Rechtsprechung / Oberlandesgericht Düsseldorf
Oberlandesgericht Düsseldorf Beschluss vom 05.06.2024 – Verg 25/23
ECLI:DE:OLGD:2024:0605.VERG25.23.00
Tenor
Die sofortige Beschwerde der Antragstellerin gegen den Beschluss der 2. Vergabekammer des Bundes - VK 2-34/23 - BKartA - vom 20.06.2023 wird zurückgewiesen.
Die Kosten des Beschwerdeverfahrens trägt die Antragstellerin.
Gründe
I.
Die Antragstellerin wendet sich gegen den angefochtenen Beschluss der Vergabekammer, mit dem der Antragsgegnerin aufgegeben wurde, das Angebot der Beigeladenen weiter aufzuklären, und begehrt die Beigeladene vom weiteren Vergabeverfahren auszuschließen.
Die Antragsgegnerin schrieb mit Bekanntmachung vom … im offenen Verfahren Reisebürodienstleistungen für das Travel Management System des Bundes aus (Supplement zum Amtsblatt der europäischen Union …). Zuschlagskriterien sind der Preis mit maximal 30 Leistungspunkten und die - anhand von Konzepten zu beurteilende - Qualität des Angebots mit maximal 70 Leistungspunkten (Ziff. II.2.5 der Bekanntmachung und Ziff. 3.8.2 der Hinweise und besonderen Bewerbungsbedingungen). Die Laufzeit der Rahmenvereinbarungen beziehungsweise des dynamischen Beschaffungssystems soll am 01.07.2023 beginnen und am 30.06.2027 enden, wobei die Möglichkeit für die Antragsgegnerin besteht, den Vertrag einmalig um weitere vier Jahre zu verlängern (Ziff. II.2.7 der Bekanntmachung, § 10 Vertragsentwurf).
Nach Ziff. 3 der Leistungsbeschreibung untergliedern sich die Anforderungen für die Reisbüroleistungen in Basisleistungen (Abschnitt 3.1), die in das Angebot inkludiert werden müssen, und Zusatzleistungen (Abschnitt 3.2), die separat angegeben werden müssen. Ziff. 3.1.5 der Leistungsbeschreibung enthält zur Datenhaltung folgende Vorgaben:
„3.1.5 Datenhaltung
Alle Datenhaltungen inklusive Back Office Systeme erfolgt auf Servern in der EU, idealerweise in E.“
Unter der Überschrift „Qualitätssicherung und Einsparbeteiligung“ heißt es in Ziff. 3.2.17 der Leistungsbeschreibung :
„Das Reisebüro prüft bei Interkontinentalflügen nach Ticketing bis zum Abflug der Reservierungssysteme nach günstigeren, gleichwertigen Tarifalternativen auf den gebuchten Flügen. Wird eine Einsparung von mindestens 100,- Euro pro Ticket möglich, kann in Absprache mit der buchenden Stelle das Ticket geändert werden. Das Reisebüro erhält als Erfolgshonorar 30% der realisierten Einsparungen.“
In Ziff. 3.2.23 heißt es:
„V-Anbindung für die Bundeswehr
Das Reisebüro ist zudem mit einer eigenen Filiale und/oder einer/m eigenen Partner/in in den V. vertreten. …“
§ 11 des Vertragsentwurfs enthält zum Datenschutz folgende Regelung:
§ 11 Datenschutz
Die Auftragnehmerin ist gesetzlich zur Einhaltung des Datenschutzes verpflichtet. Sie benennt der Geschäftsstelle die Erreichbarkeitsdaten des hausinternen Datenschutzbeauftragten und hat sicherzustellen, dass alle Personen, die von ihr mit der Erfüllung der vereinbarungsgemäß geschuldeten Leistungen betraut sind, die gesetzlichen Bestimmungen über den Datenschutz beachten. Die nach Datenschutzrecht erforderliche Verpflichtung auf das Datengeheimnis ist der Bedarfsträgerin auf Verlangen nachzuweisen.
Die vorstehend geregelten Verpflichtungen zum Datenschutz gelten ein Jahr über das Ende der Rahmenvereinbarung hinaus.
…“
Die Antragstellerin und die mit Beschluss vom 25.04.2023 förmlich zum Nachprüfungsverfahren hinzugezogene Beigeladene - die Bestandsdienstleisterin ist - gaben jeweils fristgerecht ihre Angebote ab. Die Antragstellerin leitete ihr Angebotsschreiben wie folgt ein:
„Sehr geehrte Damen und Herren,
zu den in den Vergabeunterlagen aufgeführten Bedingungen biete ich die ausgeschriebene Leistung an. Mein Angebot entspricht den Vorgaben der Vergabeunterlagen. Abzugebende Erklärungen und Nachweise habe ich beigefügt.“
Zudem heißt es in dem separaten Anschreiben unter anderem:
„…
Selbstverständlich erfüllen wir Ihre Anforderungen aus der Leistungsbeschreibung vollumfänglich. Ein Großteil der Anforderungen ist im Rahmen unserer existierenden Partnerschaft bereits heute umgesetzt.
…
Ihre Daten und die Daten Ihrer Reisenden werden ausschließlich in E. bzw. der EU gehalten.
...“
Die Antragsgegnerin wertete das Angebot der Antragstellerin am 14.04.2022 im Kriterium Qualität mit lediglich 4,06 von 7 Wertungspunkten und stellte fest, dass ihr Angebot wegen Nichterreichens der erforderlichen Mindestpunktzahl in diesem Kriterium (60% bzw. 4,20 Punkten) von dem Vergabeverfahren auszuschließen sei (vgl. Vergabeentscheidung, Bl. 555 ff. Vergabeakte). Hierüber informierte sie die Antragstellerin mit Schreiben vom 17.03.2023 (Anlage BF 4) nach § 134 GWB.
Die Antragstellerin rügte den Ausschluss ihres Angebots aus dem Vergabeverfahren wegen Nichterreichens der erforderlichen Mindestpunktzahl mit Schreiben vom 20.03.2023 (Anlage BF 5). Mit weiterem Rügeschreiben vom 23.03.2023 (Anlage BF 6) rügte sie zudem unter Vertiefung ihrer bisherigen Rügen eine fehlerhafte Bewertung der von ihr eingereichten Konzepte sowie einen unterlassenen Ausschluss der für den Zuschlag vorgesehenen Beigeladenen nach § 57 Abs. 1 Nr. 4 VgV, da deren Angebot wegen unzulässiger Datenübermittlung in ein Drittland gegen die datenschutzrechtlichen Bestimmungen der Art. 44 ff. DSGVO verstoße und somit nicht den zwingenden Anforderungen aus den Vergabeunterlagen entspreche. Dies ergebe sich zum einen aus der konzernrechtlichen Verflechtung der Beigeladenen mit US-amerikanischen Gesellschaften. Auf Grundlage des US-amerikanischen CLOUD Acts könnten US-amerikanische Behörden Zugriff auf die Daten der Beigeladenen nehmen. Zum anderen ergebe sich eine unzulässige Datenübermittlung in ein Drittland aufgrund der Nutzung des EDV-Tools D., dessen Nutzung zwingend eine Datenübermittlung voraussetze. Eine solche sei ausnahmsweise nur dann zulässig, wenn zwischen den maßgeblichen Beteiligten der Datenübermittlung die sogenannten Standardvertragsklauseln vereinbart worden wären und zusätzliche vertragliche und technische Maßnahmen zum Datenschutz ergriffen worden wären, was nicht ersichtlich sei.
Mit Schreiben vom 24.03.2024 (Anlage BF 7) teilte die Antragsgegnerin der Antragstellerin mit, dass sie das Vergabeverfahren in den Stand vor Angebotswertung zurückversetzen werde und dass sie beabsichtige, die vorgeworfenen Verstöße der Beigeladenen gegen die DSGVO einer Aufklärung zuzuführen. Hierzu bat sie um Mitteilung weiterer Tatsachen oder Indizien.
Mit Schreiben vom 24. und 29.03.2023 (Anlagen BF 8 und 9) konkretisierte die Antragstellerin ihre Rügen in Bezug auf eine Verletzung der DSGVO.
Mit Schreiben vom 24.03. und 31.03.2023 (Anlage BF 10) brachte die Antragsgegnerin der Beigeladenen die Rügen der Antragstellerin in Bezug auf mögliche Verletzungen der DSGVO zur Kenntnis und bat um Antwort zu den erhobenen Vorwürfen. Das Schreiben vom 24.03.2023, welches nicht als „Aufklärungsschreiben“ überschrieben war, sondern mit „Ihr Rügeschreiben vom 23.03.2023“ leitete die Antragsgegnerin wie folgt ein:
„…
Während der Wartefrist gemäß § 134 Abs. 2 GWB am 23.03.2023 ist eine Vergaberüge eingegangen, die unter anderem rügt, die Einhaltung der geltenden Datenschutzbestimmungen wäre bei einer Leistungserbringung durch ihr Unternehmen nicht hinreichend sichergestellt, ein Zuschlag auf ihr Angebot sei damit vergaberechtswidrig.
…
Da mit dem Vorbringen der Rüge zumindest im Raum steht, dass Verstöße gegen Datenschutzrecht erfolgen könnten, muss ich Sie nach den im Beschluss des OLG Karlsruhe vom 07.09.2022 - 15 Verg 8/22 aufgestellten rechtlichen Grundsätzen um eine hinreichende Aufklärung der Vorwürfe der rügenden Bieter bitten. Die Ausführungen müssen eindeutig erkennen lassen, dass ihr Unternehmen die vertraglichen Zusagen erfüllen wird und keine Anhaltspunkte dafür bestehen, dass die Leistung nur unter Verstoß gegen geltendes Recht erbracht werden wird.“
Sodann zitiert die Antragsgegnerin wörtlich auf sechs Seiten die sich auf die datenschutzrechtlichen Fragen beziehenden Passagen der Rügeschreiben der Antragstellerin vom 23./24.03.2023. Abschließend heißt es in dem Schreiben:
„Ich bitte Sie, zu den vorgebrachten Vorwürfen umfassend Stellung zu nehmen. Sollten die Vorwürfe nicht nachvollziehbar entkräftet werden können, müsste ein Ausschluss des Angebotes aus dem Vergabeverfahren aufgrund Verstoßes gegen die Bestimmungen des Vertrages und der Leistungsbeschreibung bzw. generell gesetzlicher Vorgaben erwogen werden. Daher bitte ich, bei der Stellungnahme äußerste Sorgfalt walten zu lassen.“
Mit weiterem Schreiben vom 31.03.2023, überschrieben mit dem Betreff „Eingegangene Rügeschreiben vom 23.03.2023, 24.03.2023 und 29.03.2023“ brachte die Antragsgegnerin der Beigeladenen die weiteren Rügen der Antragstellerin aus dem Schreiben vom 29.03.2023 zur Kenntnis, indem sie diese ebenfalls auf knapp sieben Seiten wörtlich zitierte. Sie bat darum auch diese Vorwürfe bei der Erstellung der - mit dem vorherigen Schreiben erbetenen - Stellungnahme zu berücksichtigen.
Die Beigeladene nahm mit Schreiben vom 06.04.2023 (Anlage BF 11, Bl. 633 ff. Vergabeakte) hierzu auf elf Seiten im Einzelnen Stellung und führte einleitend zusammenfassend wie folgt aus, dass die Leistungen der Beigeladenen datenschutzkonform unter Einhaltung der DSGVO sowie unter Beachtung von § 11 des Vertragsentwurfs sowie Ziff. 3.1.5 der Leistungsbeschreibung erbracht würden:
„Die H. erbringt ihre Leistungen DSGVO-konform. Alle im RFP getätigten Zusagen haben Gültigkeit (Leistungsversprechen).
…
Zunächst möchten wir der guten Form halber feststellen, dass die der Ausschreibung zugrundeliegenden Leistungen bereits im Rahmen eines derzeit laufenden Vertragsverhältnisses ohne Beanstandung des Beschaffungsamtes des BMI durch die H. als Vertragspartner erbracht werden. Die Leistungserbringung erfolgt unter Beachtung der einschlägigen datenschutzrechtlichen Vorgaben, insbesondere denen der Verordnung (EU) 2016/679 (im Folgenden: Datenschutz-Grundverordnung; DSGVO). Dies gilt selbstverständlich weiterhin für alle Leistungen, die wir zukünftig unter dem hier gegenständlichen „Vertrag über Reisebüroleistungen für das TMS des Bundes“ erbringen werden.
Im Ergebnis liegt kein Verstoß gegen § 57 VgV vor, da alle Anforderungen aus § 11 des ausschreibungsgegenständlichen Vertrags und nach Ziff. 3.1.5 der diesem als Anlage 2 beigefügten Leistungsbeschreibung erfüllt werden.“
Am 30.03.2023 wertete die Antragsgegnerin die Angebote unter Berücksichtigung der Rügen erneut (vgl. Vermerk „Update zum 30.03.2023“, Bl. 661 Vergabeakte). Sie half der Rüge der Antragstellerin ab, soweit sie wegen Nichterreichens der Mindestpunktzahl vom Vergabeverfahren ausgeschlossen worden war, indem sie für die Bemessung des Erreichens der Mindestpunktzahl auf die Gesamtbewertung abstellte und nicht - wie zuvor erfolgt und gerügt - allein auf das Kriterium der Qualitätsbewertung. Im Übrigen half sie weder der Rüge der vermeintlich fehlerhaften Bewertung der Konzepte der Antragstellerin noch der Rüge eines vermeintlichen Verstoßes der Beigeladenen gegen datenschutzrechtliche Bestimmungen ab. Dies teilte sie der Antragstellerin mit Rügeantwortschreiben vom 11.04.2023 (Anlage BF 12) mit, in dem sie zur Einhaltung der datenschutzrechtlichen Bestimmungen durch die Beigeladene Folgendes - wie auch im Vergabevermerk - ausführte:
„Mit Schreiben vom 06.04.2023 konnte die Zuschlagsdestinärin glaubhaft versichern, dass sämtliche gesetzlichen und vertraglichen datenschutzrechtlichen Bestimmungen bei der Leistungserbringung vollumfänglich eingehalten werden. Ihr Rügevorbringen ist nicht geeignet diese Annahme ernsthaft in Zweifel zu ziehen, noch liegen mir andere Erkenntnisse vor.“
Ebenfalls mit Schreiben vom 11.04.2023 (Anlage BF 13) teilte die Antragsgegnerin der Antragstellerin nach § 134 GWB mit, dass ihr Angebot den zweiten Platz belege und beabsichtigt sei, den Zuschlag der Beigeladenen zu erteilen, wobei sie die Bewertung des Angebots im Einzelnen begründete.
Die Antragstellerin rügte mit Schreiben vom 17.04.2023 (Anlage BF 14) erneut die beabsichtigte Zuschlagserteilung an die Beigeladene. Die Antragsgegnerin habe die von ihr eingereichten Konzepte ebenso wie die Konzepte der Beigeladenen fehlerhaft bewertet. Die Antragsgegnerin habe eine hinreichende Aufklärung des Angebots der Beigeladenen in Bezug auf die Einhaltung der datenschutzrechtlichen Vorgaben unterlassen und so die ihr obliegende Pflicht zur Überprüfung der Erfüllbarkeit des Leistungsversprechens der Beigeladenen in datenschutzdatenschutzrechtlicher Hinsicht verletzt. Die knappen Ausführungen im Rügeantwortschreiben vom 11.04.2023 ließen darauf schließen, dass sich die Antragsgegnerin mit einer einfachen Erklärung der Beigeladenen zufrieden gegeben habe, ohne diese näher zu überprüfen.
Nachdem die Antragsgegnerin mit Schreiben vom 18.04.2023 den Eingang der Rüge bestätigt und erklärt hatte, die Ausführungen zum Anlass zu nehmen, die Bewertung der Konzepte einer weiteren, tiefgreifenden Analyse zuzuführen, die längere Zeit in Anspruch nehmen werde, hat die Antragstellerin mit Anwaltsschriftsatz vom 20.04.2023 die Einleitung eines Vergabenachprüfungsverfahrens beantragt. Zu dessen Begründung hat sie ihre bereits mit Rügeschreiben vom 20., 23., 24. und 29.03. 2023 sowie 17.04.2023 vorgebrachten Rügen zur fehlerhaften Wertung der Angebote sowie zur behaupteten Nichteinhaltung der datenschutzrechtlichen Vorgaben durch die Beigeladene wiederholt und vertieft. Sie hat die Ansicht vertreten, das Angebot der Beigeladenen sei zwingend auszuschließen, weil es bei der Beigeladenen zu einer unzulässigen Übermittlung personenbezogener Daten in der Unternehmensgruppe sowie in Drittländer (V. und H.1 ) aufgrund der Konzern- und Organisationsstruktur der Beigeladenen komme, die nicht gerechtfertigt sei. Ein Angemessenheitsbeschluss in Bezug auf die V. habe im Zeitpunkt der Angebotsabgabe nicht vorgelegen. Eine Zugänglichkeit der Daten aus der V. und Verarbeitung in der V. wäre auf Grundlage der Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO nicht zu rechtfertigen, da keine zusätzlichen Maßnahmen, wie etwa Verschlüsselung oder Pseudonomisierung seitens der Beigeladenen ersichtlich seien, was aber datenschutzrechtlich erforderlich wäre. Auch die BCR der Beigeladenen, die aus dem Jahr 2013 stammten, könnten eine Übermittlung von personenbezogenen Daten in die V. nicht rechtfertigen. Schließlich biete die Beigeladene auch kein angemessenes Schutzniveau im Sinne des Art. 32 Abs. 1 DSGVO. Weiter könne es zu einer unzulässigen Übermittlung personenbezogener Daten in ein Drittland (V.) aufgrund der Zugriffsmöglichkeiten durch US-Behörden kommen. So könnten US-Behörden die in O. ansässige Muttergesellschaft der Beigeladenen, die Beigeladene selbst oder eine der zwischengeschalteten Gesellschaften in E, H.1 oder den V. unter Berufung auf den CLOUD-Act bzw. 702 FISA anweisen, unter dem ausgeschriebenen Auftrag verarbeitete personenbezogene Daten an die jeweiligen Behörden und damit in die V. zu übermitteln. Ebenfalls zu einer unzulässigen Übermittlung personenbezogener Daten in ein Drittland (V.) komme es durch die Verwendung des Buchungs-/Preisvergleichstools Concour Compleat oder aufgrund Datenverarbeitung durch den Dienstleister U..
Der Rüge der Antragstellerin vom 17.04.2023 hat die Antragsgegnerin teilweise in Bezug auf die Konzeptbewertung abgeholfen und am 27.04./04.05.2023 (vgl. Vermerk „Update zum 27.04.2023/04.05.2023, Bl. 723 ff. Vergabeakte) eine Rückversetzung des Verfahrens und Neuvornahme der Konzeptbewertung vorgenommen. Nicht abgeholfen hat die Antragsgegnerin der Rüge, mit der die Antragstellerin einen Ausschluss der Beigeladenen von dem Vergabeverfahren wegen Verletzung datenschutzrechtlicher Vorgaben begehrt. Auch nach dieser Neubewertung liegt das Angebot der Antragstellerin nur auf Platz zwei hinter dem Angebot der Beigeladenen. Die Antragsgegnerin hat dies der Antragstellerin mit Rügeantwortschreiben vom 04.05.2023 (Anlage BF 17) mitgeteilt und sie zudem mit gesonderten Schreiben vom 04.05.2023 (Anlage BF 17) nach § 134 GWB über das Ergebnis der neuen Bewertung und die beabsichtigte Zuschlagserteilung an die Beigeladene informiert.
Mit Verfügung vom 22.05.2023 (Bl. 1353 Vergabekammerakte) hat die Vergabekammer die Verfahrensbeteiligten im Hinblick auf Ziff. 3.2.23 der Leistungsbeschreibung, wonach das Reisebüro mit einer eigenen Filiale und/oder einer/m eigenen Partner/in in den V. vertreten sein müsse, und im Hinblick auf die Nutzung des Tools D., das ausschließlich auf Servern in den V. laufe, aufgefordert darzulegen, ob die Leistungsbeschreibung die Übermittlung personenbezogener Daten gemäß Art. 44 ff. DSGVO in Drittländer voraussetze und ob in diesem Fall die datenschutzrechtlichen Anforderungen nach Art. 44 ff. DSGVO eingehalten werden könnten und wenn ja, wie dies der Fall sei. Die Beigeladene hat die Vergabekammer zusätzlich aufgefordert darzulegen und zu erläutern:
„- ob sie im Falle der Auftragserteilung personenbezogene Daten an Drittländer im Sinne der Art. 44 ff. DSGVO übermittelt
und - falls dies der Fall ist und für diese Drittländer kein Angemessenheitsbeschluss im Sinne von Art. 45 Abs. 3 DSGVO existieren sollte - ob die Beigeladene für eine solche Datenübermittlung im Rahmen eines künftigen Auftragsverhältnisses mit der Antragsgegnerin geeignete Garantien im Sinne von Art. 46 DSGVO vorgesehen hat, welche Garantien dies sind und im Falle einer solchen Übermittlung in ein Drittland auch die übrigen Anforderungen des Art. 45 Abs. 1 DSGVO erfüllt sind (durchsetzbare Rechte der betroffenen Personen, wirksame Rechtsbehelfe).“
Die Antragsgegnerin und die Beigeladene haben hierauf jeweils mit Schreiben vom 25.05.2023 geantwortet (Bl. 1625 und Bl. 1575 Vergabekammerakte) mit Erläuterungen und Details zur geplanten Filiale bzw. Partnerreisebüro in der V. gemäß Ziff. 3.2.23 der Leistungsbeschreibung, deren Errichtung eine Datenhaltung in den V. nicht erforderlich mache, weil [Betriebs- und Geschäftsgeheimnis: …]. Die Beigeladene hat zudem ausgeführt, sollte das Tool D. eingesetzt werden, was nur geschehe, wenn die Antragsgegnerin darauf bestehe und dadurch einen Drittlandtransfer bedinge, erfolge dies auf Basis eines entsprechenden Datenschutzvertrags inklusive Standarddatenschutzklauseln.
Da aus Sicht der Antragsgegnerin die Erklärungen der Beigeladenen im Schreiben vom 25.05.2023 nicht zweifelsfrei dahingehend zu verstehen waren, dass die Beigeladene die datenschutzkonforme Leistungserbringung unter Einsatz des Tools D. in eigener Verantwortung sicherstellen werde, hat die Antragsgegnerin am 01.06.2023 ein weiteres Aufklärungsschreiben an die Beigeladene übersandt (Bl. 1724 Vergabekammerakte) mit der Bitte um Mitteilung, ob der Einsatz des Tools D. datenschutzkonform möglich sei und die datenschutzrechtliche Bewertung des Qualitätssicherungstools nicht in die Verantwortlichkeit der Auftraggeberin übertragen werde. Hierauf hat die Beigeladene mit Schreiben vom 02.06.2023 geantwortet, dass der Einsatz von D. datenschutzrechtlich abgesichert sei, die von der Beigeladenen angebotenen Lösungen datenschutzkonform möglich seien und die datenschutzrechtliche Bewertung der von der Beigeladenen zum Einsatz kommenden Lösungen bei der Beigeladenen liege.
Die Antragstellerin hat beantragt,
das Nachprüfungsverfahren gemäß § 160 Abs. 1 GWB einzuleiten und
der Antragsgegnerin zu untersagen, den Zuschlag auf das Angebot der Beigeladenen zu erteilen;
Akteneinsicht gemäß § 165 Abs. 1 GWB zu gewähren;
auszusprechen, dass die Hinzuziehung eines Verfahrensbevollmächtigten für die Antragstellerin notwendig gewesen ist.
Die Antragsgegnerin hat beantragt,
den Nachprüfungsantrag zurückzuweisen;
der Antragstellerin die Kosten des Verfahrens aufzuerlegen.
Die Antragsgegnerin hat die Ansicht vertreten, der Nachprüfungsantrag sei unbegründet. Es habe keinen Anlass gegeben, in eine vertiefte datenschutzrechtliche Prüfung der seitens der Antragstellerin behaupteten Datenschutzverstöße der Beigeladenen einzusteigen, da eine Aufklärung durchgeführt worden sei und von der Beigeladenen die Vorwürfe haben entkräftet werden können. Eine tiefergreifende Aufklärung sei weder aus vergaberechtlicher noch aus tatsächlicher Sicht erforderlich gewesen.
Mit dem angefochtenen Beschluss vom 20.06.2023 - der Beschwerdeführerin am 21.06.2023 zugestellt - hat die Vergabekammer der Antragsgegnerin untersagt, den Zuschlag auf das Angebot der Beigeladenen zu erteilen und der Antragsgegnerin bei fortbestehender Beschaffungsabsicht aufgegeben, das Angebot der Beigeladenen unter Beachtung der Rechtsauffassung der Vergabekammer in Bezug auf die Einhaltung der datenschutzrechtlichen Vorgaben, aus denen sich ein Ausschlussgrund nach § 57 Abs. 1 Nr. 4 VgV ergeben könnte, weiter aufzuklären. Zur Begründung hat sie ausgeführt, dass die Antragsgegnerin, die als öffentliche Auftraggeberin grundsätzlich dem Leistungsversprechen der Bieter vertrauen dürfe, vorliegend das Angebot der Beigeladenen hätte weiter aufklären müssen, weil sich Unsicherheit im Hinblick auf die Einhaltung der datenschutzrechtlichen Vorgaben aus den allgemein zugänglichen datenschutzrelevanten Verlautbarungen der Beigeladenen ergeben würden, insbesondere aus ihrem öffentlichen Internetauftritt. Das der Antragsgegnerin zustehende Aufklärungsermessen nach § 15 Abs. 5 S. 1 VgV sei vorliegend dahingehend reduziert, dass die Antragsgegnerin weitergehende Aufklärungsschritte habe vornehmen müssen. Die Beigeladene habe sich bei ihren Ausführungen zur Einhaltung der datenschutzrechlichen Anforderungen durch ihre konzerninternen BCR beziehungsweise Nutzung von Standardvertragsklauseln sowie zur Datenhaltung in der EU auf pauschale Angaben beschränkt, ohne darzulegen, wie die Abläufe für den konkreten Auftrag gestaltet werden sollen, um die Einhaltung der Vorgaben sicherzustellen. Dies sei aber erforderlich, da in der Datenschutzerklärung der Beigeladenen ausdrücklich vorgesehen sei, dass eine Weitergabe an Jurisdiktionen von Drittstaaten - auch außerhalb der EU und ohne Angemessenheitsbeschluss - vorgenommen werden könne. Entsprechende Regelungen enthielten auch die BCR der Beigeladenen. Insoweit sei konkret aufklärungsbedürftig, inwieweit die BCR der Beigeladenen im Rahmen der Auftragsdurchführung relevant wären und das geforderte Datenschutzniveau konkret gewährleisten könnten, insbesondere unter Berücksichtigung des Umstands, dass die BCR der Beigeladenen aus dem Jahr 2013 stammten und damit vor der DSGVO vom 27.04.2016 in Kraft gesetzt worden seien. Aufklärungsbedürftig sei darüber hinaus, welches Tool die Beigeladene für den verfahrensgegenständlichen Auftrag einzusetzen beabsichtige, denn die Nutzung des Tools D., welches ausschließlich in den V. betrieben werde und eine Übermittlung des Datensatzes des jeweiligen Reisenden in die V. bedinge, dürfe nach Sinn und Zweck nicht vereinbar sein mit der nach Ziff. 3.1.5 der Leistungsbeschreibung geschuldeten Datenhaltung in der EU. Schließlich sei angesichts des Verweises der Beigeladenen in ihrer veröffentlichten Datenschutzerklärung vom November 2021 auf ihren außerhalb der EU sitzenden Datenschutzbeauftragten in H.1 unklar, wie der Datenschutzbeauftragte im Auftragsfall konkret im Inland implementiert und den TMS-Nutzern im Einklang mit der Vorgabe zur Datenhaltung in der EU bekannt gemacht werden solle. So ergebe sich die Situation, dass auf der Grundalge der bisherigen Angaben der Beigeladenen unklar sei, wie ihr Angebot im Einzelnen die Beachtung der datenschutzrechtlichen Vorgaben sicherstelle, während sie andererseits die anforderungsgerechte Leistungserbringung ausdrücklich zugesichert habe. Auf dieser Tatsachengrundlage könne nicht festgestellt werden, ob das Angebot der Beigeladenen nach § 57 Abs. 1 Nr. 4 VgV auszuschließen sei.
Die von der Antragstellerin erhobenen Rügen in Bezug auf die Wertung der Angebote seien hingegen nicht begründet.
Hiergegen hat die Antragstellerin mit Schriftsatz vom 05.07.2023 - eingegangen am selben Tag - sofortige Beschwerde eingelegt. Die Antragstellerin ist der Ansicht, die Beigeladene könne und werde die datenschutzrechtlichen Bestimmungen der DSGVO bei Erfüllung des ausgeschriebenen Auftrags nicht einhalten. Nach den im Verfahren vorliegenden Informationen einschließlich der Angaben der Beigeladenen stünde fest, dass die Datenhaltung entgegen Ziff. 3.1.5. der Leistungsbeschreibung nicht ausschließlich auf Servern der EU erfolgen könne und erfolgen werde und dass es entgegen § 11 des Vertragsentwurfs unter Verstoß gegen die DSGVO zu unzulässigen Datenübermittlungen in Drittstaaten kommen werde.
- Eine solche finde bereits innerhalb des Konzerns der Beigeladenen statt. Die Beigeladene als Teil eines großen US-Konzerns, dessen Konzernmutter die H.2 mit Sitz in O. sei, sei besonders eng in den Konzernverbund mit Hauptsitz in den V. und weiteren Standorten in H. 1 eingebunden. Die konzernverbundenen Gesellschaften würden allein schon durch die Nutzung von gemeinsam genutzten EDV-Plattformen wie Buchungstools und Intranet, aber auch wegen der organisatorisch und gesellschaftsrechtlich begründeten Zuständigkeits- und Weisungsbefugnisse, zwingend und wechselseitig auf personenbezogene Daten ihrer Kunden zugreifen und diese über Ländergrenzen hinweg auf gemeinsam genutzten Servern (die auch und insbesondere in den V. als originärem Heimatstandort sowie in H.1 verortet seien) verarbeiten, übermitteln und speichern. Entsprechend sähen sowohl die BCR der Beigeladenen als auch ihre Datenschutzerklärung eine Weiterleitung von Daten in Drittländer innerhalb des Konzerns vor. Auch der Umstand, dass die Datenschutzabteilung der Beigeladenen ihren Sitz in H.1 habe, bedinge zwangsläufig eine Datenübermittlung in einen Drittstaat außerhalb der EU. Ein Datentransfer innerhalb des Konzerns sei nach Art. 44 ff. DSGVO unzulässig, da ein solcher nicht durch einen Angemessenheitsbeschluss der EU gerechtfertigt sei und auch die Binding Corporate Rules (BCR) der Beigeladenen keine geeigneten Garantien im Sinne des Art. 46 DSGVO darstellten. Die BCR der Beigeladenen genügten nicht den Anforderungen von Art. 46 und 47 DSGVO und ließen insbesondere nicht erkennen, dass der internationale Datentransfer auf das begrenzt wäre, was konkret erforderlich - sei beispielsweise zur Buchung und Abwicklung einer Reise. Dies verstieße gegen mehrere datenschutzrechtliche Grundsätze, insbesondere jene zur Transparenz (Art. 5 Abs. 1 lit. a DSGVO), zur Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und zur Datensicherheit (Art. 5 Abs. 1 lit. f DSGVO). Auch der Rechenschaftspflicht werde dabei von der Beigeladenen nicht Genüge getan (Art. 5 Abs. 2 DSGVO). Schließlich seien die BCR der Beigeladenen, die seit dem 28.01.2013 in Kraft (vgl. Anlage BF 30) und damit vor Inkrafttreten der DSGVO durch die Aufsichtsbehörde in H.1 genehmigt worden seien, aufgrund von vorgenommenen Änderungen, die sich unter anderem aus Bezugnahmen auf die aktuelle DSGVO ergeben, nicht mehr gültig. Zudem sei kein angemessenes Schutzniveau gewährleistet, wie es der Europäische Gerichtshof in seiner Schrems II-Entscheidung bei Datentransfers in die V. durch zusätzliche Maßnahmen gefordert habe. Der Datentransfer in die V. erfordere zusätzliche Maßnahmen in Ergänzung zu den BCR. Vorliegend sei gemessen an den reisenden Personen gemessen an Art. 32 DSGVO ein deutlich erhöhtes Schutzniveau zu gewährleisten.
- Bei der Beigeladenen finde zudem auch außerhalb des Konzerns eine unzulässige Übermittlung personenbezogener Daten in Drittländer statt. Die Nutzung des Buchungs-/Preisvergleichstools D. verstoße gegen geltendes Datenschutzrecht in Verbindung mit § 11 des Vertragsentwurfs, weil es ausschließlich auf Servern in den V. laufe. Eine Rechtfertigung seiner Nutzung sei mangels geeigneter Transfermechanismen nicht gegeben. Gleiches gelte für die Nutzung des Tools U.. Ein Angemessenheitsbeschluss liege nicht vor. Soweit sich die Beigeladene auf Standardvertragsklauseln berufe (Art. 46 Abs. 2 lit. c DSGVO), könnten diese einen Datentransfer nicht rechtfertigen. Zum einen fehle es bereits an einer Konkretisierung und Plausibilisierung, dass derartige Vereinbarungen abgeschlossen worden seien. Zum anderen sei die Vereinbarung von Standardvertragsklauseln nach der Entscheidung des EuGH „Schrems II“ nicht ausreichend, um ein angemessenes Datenschutzniveau zu gewährleisten. Die Beigeladene hätte nachweislich zusätzliche technische und/oder organisatorische Schutzmaßnahmen implementieren müssen, um einen der DSGVO vergleichbaren Schutz bei der Übermittlung der betroffenen personenbezogenen Daten sicherzustellen, wie sie etwa im Anhang II der EDSA Empfehlung genannt seien. Die bloße Behauptung der Beigeladenen in ihrem Schreiben vom 06.04.2023, es würden „vertragliche, organisatorische und technische Maßnahmen“ existieren, reiche nicht aus.
- Eine unzulässige Übermittlung personenbezogener Daten in die V. als ein Drittland finde darüber hinaus aufgrund der Zugriffsmöglichkeiten der US-Behörden statt. US Behörden könnten unter Berufung auf den CLOUD-Act oder Section 702 Foreign Intelligence Surveillance Act von 1978 (FISA 702) die in O. ansässige Muttergesellschaft der Beigeladenen, die Beigeladene selbst oder eine der zwischengeschalteten Gesellschaften in E, H.1 oder den V. anweisen, unter dem ausgeschriebenen Auftrag verarbeitete Daten an die jeweiligen Behörden und damit in die V. zu übermitteln. Das Risiko bestehe, da sich nach Ziff. 3.2 der eigenen BCR der Hauptserver der US-amerikanischen Muttergesellschaft in den V. befinde. Unter Ziff. 11.1 ihrer eigenen BCR, die mit „Die nationale Gesetzgebung verhindert die Einhaltung der EU-BCRs“ überschrieben ist, bestätige die Beigeladene selbst, dass sie und alle ihre konzernverbundenen Gesellschaften etwaigen Herausgabeverlangen personenbezogener Daten durch US-Behörden nachkommen und die angeforderten Daten an die Behörde übermitteln werde. Dies umfasse sowohl eine Herausgabe von Daten an US-Behörden durch die Beigeladene selbst, als auch über ihre US-Konzernmutter oder eine andere konzernverbundene Gesellschaft.
- Schließlich verstoße das Angebot der Beigeladenen gegen Ziff. 3.1.5 der Leistungsbeschreibung, wonach alle Datenhaltung inklusive BackOffice Systemen auf Servern in der EU zu erfolgen habe. Eine Datenhaltung innerhalb der EU werde von der Beigeladenen nicht dargetan. So finde ausweislich ihres Schreibens vom 06.04.2023 auf Seite 5 lediglich der „Kern der Datenverarbeitung“ in der EU statt. Dass es auch zu einer Datenhaltung außerhalb der EU komme ergebe sich zudem aus den zuvor dargestellten Umständen zur Konzernstruktur, weil ein Datentransfer innerhalb der internationalen Unternehmensgruppe jederzeit auch außerhalb der EU möglich sei, die BCR darauf hinwiesen und die Datenschutzabteilung der Beigeladenen ihren Sitz in M. habe. Zudem ließen die BCR (vgl. Ziff. 3.2) eine Weiterleitung personenbezogener Daten an einen Dritten außerhalb der American Express Gruppe zu, und eine Datenübermittlung an die Dienstleister D. und U. sei vorgesehen. Im Falle von D. würden personenbezogene Daten für eine bestimmte Reise in Verbindung mit den Reisedaten permanent aktualisiert und vom Zeitpunkt der Buchung bis eine oder wenige Stunden vor Reiseantritt zum Zwecke des Preisvergleichs und der Tarifoptimierung abgeglichen. Dabei würden die Daten im Regelfall über mehrere Tage und Wochen gespeichert, im Falle von D. ausschließlich auf Servern in den V.
Mit den vier an die Beigeladene gerichteten Aufklärungsgesuchen und den umfangreichen Antwortschreiben der Beigeladenen sei die Aufklärung abgeschlossen. Unter Berücksichtigung dieser Antworten hätte die Antragsgegnerin das Angebot der Beigeladenen ausschließen müssen. Die Beigeladene, die eine sekundäre Darlegungs- und Beweislast treffe, habe keine den vergabe- und datenschutzrechtlichen Anforderungen genügenden Schutzmaßnahmen dargelegt. Daher sei zu ihren Lasten davon auszugehen, dass sie diese nicht ergriffen habe. Die unzureichenden Antworten der Beigeladenen auf die Aufklärungsersuchen der Antragsgegnerin stünden einer Verweigerung der gebotenen und verlangten Aufklärung gleich und müssten zum Ausschluss des Angebots der Beigeladenen führen.
Jedenfalls hätte die Vergabekammer unter Berücksichtigung der Verfahrensförderungspflicht bei unterstellter Unklarheit des Sachverhalts betreffend das Angebot und angebliche datenschutzrechtliche Schutzmaßnahmen der Beigeladenen den entscheidungserheblichen Sachverhalt selbst im Rahmen des laufenden Vergabenachprüfungsverfahrens aufklären müssen, was sich aus § 163 Abs. 1 S. 1 GWB, dem Grundsatz effektiven Rechtsschutzes sowie dem Beschleunigungsgrundsatz ergebe. Gleichermaßen treffe den Senat bei unterstellter Unklarheit die Pflicht, die notwendige Aufklärung im Beschwerdeverfahren selbst durchzuführen.
Gegen die Wertung der Konzepte wendet sich die Antragstellerin im Beschwerdeverfahren nicht mehr.
Die Antragstellerin beantragt,
den Beschluss der 2. Vergabekammer des Bundes vom 20.06.2023 aufzuheben;
der Antragsgegnerin aufzugeben, das Angebot der Beigeladenen vom weiteren Vergabeverfahren auszuschließen,
hilfsweise: das Angebot der Beigeladenen zum Zwecke der Erforschung des entscheidungserheblichen Sachverhalts im Rahmen des vorliegenden Beschwerdeverfahrens aufzuklären,
höchst hilfsweise: die Vergabekammer zu verpflichten, das Angebot der Beigeladenen zum Zwecke der Erforschung des entscheidungserheblichen Sachverhalts im Rahmen des vorliegenden Nachprüfungsverfahrens aufzuklären und unter Berücksichtigung der Rechtsauffassung des Senats über die Sache erneut zu entscheiden;
der Antragstellerin im Wege der erweiterten Akteneinsicht nach § 165 Abs. 1 GWB das an die Beigeladene gerichtete vierte Aufklärungsersuchen der Antragsgegnerin vom 01.06.2023, die Antwortschreiben der Beigeladenen an die Antragsgegnerin vom 06.04. und vom 02.06.2023, sowie die erstinstanzlichen Schriftsätze der Antragsgegnerin und der Beigeladenen jeweils vom 25.05.2023 und den erstinstanzlichen Schriftsatz vom der Antragsgegnerin vom 01.06.2023, jeweils in ungeschwärzter Fassung, offenzulegen;
festzustellen, dass die 2. Vergabekammer des Bundes die Antragstellerin in ihrem Recht auf rechtliches Gehör verletzt hat, indem sie den Schriftsatz der Antragstellerin vom 19.06.2023 unberücksichtigt gelassen hat;
die Hinzuziehung eines Verfahrensbevollmächtigten durch die Antragstellerin sowohl im Verfahren vor der Vergabekammer als auch im Beschwerdeverfahren für notwendig zu erklären;
die Kosten des Verfahrens über die sofortige Beschwerde (Gebühren und Auslagen) sowie die Kosten des Verfahrens vor der Vergabekammer, jeweils einschließlich der außergerichtlichen Kosten der Antragstellerin, der Antragsgegnerin aufzuerlegen.
Die Antragsgegnerin beantragt,
die sofortige Beschwerde in allen Punkten zurückzuweisen;
den Antrag auf erweiterte Akteneinsicht zurückzuweisen;
der Antragstellerin die Kosten des Beschwerdeverfahrens aufzuerlegen.
Die Beigeladene hat keine Anträge gestellt.
Die Antragsgegnerin hat die Entscheidung der Vergabekammer akzeptiert und beabsichtigt, den von der Vergabekammer aufgeworfenen Fragen entsprechend nachzugehen und anschließend erneut über die Zuschlagsfähigkeit des Angebots der Beigeladenen zu entscheiden.
II.
1. Der Nachprüfungsantrag ist insgesamt zulässig.
a. Die Antragstellerin ist antragsbefugt (§ 160 Abs. 2 GWB). Sie hat durch die Abgabe ihres Angebots ihr Interesse an dem Auftrag dokumentiert. Sie macht zudem geltend, durch einen - unter Verstoß gegen § 57 Abs. 1 Nr. 4 VgV - vergaberechtswidrig unterlassenen Ausschluss der Beigeladenen von dem Vergabeverfahren in ihren Rechten verletzt zu sein, wodurch ihr als zweitplatzierter Bieterin - hinter dem Angebot der Beigeladene - ein Schaden durch Verringerung ihrer Zuschlagschancen entstanden sei.
b. Der Nachprüfungsantrag ist nicht nach § 160 Abs. 1, 2, 3 GWB unzulässig. Die Antragstellerin hat bereits auf das erste Bieterinformationsschreiben vom 17.03.2023 (Anlage BF 4) mit Schreiben vom 23.03.2023 (Anlage BF 6) gerügt, dass die Beigeladene wegen Verstoßes ihres Angebots gegen datenschutzrechtliche Vorgaben der Ausschreibungsunterlagen von dem Vergabeverfahren nach § 47 Abs. 1 Nr. 4 VgV auszuschließen sei. Diese Rüge hat sie, nachdem die Antragsgegnerin das Angebot der Beigeladenen in datenschutzrechtlicher Hinsicht weiter aufgeklärt und die Angebote erneut gewertet hatte, nach Erhalt des weiteren Bieterinformationsschreibens vom 11.04.2023 (Anlage BF 13) mit Rügeschreiben vom 17.04.2023 (Anlage BF 14) wiederholt.
2. Der Nachprüfungsantrag hat in der Sache keinen Erfolg. Das Angebot der Beigeladenen ist nach dem derzeitigen Stand des Verfahrens nicht von dem Vergabeverfahren auszuschließen. Ein Ausschlussgrund ergibt sich weder wegen Änderung der Vergabeunterlagen nach § 57 Abs. 1 Nr. 4 VgV (vgl. dazu unter a.), noch ist das Angebot wegen vorsätzlicher oder fahrlässiger irreführender Angaben im Angebot nach § 124 Abs. 1 Nr. 9 c) GWB (vgl. dazu unter b.) oder wegen unzureichender Mitwirkung an der Aufklärung (vgl. dazu unter c.) von der Wertung auszuschließen.
a. Das Angebot der Beigeladenen war nicht nach § 57 Abs. 1 Nr. 4 VgV wegen Änderung an den Vergabeunterlagen von der Wertung auszuschließen.
aa. Nach § 57 Abs. 1 Nr. 4 VgV werden Angebote von der Wertung ausgeschlossen, bei denen Änderungen oder Ergänzungen an den Vergabeunterlagen vorgenommen worden sind. Eine Änderung an den Vergabeunterlagen liegt dann vor, wenn der Bieter nicht das anbietet, was der Ausschreibende bestellt hat, sondern von den Vorgaben der Vergabeunterlagen abweicht (Senat, Beschl. v. 02.08.2017 - VII Verg 17/17, NZBau 2018, 169 Rn 20; Senat, Beschl. v. 22.03.2017 - VII Verg 54/16, NZBau 2017, 684 Rn 24). Derartige Änderungen führen zwingend zum Ausschluss des Angebots (Senat, Beschl. v. 12.02.2020 - VII Verg 24/19, NZBau 2020, 403 Rn 30). Eine nach § 57 Abs. 1 Nr. 4 VgV zum Ausschluss des Angebots führende Änderung des Bieters an den Vergabeunterlagen liegt demgegenüber nicht schon dann vor, wenn sein Angebot nur widersprüchlich ist und sich der Widerspruch durch Aufklärung auflösen lässt. Sind im Angebot des Bieters widersprüchliche Erklärungen enthalten, so ist der öffentliche Auftraggeber nach § 15 Abs. 5 S. 1 VgV zur Aufklärung nicht nur berechtigt, sondern sogar verpflichtet (Senat, Beschl. v. 02.08.2017 - VII Verg 17/17, NZBau 2018, 169 Rn 26).
bb. Vorliegend weicht das Angebot der Beigeladenen nicht von den Vorgaben der Vergabeunterlagen ab, auch ist das Angebot nicht widersprüchlich.
(1) Die Vergabeunterlagen enthalten in Bezug auf den Datenschutz die folgenden Vorgaben: Nach Ziff. 3.1.5 der Leistungsbeschreibung ist eine Datenhaltung in der EU wie folgt gefordert:
„3.1.5 Datenhaltung
Alle Datenhaltungen inklusive Back Office Systeme erfolgt auf Servern in der EU, idealerweise in E..“
Darüber hinaus enthält § 11 des Vertragsentwurfs die nachfolgende Regelung zum Datenschutz:
§ 11 Datenschutz
Die Auftragnehmerin ist gesetzlich zur Einhaltung des Datenschutzes verpflichtet. Sie benennt der Geschäftsstelle die Erreichbarkeitsdaten des hausinternen Datenschutzbeauftragten und hat sicherzustellen, dass alle Personen, die von ihr mit der Erfüllung der vereinbarungsgemäß geschuldeten Leistungen betraut sind, die gesetzlichen Bestimmungen über den Datenschutz beachten. Die nach Datenschutzrecht erforderliche Verpflichtung auf das Datengeheimnis ist der Bedarfsträgerin auf Verlangen nachzuweisen.
Die vorstehend geregelten Verpflichtungen zum Datenschutz gelten ein Jahr über das Ende der Rahmenvereinbarung hinaus.
…“
Weitere Vorgaben beziehungsweise Nachweispflichten in Bezug auf die Einhaltung des Datenschutzes enthalten die Vergabeunterlagen nicht.
(2) Die Beigeladene hat in ihrem Angebot in Bezug auf den Datenschutz genau das angeboten, was die Antragsgegnerin mit der Ausschreibung gefordert hat. Sie hat die ausgeschriebene Leistung zu den in den Vergabeunterlagen aufgeführten Bedingungen angeboten, wie sich aus dem einleitenden ersten Satz ihres Angebotsschreibens ergibt, in dem es wie folgt heißt:
„Sehr geehrte Damen und Herren,
zu den in den Vergabeunterlagen aufgeführten Bedingungen biete ich die ausgeschriebene Leistung an. Mein Angebot entspricht den Vorgaben der Vergabeunterlagen. Abzugebende Erklärungen und Nachweise habe ich beigefügt.“
Zudem heißt es in dem separaten Anschreiben zum geforderten Datenschutz weiter:
„…
Selbstverständlich erfüllen wir Ihre Anforderungen aus der Leistungsbeschreibung vollumfänglich. Ein Großteil der Anforderungen ist im Rahmen unserer existierenden Partnerschaft bereits heute umgesetzt.
…
Ihre Daten und die Daten Ihrer Reisenden werden ausschließlich in E.
bzw. der EU gehalten.
...“
Demgegenüber enthält das Angebot an keiner Stelle Angaben, aus denen sich ergeben könnte, dass die Beigeladene die nach Ziff. 3.1.5 der Leistungsbeschreibung und § 11 des Vertragsentwurfs geschuldeten Anforderungen an den Datenschutz nicht erfüllen wird. Auch ist das Angebot an keiner Stelle in sich widersprüchlich.
b. Die Beigeladene ist nach derzeitigem Sachstand nicht gemäß § 124 Abs. 1 Nr. 9 c) GWB von der Teilnahme am Vergabeverfahren auszuschließen. Es kann nicht festgestellt werden, dass die Beigeladene in Bezug auf Ziff. 3.1.5 der Leistungsbeschreibung oder § 11 des Vertragsentwurfs vorsätzlich oder fahrlässig irreführende Angaben gemacht hat, die die Entscheidung über die Zuschlagsentscheidung erheblich beeinflussen. Hiervon wäre allerdings dann auszugehen, wenn die Beigeladene, obwohl sie gemäß Ziff. 3.1.5 der Leistungsbeschreibung eine Datenhaltung in der EU angeboten hat, diese Anforderung bei Durchführung des Auftrags tatsächlich nicht erfüllen kann oder will. Gleiches gilt in Bezug auf § 11 des Vertragsentwurfs, also die Einhaltung der DSGVO.
aa. Nach § 124 Abs. 1 Nr. 9 c) GWB kann der öffentliche Auftraggeber unter Berücksichtigung des Grundsatzes der Verhältnismäßigkeit ein Unternehmen von der Teilnahme an einem Vergabeverfahren ausschließen, wenn es fahrlässig oder vorsätzlich irreführende Informationen übermittelt hat, die die Vergabeentscheidung des öffentlichen Auftraggebers erheblich beeinflussen könnten, oder versucht hat, solche Informationen zu übermitteln. Der Begriff der „Informationen“ ist dabei sehr weit gefasst und erfasst sämtliche Angaben des Teilnehmers an einem Vergabeverfahren. Informationen dieser Art können neben den Angebotserläuterungen und vergaberechtlichen Rügen auch Angebotsinhalte sein (OLG Naumburg, Beschl. v. 09.08.2019 - 7 Verg 1/19, NZBau 2020, 327 Rn 46; Opitz, in: Burgi/Dreher/Opitz, Beck‘scher Vergaberechtskommentar, 4. Aufl., § 124 Rn 124). Irreführend ist eine Information, wenn sie bei objektiver Betrachtung geeignet ist, bei dem öffentlichen Auftraggeber einen Irrtum über ihren Inhalt hervorzurufen. Auf die subjektive Einschätzung des öffentlichen Auftraggebers kommt es insoweit nicht an (OLG Naumburg, Beschl. v. 09.08.2019 - 7 Verg 1/19, NZBau 2020, 327 Rn 46; Conrad, in: Müller-Wrede, Vergaberecht, 2016, § 124 GWB Rn 190). § 124 Abs. 1 Nr. 9 lit. c GWB erfasst damit auch den Fall, dass ein Bieter zwar ein ausschreibungskonformes Angebot abgibt, er aber schon bei Angebotsabgabe zumindest in Kauf genommen hat (Vorsatz) oder bei Anwendung der erforderlichen Sorgfalt hätte erkennen können (Fahrlässigkeit), dass er das Leistungsversprechen nicht wie angeboten wird erfüllen können (vgl. für den Fall eines „geheimen Vorbehalts“ OLG München, Beschl. v. 17.09.2007 - Verg 10/07, juris; Opitz, in: Burgi/Dreher/Opitz, Beck‘scher Vergaberechtskommentar, 4. Aufl., § 124 Rn 124), denn eine solche irreführende Information über die eigene Leistungsfähigkeit oder die Erfüllbarkeit des Leistungsversprechens ist geeignet, die Vergabeentscheidung des öffentlichen Auftraggebers erheblich zu beeinflussen. In einem solchen Fall wird der Bieter im Wege einer Ermessensreduzierung auf null auszuschließen sein (vgl. OLG München, Beschl. v. 17.09.2007 - Verg 10/07, juris Rn 29).
Grundsätzlich darf ein öffentlicher Auftraggeber darauf vertrauen, dass die Bieter ihre vertraglichen Zusagen auch erfüllen werden (vgl. OLG Karlsruhe, Beschl. v. 07.09.2022 - 15 Verg 8/22, NZBau 2022, 615 Rn 35; Senat, Beschl. v. 15.01.2020 - VII Verg 20/19, juris Rn 70; Senat, Beschl. v. 26.08.2018 - Verg 23/18, BeckRS 2018, 55846 Rn 62; Senat, Beschl. v. 15.07.2015 - VII Verg 11/15, juris Rn 51; KG Berlin, Beschl. v. 21.11.2014 - Verg 22/13, juris Rn 36). Wenn sich allerdings konkrete Anhaltspunkte dafür ergeben, dass dies zweifelhaft ist, ist der öffentliche Auftraggeber - bevor er das Angebot ausschließt - aus Gründen der Transparenz und der Gleichbehandlung der Bieter (§ 97 Abs. 1 S. 1 und Abs. 2 GWB) gehalten, durch Einholung ergänzender Informationen die Erfüllbarkeit des Leistungsversprechens beziehungsweise die hinreichende Leistungsfähigkeit des Bieters zu verifizieren (EuGH, Urt. v.04.12.2003, C-448/01 - juris, Rn 50 - Wienstrom; Senat, Beschl. v. 15.01.2020 - VII Verg 20/19, juris Rn 70; Senat, Beschl. v. 26.08.2018 - Verg 23/18, BeckRS 2018, 55846 Rn 62; KG Berlin, Beschl. v. 21.11.2014 - Verg 22/13, juris Rn 36; vgl. auch OLG Brandenburg, Beschl. v. 20.11.2012 - Verg W 10/12, BeckRS 2013, 7532), wobei er in der Wahl seines Überprüfungsmittels im Grundsatz frei ist (Senat, Beschl. v. 15.01.2020 - VII Verg 20/19, juris Rn 73; OLG München, Beschl. v. 11.05.2007 - Verg 4/07, NJOZ 2008, 2351, 2356; Ziekow, in: Ziekow/Völllink, Vergaberecht, 5. Aufl., § 127 GWB Rn 28).
bb. Unter Zugrundelegung dieser Grundsätze ist die Vergabekammer zu Recht davon ausgegangen, dass ein Ausschluss des Angebots der Beigeladenen derzeit nicht gerechtfertigt ist. Es kann nicht abschließend beurteilt werden, ob die Beigeladene entgegen dem Inhalt ihres Angebots eine Datenhaltung innerhalb der EU nicht durchführen kann oder will (dazu unter (1)) oder bei Vertragserfüllung gegen § 11 des Vertragsentwurfs verstoßen wird (dazu unter (2)).
(1) Dass die Beigeladene entgegen ihrem Angebot eine Datenhaltung in der EU nicht durchführen kann oder will, steht nicht fest. Für eine solche Annahme reicht die Tatsache, dass die Beigeladene in einen internationalen Konzern mit einer V. Konzernmutter eingebunden ist, auch unter Berücksichtigung der für sie geltenden BCR und der veröffentlichten Datenschutzerklärung nicht aus (dazu unter (a)). Gleiches gilt für die von der Antragstellerin behauptete Nutzung der Qualitäts- und Preisvergleichstools D. oder U. durch die Beigeladene (dazu unter (b)).
(a) Die Einbindung der Beigeladenen in einen großen US-Konzern, dessen Konzernmutter die H.2 Ihren Hauptsitz in O. in den V. hat, rechtfertigt nicht die Annahme, dass es aufgrund der Konzernstruktur systembedingt zu einem Datentransfer an konzernzugehörige Unternehmen kommen wird, die im außereuropäischen Ausland sitzen, und es dort zur Datenhaltung kommt.
(aa) Soweit die Antragstellerin geltend macht, konzernverbundene Gesellschaften wie die Beigeladene würden grundsätzlich von gemeinsam genutzten EDV-Plattformen wie Buchungstools und Intranet, aber auch wegen der organisatorisch und gesellschaftsrechtlich begründeten Zuständigkeits- und Weisungsbefugnisse, zwingend und wechselseitig auf personenbezogene Daten ihrer Kunden zugreifen und diese über Ländergrenzen hinweg auf gemeinsam genutzten Servern (die auch und insbesondere in den V. als originärem Heimatstandort sowie in H.1 verortet seien) verarbeiten, übermitteln, speichern und damit auch im außereuropäischen Ausland halten, ist damit nicht gesagt, dass dies vorliegend entgegen dem ausdrücklichen Angebotsinhalt der Fall sein wird. Eine tatsächliche Vermutung für einen solchen Datentransfer und eine solche Datenhaltung in Konzernunternehmen gibt es nicht.
(bb) Nur bedingt aussagekräftig sind in diesem Zusammenhang die Binding Corporate Rules (BCR) der Beigeladenen und ihre veröffentlichte Datenschutzerklärung. Dort sind zwar an unterschiedlichen Stellen Regelungen zum internationalen Datentransfer zwischen Konzernunternehmen enthalten. So etwa in Ziff. 3.2 der BCR, die zum sachlichen Geltungsbereich unter dem Punkt Human Resources die nachfolgende Regelung enthält:
„Die Verarbeitung Personenbezogener Daten durch die B.-Unternehmen - in Verbindung mit den in diesen B. bezeichneten Zwecken - kann eine internationale Übermittlung Personenbezogener Daten Betroffener Personen von einem B.-Unternehmen im EWR zu einem anderen B.-Unternehmen außerhalb des EWR (einschließlich von Ländern im EWR in die Vereinigten Staaten, wo sich die Hauptserver von B. befinden) und eine Weiterübermittlung dieser empfangenen Personenbezogenen Daten an einen Dritten außerhalb der B. umfassen, um die globalen Aktivitäten von B. effektiv auszuüben.“
Weitere Regeln zur internationalen Datenweitergabe finden sich in Ziff. 4.1.2 oder Ziff. 4.1.6 BCR. In der veröffentlichten Datenschutzerklärung der Beigeladenen heißt es auf Seite 4/5 unter dem Punkt „Wie nutzen wir ihre Daten“:
„Ausführung und ständige Verbesserung unseres Geschäfts
Wir nutzen ihre Daten für die Einhaltung unserer Unternehmensrichtlinien und -verfahren, für buchhalterische und finanzbezogene Zwecke, zur Aufdeckung oder Verhinderung von betrügerischen oder kriminellen Handlungen, zur Ausführung, Analyse und Verbesserung unserer Geschäfte und Dienstleistungen und darüber hinaus zu den gesetzlich vorgeschriebenen Zwecken.“
und unter dem Punkt „Wie geben wir ihre Daten weiter“:
„Dienstleister
Wir geben Daten an Dienstleister weiter, die in unserem Auftrag Tätigkeiten ausführen. Dazu gehören beispielsweise unser Netzwerk lokaler Reisebüros, Tagungs- und Veranstaltungsplaner, Visum- und Reisepassdienstleister, mobile Anwendungen und Software-Entwickler sowie Dienstleister, die IT-Unterstützung, Daten-Hosting, Marketing- und Kommunikationsdienstleistungen und Inkassomanagement bereitstellen. Diese Dienstleister greifen nur bei Bedarf auf ihre Daten zu, damit Sie ihre Aufgaben wahrnehmen können, wie in den Verträgen mit uns vereinbart.“
sowie auf Seite 7/8 der veröffentlichten Datenschutzerklärung der Antragstellerin (vgl. Anlage BF 9) zur Datenweitergabe schließlich heißt:
„DATENWEITERGABE AUF INTERNATIONALER EBENE
Wir dürfen Ihre Daten an Jurisdiktionen außerhalb ihres Heimatlandes weitergeben, sofern dies für die hier beschriebenen Zwecke erforderlich ist, einschließlich an Länder, die nicht über das gleiche Datenschutzniveau verfügen wie ihr Heimatland. Hierbei handelt es sich in der Regel um Länder, in denen H.3-Unternehmen angesiedelt sind (companies) sowie um alle von Ihnen bereisten Gebiete mit eigenen Rechtshoheiten. Zum Schutz personenbezogener Daten werden diese gemäß den geltenden gesetzlichen Bestimmungen übertragen, einschließlich, wo nötig, in Übereinstimmung mit unseren entsprechenden Vertragsklauseln oder verbindlichen unternehmensinternen Vorschriften (Binding Corporate Rules, B.). Unabhängig davon, wo ihre Daten durch uns verarbeitet werden, schützen wir sie wie in dieser Datenschutzerklärung beschrieben und in Übereinstimmung mit geltendem Recht und unseren Grundsätzen zum Schutz personenbezogener Daten und der Privatsphäre.“
Zwar ergibt sich aus den zuvor genannten Unternehmensregeln, dass eine internationale Datenweitergabe im Unternehmen möglich ist und durchgeführt werden kann. Jedoch kann hieraus nicht der Rückschluss gezogen werden, dass es immer und in jedem Fall zu einem solchen Datentransfer innerhalb des Konzerns kommen wird. Dies gilt vor allem dann, wenn - wie hier - ausdrücklich eine Datenhaltung innerhalb der EU angeboten wird.
(cc) Nichts Belastbares lässt sich zudem daraus ableiten, dass die Datenschutzabteilung der Beigeladenen - so der Inhalt ihrer Datenschutzerklärung - ihren Sitz in H.1 hat. Hieraus folgt nicht zwangsläufig eine Weiterleitung von Daten nach H.1 und damit in ein Land außerhalb der EU. Die Beigeladene hat in ihrem Schreiben vom 06.04.2023 (vgl. S. 11) ausdrücklich erklärt, dass sie im Rahmen des ausschreibungsgegenständlichen Vertrags einen eigenen hausinternen Datenschutzbeauftragten benannt habe, dessen Kontaktdaten sie dem Auftraggeber im Rahmen ihrer Tätigkeit entsprechend § 11 Abs. 1 S. 2 des Vertragsentwurfs zur Kenntnis bringen werde. In diesem Zusammenhang wird der öffentliche Auftraggeber zur prüfen haben, wie belastbar diese Aussage ist, insbesondere wie der Datenschutzbeauftrage konkret implementiert und den Nutzern des Travel Management Systems bekannt gemacht werden soll.
(dd) Die im Rahmen der bisherigen Anhörung verfassten Antwortschreiben der Beigeladenen vom 06.04.2023, 25.05.2023 und 01.06.2023 lassen ebenfalls nicht den Schluss zu, die Beigeladene werde bei der Auftragsdurchführung Konzernunternehmen außerhalb Europas einsetzen, Daten an diese weiterleiten, und sie dort entgegen Ziff. 3.1.5 der Leistungsbeschreibung halten.
(aaa) Die Beigeladene hat in ihren Schreiben vom 06.04.2023 und 25.05.2023 erklärt, dass die von ihr angebotene Lösung nicht in das weltweite Konzernnetzwerk eingebunden ist und keine Cloud-Dienste oder Rechenzentren außerhalb der EU verwendet, sondern in einer stark abgegrenzten Umgebung operiert werde, wobei per se keine Weiterleitung personenbezogener Daten an andere Unternehmensteile innerhalb des Konzerns stattfinde.
So hat sie einleitend im Aufklärungsschreiben vom 06.04.2023 auf S. 1 f. (Anlage BF 11, Bl. 633 ff. Vergabeakte) wie folgt zusammenfassend ausgeführt:
„Die H. erbringt ihre Leistungen DSGVO-konform. Alle im RFP getätigten Zusagen haben Gültigkeit (Leistungsversprechen).
…
Zunächst möchten wir der guten Form halber feststellen, dass die der Ausschreibung zugrundeliegenden Leistungen bereits im Rahmen eines derzeit laufenden Vertragsverhältnisses ohne Beanstandung des Beschaffungsamtes des BMI durch die H. als Vertragspartner erbracht werden. Die Leistungserbringung erfolgt unter Beachtung der einschlägigen datenschutzrechtlichen Vorgaben, insbesondere denen der Verordnung (EU) 2016/679 (im Folgenden: Datenschutz-Grundverordnung; DSGVO). Dies gilt selbstverständlich weiterhin für alle Leistungen, die wir zukünftig unter dem hier gegenständlichen „Vertrag über Reisebüroleistungen für das TMS des Bundes“ erbringen werden.
Im Ergebnis liegt kein Verstoß gegen § 57 VgV vor, da alle Anforderungen aus § 11 des ausschreibungsgegenständlichen Vertrags und nach Ziff. 3.1.5 der diesem als Anlage 2 beigefügten Leistungsbeschreibung erfüllt werden.
Die von der H. als Zuschlagsdestinärin angebotene Lösung nutzt zur Leistungserbringung keine Cloud-Dienste und keine Rechenzentren, die personenbezogene Daten der Vertragspartnerin in den V. speichern.
Es liegt in der Natur der Sache, dass die Geschäftstätigkeit im Rahmen des ausgeschriebenen Auftrags Datenübermittlungen (auch) in Drittländer bedingt (z. B. an Hotels, Airlines, Bodentransportdienstleister, usw.).
Im Übrigen erfolgt jeder Datentransfer innerhalb der konzerneigenen Unternehmenseinheiten und zu Unterauftragnehmern der H. aus Basis angemessener Transfermechanismen im Sinne der Art. 44 ff. DSGVO.
Die hier relevanten Transfermechanismen sind im Verhältnis zu externen Dienstleistern in der Regel die in Art. 46 Abs. 2 Lit. C) DSGVO definierten Standarddatenschutzklauseln sowie im Konzerninnenverhältnis die sogenannten verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules; BCR) gemäß Art. 47 Abs. 1 DSGV …“
Weiter heißt es auf S. 3 des Schreibens unter dem Punkt Ziff. 2 Gesellschaftsrechtliche und organisatorische Struktur kein Ausschlusskriterium bei der Auftragsvergabe:
„ … Es ist insbesondere nicht davon auszugehen, dass es aufgrund der Konzernverbindung zur rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird.“
Auf Seite 5 des Schreibens heißt es weiter:
„Der Kern der Datenverarbeitung bei der hier in Rede stehenden Leistung erfolgt innerhalb der EU und nicht in den V.. Die von h. im Rahmen des Angebotes angebotene Lösung entspricht den datenschutzrechtlichen Anforderungen gemäß der Ausschreibung. Insbesondere nutzt die von H. angebotene Lösung keine Cloud-Dienste und auch keine Rechenzentren außerhalb der EU. Die durch die H. angebotene Lösung ist gemäß der Ausschreibungsanforderung nicht in das weltweite Konzernnetzwerk der H.3-Unternehmensgruppe eingebunden, sondern operiert in einer abgegrenzten Umgebung mit stark begrenzten Zugriffen (verwaltet durch entsprechende Zugriffsmanagementkontrollen), die sich rein auf die Verwaltung des Datennetzwerks, Patching von Betriebssystemen, Datenbankwartung und -betrieb beschränkten. Es findet insofern per se keine Weiterleitung personenbezogener Daten an andere Unternehmensteile innerhalb des Konzerns statt.“
Dies bestätigt die Beigeladene mit Schreiben vom 25.05.2023, mit dem sie auf das Aufklärungsschreiben der der Vergabekammer vom 22.05.2023 wie folgt auf S. 1 antwortet:
„I. Zusammenfassung
Alle Leistungen, die wir unter dem hier streitgegenständlichen „Vertrag über Reisebüroleistungen für das TMS des Bundes“ erbringen werden, werden selbstverständlich unter Beachtung der einschlägigen datenschutzrechtlichen Vorgaben erbracht, insbesondere denen der Verordnung (EU) 2016/679 (im Folgenden: Datenschutzgrundverordnung; DSGVO). Somit haben auch alle im RFP getätigten Zusagen weiterhin Gültigkeit.
Die von der H. als Zuschlagsdestinärin angebotene Lösung nutzt zur Leistungserbringung, wie gegenüber der Antragsgegnerin bereits dargelegt, insbesondere keine Cloud-Dienst und keine Rechenzentren, die personenbezogene Daten der Antragsgegnerin außerhalb der EU speichern.
Etwaig notwendige Datentransfers erfolgen auf Basis angemessener Transfermechanismen im Sinne der Art. 44 ff. DSGVO. Es liegt daneben weiter in der Natur der Sache, dass die Geschäftstätigkeit im Rahmen des ausgeschriebenen Auftrags aber Datenübermittlungen (auch) in Drittländer bedingt (z. B. an Hotels, Airlines, Bodentransportdienstleister, usw.).“
Auf Seite 2/3 in dem Schreiben unter Ziff. 2 zu dem Punkt „Etwaige Übermittlung personenbezogener Daten an Drittländer und geeignete Garantien im Sinne der Art. 44 ff. DSGVO“ heißt es:
„a. Datenübermittlung an Drittländer
Im Rahmen der hier streitgegenständlichen Leistungserbringung müssen grundsätzlich keine personenbezogenen Daten, die dem Schutz der DSGVO unterliegen an Drittländer im Sinne der Art. 44 ff. DSGVO übermittelt werden. Ausgenommen sind selbstverständlich solche Datenübermittlungen, die auf Veranlassung der Antragsgegnerin aufgrund spezifischer Reisen von Betroffenen erforderlich sind, weil etwa Reisedaten an berechtigte Empfänger (bspw. Hotels, Mietwagenanbieter) in Drittländer übermittelt werden müssen. …
b. Geeignete Garantien
Im Falle eines Datentransfers innerhalb der Unternehmensgruppe dienen die genehmigungspflichtigen BCRs als geeignete Garantien im Sinne des Art. 47 Abs. 1 DSGVO, welche insbesondere auch Regelungen, die den betroffenen Personen ausdrücklich durchsetzbare Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten übertragen, enthalten.“
(bbb) Allerdings sind die Angaben der Beigeladenen aus folgenden Gründen nicht widerspruchsfrei. So hat die Beigeladene in ihrem vorzitierten Schreiben vom 25.05.2023 auf Seite 3 unter lit.b Geeignete Garantien auf einen Datentransfer innerhalb der Unternehmensgruppe verwiesen. Dies steht im Widerspruch zu den Angaben in ihren Schreiben vom 06.04. und 25.05.2023. Dort führt sie aus, die von ihr angebotene Lösung sei nicht in das weltweite Konzernnetzwerk eingebunden; sie verwende keine Cloud-Dienste oder Rechenzentren außerhalb der EU. Sie operiere vielmehr in einer stark abgegrenzten Umgebung, wobei per se keine Weiterleitung personenbezogener Daten an andere Unternehmensteile innerhalb des Konzerns stattfinde. Damit ist unklar, ob es überhaupt zu einem solchen Datentransfer innerhalb der Unternehmensgruppe kommt oder es sich bei vorzitierter Passage nur um eine hilfsweise ergänzende deklaratorische Erläuterung handelt, und falls ein Datentransfer innerhalb der Unternehmensgruppe außerhalb Europas vorgesehen ist, in welchem Umfang dieser stattfindet und ob dieser auch eine Datenhaltung umfasst. Weitere Unklarheiten ergeben sich aus dem Schreiben vom 06.04.2023, wenn es dort auf Seite 5 des Schreibens heißt, dass (lediglich) „der Kern der Datenverarbeitung bei der hier in Rede stehenden Leistung“ innerhalb der EU und nicht in den V. erfolge. Auf Seite 6 des Schreibens heißt es unter lit. a Angemessenes Datenschutzniveau durch BCR im Konzern:
„Unbeschadet der vorstehenden Ausführungen verfügt die H. über unternehmens- und konzernweit verbindliche interne Datenschutzrichtlinien (BCR) gemäß Art. 47 Abs. 1 DSGV, die jeglichen konzerninternen Datentransfer absichern, bzw. geeignete Voraussetzungen schaffen, um personenbezogene Daten im Einklang mit Art. 44 ff. DSGVO an andere Konzernunternehmen in Drittländer zu übermitteln, sofern dies erforderlich und nach den vertraglichen Vorgaben zulässig ist.“
Zudem wird auf Seite 6 unter lit. b Datentransfer aus Basis eines Angemessenheitsbeschlusses ausgeführt:
„ … Ungeachtet der grundsätzlichen Datenhaltung in der EU stünden jedenfalls eine Vielzahl zulässiger Transfermechanismen für eine solche Einbindung von Schwestergesellschaften im Vereinigten Königreich zur Verfügung.“
Trotz der im Übrigen eindeutigen Erklärungen der Beigeladenen, dass die von ihr angebotene Lösung nicht in das weltweite Konzernnetzwerk eingebunden sei und keine Cloud-Dienste oder Rechenzentren außerhalb der EU verwende, sondern in einer stark abgegrenzten Umgebung operiert, wobei per se keine Weiterleitung personenbezogener Daten an andere Unternehmensteile innerhalb des Konzerns stattfinde, ergibt sich aufgrund der Formulierungen „Kern der Datenhaltung“ und „grundsätzliche Datenhaltung“ sowie eines teilweisen Verweises auf ihre BCR betreffend einen konzerninternen Datentransfer weiterer Klärungsbedarf.
Damit wird die Antragsgegnerin nachzufragen haben, inwieweit sich die Beigeladene im Rahmen der Ausführung des Auftrags Konzernunternehmen mit Sitz im außereuropäischen Ausland bedient und ob es dabei zu einer Datenhaltung außerhalb der EU kommen kann, oder ob es sich bei den Ausführungen zum konzerninternen Datentransfer um allgemeine, nicht auf den konkreten Fall bezogene datenschutzrechtliche Angaben handelt.
(b) Eine bereits bei Angebotsabgabe beabsichtigte Datenhaltung durch ein im außereuropäischen Ausland sitzendes Konzernunternehmen folgt nicht aus einer Nutzung von Qualitäts- und Preisvergleichstools.
(aa) Entgegen dem Vorbringen der Antragstellerin kann eine Nutzung des Tools U. bei Erfüllung des verfahrensgegenständlichen Auftrags durch die Beigeladene nicht festgestellt werden. Die Beigeladene hat vielmehr im Gegenteil eine Nutzung dieses Tools ausdrücklich ausgeschlossen.
(bb) Was eine Nutzung des Preisvergleichstools D. anbelangt, so hatte die Beigeladene bei Angebotsabgabe nicht die Absicht, dieses Tool bei Erfüllung des Vertrags einzusetzen. Sie hat in ihrem Aufklärungsschreiben vom 25.05.2023 ausgeführt, dass sie auf eine Nutzung des Preisvergleichstools D. nicht angewiesen und eine Nutzung des Tools zur Auftragserfüllung nicht notwendig sei. Sie verfüge über ein vergleichbares weiteres Qualitätssicherungstool, welches vollständig in der EU gehostet werde. Nur wenn die Antragsgegnerin bei der Leistungserbringung auf eine Einbindung des Tools bestehe, werde sie es einsetzten. Auf explizite Nachfrage der Antragsgegnerin vom 01.06.2023 erklärte sie mit Schreiben vom 02.06.2023, dass eine datenschutzrechtlich zulässige Nutzung von D. gewährleistet werden könne. Ob dies tatsächlich der Fall ist, bedarf zum jetzigen Zeitpunkt keiner Entscheidung, da es für die Frage, ob das Angebot irreführende Angaben im Sinne von § 124 Abs. 1 Nr. 9 c) GWB enthält, auf den Zeitpunkt der Angebotsabgabe abzustellen ist.
(2) Dass die Beigeladene bei der Erfüllung des in Rede stehenden Auftrags aufgrund ihrer Konzernzugehörigkeit (dazu unter (a)), etwaiger Datenübermittlungen in Drittländer (dazu unter (b)) oder aufgrund von Zugriffsmöglichkeit ausländischer Behörden, wie etwa der US Behörden aufgrund des CLOUD-Acts oder Fisa 702 (dazu unter (c)) gegen die DSGVO und daher gegen § 11 des Vertragsentwurfs (Einhaltung der DSGVO) verstoßen wird, weshalb ihr Angebot eine irreführende Angabe enthält, kann ebenfalls nicht festgestellt werden.
(a) Ob und in welchem Umfang sich die Beigeladene aufgrund ihrer Einbindung in einen internationalen Konzern im Rahmen der Ausführung des Auftrags Konzernunternehmen mit Sitz im außereuropäischen Ausland bedient und es dabei zu einem Datentransfer an Konzernunternehmen außerhalb der EU kommen kann, wird die Antragsgegnerin aus den oben (unter Ziff. II.2.b.bb(1)) zur Datenhaltung genannten Gründen weiter aufzuklären haben, wobei - sollte ein solcher konzerninterner Datentransfer festgestellt werden - zu klären wäre, ob für diesen entsprechend dem festgestellten Umfang die aktuellen BCR der Beigeladenen geeignete Garantien im Sinne des Art. 46 DSGVO darstellen, wobei zu berücksichtigen sein wird, dass die einmal erteilte Genehmigung durch die Aufsichtsbehörde in H.1 so lange gültig bleibt nach Art. 46 Abs. 5 DSGVO, bis sie erforderlichenfalls von der Aufsichtsbehörde geändert, ersetzt oder aufgehoben wird, was auch bei erheblichen Änderungen der Fall sein kann.
(b) Soweit es um die Übermittlung personenbezogener Daten in Drittländer außerhalb des Konzerns der Beigeladenen geht, bestehen keine Zweifel an der Einhaltung der DSVGO.
(aa) Die Beigeladene hat in ihren Schreiben vom 06.04. und 25.05.2023 auf das Aufklärungsverlangen der Antragsgegnerin und der Vergabekammer widerspruchslos dargestellt, dass in Länder, für die kein Angemessenheitsbeschluss im Sinne des Art. 45 DSGVO existiert, eine Datenübermittlung auf Grundlage von Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c) DSGVO einschließlich ergänzender Maßnahmen, die die Einhaltung des unionsrechtlichen Schutzniveaus - entsprechend der Entscheidung des EuGHs vom 16.07.2020 (EuGH, Urt. v. 16.07.2020 - C-311/18 - Schrems II, GRUR-RS 2020, 16082) - gewährleisten, erfolge.
Die Beigeladene hat hierzu im Schreiben vom 06.04.2023 auf Seite 2 ausgeführt:
„Es liegt in der Natur der Sache, dass die Geschäftstätigkeit im Rahmen des ausgeschriebenen Auftrags Datenübermittlungen (auch) in Drittländer bedingt (z. B. an Hotels, Airlines, Bodentransportdienstleister, usw.).
…
Die hier relevanten Transfermechanismen sind im Verhältnis zu externen Dienstleistern in der Regel die in Art. 46 Abs. 2 lit. C) DSGVO definierten Standarddatenschutzklauseln …“
Auf Seite 7 heißt es weiter:
„… Sofern bei der Leistungserbringung externe Dienstleister eingesetzt werden, wird vor deren Einsatz durch entsprechende vertragliche Regelungen, wie beispielsweise durch Standarddatenschutzklauseln nach Art. 46 Abs. 2 lit. c sichergestellt, dass das im Rahmen des ausschreibungsgegenständlichen Vertrags vereinbarte Datenschutzniveau eingehalten wird.“
Auch das Schreiben vom 25.05.2023 enthält entsprechende Ausführungen, wenn es dort auf Seite 1 einleitend heißt:
Etwaig notwendige Datentransfers erfolgen auf Basis angemessener Transfermechanismen im Sinne der Art. 44 ff. DSGVO. Es liegt daneben weiter in der Natur der Sache, dass die Geschäftstätigkeit im Rahmen des ausgeschriebenen Auftrags aber Datenübermittlungen (auch) in Drittländer bedingt (z. B. an Hotels, Airlines, Bodentransportdienstleister, usw.).“
So heißt es dort auf Seite 3 unter dem Punkt „a. Datenübermittlung an Drittländer“ entsprechend weiter:
„Im Rahmen der hier streitgegenständlichen Leistungserbringung müssen grundsätzlich keine personenbezogenen Daten, die dem Schutz der DSGVO unterliegen an Drittländer im Sinne der Art. 44 ff. DSGVO übermittelt werden. Ausgenommen sind selbstverständlich solche Datenübermittlungen, die auf Veranlassung der Antragsgegnerin aufgrund spezifischer Reisen von Betroffenen erforderlich sind, weil etwa Reisedaten an berechtigte Empfänger (bspw. Hotels, Mietwagenanbieter) in Drittländer übermittelt werden müssen. …“
Unter dem Punkt „b. Geeignete Garantien“ folgt:
„… Sofern darüber hinaus im Laufe der Leistungserbringung Datentransfers an externe Empfänger in Drittländern, für die kein Angemessenheitsbeschluss im Sinne des Art. 45 Abs. 3 DSGVO besteht, erforderlich sein sollten, wird dies in der Regel auf Basis der Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO erfolgen. Deren Inhalt umfasst potentiell auch weitere ergänzende Maßnahmen, die im konkreten Einzelfall zu ermitteln und zu implementieren sind, um etwaige Rechtsschutzlücken im Drittland zu schließen und die Einhaltung des unionsrechtlichen Schutzniveaus zu gewährleisten.“
(bb) Diese Ausführungen geben keinen Anlass an ihrer Richtigkeit zu zweifeln.
Soweit die Antragstellerin bemängelt, es fehle an einer Konkretisierung und Plausibilisierung der Darstellung, insbesondere, dass derartige Vereinbarungen abgeschlossen und welche zusätzlichen Maßnahmen zur Gewährleistung eines der DSGVO vergleichbaren Schutzniveaus im Einzelfall getroffen worden seien, greift der Einwand nicht durch. Eine ausführlichere Darstellung hat die Antragsgegnerin weder von der Beigeladenen gefordert, noch ist eine dezidiertere Darstellung erforderlich. Es bestehen keine Zweifel an der Richtigkeit ihrer Ausführungen. Zunächst ist nach Art. Art. 49 Abs. 1 lit. c DSGVO eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten in ein Drittland trotz Fehlens eines Angemessenheitsbeschlusses nach Art. 45 Abs. 3 DSGVO oder geeigneter Garantien nach Art. 46 DSGVO einschließlich verbindlicher interner Datenschutzvorschriften zulässig, wenn die Übermittlung zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich ist. Auch wenn Art. 49 Abs. 1 DSGVO als Ausnahmetatbestand restriktiv auszulegen ist, um den durch die DSGVO gewährleisteten Schutz nicht zu unterlaufen (Lange/Filip, in: BeckOK Datenschutzrecht, 46. Aufl., Art. 49 DSGVO Rn 2), dürften insbesondere notwendige Datenübermittlungen zum Zwecke von Reservierungen, Vertragsabschlüssen und Vertragsdurchführungen zwischen einem örtlichen Reiseunternehmen und Dienstleistern im Drittland bereits nach Art. 49 Abs. 1 lit. c) DSGVO zulässig sein (vgl. Schröder, in: Kühling/Buchner, DSGVO BDSG, 4. Aufl., Art. 49 DSGVO Rn 21). Darüberhinausgehend hat die Beigeladene eine Datenübermittlung in Länder, für die kein Angemessenheitsbeschluss im Sinne des Art. 45 DSGVO existiert, auf Grundlage von Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c) DSGVO einschließlich ergänzender Maßnahmen, die die Einhaltung des unionsrechtlichen Schutzniveaus gewährleisten, schlüssig dargelegt. Umstände, die dies zweifelhaft erscheinen lassen, hat schließlich auch die Antragstellerin nicht aufgezeigt.
(c) Zugriffsmöglichkeiten ausländischer Behörden, wie etwa der US Behörden aufgrund des CLOUD-Acts oder Fisa 702 auf die Konzern-Mutter der Beigeladenen rechtfertigen nicht die Annahme, dass die Beigeladene unter Verstoß gegen die DSGVO bereit ist, in der EU gespeicherten personenbezogenen Daten in die V. als ein Drittland zu übermitteln.
Unternehmen mit Sitz in der EU unterfallen nicht der Hoheitsgewalt eines Drittstaats. Das gilt auch, wenn sie Tochterunternehmen eines Konzerns mit Sitz in einem Drittstaat sind. Es ist auch nicht davon auszugehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen wird, beziehungsweise die Beigeladene als das europäische Tochterunternehmen durch seine Geschäftsführer gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird (OLG Karlsruhe, Beschl. v. 07.09.2022 - 15 Verg 8/22, NZBau 2022, 615; Krohn, NZBau 2023, 156, 157 f.).
Etwas anderes ergibt sich im vorliegenden Fall auch nicht ausnahmsweise aufgrund der in Ziff. 11.1. der BCR der Beigeladenen getroffenen Regelung, wo es heißt:
„11.1. Die nationale Gesetzgebung verhindert die Einhaltung der EU-BCRs
…
Wenn ein B.-Unternehmen eine Anforderung von Personenbezogenen Daten durch eine Vollstreckungsbehörde oder eine Staatssicherheitsbehörde erhält, wird der DPO die zuständige Aufsichtsbehörde über die Anforderung informieren (einschließlich der Benachrichtigung über die angeforderten Daten, die anfordernde Behörde und die Rechtsgrundlage der Offenlegung). …
In jedem Fall werden Übermittlungen Personenbezogener Daten von einem B.-Unternehmen an eine öffentliche Behörde nicht übermäßig, unverhältnismäßig oder willkürlich sein. Diese Grenze gilt für alle rechtsverbindlichen Anforderungen auf Offenlegung Personenbezogener Daten durch eine Vollstreckungsbehörde oder eine Staatsicherheitsbehörde.“
Entgegen der Ansicht der Antragstellerin lässt sich aus Ziff. 11.1. BCR nicht herauslesen, dass die in E. ansässige Beigeladene den Anforderungen von US-Behörden nachkommen werden oder nach den konzerninternen Regelungen sogar nachzukommen haben. Die vorgenannte Regelung betrifft vielmehr Informationspflichten, die entstehen, sofern die europäischen BCR aufgrund von Anforderungen von Vollstreckungsbehörden oder Staatssicherheitsbehörden in einem Drittland nicht eingehalten werden können. Die Regelung enthält schon ihrem Wortlaut nach keine Ermächtigung zur Herausgabe in der EU gespeicherter personenbezogener Daten, wo dies gegenüber einem Unternehmen nicht durchsetzbar ist. Dies wird auch durch die Überschrift „Die nationale Gesetzgebung verhindert die Einhaltung der EU-BCRs“ bestätigt. Im Fall eines Herausgabeverlangens einer US-Behörde an die Beigeladene mit Sitz in E. würde die nationale Gesetzgebung in E. die Einhaltung der EU-BCRs nicht verhindern.
c. Das Angebot der Beigeladenen ist nicht wegen unzureichender Mitwirkung an der Aufklärung beziehungsweise unzureichender oder zu pauschaler Beantwortung der im Rahmen der Aufklärung aufgeworfenen Fragen auszuschließen.
Es bedarf keiner Entscheidung, ob vorliegend eine entsprechende Anwendung von § 15 Abs. 2 VOB/A EU überhaupt in Betracht kommt, denn jedenfalls hat die Beigeladene ihre Mitwirkung an einer Aufklärung des Sachverhalts nicht verweigert. Sie hat auf alle Aufklärungsverlangen der Antragsgegnerin und der Vergabekammer reagiert. Auf die Aufklärungsschreiben vom 24./31.03.2023 hat sie mit elfseitigem Schreiben vom 06.04.2023 geantwortet; auf das Aufklärungsgesuch der Vergabekammer vom 22.05.2023 mit dem dreiseitigen Antwortschreiben vom 25.05.2023 und auf die aufgeworfenen Fragen der Antragsgegnerin im Schreiben vom 01.06.2023 hat sie mit Antwortschreiben vom 02.06.2023 konkret geantwortet, und mit Blick auf den konkreten Auftrag die Einhaltung der datenschutzrechtlichen Anforderungen dargestellt und bestätigt. Anhaltspunkte dafür, dass die Beigeladene - so das Vorbringen der Antragstellerin - die ihr gestellten Fragen im Rahmen einer „Verzögerungs- und Hinhaltetaktik“ bewusst ausweichend beantwortet, sind nicht ersichtlich.
3. Anders als die Antragstellerin meint hat eine weitere Aufklärung weder durch den erkennenden Senat noch durch die Vergabekammer stattzufinden. Es ist Sache des öffentlichen Auftraggebers die den Tatbestand des § 124 Abs. 1 Nr. 9 c) GWB begründenden Tatsachen zu ermitteln und den betroffenen Bieter zu den erhobenen Vorwürfen ergänzend anzuhören.
4. Der Feststellungsantrag zu Ziff. 4, festzustellen, dass die 2. Vergabekammer des Bundes die Antragstellerin in ihrem Recht auf rechtliches Gehör verletzt hat, indem sie den Schriftsatz vom 19.06.2023 unberücksichtigt gelassen hat, ist bereits unzulässig, in der Sache aber auch unbegründet. Die Entscheidung, ob Parteivortrag nach Ende der mündlichen Verhandlung noch zu berücksichtigen ist, ist eine reine Verfahrensentscheidung, die nicht isoliert anfechtbar ist (vgl. Frister, in: Ziekow/Völlink, Vergaberecht, 5. Aufl., § 167 GWB Rn 20; Dreher, in: Immenga/Mestmäcker, Wettbewerbsrecht, 6. Aufl., § 167 GWB Rn 23). In der Sache berücksichtigt jedoch das Beschwerdegericht sämtliches Vorbringen, das ihm vor oder in der mündlichen Verhandlung zur Kenntnis gebracht wird (OLG Celle, Beschl. v. 21.01.2016 - 13 Verg 8/15, ZfBR 2016, 386; Frister, in: Ziekow/Völlink, Vergaberecht, 5. Aufl., § 167 GWB Rn 20). Eine Zurückweisung von Vorbringen durch das Beschwerdegericht, das im Verfahren vor der Vergabekammer verspätet war, allein im Hinblick auf die Verspätung im Nachprüfungsverfahren ist nicht möglich. Es fehlt an einer § 531 Abs. 1 ZPO oder § 128 a Abs. 2 VwGO entsprechenden Vorschrift, wonach Angriffs- und Verteidigungsmittel, die von der ersten Instanz zu Recht zurückgewiesen worden sind, auch vom Berufungsgericht nicht zu berücksichtigen sind. Die verfahrensrechtliche Gestaltung des Vergabenachprüfungsverfahrens ist insoweit mit der eines zivil- oder verwaltungsgerichtlichen Verfahrens nicht vergleichbar. Das vor der Vergabekammer unter einem erheblichen Zeitdruck (§ 167 Abs. 1 GWB) stattfindende Verfahren ist kein gerichtliches Verfahren, so dass das nicht an eine Entscheidungsfrist gebundene Oberlandesgericht die erste und zugleich letzte Gerichtsinstanz bildet. Mangels einer dem Regelungsinhalt der § 531 Abs. 1 ZPO oder § 128a Abs. 2 VwGO vergleichbaren Verfahrensgestaltung kommt auch eine entsprechende Anwendung der Präklusionsvorschriften anderer Verfahrensordnungen nicht in Betracht (OLG Celle, Beschl. v. 21.01.2016 - 13 Verg 8/15, ZfBR 2016, 386).
III.
Die Kostenentscheidung beruht auf § 175 Abs. 2 i.V.m. § 71 GWB. Demnach trägt die Antragstellerin die Kosten ihres unbegründeten Rechtsmittels.