Der öffentliche Auftraggeber darf auf ein datenschutzkonformes Leistungsversprechen vertrauen, auch wenn Daten durch eine Tochtergesellschaft US-amerikanischer Unternehmen wie Microsoft, Amazon oder Google verarbeitet werden (OLG Karlsruhe, 07.09.2022, 15 Verg 8/22).
Eindeutige vertragliche Zusicherung
Erst wenn sich aufgrund konkreter Anhaltspunkte Zweifel daran ergeben, muss der Auftraggeber ergänzende Informationen einholen und die Erfüllbarkeit des Leistungsversprechens prüfen. Dies ist nicht der Fall, wenn der Vertrag eindeutige Zusicherungen enthält.
DSGVO-konforme Datenverarbeitung
Betroffen war die Vergabe eines digitalen Entlassmanagements für Patienten zweier kommunaler Krankenhäuser. Die für den Zuschlag vorgesehene Bieterin sicherte zu, die europäische Amazon-Tochter AWS werde den Auftrag allein und ausnahmslos auf einem in Deutschland stehenden Server einer deutschen GmbH verarbeiten.
Kein Anhaltspunkt für Ausschluss
Die obsiegende Bieterin war laut OLG nicht von dem Verfahren auszuschließen. Für die Annahme, der Einsatz der Tochtergesellschaft ginge mit einer unzulässigen Datenübertragung in die USA einher, reiche das latente Risiko eines Zugriffs von staatlichen und privaten Stellen außerhalb der EU nicht aus.
Download Volltext:
Die Autorin des Gastbeitrags ist Daniela Ariane Kreuels von der Kanzlei Heuking Kühn Lüer Wojtek.
Besuchen Sie zum Thema Vergaberecht auch unsere Praxisseminare. Themen und Termine finden Sie hier.