Risiken beim Datenschutz lassen Zuschlag kippen

Bonn . Wenn ein Bieter in seinem Angebot angibt, er könne alle in der Leistungsbeschreibung geforderten Datenschutzvorgaben einhalten, dann braucht ein Auftraggeber ein solches Versprechen nicht von vornherein in Frage zu stellen. Bestehen aber Zweifel an den Angaben, dann ist der Auftraggeber dazu verpflichtet, diese auszuräumen. Das hat die Vergabekammer in Bonn entschieden, die damit ein Urteil des Oberlandesgerichts Karlsruhe aus dem Jahr 2022 im Kern bestätigt.

Unterlegener Bieter bezweifelt Datensicherheit des Gewinners

Im vorliegenden Fall ging es um die Frage, ob ein deutsches Unternehmen, das zu einem britisch-amerikanischen Konzern gehört, aufgrund seiner engen konzerninternen Verflechtungen überhaupt in der Lage ist, Daten nicht über Server zu schicken, die entweder in Großbritannien oder den Vereinigten Staaten verortet sind (Aktenzeichen VK 2-34/23).

Zunächst rügte ein unterlegenes Unternehmen den Zuschlag, weil der Auftraggeber ein „Abwandern“ von Daten auf Server außerhalb der Europäischen Union in der Leistungsbeschreibung ausgeschlossen hatte. Das siegreiche Unternehmen könne dies nicht garantieren, hieß es in dem Nachprüfungsantrag des Zweitplatzierten.

Der unterlegene Bieter bezog sich auf die Internetseite der Tochtergesellschaft des ausländischen Konzerns, die mindestens Zweifel nährte, ob der Datenschutz wirklich so eingehalten werden konnte, wie gefordert.

Weil die Rüge des unterlegenen Bieters aber erfolglos blieb, kam es zum Nachprüfungsantrag. Die Vergabekammer konnte die Zweifel an der Rechtmäßigkeit des Zuschlags nachvollziehen und entschied, dass das Verfahren in den Stand der Ausschreibung zurückgesetzt werden müsse.

Der Auftraggeber hätte die Zweifel aufklären müssen, und zwar durch entsprechende Nachfragen beim Bieter, argumentierte die Vergabekammer. Dies war aber nicht in ausreichendem Maß geschehen, befand sie. Am Ende war unklar geblieben, ob und wie die Datenschutzvorgaben eingehalten werden. Zumal auch die deutsche Tochter vor der Vergabekammer als Beigeladene nicht in der Lage war, die Fragen vollständig aufzuklären. Das legt den Verdacht nahe, dass gravierende Mängel in Bezug auf Datenschutzfragen bestehen.

Gleichzeitig hob die Vergabekammer hervor, dass einem Bieter zunächst zu vertrauen ist, wenn er von sich behauptet, er könne ein Leistungsversprechen mit Blick auf datenschutzrechtliche Fragen einhalten. Das gelte auch für ein Unternehmen mit Konzernverbindungen in Länder außerhalb der Europäischen Union. Denn: das siegreiche Unternehmen sei eine Gesellschaft mit beschränkter Haftung nach deutschem Recht. Es unterliege der deutschen Rechtsordnung. Deshalb habe es die Datenschutzgrundverordnung einzuhalten. Das bedingt, dass nicht von vornherein davon ausgegangen werden könne, dass Daten nach Großbritannien oder die USA abfließen.

Konzerninterne Vorgaben erlauben Übermittlung von Daten in die USA

Die Geschäftsführung des siegreichen Unternehmens könne von Seiten des Konzerns auch nicht angewiesen werden, Daten an die Konzernmutter weiterzugeben. Dem müsste sich entsprechend den gesetzlichen Vorgaben ein deutscher Geschäftsführer widersetzen.

Dies alles spielte aber für die Entscheidung eine untergeordnete Rolle. Denn das erstplatzierte Unternehmen hatte auf der einen Seite zwar im Angebot ein Versprechen abgegeben, dass alle Daten des Auftraggebers innerhalb der EU verbleiben. Auf dessen Internetseite aber war nachzulesen, dass die internen Datenschutzvorschriften des Konzerns (sogenannte „Binding Corporate Rules“), eine konzerninterne Übermittlung von Daten durchaus vorsehen. Dieser offensichtliche Widerspruch ließ sich nicht auflösen.

Erschwerend kamen zwei weitere Faktoren hinzu: zum einen hat der Datenschutzbeauftragte des Gesamtkonzerns seinen Sitz in den Vereinigten Staaten. Zum anderen konnte das Unternehmen sicherheitstechnische Zweifel nicht widerlegen, da zur Vertragsausführung ein konzerneigenes Preisvergleichstool eingesetzt werden sollte, dass auf einem amerikanischen Server läuft. All das zusammengenommen ließ die Vergabekammer zum Ergebnis kommen, dass völlig unklar sei, wie die datenschutzrechtlichen Vorgaben durch den siegreichen Bieter eingehalten werden sollen. Der öffentliche Auftraggeber muss also neu ausschreiben.