16.09.2022

Der Ausschluss aus einem Vergabeverfahren wegen Einbindung der luxemburgischen Tochtergesellschaft eines US-amerikanischen Unternehmens als Hosting-Anbieterin ist nicht zulässig, entschied das OLG Karlsruhe.

Beitrag mit Bild

©marog-pixcells/fotolia.com

Die Anbieterin eines digitalen Entlassmanagements für Patienten ist nicht allein deswegen aus einem Vergabeverfahren zweier kommunaler Krankenhausgesellschaften auszuschließen, weil sie die luxemburgische Tochtergesellschaft eines US-amerikanischen Unternehmens als Hosting-Dienstleisterin einbinden will. Die öffentlichen Auftraggeber dürfen sich vielmehr auf die bindenden Zusagen der Anbieterin verlassen, dass die Daten ausschließlich in Deutschland verarbeitet und in kein Drittland übermittelt werden.

Mit dieser Aussage hat der Vergabesenat des Oberlandesgerichts Karlsruhe durch Beschluss vom 07.09.2022 (15 Verg 8/22) eine entgegenstehende Entscheidung der Vergabekammer Baden-Württemberg aufgehoben. Der Nachprüfungsantrag einer konkurrierenden Anbieterin wurde zurückgewiesen.

Datenschutz als Grundvoraussetzung im Vergabeverfahren

In dem Vergabeverfahren zweier kommunaler Krankenhausgesellschaften für ein digitales Entlassmanagement war vorausgesetzt, dass die Anforderungen der DSGVO und des BDSG hinsichtlich der personenbezogenen Daten der Patienten erfüllt sein müssen. Eine der Anbieterinnen sicherte in ihren Angebotsunterlagen zu, dass nur das von ihr als Hosting-Dienstleisterin eingebundene luxemburgische Tochterunternehmen eines US-amerikanischen Konzerns den Auftrag bearbeitet. Die Daten würden ausnahmslos auf einem in Frankfurt/Main stehenden Server einer deutschen GmbH verarbeitet. Die Krankenhausgesellschaften kündigten im Vergabeverfahren an, dieser Anbieterin den Zuschlag erteilen zu wollen, weil sie ihr Angebot als das wirtschaftlichste ansähen.

Auf einen Nachprüfungsantrag einer Konkurrentin entschied die Vergabekammer Baden-Württemberg, die ausgewählte Anbieterin aus dem Vergabeverfahren auszuschließen, da der Einsatz des luxemburgischen Tochterunternehmens gegen die DSGVO verstoße. Die Nutzung von Diensten der luxemburgischen Tochtergesellschaft gehe mit einer unzulässigen Datenübermittlung in ein Drittland (hier: die USA) einher. Für diese Annahme reiche bereits das latente Risiko eines Zugriffs von staatlichen und privaten Stellen außerhalb der EU aus.

Vertrauen gegenüber den Bietern

Das OLG Karlsruhe hob sodann die Entscheidung der Vergabekammer auf. Im Rahmen der Nachprüfung einer Vergabeentscheidung ist grundsätzlich davon auszugehen, dass ein Bieter seine vertraglichen Zusagen erfüllen wird. Erst wenn sich aufgrund konkreter Anhaltspunkte Zweifel daran ergeben, muss der öffentliche Auftraggeber ergänzende Informationen einholen. Im vorliegenden Fall hatte die Anbieterin jedoch eindeutige datenschutzrechtliche Zusicherungen gemacht. Die Krankenhausgesellschaften können auf dieser Grundlage berechtigt darauf vertrauen, dass die Anbieterin diese Vorgaben auch in ihrem Verhältnis zur Hosting-Dienstleisterin vertragsgemäß umsetzen wird. Sie müssen nicht damit rechnen, dass die luxemburgische Gesellschaft vertragswidrige und gegen EU-Recht verstoßende Weisungen befolgen und personenbezogene Daten in die USA übermitteln wird.

Die Entscheidung ist rechtskräftig.


OLG Karlsruhe vom 07.09.2022 / Viola C. Didier, RES JURA Redaktionsbüro

Weitere Meldungen


Meldung

©valerybrozhinsky/fotolia.com

09.12.2024

Ziel der Verordnung über den Zugang zu Finanzdaten ist es, die Einführung datengesteuerter Geschäftsmodelle im Finanzsektor zu fördern.

weiterlesen
Kapitalmarktunion: Besserer Zugang zu Finanzdaten von Verbrauchern

Meldung

©photo 5000/fotolia.com

06.12.2024

Nach Angaben der Unternehmen entsteht der steigende Zeitaufwand vor allem durch ausufernde Berichts- und Informations-, Dokumentations- und Meldepflichten.

weiterlesen
22 % der Arbeitszeit für Bürokratie nötig

Meldung

©marog-pixcells/fotolia.com

03.12.2024

Das OLG Schleswig-Holstein erklärte undifferenzierte Schufa-Meldungen für widerrufspflichtig, wenn der Datenschutz des Schuldners überwiegt.

weiterlesen
SCHUFA-Meldung rückständiger Forderungen kann gegen DSGVO verstoßen

Meldung

©number1411/fotolia.com

02.12.2024

Die D&O-Versicherung des ehemaligen Wirecard-Buchhalters muss wegen aufgebrauchter Deckungssumme nicht mehr zahlen, so das OLG Frankfurt/M.

weiterlesen
Wirecard: D&O-Versicherungssumme für Ex-Chefbuchhalter aufgebraucht

Haben wir Ihr Interesse für WIRTSCHAFT und WETTBEWERB geweckt?

Sichern Sie sich das WuW Gratis Paket: 2 Hefte + Datenbank