Entscheidung des OLG Karlsruhe zu IT-Vergaben bezüglich Cloud-Diensten


Datenschutz |

Am 07.09.2022 hat der Vergabesenat des OLG Karlsruhe unter dem Az.: 15 Verg 8/22 entschieden, dass deutsche Behörden bei öffentlichen Aufträgen weiterhin auf Tochtergesellschaften von US-amerikanischen Cloud-Dienstleistern zurückgreifen dürfen, wenn diese zusichern, dass die Daten in Deutschland verarbeitet werden. Dies hebt die Entscheidung der Vergabekammer Baden-Württemberg vom 13.07.2022 auf, die unter Datenschützern für große Irritationen gesorgt hatte (wir bloggten hierüber unter www.rdp-law.de/blog/beitrag-ds-unzulaessigkeit-von-cloud-und-it-dienstleistungen-durch-us-tochterunternehmen.html).

Leider hat das OLG Karlsruhe in seinem Beschluss darauf verzichtet, zu den datenschutzrechtlichen Fragen, die die Entscheidung der VK aufgeworfen hat, grundsätzlich Stellung zu nehmen.
Vielmehr nahm das Gericht lediglich auf das Vergabeverfahren Bezug und entschied, dass sich öffentliche Auftraggeber auf die bindenden Zusagen eines Anbieters verlassen dürfen, dass die Daten ausschließlich in Deutschland verarbeitet werden und in kein Drittland übermittelt werden. Vergaberechtlich ist davon auszugehen, dass ein Bieter seine vertraglichen Zusagen erfüllen wird. Nur bei konkreten Zweifeln muss ein Auftraggeber weitere Informationen einholen und die Erfüllbarkeit des Angebots prüfen. Das – alleinige - Risiko eines Zugriffs von US-amerikanischen Behörden reicht hierfür – zumindest laut dem OLG Karlsruhe – nicht aus, schon eine unzulässige Datenübermittlung anzunehmen, wenn der Bieter wie im vorliegenden Fall gerade eindeutige Zusicherungen dahingehend macht, dass die Daten in Europa verarbeitet werden.