Die deutsche Medizintechnik-Industrie / SPECTARIS Jahrbuch 2022/2023

61 nicht. Die Verwendung der Standarddatenschutzklauseln sei nicht geeignet, die Übermittlung zu legitimieren. Hintergrund der Entscheidung der Vergabekammer ist das unter der Bezeichnung „Schrems II“ bekannte Urteil des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020 (Rs. C-311/18). In dessen Folge konnten sich EU-Unternehmen bei einer Übermittlung von Daten in die USA nicht mehr auf das transatlantische sog. „Privacy Shield“-Abkommen berufen. Dies deshalb, weil es US-Über- wachungsgesetze (wie eben der angesprochene CLOUD Act) amerikanischen Sicherheitsbehörden ermöglichen, auch auf Daten von EU-Bürgern zuzugreifen. Die Entscheidung der Vergabekammer wurde in der Folge kon- trovers diskutiert. Das in der Beschwerdeinstanz angerufene Oberlandesgericht Karlsruhe hat die Entscheidung der Vergabekammer Baden-Würt- temberg mit Beschluss vom 7. September 2022 (Az.: 15 Verg 8/22) aufgehoben. Nach Auffassung des Senats ist im Rahmen eines Vergabenach- prüfungsverfahrens grundsätzlich davon auszugehen, dass ein Bieter seine vertraglichen Zusagen erfüllen wird. Erst wenn sich aufgrund konkreter Anhaltspunkte Zweifel daran ergeben, muss der öffentliche Auftraggeber ergänzende Informationen einholen und die Erfüllbarkeit des Leistungsversprechens prüfen. In dem hier entschiedenen Fall hatte die Bieterin jedoch eindeutige Zu- sicherungen zu dem Inhalt des Vertrags zwischen ihr und der Unterauftragnehmerin (Hosting-Dienstleisterin) gemacht. Die Auftraggeber mussten, so der Senat, nicht davon ausgehen, dass es nur aufgrund der Konzernbindung zu rechts- und vertrags- widrigen Weisungen an das Tochterunternehmen kommen wird bzw. das europäische Tochterunternehmen durch seine Ge- schäftsführer (nach EU-Recht) gesetzeswidrigen Anweisungen der US-amerikanischen Muttergesellschaft Folge leisten wird. Wenn das Unternehmen sich vertraglich verpflichte, keine Daten zu übermitteln, dann könnten die Auftraggeber davon ausgehen, dass es sich daran halten werde. Entscheidend ist also, und das dürfte auch die weitere Diskussi- on und Entscheidungspraxis anderer Vergabekammern und Ober- landesgerichte hierzu prägen, ob ein theoretisch bestehendes Zugriffsrisiko mit einer Übermittlung gleichgesetzt werden kann. Letztlich ist hier im Interesse der Rechtssicherheit aber der EU- Gesetzgeber aufgerufen, Klarheit darüber zu schaffen, unter welchen Voraussetzungen Cloud-Leistungen von Unternehmen, bei denen es sich um Tochtergesellschaften von Nicht-EU- (insbesondere US-)Unternehmen handelt, genutzt werden können. Zu regeln wäre dies vornehmlich im Rahmen des Rechtsaktes zur Cybersicherheit (Cybersecurity Act) der EU. » TQ-Medical – elektronische Baugruppen und Komplettgeräte für Medizintechnikfirmen, Quelle: © TQ-Systems GmbH SPECTARIS Jahrbuch 2022/2023 | Medizintechnik