Ein öffentlicher Auftraggeber vergab in einem EU-weiten offenen Verfahren die Beschaffung einer Software für Digitales Entlassmanagement. Ein Bieter gab in seinem Angebot eine in Europa ansässige Unterauftragnehmerin für die Erbringung der Server- und Hostingleistung an. Diese Unterauftragnehmerin ist eine Tochtergesellschaft eines Konzernunternehmens, das in den USA ansässig ist. Eine unterlegene Bieterin rügte daraufhin, dass das Angebot des Bieters gegen zwingende gesetzliche Vorgaben der DSGVO verstoße. Denn der Bieter bearbeite personenbezogene Daten auf Servern, auf die Drittstaaten (USA) Zugriff hätten, was nicht den Anforderungen der Vergabeunterlagen entspreche. Die Bieterin stellte nach Zurückweisung ihrer Rüge einen Nachprüfungsantrag – mit Erfolg!
Die Vergabekammer Baden-Württemberg entschied, dass das Angebot des Bieters gemäß § 57 Abs. 1 Nr. 4 VgV aus dem Vergabeverfahren auszuschließen sei, da der beabsichtigte Einsatz der Unterauftragnehmerin gegen die Art. 44 ff. DSGVO verstoße und damit nicht den Anforderungen der Vergabeunterlagen entspreche. Denn bei dem Einsatz der Unterauftragnehmerin, deren Muttergesellschaft in den USA ansässig ist, handle es sich um eine unzulässige Datenübermittlung in ein Drittland.
Die Vergabekammer erklärte, dass die Art. 44 ff. DSGVO auch bei einer Offenlegung von personenbezogenen Daten an einen Auftragsverarbeiter in einem Drittland anwendbar seien. Eine Offenlegung ist demnach – wie hier – anzunehmen, wenn eine Einstellung personenbezogener Daten auf eine Plattform erfolgt, auf die von einem Drittland aus zugegriffen werden kann. Hierbei kommt es insbesondere nicht darauf an, ob der Zugriff tatsächlich erfolgt, so die Vergabekammer.
Eine Datenübermittlung in ein Drittland ist ausnahmsweise zulässig, wenn die Kommission in einem Beschluss das angemessene Schutzniveau des Drittlands festgestellt hat, wenn der Verantwortliche oder Auftragsverarbeiter geeignete Garantien zum Schutz personenbezogener Daten vorgesehen hat (Art. 46 Abs. 1 DSGVO) oder wenn ein Ausnahmegrund nach Art. 49 DSGVO vorliegt. Hier lagen jedoch weder Erlaubnis- noch Ausnahmegründe für die Datenübermittlung in die USA vor.
Der Beschluss ist noch nicht rechtskräftig.