Hintergrund der Entscheidung war die europaweite Ausschreibung zweier kommunaler Krankenhausgesellschaften zur Beschaffung einer Software für ein digitales Entlassmanagement für Patienten. Insbesondere aufgrund der Sensibilität der für die Software erforderlichen personenbezogenen Daten war beim Verfahren vorausgesetzt, dass die Anforderungen der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) erfüllt sein müssen. Es bewarben sich mehrere Unternehmen auf die Ausschreibung. Ein Unternehmen, welches als Hosting-Dienstleisterin eine luxemburgische Tochtergesellschaft eines US-amerikanischen Unternehmens einbinden wollte, erhielt den Zuschlag in diesem Vergabeverfahren. Dabei versicherte es in seinem Angebot, dass die personenbezogenen Daten ausschließlich auf einem in Frankfurt am Main befindlichen Server einer deutschen GmbH verarbeitet würden. In einem nachfolgenden Nachprüfungsantrag rügte eine Konkurrentin bei der VK, dass das ausgewählte Unternehmen vom Verfahren hätte ausgeschlossen werden müssen, weil es personenbezogene Daten auf Servern verarbeite, auf die die USA als Drittsaat Zugriff hätten. Die VK entschied daraufhin, das Unternehmen aus dem Vergabeverfahren auszuschließen, da es für einen Verstoß gegen §§ 44 ff. DSGVO ausreiche, wenn das latente Risiko eines Zugriffs von staatlichen und privaten Stellen außerhalb der Europäischen Union bestehe.
Gegen diese Entscheidung legte das zuvor beigeladene Unternehmen, welches den Zuschlag erhalten hatte, Beschwerde beim OLG ein und begehrte die Aufhebung der Entscheidung. Das OLG gab der Beschwerde statt und hob die Entscheidung der VK unter Zurückweisung des Nachprüfungsantrags auf. Es seien keine Anhaltpunkte gegeben, nach denen anzunehmen wäre, dass ein Drittstaat Zugriff auf die sensiblen Daten erlangen könnte. Grundsätzlich könne ein öffentlicher Auftraggeber davon ausgehen, dass die Angaben eines Bieters im Vergabeverfahren korrekt seien und er seine vertraglichen Zusagen erfüllen wird. Erst wenn sich aufgrund konkreter Anhaltspunkte Zweifel daran ergäben, müsse der öffentliche Auftraggeber ergänzende Informationen einholen und die Erfüllbarkeit des Leistungsversprechens prüfen. Im vorliegenden Fall hat das Unternehmen jedoch unzweifelhaft Zusicherungen zu dem Vertragsinhalt zwischen ihm und dem luxemburgischen Tochterunternehmen gemacht. So wurde vereinbart, dass die personenbezogenen Gesundheitsdaten ausschließlich nach Luxemburg übermittelt und auch zu ihrer Verarbeitung die EU nicht verlassen, sondern nur in Deutschland verarbeitet würden. Auf dieser Grundlage konnten die zwei kommunalen Krankenhausgesellschaften darauf vertrauen, dass das Unternehmen diese Vorgaben auch in ihrem Verhältnis zur luxemburgischen Tochtergesellschaft vertragsgemäß umsetzen werde. Sie mussten auch im Hinblick auf eine mögliche Konzernbindung nicht davon ausgehen, dass personenbezogene Daten in die USA übermittelt werden. Damit erfüllte das Angebot des ausgewählten Unternehmens alle Anforderungen an die DSGVO und BDSG und war nicht vom Verfahren auszuschließen.
Hinweis: Für öffentliche Auftraggeber bedeutet dieser Beschluss, dass sie bei Projekten, bei denen personenbezogene Daten verarbeitet werden und Drittstaaten auf Bieterseite involviert sein könnten, bezüglich der Einhaltung der DSGVO und des BDSG zwar besonders gründlich die vertraglichen Vereinbarungen überprüfen müssen, sie aber grundsätzlich auf die Angaben des Bieters vertrauen können und nur bei konkreten Anhaltspunkten einen Ausschluss vom Verfahren in Betracht ziehen müssen.
