wegen der Einzelheiten: BGH, Beschluss vom 31.01.2017, X ZB 10/16, juris) Rechnung zu tragen.

c) Die Antragsgegnerinnen haben nicht gegen ihre Aufklärungspflicht nach § 60 Abs. 1 VgV verstoßen. Sie haben, weil die Beigeladene im zurückversetzten Verfahren teilweise erheblich günstigere Preise anbot als im ursprünglichen Vergabeverfahren, die Preise aufgeklärt. Die Preisprüfung erstreckt sich darauf, ob der angebotene Gesamtpreis im Verhältnis zur Leistung ungewöhnlich oder unangemessen niedrig ist und zur Leistung in einem Missverhältnis steht (vgl. OLG Düsseldorf, Beschluss vom 08.06. 2016, VII-Verg 57/15, juris). Eine darauf gerichtete Preisprüfung haben die Antragsgegnerinnen vorgenommen. Die Erklärungen der Beigeladenen und die hierzu vorgelegten Unterlagen haben die Antragsgegnerinnen als zufriedenstellend bewertet und dies in den Vergabeunterlagen nachvollziehbar dargestellt und dokumentiert. Ergänzend wird zur Vermeidung von Wiederholungen auf die zutreffenden Ausführungen der Vergabekammer Bezug genommen. Folglich ist das Angebot der Beigeladenen nicht nach § 60 Abs. 3 VgV von der Wertung auszuschließen.


Den Volltext der Entscheidung finden Sie hier:


EuGH: Es ist unionsrechtksonform Anbietern wie Facebook und Hostinganbietern aufzugeben für rechtswidrig erklärte und sinngleiche Inhalte aktiv zu suchen und zu löschen bzw weltweit zu sperren

EuGH
Urteil vom 03.10.2019
C-18/18
Eva Glawischnig-Piesczek / Facebook Ireland Limited


Der EuGH hat entschieden, dass es unionsrechtskonform ist, Anbietern wie Facebook und Hostinganbietern aufzugeben, für rechtswidrig erklärte und sinngleiche Inhalte aktiv zu suchen und zu löschen bzw. weltweit zu sperren.

Tenor der Entscheidung:

Die Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8. Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informationsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt („Richtlinie über den elektronischen Geschäftsverkehr“), insbesondere ihr Art. 15 Abs. 1, ist dahin auszulegen, dass sie es einem Gericht eines Mitgliedstaats nicht verwehrt,

– einem Hosting-Anbieter aufzugeben, die von ihm gespeicherten Informationen, die den wortgleichen Inhalt haben wie Informationen, die zuvor für rechtswidrig erklärt worden sind, zu entfernen oder den Zugang zu ihnen zu sperren, unabhängig davon, wer den Auftrag für die Speicherung der Informationen gegeben hat;

– einem Hosting-Anbieter aufzugeben, die von ihm gespeicherten Informationen, die einen sinngleichen Inhalt haben wie Informationen, die zuvor für rechtswidrig erklärt worden sind, zu entfernen oder den Zugang zu ihnen zu sperren, sofern die Überwachung und das Nachforschen der von einer solchen Verfügung betroffenen Informationen auf solche beschränkt sind, die eine Aussage vermitteln, deren Inhalt im Vergleich zu dem Inhalt, der zur Feststellung der Rechtswidrigkeit geführt hat, im Wesentlichen unverändert geblieben ist, und die die Einzelheiten umfassen, die in der Verfügung genau bezeichnet worden sind, und sofern die Unterschiede in der Formulierung dieses sinngleichen Inhalts im Vergleich zu der Formulierung, die die zuvor für rechtswidrig erklärte Information ausmacht, nicht so geartet sind, dass sie den Hosting-Anbieter zwingen, eine autonome Beurteilung dieses Inhalts vorzunehmen;

– einem Hosting-Anbieter aufzugeben, im Rahmen des einschlägigen internationalen Rechts weltweit die von der Verfügung betroffenen Informationen zu entfernen oder den Zugang zu ihnen zu sperren.

Die Pressemitteilung des EuGH:

Das Unionsrecht verwehrt es nicht, dass einem Hosting-Anbieter wie Facebook aufgegeben wird, mit einem zuvor für rechtswidrig erklärten Kommentar wortgleiche und unter bestimmten Umständen auch sinngleiche Kommentare zu entfernen

Das Unionsrecht verwehrt es auch nicht, dass eine solche Verfügung im Rahmen des
einschlägigen internationalen Rechts, dessen Berücksichtigung Sache der Mitgliedstaaten ist,
weltweit Wirkungen erzeugt.

Frau Eva Glawischnig-Piesczek, die Abgeordnete zum Nationalrat (Österreich), Klubobfrau der „Grünen“ im Parlament und Bundessprecherin dieser politischen Partei war, verklagte Facebook Irland vor den österreichischen Gerichten. Sie beantragt, dass Facebook aufgetragen wird, einen von einem Nutzer dieses sozialen Netzwerks veröffentlichten Kommentar, der sie in ihrer Ehre beleidigt, sowie wort- und/oder sinngleiche Behauptungen zu löschen.

Der in Rede stehende Nutzer von Facebook hatte auf seiner Profilseite einen Artikel des österreichischen Online-Nachrichtenmagazins oe24.at mit dem Titel „Grüne: Mindestsicherung für Flüchtlinge soll bleiben“ geteilt, was auf dieser Seite eine „Thumbnail-Vorschau“ von der ursprünglichen Website generierte, die den Titel dieses Artikels, eine kurze Zusammenfassung davon sowie ein Foto von Frau Glawischnig-Piesczek enthielt. Der Nutzer postete außerdem einen Kommentar zu diesem Artikel, der nach den Feststellungen des vorlegenden Gerichts geeignet ist, Frau Glawischnig-Piesczek in ihrer Ehre zu beleidigen, sie zu beschimpfen und zu diffamieren. Dieser Beitrag konnte von jedem Nutzer von Facebook Service abgerufen werden. Vor diesem Hintergrund ersucht der Oberste Gerichtshof (Österreich) den Gerichtshof um
Auslegung der Richtlinie über den elektronischen Geschäftsverkehr.

Nach dieser Richtlinie ist ein Hosting-Anbieter wie Facebook nicht für eine gespeicherte Information verantwortlich, wenn er keine Kenntnis von ihrem rechtswidrigen Charakter hat oder wenn er, sobald er davon Kenntnis erlangt, unverzüglich tätig wird, um diese Information zu entfernen oder den Zugang zu ihr zu sperren. Dieser Ausschluss hindert jedoch nicht daran, dass
einem Hosting-Anbieter aufgegeben wird, eine Rechtsverletzung abzustellen oder zu verhindern, u. a. durch die Entfernung rechtswidriger Informationen oder der Sperrung des Zugangs zu ihnen.

Hingegen ist es nach der Richtlinie verboten, einen Hosting-Anbieter zu verpflichten, allgemein die von ihm gespeicherten Informationen zu überwachen, oder aktiv nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen.

Mit seinem heutigen Urteil antwortet der Gerichtshof dem Obersten Gerichtshof, dass die Richtlinie über den elektronischen Geschäftsverkehr, die ein Gleichgewicht zwischen den verschiedenen beteiligten Interessen schaffen soll, es einem Gericht eines Mitgliedstaats nicht verwehrt, einem Hosting-Anbieter aufzugeben,

▪ die von ihm gespeicherten Informationen, die den wortgleichen Inhalt haben wie Informationen, die zuvor für rechtswidrig erklärt worden sind, zu entfernen oder den Zugang zu ihnen zu sperren, unabhängig davon, wer den Auftrag für die Speicherung der Informationen gegeben hat;

▪ die von ihm gespeicherten Informationen, die einen sinngleichen Inhalt haben wie Informationen, die zuvor für rechtswidrig erklärt worden sind, zu entfernen oder den Zugang zu ihnen zu sperren, sofern die Überwachung und das Nachforschen der von einer solchen Verfügung betroffenen Informationen auf solche beschränkt sind, die eine Aussage vermitteln, deren Inhalt im Vergleich zu dem Inhalt, der zur Feststellung der Rechtswidrigkeit geführt hat, im Wesentlichen unverändert geblieben ist, und die die Einzelheiten umfassen, die in der Verfügung genau bezeichnet worden sind, und sofern die Unterschiede in der Formulierung dieses sinngleichen Inhalts im Vergleich zu der Formulierung, die die zuvor für rechtswidrig erklärte Information ausmacht, nicht so geartet sind, dass sie den Hosting-Anbieter zwingen, eine autonome Beurteilung dieses Inhalts vorzunehmen (so kann der Hosting-Anbieter auf automatisierte Techniken und Mittel zur Nachforschung zurückgreifen);

▪ im Rahmen des einschlägigen internationalen Rechts, dessen Berücksichtigung Sache der Mitgliedstaaten ist, weltweit die von der Verfügung betroffenen Informationen zu entfernen oder den Zugang zu ihnen zu sperren.


Den Volltext der Entscheidung finden Sie hier: