[München, 3. November 2015] - Vor zwei Wochen hat der Europäische Gerichtshof (EuGH) den „Safe Harbor“-Beschluss der EU-Kommission für unwirksam erklärt (Urteil vom 6. Oktober 2015, C-362/14- „Schrems“). Nun hat das Oberlandesgericht Düsseldorf – in der ersten höchstrichterlichen Entscheidung zum Thema „No-Spy“ – mit Beschluss vom 21. Oktober 2015 (Az.: VII-Verg 28/14) die Zuschlagserteilung im Vergabeverfahren über die Beschaffung von „Virenschutzsoftware für die Bundesverwaltung“ untersagt und das Verfahren an die Vergabestelle zurückverwiesen. In seiner Urteilsbegründung betonte das OLG insbesondere, dass „No-Spy“-Garantien keine Diskriminierung gegenüber ausländischen Anbietern darstellen. „Darüber hinaus wertet das EuGH-Urteil zu ‚Safe Harbor‘ die Rolle der Datenschützer in öffentlichen Vergabeverfahren ab sofort auf“, erklären die Rechtsanwälte von GvW Graf von Westphalen. GvW hat den Beschwerdeführer erfolgreich durch ein Team um die Partner Dr. Ingrid Reichling (Vergaberecht, München) und Arnd Böken (Datenschutzrecht, Berlin) vertreten.

In dem EU-weiten verteidigungs- und sicherheitsrelevanten Vergabeverfahren nach der Vergabeverordnung Verteidigung und Sicherheit (VSVgV) ging es um den Abschluss einer Rahmenvereinbarung über die Beschaffung von Antivirensoftware für die Bundesverwaltung im Wege eines Verhandlungsverfahrens nach Teilnahmewettbewerb. Gefordert wurde u.a. die Einrichtung eines „lokalen Reputationsdienstes“ im Regierungsnetzwerk (zu verstehen als eine Art „Schutzschicht zwischen dem eigenen Netzwerk und dem Internet“) sowie die Gewährleistung umfassender „Vertraulichkeit“ zur Wahrung der Sicherheitsinteressen der Bundesverwaltung (vgl. OLG Düsseldorf, a.a.O.). Der Zuschlag sollte an einen Bieter erfolgen, der nach Auffassung der Beschwerdeführerin diese Anforderungen nicht erfüllen kann. Nachdem der Nachprüfungsantrag vor der Vergabekammer des Bundes erfolglos geblieben war, legte die Antragstellerin sofortige Beschwerde beim Oberlandesgericht Düsseldorf ein.

„No-Spy“-Garantien sind keine Diskriminierung

Mit Erfolg. Der Vergabesenat stützt seine Entscheidung zwar auf bestehende Vergaberechtsverstöße bei der Verfahrensdurchführung, insbesondere gegen das Transparenzgebot, nimmt darüber hinaus jedoch in einem obiter dictum detailliert zum Thema „No-Spy“ Stellung. Das OLG Düsseldorf bestätigt darin, dass die Forderungen von „No-Spy“-Garantien durch öffentliche Auftraggeber zwar nicht im Rahmen der Eignung, aber „als besondere Anforderungen an die Auftragsausführung im Sinne des § 97 Abs. 4 Satz 2 GWB zugelassen“ sind.

Der Vergabesenat erteilte auch der teilweise aufgekommenen Kritik, die Forderung von „No- Spy“-Garantien würde Bieter diskriminieren, die – wie insbesondere Unternehmen, die dem US-amerikanischen Recht unterfallen – von Gesetzes wegen zur Datenweitergabe an ausländische Sicherheitsbehörden verpflichtet seien, eine Absage. Die Forderung der Datensicherheit sei zulässig, sofern der öffentliche Auftraggeber sie auf „einen anerkennenswerten und durch den Auftragsgegenstand gerechtfertigten sachlichen Grund, wie einen Schutz sensibler, für den Schutz des Staates relevanter Daten,“ stütze und sämtliche auftragsinteressierten Unternehmen – unabhängig von ihrem Sitz – „diskriminierungsfrei mit derselben Anforderung belegt“ würden. Der öffentliche Auftraggeber sei gerade nicht verpflichtet, „Ausschreibungen so zuzuschneiden, dass sie – auch unter den Bedingungen, denen sie nach jeweils nationalem Recht (also nach ausländischem Recht) unterliegen – zum Unternehmens- und Geschäftskonzept jedes potentiellen Bieters passen.“

Zum konkreten Verfahren bemerkte der Vergabesenat zudem, dass selbst wenn die beigeladene Bieterin „in ihren bisherigen Angeboten von der Virenschutz-Software eines USamerikanischen Herstellers Gebrauch gemacht haben sollte“, es wegen der begründeten Vergaberechtsverstöße, die bereits zu einer Zurückversetzung und Wiederholung des Vergabeverfahrens führen, nicht darauf ankomme, ob sie die „No-Spy“-Anforderungen erfüllen könne. Denn die beigeladene Bieterin könnte „einen solchen Mangel mit einem neuen Angebot vermeiden, indem sie sich der Software eines Herstellers bedient, der keinen Auskunfts-oder Zugriffsrechten von US-Nachrichtendiensten unterliegt und bei der die geforderte Datensicherheit unbedenklich gegeben ist.“

Wachsender Einfluss von Datenschützer in öffentlichen Vergabeverfahren Bedeutung kommt dem Beschluss des OLG Düsseldorf auch im Hinblick auf das eingangs erwähnte Urteil des EuGH 6. Oktober 2015 (Rs. C–362/14) zu, in dem der EuGH die sog. „Safe Harbor“-Entscheidung der EU-Kommission 2000/520 für unwirksam erklärte, da sie die Grundrechte der EU-Bürger nicht ausreichend schütze. Der EuGH führte in der Begründung u.a. aus, dass der massenhafte und undifferenzierte Zugriff auf in die USA übermittelte personenbezogene Daten durch NSA und andere US-Bundesbehörden offenkundig gegen den Grundsatz der Verhältnismäßigkeit verstoße.

Darüber hinaus haben die Luxemburger Richter klargestellt, dass es in den Zuständigkeitsbereich der unabhängigen nationalen Datenschutzbehörden fällt, die Einhaltung der nationalen Vorschriften zum Datenschutz zu gewährleisten und eine etwaige Übermittlung von Daten in Staaten außerhalb der EU zu kontrollieren. Damit dürfte die „Safe Harbor“-Entscheidung des EuGH indirekt auch Auswirkungen auf die Forderung von „No-Spy“-Garantien durch öffentliche Auftraggeber zeigen. Im Falle von öffentlichen Ausschreibungen, bei deren Gegenstand die Möglichkeit eines Transfers personenbezogener Daten in die USA in Betracht kommen könnte, kann daher nur die zuständige unabhängige Datenschutzbehörde die Gefahren für die Sicherheit der vorgesehenen bzw. vorgeschlagenen Verarbeitungsverfahren prüfen.