Was müssen Vergabestellen und Unternehmen künftig beachten?
Verhindern Sie hohe Bußgelder, Schadensersatzansprüche oder gar den Abbruch des Vergabeverfahrens aufgrund datenschutzrechtlicher Verstöße bereits im Vorfeld.
Achten Sie als Vergabestelle auf die DSGVO-Konformität der Ausschreibungen und als Datenschutzbeauftragter des Auftragnehmers auf die Konformität der Angebote, da die Rechtsprechung der VK Baden-Württemberg und des OLG Karlsruhe wieder einmal die zunehmende Tragweite und Bedeutung des Datenschutzes im Vergabeverfahren verdeutlicht.
Datenschutz bei Ausschreibungen und in Vergabeverfahren
Die stetig steigende Relevanz des Datenschutzes im Alltag und dem deutschen Recht lässt sich bereits seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 beobachten. Seither gilt es den Schutz personenbezogener Daten europaweit zu stärken und so auf eine einheitliche Stufe zu heben. Da auch im öffentlichen Vergabeverfahren personenbezogene Daten verarbeitet werden, kann dies in Zusammenarbeit mit internationalen Unternehmen aus Drittländern aufgrund der mangelnden Gebundenheit an die DSGVO zu einem erheblichen Risiko führen.
Doch nicht immer ist die Unternehmensstruktur gerade in Zeiten der Globalisierung rein national oder international. Daher musste sich die Rechtsprechung 2022 mit dem datenschutzrechtlich äußerst interessanten Fall eines europäischen Dienstleisters als Bieter innerhalb eines Vergabeverfahrens mit einer Konzernmutter in einem Drittland beschäftigen.
Was sagt die Rechtsprechung im Jahr 2022/2023?
Konkret ging es in einem europaweit ausgeschriebenen offenen Vergabeverfahren nach § 15 VgV um eine Software im Krankenhaus- oder Pflegebereich. Der den Zuschlag bekommende Bieter machte dabei die vertragliche Zusage, dass die Speicherung der (Patienten-)Daten ausschließlich auf Servern in Deutschland und keineswegs in Drittländern erfolge. In der angebotenen Software sollten allerdings Hosting-Leistungen eines europäischen Cloud-Anbieters mit U.S.-amerikanischer Konzernmutter zum Einsatz kommen.
Die Vergabekammer Baden-Württemberg verfügte in ihrem Beschluss vom 13. 06. 2022 (Az. 1 VK 23/22) den Ausschluss dieses Gebots aus dem Verfahren. Durch die Nutzung der Hosting-Infrastruktur des Cloud-Anbieters könne bereits keine DSGVO-Konformität bestehen, da eine Zugriffsmöglichkeit etwa durch Einräumung von Zugriffsrechten bestehe.
Dadurch existiere ein latentes Risiko, dass eine unzulässige Übermittlung personenbezogener Daten in Drittländer stattfinden kann. Insoweit stellt sich natürlich die Frage, ob die auf Nachprüfung der Vergabe öffentlicher Aufträge spezialisierte Vergabekammer die ausreichend fachlich qualifizierte Kompetenz in diesem komplexen Bereich innerhalb des Datenschutzes aufweisen kann.
Das Oberlandesgericht Karlsruhe hob den Beschluss der Vergabekammer am 07. 09. 2022 (Az. 15 Verg 8/22) auf und hat damit der Beschwerde des öffentlichen Auftraggebers stattgegeben.
Danach darf der öffentliche Auftraggeber grundsätzlich davon ausgehen, dass ein Bieter seine vertraglichen Zusagen erfüllen wird. Erst wenn sich konkrete Anhaltspunkte für die Zweifelhaftigkeit ergeben, ist der öffentliche Auftraggeber gehalten die Erfüllbarkeit des Leistungsversprechens zu prüfen, nicht bereits bei Bestehen eines „latenten Risikos“.
Dies sieht auch die 2. Vergabekammer des Bundes so und hat die Ausführungen des OLG Karlsruhe mit dem Beschluss vom 13. 02. 2023 (Az. VK 2 – 114/22) bestätigt.
Eines Angemessenheitsbeschlusses gemäß den Vorgaben der Datenschutzgrundverordnung (DSGVO) für die USA bedarf es danach daher nur, wenn eine Datenverarbeitung in den USA stattfände, was vorliegend nicht der Fall ist.
Die bloße Tatsache, dass die Unterauftragnehmerin einen US-amerikanische Konzernmutter hat, führt nicht zu einem eigenmächtigen und zwangsweisen Datenzugriff seitens amerikanischer Behörden oder einer zwingen Weisung zur Datenherausgabe der Konzernmutter.
Die Gefährdungslage für die personenbezogenen Daten wird laut der 2. Vergabekammer seitens der EU allerdings völlig anders eingeschätzt. Nach der Kammer ist bereits ein neuer Angemessenheitsbeschluss in Bezug auf die Vergleichbarkeit des Datenschutzniveaus in den USA bei der EU in Vorbereitung und dessen Inkrafttreten wird in Kürze erwartet. Die Thematik der Verarbeitung personenbezogener Daten in Drittländern ist gerade durch den Wegfall des EU-US Privacy Shields durch das Schrems-II Urteil des EuGH (Az. C-311/18) im Jahre 2020 von hoher Bedeutung und Aktualität.
Insofern sollten keine pauschalen Konformitätseinschätzungen bezüglich der Datenschutzgrundverordnung angestellt werden, sondern vielmehr die konkreten Rahmenbedingungen des Dienstleisters bewertet werden. Der Einsatz von Cloud-Anbietern mit einer U.S.-Konzernmutter ist daher beispielsweise nicht von vornherein rechtswidrig. Gleichzeitig stellen die Entscheidungen des OLG Karlsruhe und der 2. Vergabekammer des Bundes keine allgemeine Einstufung von U.S.-Dienstleistern als DSGVO-konform dar.
Anwendungsgebiete des Datenschutzes im Vergabeverfahren bzw. in öffentlichen Ausschreibungen
Ob das Vergabeverfahren elektronisch oder analog durchgeführt wird, der Datenschutz spielt auch im Vergaberecht eine entscheidende Rolle. Dies gilt sowohl in der Vergabeverordnung (VgV) als auch in der Unterschwellenvergabeordnung (UVgO) insbesondere für die Eignungsprüfung und die Auftragsverarbeitung.
Innerhalb der Eignungsprüfung nach § 42 VgV erstellt der Auftraggeber ein konkretes Anforderungsprofil in den Vergabeunterlagen. Die Auftragnehmer müssen sodann Nachweise für Ihre individuelle Eignung erbringen. Hierzu zählen unter anderem bereits erbrachte und mit dem Anforderungsprofil vergleichbare Leistungen als sogenannte Referenzen. Aber auch Dokumente über die Mitarbeiter und deren Namen, berufliche- Kontaktdaten und -Qualifikationen. Eine entsprechende Rechtsgrundlage für deren Erhebung ergibt sich für die Vergabestelle aus Art. 6 der Datenschutzgrundverordnung. Für den Auftragnehmer kann sich eine Rechtsgrundlage neben den genannten Vorschriften aus dem Beschäftigungsverhältnis ergeben.
Bei einer Auftragsverarbeitung werden die personenbezogenen Daten für die jeweils verantwortliche Stelle auf deren Weisung von einem Auftragnehmer verarbeitet. Dafür muss ein sog. Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO abgeschlossen werden, wobei die formellen Anforderungen des Art. 28 Abs. 9 DSGVO zu beachten sind.
Was ist zu tun und zu empfehlen?
Durch diese aktuelle Rechtsprechung wird sehr deutlich, dass der Datenschutz sowohl für Unternehmen als auch Vergabestellen spätestens seit der Entscheidungen der VK Baden-Württemberg und des OLG Karlsruhe von größter Wichtigkeit sowie Aktualität ist und daher der Datenschutz bei Ausschreibungen und Vergaben einen immer stärkeren Stellenwert einnimmt und gerade zur Vermeidung von rechtlichen und finanziellen Nachteilen zukünftig beachtet werden muss und nicht mehr vernachlässigt werden sollte.
Denn bei einem Verstoß gegen die datenschutzrechtlichen Vorgaben kann ein Bußgeld in Höhe von bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes drohen und beispielsweise auch Schadensersatzansprüche mit sich bringen.
Prüfen Sie daher bereits im Vorfeld Ihre Ausschreibungen oder Angebote auf personenbezogene Daten.
Nehmen Sie zudem die mögliche Verarbeitung personenbezogener Daten bereits in den Beschäftigungsvertrag bzw. Arbeitsvertrag auf und stecken Sie die Reichweite der Übermittlung ab.
Die in den Entscheidungen aufgegriffenen datenschutzrechtlichen und vergaberechtlichen Punkte sollten im Rahmen des Transfer Impact Assessments aufgenommen werden und in die Bewertung der Datenübertragung einfließen. Das gilt insbesondere auch dann, wenn Sie grenzüberschreitend tätig sind oder international organisiert sind. Gerade dann sollte genau geprüft werden, ob die Vorgaben der Datenschutzgrundverordnung vertraglich nachweisbar und rechtskonform eingehalten werden.
Diese Entwicklung in der Rechtsprechung zeigt deutlich:
Datenschutz wird immer wichtiger, gerade auch im Bereich von Ausschreibungen und Vergabeverfahren.
Wenn Sie daher Unterstützung und Hilfe bei Ihren IT-Ausschreibungen bzw. IT-Vergaben benötigen, entweder als Vergabestelle oder als Bieter, stehen wir Ihnen mit Rat und Tat zur Seite.
In allen datenschutzrechtlichen sowie vergaberechtlichen Fragestellungen unterstützen wir die öffentliche Hand, Behörden, Vergabestellen, Vergabeabteilungen, aber auch Unternehmen und deren Datenschutzbeauftragte.
Dazu können wir auch allgemeine und spezifische datenschutz- und vergaberechtliche Webinare oder In-house-Schulungen anbieten.
Wir können Sie unterstützen und im Tagesgeschäft oder bei Spezialfragen entlasten, indem wir das gesamte Vergabeverfahren betreuen können und Sie im Rahmen der öffentlichen IT Ausschreibung und im gesamten IT-Vergabeprozess begleiten.