Alle News & Events anzeigen

21.08.2023

Eine deutsche Tochter einer US-Muttergesellschaft kann datenschutzrechtlichen Verpflichtungen nachkommen!

Mit Beschluss vom 13.02.2023 (Az: VK 2-114/22) hat sich die VK Bund mit der Frage beschäftigt, ob eine in Deutschland ansässige Tochter einer US-Muttergesellschaft aufgrund der datenschutzrechtlichen Vorgaben der Vergabeunterlagen aus dem Vergabeverfahren auszuschließen ist.

Sachverhalt:

Hintergrund der Entscheidung war ein Vergabeverfahren mehrerer gesetzlicher Krankenkassen, das auf den Abschluss einer Rahmenvereinbarung für technische Anwendungen in Bezug auf die elektronische Patientenakte gerichtet war. Los 1 umfasste dabei die Entwicklung und Überlassung von ePA-Anwendung im Frontend und Backend. Leistungsgegenstand von Los 2 war der Betrieb der Anwendungen und die Erfüllung von delegierten Aufgaben. Die Vergabeunterlagen enthielten diverse Vorgaben in Bezug auf das Datenschutzrecht. Demnach mussten sämtliche Leistungen, die einen Zugriff auf Sozialdaten oder personenbezogene Daten ermöglichen, innerhalb der EU, des EWR oder eines Drittstaats mit angemessenem Datenschutzniveau durchgeführt werden. Zudem hatten die Auftraggeber festgelegt, dass keine Daten an Dritte weitergegeben oder diesen Zugriff gewährt werden darf. Eine Ausnahme bestand nur insoweit, als eine entsprechende Weisung oder Zustimmung seitens der Auftraggeber vorliegt.

Die Zuschlagsdestinatärin hatte in dem Angebot eine in Deutschland ansässige Tochter einer US-Muttergesellschaft als Hosting Dienstleisterin als Nachunternehmerin benannt. Die Nachunternehmerin sicherte insoweit zu, dass alle Daten auf im Inland befindlichen Servern verarbeitet werden. Auch würde die Nachunternehmerin etwaigen Weisungen der Muttergesellschaft in Bezug auf die Herausgabe von Daten nicht nachkommen. Dem Angebot der Beigeladenen zufolge sollte die gesamte Leistung im Inland erbracht werden.

Die Antragstellerin monierte daraufhin, dass das Angebot der Beigeladenen nicht den datenschutzrechtlichen Vorgaben aus den Vergabeunterlagen entsprechen würde und somit auszuschließen sei.

Nach einer umfassenden Rüge stellte die Antragstellerin – die mit ihrem Angebot auf dem 3. Platz rangierte – einen Nachprüfungsantrag bei der zuständigen VK Bund.

Entscheidungsgründe:

Die VK Bund wies den Nachprüfungsantrag als zulässig, aber unbegründet ab.

Nach Ansicht der VK war das Angebot der Zuschlagsdestinatärin aufgrund der behaupteten Datenschutzverstöße nicht auszuschließen gewesen. Maßgeblich sei, dass die Auftragsdatenverarbeitung lediglich in Deutschland erfolge. Insofern habe das Angebot den Anforderungen aus § 80 Abs. 2 1. Alt SGB X (Verarbeitung der Daten im Inland) entsprochen. Da die Datenverarbeitung (vgl. § 80 Abs. 2 Alt. 4 SGB X) nicht im Ausland erfolge, bedürfte es auch keines Angemessenheitsbeschlusses.

Die VK Bund betonte in diesem Zusammenhang, dass Auftraggeber grds. auf die Angaben der Bieter in den jeweiligen Angeboten vertrauen dürften. Dies sei nur dann nicht der Fall, wenn ein spezifischer Anlass bestünde, dass ein Bieter (bzw. seine Nachunternehmer) die Zusagen aus dem Angebot nicht einhalten kann.

Ein Ausschluss wegen des Abweichens von den Vergabeunterlagen gem. § 57 Abs. 1 Nr. 4 VgV schied nach Auffassung der VK  aus.

Die Vergabeunterlagen enthielten an mehreren Stellen Vorgaben in Bezug auf die Einhaltung von datenschutzrechtlichen Vorschriften bei der Auftragsausführung. Die entsprechenden Erklärungen, wonach sich auch die Nachunternehmerin zur Einhaltung dieser Vorgaben verpflichtete, lagen dem Angebot bei. Insofern sicherte der Bieter eine vollständige Leistungserbringung im Inland zu. Noch kein Verstoß gegen die Vergabeunterlagen läge darin, wenn nur ein möglicherweise latentes Zugriffsrisiko bestünde, womit die Tatbestandsvoraussetzungen gem. § 80 Abs. 2 SGB X und Art. 44 DSGVO erfüllt wären. Die Grundrechtsrelevanz der gespeicherten Daten führte nicht dazu, dass der Anwendungsbereich von § 80 Abs. 2 SGB X und Art. 44 DSGVO auszuweiten sei. Ein Angemessenheitsbeschluss sei demnach grds. nur bei der Datenverarbeitung in einem Drittland erforderlich.

Ferner legte die VK zugrunde, dass ein zwangsweiser Zugriff von US-Behörden – mangels entsprechender Staatsgewalt – nicht möglich sei. Hintergrund ist, dass die Unterauftragnehmerin als juristische Person nach deutschem Recht nicht US-amerikanischem Recht unterworfen sei. Zudem verfügten US-amerikanische Behörden nicht über Staatsgewalt in Deutschland. Die Tatsache, dass die Nachunternehmerin Tochter eines US-Konzerns sei, führte somit nicht per se zu einem höheren Zugriffsrisiko der US-Behörden. Um das Zugriffsrisiko – insbesondere durch US-Geheimdienste – auszuschließen, müsste eine Auftragsdatenverarbeitung von Sozialdaten gänzlich unterbleiben. Auch könne die Nachunternehmerin nicht von der Muttergesellschaft gezwungen werden, Daten herauszugeben. Dies würde vielmehr einen Verstoß gegen § 80 Abs. 2 SGB X sowie gegen den Vertrag darstellen. Vor diesem Hintergrund sei insbesondere eine Weisung der Muttergesellschaft gem. § 37 Abs. 1 GmbHG zur Datenherausgabe unbeachtlich.

Schließlich weist die VK Bund in dem Beschluss auf die die theoretische Möglichkeit hin, dass US-Behörden aufgrund des US-Cloud Acts die Herausgabe von Daten verlangen können. Demnach könnte die US-Muttergesellschaft theoretisch eine Weisung an die Geschäftsführung der deutschen Unterauftragnehmerin zur Datenherausgabe erteilen. Vorliegend habe sich die Nachunternehmerin mit der Abgabe der geforderten Erklärungen indes verbindlich dazu verpflichtet, entsprechenden Weisungen nicht nachzukommen. Insofern sei eine Weisung der Muttergesellschaft aufgrund des fehlenden Angemessenheitsbeschlusses rechtswidrig und somit unbeachtlich.

Zugleich macht die VK Bund deutlich, dass es stets ein generelles Restrisiko gebe, demgemäß ein Aufragnehmer seine Verpflichtungen nicht einhält. Der pauschale Ausschluss aller Unternehmen mit US-amerikanischen Muttergesellschaften wäre nach Ansicht der VK Bund gleichwohl ein schwerwiegender und diskriminierender Eingriff in deren Rechte. Die Unternehmen trügen keine Verantwortung für die Rechtslage in den USA und hätten zudem keinerlei Einfluss darauf.

Zuletzt könne die Beigeladene auch nicht nach § 128 Abs. 1 GWB ausgeschlossen werden, solange diese (incl. der Nachunternehmen) die geltenden rechtlichen Bestimmungen einhalte und zudem bereits vor Zuschlagserteilung die Zusicherung über die Einhaltung der datenschutzrechtlichen Vorgaben abgegeben habe.

Fazit:

Mit der Entscheidung knüpft die VK Bund an die Entscheidung des OLG Karlsruhe aus dem vergangenen Jahr an. Das OLG Karlsruhe hat in der Entscheidung klargestellt, dass ein latentes Risiko eines Datenzugriffs aus den USA für einen Angebotsausschluss nicht ausreichend sei. Auftraggeber müssen sich u.a. auf verbindliche Erklärungen von Tochterunternehmen US-amerikanischer Firmen innerhalb des Vergabeverfahrens verlassen können. Sollte das Unternehmen die datenschutzrechtlichen Vorgaben während der Leistungsausführung nicht einhalten, stünden dem Auftraggeber vertragliche Sanktionen bis hin zur Kündigung zur Verfügung. Die Klarstellung der VK Bund ist zu begrüßen. Andernfalls könnten sich diverse geeignete Unternehmen mit Konzernverbindungen in die USA nicht mehr an Ausschreibungen im IT-Bereich beteiligen bzw. sähen sich ständig dem Risiko eines Ausschlusses wegen Nichteinhaltung der datenschutzrechtlichen Vorgaben ausgesetzt.

Erfahren Sie schon heute, worüber die Rechtswelt morgen redet.

Autor/innen

Karin Deichmann

Dr. Karin Deichmann

Senior Associate

Profil anzeigen
René M. Kieselmann

René M. Kieselmann

Partner

Profil anzeigen
Mathias Pajunk

Dr. Mathias Pajunk

Counsel

Profil anzeigen

Das könnte Sie auch interessieren

News

3

25.04.2024, Marius Drabiniok

AI Unplugged: Datenschutz und KI – Hype oder echter Beratungsbedarf?

24.04.2024, Dr. Nepomuk Nothelfer

Transfervereinbarungen im Esport

18.04.2024, Fabian Bauer, Marius Drabiniok

"KI-Flash": Der risikobasierte Ansatz des AI Act

alle anzeigen