Kein Vergabeverfahrensausschluss bei Datenverarbeitungsangebot eines deutschen US-Tochterunternehmens

Die Antragsgegnerin veröffentlichte über ihre Vergabestelle eine Auftragsbekanntmachung zwecks Durchführung eines Vergabeverfahrens. Die Beigeladene wollte eine deutsche Tochtergesellschaft eines US-amerikanischen Unternehmens als Auftragsverarbeiter in dem Vergabeverfahren mit einbinden. Dabei hatten die Beigeladene und der Auftragsverarbeiter vertraglich zugesichert, die Daten ausschließlich in Deutschland zu verarbeiten.

Außerdem gab der Auftragsverarbeiter eine verbindliche Zusage, Weisungen der Muttergesellschaft auf Herausgabe von Daten nicht zu befolgen. Die Antragstellerin bemängelte hingegen Verstöße gegen die datenschutzrechtlichen Anforderungen der Antragsgegnerin. Sie war der Ansicht, es bestehe eine nicht datenschutzrechtskonforme Übermittlung personenbezogener Daten in die USA. 

Die Entscheidung

Die Vergabekammer hat einen vergaberechtlichen Verstoß aus datenschutzrechtlichen Gründen abgelehnt, denn es fehle an einem Ausschlussgrund in Bezug auf die Beigeladene.

Die Auftragsverarbeitung erfolge vollständig in Deutschland, sodass es auf das Vorliegen eines Angemessenheitsbeschlusses für die USA nicht ankomme. Die Antragsgegnerin könne auf das Leistungsversprechen der Beigeladenen vertrauen, da es keinen Anlass gebe, dass der Auftragsgeber seine Zusage nicht einhalte. Ferner sei ein Datenzugriff amerikanischer Behörden auf von einem Unternehmen in Deutschland gespeicherte Daten mangels US-amerikanischer Staatsgewalt in Deutschland nicht durchsetzbar. Es könne nicht bereits allein aus dem Umstand, dass der Auftragsverarbeiter einer US-amerikanischen Muttergesellschaft angehöre, ein erhöhtes Zugriffsrisiko der amerikanischen Behörden angenommen werden. Zudem könne der Auftraggeber nicht gezwungen werden, Daten an die in den USA ansässige Muttergesellschaft herauszugeben, denn die Übermittlung sei mangels Angemessenheitsbeschluss rechtswidrig.

Daher sei die Weisung der Muttergesellschaft auch für die Beigeladene unbeachtlich. Ein generelles Restrisiko, wonach ein Auftragnehmer seine Verpflichtungen nicht einhält, bestehe stets. Wollte man aber aufgrund der Rechtslage in den USA die Konsequenz ziehen, dass abgegebene Datenschutzzusicherungen wie nicht abgegebene Erklärungen anzusehen sind, so würde der Auftragsverarbeiter im Ergebnis haftbar gemacht für eine Rechtslage im Ausland. Durch den US-Cloud-Act werde der Auftraggeber zwar besonders belastet, jedoch resultiere daraus nicht die Ungültigkeit der Datenschutzerklärungen und -sicherungen. Letztlich stelle der pauschale Ausschluss vom Wettbewerb einen gravierenden und diskriminierenden Eingriff in die Rechte der Unternehmen dar.

Unser Praxishinweis

Die Entscheidung ist zu begrüßen. Sie schafft eine gewisse Sicherheit für Unternehmen, die als Auftragsverarbeiter einer US-amerikanischen Muttergesellschaft angehören. Sie spiegelt insofern die bestehende Realität einer vernetzten Welt wider. 

Gleichwohl ändert dies nichts an den grundsätzlichen Problemstellungen und Anforderungen an eine Datenübermittlung, insbesondere in die USA.