Nach Ansicht der Vergabekammer Baden-Württemberg (VK BaWü) ist das Angebot eines Bieters aus dem Vergabeverfahren auszuschließen, wenn dieser keine datenschutzkonforme Leistungserbringung anbietet (Vergabekammer Baden-Württemberg, Beschluss v. 13.07.2022 - 1 VK 23/22 -).
In dem Vergabeverfahren, das der Entscheidung der VK BaWü zugrunde lag, ging es um die Beschaffung einer Software (einschließlich von Server- und Hostingleistungen). In den Vergabeunterlagen (genauer im Lastenheft) legte der Auftraggeber als Anforderungen u. a. fest: „Erfüllung der Anforderungen aus der DS-GVO und dem BDSG“ und „Daten werden ausschließlich in einem EU-EWR Rechenzentrum verarbeitet bei dem kein Subdienstleister/Konzernunternehmen in Drittstaaten ansässig sind“.
Dadurch, dass das Angebot des Bieters von den Vorgaben, das anwendbare Datenschutzrecht einzuhalten, abweiche, habe der Bieter nach Auffassung der VK BaWü i. S. v. § 57 Abs. 1 Nr. 4 VgV Änderungen an den Vergabeunterlagen vorgenommen, was zum Ausschluss führe. Der zum Ausschluss führende Datenschutzverstoß liegt nach Auffassung der VK BaWü darin, dass der auszuschließende Bieter als Unterauftragnehmer für die Erbringung von Server- und Hostingleistungen einen Dienstleister einschalten wollte, bei dem es sich um eine Tochtergesellschaft einer in den USA ansässigen Gesellschaft handelt. Bereits in der Einschaltung dieses Dienstleisters liege eine Übermittlung personenbezogener Daten in ein Drittland i. S. d. Art. 44 ff. DS-GVO; ausreichend für eine Übermittlung sei bereits die Einräumung einer Zugriffsmöglichkeit aus dem Drittland, auf einen tatsächlichen Zugriff komme es nicht an. Diese Übermittlung sei unzulässig, da keiner der Erlaubnistatbestände der Art. 44 ff. DS-GVO vorliege. Insbesondere genügten die vertraglichen Vereinbarungen zwischen dem Bieter und dem Dienstleister nicht den Anforderungen des Art. 46 DS-GVO, da diese die Möglichkeit für staatliche und private Stellen außerhalb der EU (insb. aus den USA) eröffneten, auf die bei dem Dienstleister gespeicherten Daten zuzugreifen.
Die Übermittlung personenbezogener Daten in die USA oder sonstige Drittländer stellt ein erhebliches datenschutzrechtliches Risiko dar. Bei einer unzulässigen Übermittlung drohen nicht nur behördliche Bußgelder und Schadensersatzforderungen seitens der Betroffenen, sondern – wie die Entscheidung der VK Baden-Württemberg zeigt – auch erhebliche Konsequenzen bei vergaberechtlichen Nachprüfungsverfahren (bspw. der Ausschluss als Bieter bzw. die Verpflichtung als Auftraggeber zum Wiedereintritt in die Wertung ohne Berücksichtigung des ausgeschlossenen Angebots).
Bei Rückfragen: RA Patrick Steinhausen, LL.M. (steinhausen@heimes-mueller.de)