Die mit der Datenschutzgrundverordnung einhergehenden Regelungen müssen auch im Rahmen von Vergabeverfahren beachtet werden. Ein Beitrag von Dr. Söntje Hilberg und Sebastian Schnitzler von Deloitte Legal zeigt die Besonderheiten, die bei der Beachtung der neuen Datenschutzgrundverordnung im Rahmen öffentlicher Ausschreibungen vorliegen, auf. 

Keinen Beitrag mehr verpassen? Jetzt für unseren Newsletter anmelden und Themen auswählen

Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich.

Seit Mai 2018 gilt die europäische Datenschutzgrundverordnung (DSGVO) unmittelbar in allen EU-Mitgliedstaaten. Die Reform hatte nicht nur eine Vereinheitlichung des Datenschutzrechts in Europa zur Folge, sondern zog auch umfangreiche Diskussionen in der Öffentlichkeit und damit einhergehende Medienpräsenz nach sich. Es gibt nahezu kein Unternehmen, welches sich im Jahre 2018 nicht mit datenschutzrechtlichen Fragestellungen auseinandersetzen musste. Das durch die DSGVO wesentlich prominentere Thema Datenschutz erlangt zunehmend auch Einfluss auf den geschäftlichen Alltag der öffentlichen Hand, denn ein weiterer Treiber für die zunehmende Bedeutung des Themas ist die ab Oktober 2018 zwingend vorgegebene Durchführung elektronischer Vergabeverfahren.

Insbesondere bei der Vergabe öffentlicher Aufträge werden personenbezogene Daten – etwa Namen, Adressen, Zeugnisse und andere personenbezogene Daten wie Referenzen – zwischen der öffentlichen Hand als Vergabestelle und den Bietern aus der Privatwirtschaft übermittelt. So findet in allen Phasen des Vergabeverfahrens die Verarbeitung personenbezogener Daten statt. Dies wird gerne und oft übersehen – jedoch sind öffentliche Auftraggeber ebenso wie am Verfahren teilnehmende Unternehmen als Adressaten der DSGVO für den Schutz personenbezogener Daten verantwortlich. So muss sich die Datenverarbeitung auch im Vergabeverfahren an datenschutzrechtlichen Grundsätzen orientieren und zweckmäßig, transparent und beschränkt auf das notwendige Maß erfolgen. Tatsächlich besteht zwischen dem Datenschutz- und dem Vergaberecht kein Widerspruch. Im Vergaberecht wird gerade nicht angestrebt, möglichst viele Daten zu sammeln, denn es sollten bereits aus Effizienzgründen nur solche Daten verlangt werden, die für den konkreten Beschaffungsgegenstand relevant sind. Problematisch ist insoweit, dass Bieter oftmals Daten übermitteln, die nicht explizit eingefordert wurden, um auf diese Weise ihre Chancen im Vergabeverfahren vermeintlich zu maximieren.

Auch die seit 2018 verpflichtende elektronische Vergabe bringt neue Datenverarbeitungsprozesse mit sich, weshalb die am Vergabeverfahren Beteiligten, nämlich öffentliche Auftraggeber, Bieter sowie Betreiber von Vergabeplattformen dazu angehalten sind, ihre datenschutzrechtlichen Rollen und entsprechenden Pflichten zu überdenken.

Im Rahmen des datenschutzrechtlichen Diskurses sollte aber keinesfalls das primäre Ziel öffentlicher Beschaffungen aus den Augen verloren werden. Im Ergebnis gilt es, einen zuvor identifizierten Beschaffungsgegenstand zu möglichst wirtschaftlichen Konditionen zu erwerben. Daran ändert auch das Datenschutzrecht nichts.

Die Crux liegt also insbesondere darin, die Anforderungen an das Design eines effizienten Vergabeverfahrens mit den Anforderungen an eine datenschutzrechtliche Compliance zu verknüpfen und möglichst homogen zu verbinden. Ziel ist es, datenschutzrechtliche Risiken zu vermeiden.

Bei Verstößen gegen das Datenschutzrecht können Bußgelder, Schadenersatzansprüche der Betroffenen oder Reputationsverlust drohen. Zudem drohen sowohl auftraggeber- als auch bieterseitig vergaberechtliche Konsequenzen.

Die Autoren

Dr. Söntje Julia Hilberg, LL.M. ist seit 2015 bei Deloitte Legal tätig und leitet das IT/Privacy Team in Berlin. Vor ihrer Tätigkeit für Deloitte Legal war sie für eine internationale Wirtschaftskanzlei mit dem Schwerpunkt IT- und Datenschutzrecht tätig und besetzte dort neben ihrer Anwaltstätigkeit die Position als interne Datenschutzbeauftragte. Bereits während des Referendariats arbeitete Söntje unter anderem in einer führenden internationalen Wirtschaftskanzlei in Düsseldorf sowie im BMWi in Berlin. Nach ihrem zweiten Staatsexamen im Jahre 2009 war sie als Legal Trainee in einer führenden Wirtschaftskanzlei in New York tätig und absolvierte dort im Jahre 2013 den IT-spezifischen LL.M. an der Fordham University Law School.

Sebastian Schnitzler ist seit 2014 bei Deloitte Legal tätig und leitet vom Hamburger Standort aus die vergaberechtliche Praxis von Deloitte Legal. Er berät in sämtlichen Fragestellungen des Vergaberechts. Dabei begleitet er komplexe und innovationsgetriebene Vergabeprojekte von der Konzeptentwicklung und Planungsphase bis hin zur Vertragsdurchführung. Zu seinen Mandanten gehören neben Bundes- und Landesministerien auch namhafte Unternehmen aus der Privatwirtschaft. Zudem vertritt er seine Mandanten regelmäßig in Nachprüfungs- und Beschwerdeverfahren vor den Vergabekammern und Oberlandesgerichten. Er entwickelt und implementiert Compliance-Programme und vergaberechtliche Selbstreinigungsprozesse. Zudem unterstützt er bei Sonderprüfungen im Zusammenhang mit Vergabeverfahren und führt Schulungen auf Führungs- und Mitarbeiterebene durch. Sebastian führt die Bezeichnung Fachanwalt für Vergaberecht, ist Dozent der Akademie des Deutschen Vergabenetzwerks (DVNW) und beteiligt sich durch regelmäßige Fachvorträge und Veröffentlichungen am wissenschaftlichen Diskurs.

Bildquelle: Nikita Gonin – stock.adobe.com