Wie bei der Einführung von E-Government-Lösungen generell stellt sich auch im Kontext der E-Vergabe die Frage, welcher Bedeutung das Thema Datenschutz beigemessen werden muss. Dass es hierbei nicht nur um die Frage nach personenbezogenen Daten der Mitarbeiter der Vergabestelle geht und in welchem Spannungsfeld Vergaberecht und Datenschutz stehen, zeigt der folgende Beitrag von Hr. RA Dr. Klaus Willenbruch.
(BS/Klaus Willenbruch*) In vielen Bereichen des Rechtslebens, nicht nur in den IT-nahen Branchen, kommt dem Datenschutz heutzutage ein hoher Stellenwert zu. Der Bereich des Vergaberechts gehört nicht dazu, obgleich in jedem Vergabeverfahren auch personenbezogene Daten eine Rolle spielen. Es ist deshalb öffentlichen Auftraggebern zu empfehlen, dem Gesichtspunkt des Datenschutzes Beachtung zu schenken und sich im Verfahren darauf eizustellen.
Nach §97 Abs. 4 GWB werden Aufträge an fachkundige, leistungsfähige und zuverlässige Unternehmen vergeben. Zwar werden diese Eignungskriterien i.d.R. unternehmensbezogen gesehen, mindestens teilweise aber sind sie personenbezogen. Dies gilt – dem Gewerberecht folgend – für das Kriterium der Zuverlässigkeit, aber auch für das Kriterium der Leistungsfähigkeit, sofern bspw. auf Erfahrungen von Mitarbeitern abgestellt wird oder auf die Qualifikation Dritter, die der Bieter für sich in Anspruch nehmen kann.
Was ist zu beachten?
Jedes Vergabeverfahren arbeitet mit personenbezogenen Daten, beginnend mit den Namen und den Kontaktdaten von Privatpersonen bis hin zu Bonitäts- und Qualifikationsnachweisen. Soweit und sofern diese nicht alleine unternehmensbezogen, sondern auch personenbezogen sind, fallen sie in den Schutzbereich des Datenschutzes. Sowohl das Bundesdatenschutzgesetz wie auch die entsprechenden Landesdatenschutzgesetze verpflichten öffentliche Auftraggeber, sei es auf Bundes- oder auf Landesebene, sodass eine Auseinandersetzung mit der Frage angebracht ist, was der öffentliche Auftraggeber bei der Anforderung, Prüfung und Bewertung personenbezogener Daten zu berücksichtigen hat.
Nach § 4 BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder der Betroffene eingewilligt hat (Verbot mit Erlaubnisvorbehalt). Daneben gilt der allgemeine Grundsatz der Verpflichtung zur Geheimhaltung nach § 30 VwVfG, der allerdings als allgemeinere Vorschrift hinter die datenschutzrechtlichen Normen zurücktritt.
Zweckbindung im Datenschutz
Nach § 14 Abs. 1 BDSG ist die Nutzung personenbezogener Daten zulässig, wenn sie zur Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben erforderlich ist und sie für die Zwecke erfolgt, für die Daten erhoben worden sind. Betont wird damit der Zweckbindungsgrundsatz / Erforderlichkeitsgrundsatz, der im gesamten Vergaberecht ohnehin gilt.
Dieser Grundsatz wird im Vergaberecht konkretisiert durch den § 6 Abs. 3 VOL/A bzw. § 7 Abs. 1 VOL/A – EG sowie § 6 Abs. 3 VOB/A. Diese vergaberechtlichen Vorschriften erhalten durch die datenschutzrechtlichen Normen eine besondere Bedeutung, und zwar in dem Sinne, dass Auftraggeber sich bei dem Erfordernis von Nachweisen streng an die Grenzen der Zweckbindung / Erforderlichkeit zu halten haben. Sie können sich nicht drauf berufen, dass die Teilnahme an einem Vergabewettbewerb freiwillig ist und mit der Abgabe eines Angebots eine Einwilligung zur Verarbeitung der darin enthaltenen personengebundenen Daten erklärt werde. Nach § 4 BDSG ist die Einwilligung nämlich schriftlich zu erteilen (§ 126 BGB); eine konkludente Einwilligung ist nicht ausreichend. In diesem (engen) Rahmen ist also das Anfordern und Nutzen personenbezogener Daten von Bietern datenschutzrechtlich gesehen grundsätzlich zulässig.
Direkterhebung
Allerdings darf nicht übersehen werden, dass § 4 Abs. 2 BDSG den Grundsatz der Direkterhebung festlegt, d.h. es dürfen grundsätzlich nur Daten des Betroffenen bei diesem erhoben werden. Wenn der betroffene Bieter sich zur Darlegung seiner Eignung auf personenbezogene Daten von Geschäftsführer, Mitarbeiter oder Dritten bezieht, so geschieht dies i.d.R. ohne deren Beteiligung. Nach § 4 Abs. 2. S. 2 BDSG darf vom Grundsatz der Direkterhebung aber nur abgewichen werden, wenn eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt, oder wenn die Dritterhebung aus vorrangigen sachlichen Gründen gerechtfertigt ist.
Das mag im Hinblick auf die Zuverlässigkeit eines GmbH-Geschäftsführers ohne Weiteres angenommen werden. Wenn es um die fachliche Qualität von Mitarbeitern geht, so ist dies allerdings schon zweifelhaft. Aus Gründen des Datenschutzes sind in diesen Fällen sowohl der öffentliche Auftraggeber als auch der Bieter verpflichtet, entweder die Einwilligung des betroffenen Mitarbeiters/Dritten einzuholen oder die Daten so zu neutralisieren, dass die einzelnen Mitarbeiter/Dritte dadurch nicht identifiziert werden können.
Schutzmaßnahmen
Letzteres kann im Vergabeverfahren schwierig sein, wenn die Bewerbung um einen öffentlichen Auftrag bspw. auf dem Know-how eines bestimmten Mitarbeiters beruht, auf dessen Einsatz der Auftraggeber besonderen Wert legt. Und ein Hinweis auf die Freiwilligkeit der Hergabe der Angaben über den Betroffenen hilft auch nicht weiter. Dem öffentlichen Auftraggeber ist deshalb zu empfehlen, in den Ausschreibungsbedingungen ggf. darauf hinzuweisen, dass die Einwilligung des betroffen Mitarbeiters/Dritten zu der Erhebung seiner persönlichen Daten beizubringen ist.
Unabhängig davon verpflichtet § 9 BDSG den öffentlichen Auftraggeber dazu, technische und organisatorische Maßnahmen zu treffen, die zum Schutz der im Gesetz im Einzelnen aufgeführten Anforderungen des Datenschutzes erforderlich sind. Diese Daten müssen in einem Verfahren vor Verlust oder Missbrauch geschützt werden. Sie sind zu sichern und ggf. über § 20 BDSG zu berichtigen, zu löschen und zu sperren. Die in diesem Zusammenhang von der Vergabestelle getroffenen Maßnahmen sind über den allgemeinen Geheimhaltungsgrundsatz des § 30 VwVfG hinaus zu dokumentieren, teils als Selbstschutz der Vergabestelle, teils zum Zwecke der Rechtssicherheit der Vergabeentscheidung. Denn neben datenschutzrechtlichen Konsequenzen drohen vergaberechtlich Probleme, die ggf. zum Gegenstand eines Nachprüfungsverfahrens gemacht werden können.
*Rechtsanwalt Dr. Klaus Willenbruch, Taylor Wessing, Hamburg
Die Erstveröffentlichung dieses Beitrags erfolgte im Behördenspiegel, einer monatlich erscheinenden überregionalen Zeitung für den Öffentlichen Dienst in Deutschland. Ausgabe vom Januar 2011 (S.29).