Mit fortschreitender Digitalisierung nimmt auch die Verarbeitung personenbezogener Daten in vielen Bereichen des täglichen Lebens stetig zu. Dieser unausweichlichen Entwicklung werden politisch wie rechtlich mit den Instrumentarien des Datenschutzes umfangreiche flankierende Rahmenbedingungen auferlegt. Mit diesem Beitrag fassen wir den Stand in Sachen E-Vergabe und Datenschutz zusammen.

Datenschutz: Älter als gedacht

Die Erkenntnis der Schutzwürdigkeit personenbezogener Daten ist bereits über ein halbes Jahrhundert alt: Das Hessische Datenschutzgesetz von 1970 gilt als das weltweit erste Gesetz dieser Art. Auf nationalstaatlicher Ebene folgte Schweden im Jahr 1973. Bis Ende der 1980er-Jahre haben mehrere europäische Staaten (Frankreich, Deutschland, die Niederlande und das Vereinigte Königreich) Rechtsvorschriften zum Datenschutz eingeführt. Auf EU-Ebene ist das Recht auf Datenschutz heute als eigenständiges Grundrecht anerkannt und in Artikel 16 des Vertrags über die Arbeitsweise der Europäischen Union sowie in Artikel 8 der Charta der Grundrechte der EU bekräftigt.

Blickt man auf die jüngere Vergangenheit, so war es vor allem die Datenschutz-Grundverordnung (DSGVO, verpflichtend anzuwenden seit dem 25. Mai 2018), die regelrechte Schockwellen durch Politik, Wirtschaft und Gesellschaft geschickt hat: Großunternehmen und Handwerksbetriebe, soziale Netzwerke und Blogger, Wirtschaftsverbände und Kleingartenvereine sahen sich immensen Anforderungen ausgesetzt. Webseiten wurden um Datenschutzerklärungen und Cookie-Banner ergänzt oder komplett abgeschaltet, Datenschutzbeauftragte wurden empfangen wie die Beatles im Star Club und man diskutierte die Rechtmäßigkeit der Angabe von Namen auf Visitenkarten, Abi-T-Shirts und Mitgliedslisten im Internet.

Seitdem hat sich die Aufregung weitgehend gelegt. Mitunter erregen spektakuläre Rekordstrafen aufgrund von Datenschutzverstößen wie jüngst gegen Amazon öffentliche Aufmerksamkeit, regelmäßig ermahnt der Bundesdatenschutzbeauftragte Bundesbehörden zu Datensparsamkeit, der Digital Services Act soll den Tech-Konzernen Grenzen beim Umgang mit besonderen persönlichen Informationen wie Religionszugehörigkeit, sexueller Orientierung oder Gesundheitsdaten setzen.

Auf privater Ebene wird der laxe Umgang mit den eigenen Daten vielleicht mit einem schlechteren Gewissen, aber doch mit unverminderter und wachsender Intensität gepflegt. Sei es im Rahmen des Bonusprogramms im Supermarkt, gegenüber kalifornischen Werbevermarktern (to make the world a better place) oder beim chinesischen Tanzvideo-Portal.

Dabei mussten wir in den vergangenen Jahren schmerzvoll lernen, dass der Schutz unserer persönlichen Daten ein hochgradig relevantes Thema ist und bleibt. Persönliche Profile lassen sich anhand erstaunlich weniger Datenpunkte bilden und können dauerhaft und weltweit für eine Vielzahl von Zwecken eingesetzt werden – von der Werbung bis hin zur (manipulativen) Meinungs- und Willensbildung.

Keinen Beitrag mehr verpassen? Jetzt für unseren Newsletter anmelden und Themen auswählen

Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich.

E-Vergabe und Datenschutz

Für die Öffentliche Beschaffung und die E-Vergabe lässt sich sicher sagen, dass viele der bekannten und zuvor genannten Fallstricke nicht gelten: Weder geht es um individualisierte Werbung, noch um die tiefgreifende Vernetzung natürlicher Personen und auch die Bildung umfassender Profile ist ebenso ausgeschlossen wie der Handel mit Daten. Vielmehr bestehen regelmäßig gesetzlich normierte Erlaubnistatbestände, u.a. nach Art. 6 Abs. (1) lit. e DSGVO.

Natürlich fallen etwa zu Zwecken der Korruptionsprävention oder der Vergabedokumentation auch bei der E-Vergabe personenbezogene Daten an. Nicht erst seit Einführung der DSGVO ist neben den für Vergabeverfahren spezifischen Gesetzen und Verordnungen auch auf datenschutzrechtliche Regelungen zu achten. Daher haben wir in den vergangenen Jahren im cosinex Blog vielfach über Datenschutz im Kontext von Vergaberecht, E-Vergabe und unseren Lösungen berichtet.

Der wohl umfassendste Überblick stammt von Astrid Luedtke, Salaried Partnerin der Kanzlei Heuking Kühn Lüer Wojtek im Büro Düsseldorf. Sie geht nicht nur näher auf den Begriff der personenbezogenen Daten im E-Vergabeverfahren ein, sondern schildert auch datenschutzrechtliche Erlaubnistatbestände und die Rechte der betroffenen Personen.

Einige weitere Artikel beleuchten Teilaspekte von Vergabeverfahren im Kontext des Datenschutzes:

Personenbezogene Eignungskriterien

Zwar werden Eignungskriterien in der Regel unternehmensbezogen gesehen, mindestens teilweise aber sind sie auch personenbezogen. Darauf wies Dr. Klaus Willenbruch schon 2013 in einem Fachbeitrag für das cosinex Blog hin:

Dies gilt – dem Gewerberecht folgend – für das Kriterium der Zuverlässigkeit, aber auch für das Kriterium der Leistungsfähigkeit, sofern beispielsweise auf Erfahrungen von Mitarbeitern abgestellt wird oder auf die Qualifikation Dritter, die der Bieter für sich in Anspruch nehmen kann.

Öffentlichen Auftraggebern empfiehlt Willenbruch deshalb, in den Ausschreibungsbedingungen gegebenenfalls darauf hinzuweisen, dass die Einwilligung betroffener Mitarbeiter zu der Erhebung persönlichen Daten beizubringen ist.

Datenschutz und Referenzen

Ist die Forderung nach Benennung eines Ansprechpartners bei Referenzen mit der DSGVO vereinbar? Im September 2018 haben wir uns mit dieser Frage auseinandergesetzt und kamen zu dem Schluss, dass sich Bewerber mit Aussicht auf Erfolg unter Berufung auf die DSGVO z.B. auf Basis des § 46 Abs. 3 VgV, der Nennung einiger personenbezogener Daten nicht entziehen können:

Die namentliche Benennung von Mitarbeitern nebst Details zu Werdegang, Qualifikation, Erfahrung etc. als Referenzen und Zuschlagskriterium unterliegt nicht nur der DSGVO, sondern steht auch nicht im Widerspruch zu letzterer, da ihre Verfasser in Brüssel und Luxemburg dankenswerterweise die flankierende Rechtsprechung nicht ausgeblendet haben.

Datenschutz in Bekanntmachungen

Bekanntmachungen, zumal wenn sie dauerhaft und unveränderbar gelten, wie im Fall EU-weiter Verfahren, sollten auf die Angabe personenbezogener Daten und einer personenbezogenen E-Mail-Adresse verzichten. Hier empfehle sich – mit wenig Aufwand und als relativ einfach durchzusetzende organisatorische Maßnahme – die Einrichtung einer Organisations- bzw. Funktions-E-Mail-Adresse, beispielsweise vergabestelle@…, wie wir im September vergangenen Jahres erläuterten.

§ 41 VgV: Datenschutz als Ausnahmetatbestand

Dürfen in Ausnahmefällen die Teilnahme- oder Vergabeunterlagen erst nach einer Registrierung zur Verfügung gestellt werden? § 41 Abs. 1 VgV ist hier eigentlich unmissverständlich.

Allerdings existiert eine Ausnahme für den Fall, dass die Daten aus Gründen der Vertraulichkeit nicht direkt abrufbar sein sollen oder dürfen. Dies gilt etwa, wenn die in den Ausschreibungsunterlagen enthaltenen Daten (aus Gründen des Datenschutzes oder auch des Wettbewerbsschutzes) nicht direkt herunterladbar bereitgestellt werden können bzw. dürfen. Norbert Dippel, Syndikus der cosinex, hat das Regelungsdickicht 2018 in einem Fachbeitrag entflochten und Hinweise bezüglich der Fristverlängerung und der Ansprüche des Bieters gegeben.

Datenschutz bei der cosinex

Sparsamkeit im Umgang mit personenbezogenen Daten ist für uns seit jeher (d.h. bereits weit vor den Übergangs- und Regelungsfristen zur DSGVO im Jahre 2018) genauso selbstverständlich wie die Auswahl qualifizierter und zertifizierter deutscher Partner für den Betrieb unserer Software as a Service-Lösungen, Verpflichtungserklärungen unserer Mitarbeiter sowie ergänzender Sicherheitsüberprüfungen, die weit über die üblichen Standards hinausgehen. Zudem verarbeiten wir Daten ausschließlich an deutschen Standorten mit ISO-27001 zertifizierten und Datenschutz-auditierten Partnern.

Claranet, unser Partner für den Betrieb von Cloud-Lösungen, wurde 2017 als einer der ersten Anbieter mit dem Trusted Cloud Label des Bundesministeriums für Wirtschaft und Energie (BMWi) ausgezeichnet und erfüllte damit die Anforderungen des BMWi hinsichtlich Transparenz, Sicherheit, Qualität und Rechtskonformität. Einen Bericht der Claranet GmbH, wie wir mit dem VMS „in die Cloud“ kamen und welche Herausforderungen dabei von Claranet und uns gelöst wurden, finden Sie unter diesem Link.

2017 ist die cosinex GmbH der Allianz für Cyber-Sicherheit beigetreten. Dabei handelt es sich um eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Als Zusammenschluss aller wichtigen Akteure im Bereich der Cyber-Sicherheit in Deutschland verfolgt die Initiative das Ziel, aktuelle und valide Informationen zu aktuellen Gefährdungen im Internet bereitzustellen, so wie es jüngst im Zusammenhang mit der Schwachstelle in einer Java-Protokollierungsbibliothek kurzfristig erforderlich war. Sie unterstützt zudem aktiv den Informations- sowie Erfahrungsaustausch zwischen Partnern, Teilnehmern und Multiplikatoren.

Verwandte Beiträge

Titelbild: geralt – Pixabay