Europäische Cloud-Dienste mit US-Mutterkonzern

Die Autoren fokussieren in ihrem Beitrag die Mitwirkung großer amerikanischer Anbieter und ihrer Tochtergesellschaften bei IT-Ausschreibungen in Deutschland und in der EU. Im Blickpunkt stehen insbesondere die Fragen, welche Anforderungen an die Datensicherheit zu stellen sind und in welcher Tiefe eine Vergabestelle zur Überprüfung von Erklärungen der Bieter verpflichtet ist. Der Beitrag steht im Zusammenhang mit dem wichtigen Beschluss des Vergabesenats des OLG Karlsruhe zum Thema Datensicherheit und DSGVO-Konformität bei IT-Vergaben. In dem Beschluss vom 07.09.2022 (Az. 15 Verg 8/22) stellte das OLG Karlsruhe fest, dass Bieter, die einen europäischen Cloud-Dienst mit ihren Leistungen anbieten, nicht pauschal vom Vergabewettbewerb ausgeschlossen werden dürfen, weil ein latentes Datenübermittlungsrisiko an ihren US-Mutterkonzern bestehe. Der Beschluss des OLG Karlsruhe und die vorausgehende – entgegenstehende – Entscheidung der Vergabekammer Baden-Württemberg vom 13.07.2022 (Az. 1 VK 23/22) werden genauer beleuchtet. Dabei wird auch auf das Stimmungsbild in der Praxis und in der Literatur eingegangen. Hervorgehoben wird insbesondere, dass durch die Entscheidung des OLG Karlsruhe das Vertrauen in Bietererklärungen gestärkt werde. Maßgeblich bleibe zunächst das im Angebot beschriebene Leistungsversprechen. Eine Vergabestelle dürfe mit Blick auf Erklärungen von Bietern grundsätzlich davon ausgehen, dass die Bieter sich an diese halten und auch ihre Verträge mit Nachunternehmern entsprechend gestalten. Interessant ist, dass die Autoren sodann Praxishinweise sowohl für öffentliche Auftraggeber als auch für Bieter geben. Der Beitrag schließt mit einem Ausblick, der die aktuelle Entwicklung eines möglichen EU-US-
Datenschutzabkommens einbezieht.