{"id":272637,"date":"2022-09-08T15:14:20","date_gmt":"2022-09-08T13:14:20","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=272637"},"modified":"2022-09-13T18:39:57","modified_gmt":"2022-09-13T16:39:57","slug":"us-cloud-verbotsbeschluss-der-vergabekammer-baden-wrttemberg-verworfen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/09\/08\/us-cloud-verbotsbeschluss-der-vergabekammer-baden-wrttemberg-verworfen\/","title":{"rendered":"US-Cloud-Verbotsbeschluss der Vergabekammer Baden-Württemberg verworfen"},"content":{"rendered":"

\"Paragraph\"Interessante Wendung in der Frage: D\u00fcrfen \u00f6ffentliche Auftraggeber Bieter wegen der Nutzung der US-Cloud-Dienste von Gebotsverfahren ausschlie\u00dfen?<\/em> Die Vergabekammer Baden-W\u00fcrttemberg hatte dies bejaht und einen Anbieter, der einen US-Cloud-Dienst verwenden wollte, von der Ausschreibung ausgeschlossen. Das Oberlandesgericht Karlsruhe hat diesen Ansatz aber verworfen – Deutsche Beh\u00f6rden d\u00fcrfen unter bestimmten Umst\u00e4nden weiterhin Angebote ber\u00fccksichtigen, wenn diese US-Cloud-Dienste beinhalten.<\/p>\n

<\/p>\n

US-Cloud-Verbot der Vergabekammer Baden-W\u00fcrttemberg<\/h2>\n

\"\"Es war ein Beschluss der Vergabekammer Baden-W\u00fcrttemberg, Az. 1 VK 23\/22<\/a> vom 13. Juli 2022, der hohe Wellen schlug. In einem Vergabeverfahren hatte die EU-Tochter einer US-Firma ein Angebot eingereicht, welches Leistungen eines US-Cloud-Anbieters enthielt. Die f\u00fcr die Erbringung der Leistungen notwendigen Cloud-Leistungen sollten durch Server in der EU bereitgestellt werden.<\/p>\n

Die Vergabekammer Baden-W\u00fcrttemberg hat in dem oben zitierten Beschluss (war noch nicht rechtskr\u00e4ftig), diesen Bieter von der Ausschreibung ausgeschlossen. Nach Ansicht der Vergabekammer Baden-W\u00fcrttemberg lag eine datenschutzrechtlich unzul\u00e4ssige \u00dcbermittlung von personenbezogenen Daten in ein Drittland (au\u00dferhalb der EU) auch dann vor, wenn der entsprechende Server von einer in der EU ans\u00e4ssigen Gesellschaft betrieben wird, die ihrerseits Teil eines US-Konzerns ist. Die Kammer argumentiert:<\/p>\n

Allein die M\u00f6glichkeit, dass auf personenbezogene Daten durch die nichteurop\u00e4ische Muttergesellschaft zugegriffen werden kann, f\u00fchrt zu einer sog. \"Weitergabe\" im Sinne der DSGVO, dies unabh\u00e4ngig davon, ob ein solcher Zugriff durch die US-Muttergesellschaft tats\u00e4chlich erfolgt. Diese Weitergabe ist nach Ansicht der Vergabekammer nach Wegfall des US-Privacy-Shields unzul\u00e4ssig, sie konnte in dem Verfahren insbesondere nicht durch den Abschluss von Standardvertragsklauseln (sog. SCC's) legitimiert werden.<\/p><\/blockquote>\n

Ich hatte im Blog-Beitrag Vergabekammer Baden-W\u00fcrttemberg schlie\u00dft Anbieter eines US-Cloud-Diensts von Angebot aus<\/a> \u00fcber diesen Sachverhalt berichtet. Dieser Beschluss war aber noch nicht rechtkr\u00e4ftig – eine Beschwerde war zul\u00e4ssig.<\/p>\n

Zum Sachverhalt finden sich hier<\/a> noch einiges an Details. Es ging um ein Vergabeverfahren zweier kommunaler Krankenhausgesellschaften f\u00fcr ein digitales Entlassmanagement f\u00fcr Patienten. Es wurde in der Ausschreibung vorausgesetzt, dass die Anforderungen der Datenschutzgrundverordnung und des Bundesdatenschutzgesetzes hinsichtlich der personenbezogenen Daten der zur Entlassung anstehenden Patienten erf\u00fcllt sein m\u00fcssen. Der Vergabe-Blog schreibt dazu: Eine der Anbieterinnen sicherte in ihren Angebotsunterlagen zu, das von ihr als Hosting-Dienstleisterin eingebundene luxemburgische Tochterunternehmen eines US-amerikanischen Konzerns werde den Auftrag ausschlie\u00dflich bearbeiten und die Daten w\u00fcrden ausnahmslos auf einem in Frankfurt\/Main stehenden Server einer deutschen GmbH verarbeitet. <\/em>Die Krankenhausgesellschaften wollten im Vergabeverfahren diesem Anbieter den Zuschlag (aus wirtschaftlichen Gr\u00fcnden) erteilen. Die Vergabekammer lie\u00df das aber nicht zu.<\/p><\/blockquote>\n

Das Oberlandesgericht Karlsruhe korrigiert<\/h2>\n

Das Oberlandesgericht (OLG) Karlsruhe war mit der \u00dcberpr\u00fcfung des Beschlusses der Vergabekammer Baden-W\u00fcrttemberg, Az. 1 VK 23\/22<\/a> vom 13. Juli 2022, befasst – die ausgeschlossene Bieter-Partei hatte Beschwerde vor dem OLG eingelegt. Mit der Entscheidung (Az.: 15 Verg 8\/22 vom 7. September 2022) korrigierten die Richter des OLG den vorherigen Beschluss der Vergabekammer. Tenor des Urteils (laut Beck-Community<\/a>):<\/p>\n

Anders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erf\u00fcllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europ\u00e4ische Tochterunternehmen durch seine Gesch\u00e4ftsf\u00fchrer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.<\/em><\/p><\/blockquote>\n

Interpretiert bedeutet dies, dass die Annahme der Vergabekammer, dass die theoretische M\u00f6glichkeit, dass Daten von europ\u00e4ischen Servern abflie\u00dfen, nicht f\u00fcr einen Ausschluss eines Bieters im Vergabeverfahren einer deutschen Beh\u00f6rde ausreicht. Aktuell fehlt aber noch der Volltext des Urteils, welches im \u00dcbrigen noch nicht rechtskr\u00e4ftig ist. Der Vergabeblog fasst in diesem Artikel<\/a> den Sachverhalt der Vergabe samt Vorgeschichte zusammen.<\/p>\n

Die FAZ schreibt hier<\/a>, dass das OLG Karlsruhe befanden, dass \u00f6ffentlichen Auftraggeber sich auf die bindenden Zusagen des Anbieterin verlassen, dass die Daten ausschlie\u00dflich in Deutschland verarbeitet und in kein Drittland \u00fcbermittelt werden. Grunds\u00e4tzlich sei davon auszugehen, dass ein Bieter seine vertraglichen Zusagen erf\u00fcllen werde. Erst wenn sich aufgrund konkreter Anhaltspunkte Zweifel daran erg\u00e4ben, m\u00fcsse der \u00f6ffentliche Auftraggeber erg\u00e4nzende Informationen einholen und die Erf\u00fcllbarkeit des Leistungsversprechens pr\u00fcfen.<\/p>\n

Das macht wohl Sinn<\/h3>\n

So, wie es sich aktuell darstellt, macht das Ganze wohl objektiv betrachtet auch Sinn. Wenn ich richtig erinnere, gibt es auch eine kleine, aber entscheidende Variante, zwischen Entscheidung der Vergabekammer und dem Spruch des OLG. Bei der Vergabekammer wurde \u00fcber den Ausschluss eines Angebots entschieden, bei dem der Anbieter seine US-Cloud-Dienste irgendwo in Europa hosten wollte. Wenn der Text der FAZ korrekt ist, muss der Anbieter laut OLG Karlsruhe seine US-Cloud-Dienste in Deutschland hosten und sicherstellen, dass diese in kein Drittland \u00fcbermittelt werden<\/em>.<\/p>\n

Vieles weiterhin unklar<\/h3>\n

Die FAZ-Aussage \"Oberlandesgericht Karlsruhe hegt den Datenschutz ein\" w\u00fcrde ich als Wortgeklingel einsortieren – das Urteil ist eine Pr\u00e4zisierung des betreffenden Senats. Und die FAZ-Schlussfolgerung \"Damit ist der Fall rechtskr\u00e4ftig entschieden.\" ist zumindest juristisch zweifelhaft. Ich kenne die m\u00fcndliche Begr\u00fcndung nicht – in der Regel r\u00e4umt eine Kammer aber eine Beschwerdem\u00f6glichkeit ein – speziell wie in diesem Fall d\u00fcrfte das gelten. Rechtskr\u00e4ftig w\u00fcrde das Urteil erst, wenn der Volltext ver\u00f6ffentlicht und die Frist zur Einreichung der Beschwerde abgelaufen ist – so zumindest meine laienhafte Einsch\u00e4tzung. Erg\u00e4nzung:<\/strong> Das Urteil erlangte sofort Rechtskraft – bezieht sich dann aber wohl auf diesen Einzelfall, in dem es rein um die Teilnahme an der Vergabe ging.<\/p>\n

Mal schauen, was in dieser Causa noch so passiert. Noch steckt mir zu viel im Nebel in der Geschichte (schade, dass keine Presseinformation des Gerichts abrufbar ist – deren Server streikt)\u00a0 – erst mit vorliegen des Volltexts k\u00f6nnen Juristen das Urteil werten.<\/p>\n

Erg\u00e4nzung:<\/strong> Spannend wird es auch, wenn dort jemand den EuGH befragt – ich bin auf diesen Artikel<\/a> hingewiesen worden. Dieser diskutiert einige Auslegungen des EuGH-Urteils (Schutz nat\u00fcrlicher Personen bei der Verarbeitung personenbezogener Daten \u2013 Charta der Grundrechte der Europ\u00e4ischen Union), welches nach meiner Lesart wenig \"Interpretationsspielraum\" l\u00e4sst, wenn pers\u00f6nliche Daten erhoben werden. Speziell bei Patientendaten im Entlassungsmanagement halsen die Leute sich unn\u00f6tige Datenschutzprobleme auf.<\/p>\n

Erg\u00e4nzung 2:<\/strong> Die Urteilsbegr\u00fcndung des OLG Karlsruhe liegt nun vor – erstaunlich fand ich, dass das Urteil mit der Verk\u00fcndung Rechtskraft erlangt.<\/p>\n

\n
\n
\n
\n
\n
\n

Kein Ausschluss aus Vergabeverfahren wegen Einbindung der luxemburgischen Tochtergesellschaft eines US-amerikanischen Unternehmens als Hosting-Anbieterin<\/b><\/p>\n<\/div>\n<\/header>\n<\/div>\n<\/div>\n<\/div>\n

\n
\n
\n
\n
\n
\n
\n
\n

Die Anbieterin eines digitalen Entlassmanagements f\u00fcr Patienten ist nicht allein deswegen aus einem Vergabeverfahren zweier kommunaler Krankenhausgesellschaften auszuschlie\u00dfen, weil sie die luxemburgische Tochtergesellschaft eines US-amerikanischen Unternehmens als Hosting-Dienstleisterin einbinden will. Die \u00f6ffentlichen Auftraggeber d\u00fcrfen sich vielmehr auf die bindenden Zusagen der Anbieterin verlassen, dass die Daten ausschlie\u00dflich in Deutschland verarbeitet und in kein Drittland \u00fcbermittelt werden.<\/p>\n

Mit dieser Aussage hat der Vergabesenat des Oberlandesgerichts Karlsruhe durch Beschluss vom 7. September 2022 eine entgegenstehende Entscheidung der Vergabekammer Baden-W\u00fcrttemberg vom 13. Juli 2022 aufgehoben. Der Nachpr\u00fcfungsantrag einer konkurrierenden Anbieterin wurde zur\u00fcckgewiesen.<\/p>\n

In dem Vergabeverfahren zweier kommunaler Krankenhausgesellschaften f\u00fcr ein digitales Entlassmanagement f\u00fcr Patienten war vorausgesetzt, dass die Anforderungen der Datenschutzgrundverordnung und des Bundesdatenschutzgesetzes hinsichtlich der personenbezogenen Daten der zur Entlassung anstehenden Patienten erf\u00fcllt sein m\u00fcssen. Eine der Anbieterinnen sicherte in ihren Angebotsunterlagen zu, das von ihr als Hosting-Dienstleisterin eingebundene luxemburgische Tochterunternehmen eines US-amerikanischen Konzerns werde den Auftrag ausschlie\u00dflich bearbeiten und die Daten w\u00fcrden ausnahmslos auf einem in Frankfurt\/Main stehenden Server einer deutschen GmbH verarbeitet. Die Krankenhausgesellschaften k\u00fcndigten im Vergabeverfahren an, dieser Anbieterin den Zuschlag erteilen zu wollen, weil sie ihr Angebot als das wirtschaftlichste ans\u00e4hen.<\/p>\n

Auf einen nachfolgenden Nachpr\u00fcfungsantrag einer Konkurrentin, die sich ebenfalls um den Auftrag bewirbt, entschied die Vergabekammer Baden-W\u00fcrttemberg jedoch, die ausgew\u00e4hlte Anbieterin aus dem Vergabeverfahren auszuschlie\u00dfen, da der Einsatz des luxemburgischen Tochterunternehmens gegen die Datenschutzgrundverordnung versto\u00dfe und daher die Anforderungen der Vergabeunterlagen nicht eingehalten seien. Die Nutzung von Diensten der luxemburgischen Tochtergesellschaft eines US-amerikanischen Unternehmens gehe mit einer unzul\u00e4ssigen Daten\u00fcbermittlung in ein Drittland (hier: die USA) einher. F\u00fcr diese Annahme reiche bereits das latente Risiko eines Zugriffs von staatlichen und privaten Stellen au\u00dferhalb der Europ\u00e4ischen Union aus.<\/p>\n

Der gegen diese Entscheidung erhobenen Beschwerde hat das Oberlandesgericht Karlsruhe mit Beschluss vom 7. September 2022 stattgegeben. Die Entscheidung der Vergabekammer wurde aufgehoben und der Nachpr\u00fcfungsantrag zur\u00fcckgewiesen. Nach Auffassung des Senats ist im Rahmen der Nachpr\u00fcfung einer Vergabeentscheidung grunds\u00e4tzlich davon auszugehen, dass ein Bieter seine vertraglichen Zusagen erf\u00fcllen wird. Erst wenn sich aufgrund konkreter Anhaltspunkte Zweifel daran ergeben, muss der \u00f6ffentliche Auftraggeber erg\u00e4nzende Informationen einholen und die Erf\u00fcllbarkeit des Leistungsversprechens pr\u00fcfen. Im jetzt entschiedenen Fall hatte die Anbieterin jedoch eindeutige Zusicherungen zu dem Inhalt des Vertrags zwischen ihr und der luxemburgischen Holding-Dienstleisterin gemacht. Danach d\u00fcrfen Daten ausschlie\u00dflich an diese luxemburgische Gesellschaft \u00fcbermittelt und ausnahmslos von ihr und nur in Deutschland verarbeitet werden. Die Krankenhausgesellschaften k\u00f6nnen auf dieser Grundlage berechtigt darauf vertrauen, dass die Anbieterin diese Vorgaben auch in ihrem Verh\u00e4ltnis zur Hosting-Dienstleisterin vertragsgem\u00e4\u00df umsetzen wird. Sie m\u00fcssen nicht damit rechnen, dass die luxemburgische Gesellschaft vertragswidrige und gegen europ\u00e4isches Recht versto\u00dfende Weisungen befolgen und personenbezogene Daten in die USA \u00fcbermitteln wird.<\/p>\n

W\u00f6rtlich hat der Senat ausgef\u00fchrt: \u201eAnders als die Antragstellerin meint, musste nicht allein die Tatsache, dass die A. ein Tochterunternehmen eines US-amerikanischen Konzerns ist, die Antragsgegnerinnen an der Erf\u00fcllbarkeit des Leistungsversprechens zweifeln lassen. Die Antragsgegnerinnen mussten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europ\u00e4ische Tochterunternehmen durch seine Gesch\u00e4ftsf\u00fchrer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.\"<\/p>\n

Das von den Krankenhausgesellschaften bevorzugte Angebot weicht damit nicht von den bei der Ausschreibung formulierten Anforderungen an Datenschutz und IT-Sicherheit ab. Der Senat hat daher keinen Grund daf\u00fcr gesehen, dieses Angebot aus dem Vergabeverfahren auszuschlie\u00dfen.<\/p>\n

Die Entscheidung ist rechtskr\u00e4ftig.<\/p>\n

Oberlandesgericht Karlsruhe, Beschluss vom 7.9.2022, Aktenzeichen: 15 Verg 8\/22<\/p>\n

Vorinstanz: Vergabekammer Baden-W\u00fcrttemberg, Entscheidung vom 13.7.2022, Aktenzeichen: 1 VK 23\/22<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/blockquote>\n","protected":false},"excerpt":{"rendered":"

Interessante Wendung in der Frage: D\u00fcrfen \u00f6ffentliche Auftraggeber Bieter wegen der Nutzung der US-Cloud-Dienste von Gebotsverfahren ausschlie\u00dfen? Die Vergabekammer Baden-W\u00fcrttemberg hatte dies bejaht und einen Anbieter, der einen US-Cloud-Dienst verwenden wollte, von der Ausschreibung ausgeschlossen. Das Oberlandesgericht Karlsruhe hat diesen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,7263],"tags":[1171,4023],"class_list":["post-272637","post","type-post","status-publish","format-standard","hentry","category-allgemein","category-cloud","tag-cloud","tag-recht"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/272637","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=272637"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/272637\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=272637"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=272637"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=272637"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}