Vergabe 1292
OLG Karlsruhe zu US-Clouds und Angebotsprüfung
Der öffentliche Auftraggeber darf auf ein datenschutz-konformes Leistungsversprechen vertrauen, auch wenn Daten durch eine Tochtergesellschaft US-amerikanischer Unternehmen wie Microsoft, Amazon oder Google verarbeitet werden (OLG Karlsruhe, 07.09.2022, 15 Verg 8/22).
Eindeutige vertragliche Zusicherung
Erst wenn sich aufgrund konkreter Anhaltspunkte Zweifel daran ergeben, muss der Auftraggeber ergänzende Informationen einholen und die Erfüllbarkeit des Leistungsversprechens prüfen. Dies ist nicht der Fall, wenn der Vertrag eindeutige Zusicherungen enthält.
DSGVO-konforme Datenverarbeitung
Betroffen war die Vergabe eines digitalen Entlass-managements für Patienten zweier kommunaler Krankenhäuser. Die für den Zuschlag vorgesehene Bieterin sicherte zu, die europäische Amazon-Tochter AWS werde den Auftrag allein und ausnahmslos auf einem in Deutschland stehenden Server einer deutschen GmbH verarbeiten.
Kein Anhaltspunkt für Ausschluss
Die obsiegende Bieterin war laut OLG nicht von dem Verfahren auszuschließen. Für die Annahme, der Einsatz der Tochtergesellschaft ginge mit einer unzulässigen Datenüber-tragung in die USA einher, reiche das latente Risiko eines Zugriffs von staatlichen und privaten Stellen außerhalb der EU nicht aus.
