Das Thema Datenschutz spielt auch im Bereich der elektronischen Vergabe (E-Vergabe) eine bedeutende, bis dato jedoch noch vielfach unterschätzte Rolle. Mit einem Gastbeitrag von Herrn Dr. Willenbruch haben wir uns bereits im Rahmen des cosinex Blogs mit dem Thema Vergabe und Datenschutz auseinandergesetzt. Mit diesem Beitrag möchte ich einen Überblick über E-Vergabe-spezifische Aspekte aus Sicht der Praxis geben.
Die Bedeutung datenschutzrechtlicher Vorgaben mag sich auf den ersten Blick nicht unmittelbar erschließen: Die Vergabe als Teil der Fiskalverwaltung ist kein hoheitliches Handeln der Verwaltungen und letztlich „nur“ die formalisierte Vertragsanbahnung zwischen einem Öffentlichen Auftraggeber auf der einen und einem Unternehmen (im Regelfall einer juristischen Person oder einem Kaufmann) auf der anderen Seite. Aber auch hier fallen regelmäßig personenbezogene Daten an, die uneingeschränkt den Vorgaben des Bundesdatenschutzgesetzes bzw. der Datenschutzgesetze der Bundesländer unterliegen.
Welche personenbezogenen Daten sind beachtenswert?
Zunächst muss zwischen den Arten personenbezogener Daten unterschieden werden, die im Rahmen der E-Vergabe anfallen. Hierbei lassen sich, unabhängig davon, ob „nur“ eine E-Vergabeplattform genutzt wird oder zudem auch ein Vergabemanagementsystem zum Einsatz kommt, zwei Fallgruppen unterscheiden.
Nutzerdaten: Jedes System benötigt zur sicheren Authentifizierung an den Systemen persönliche Daten der Nutzer. Hierzu gehören im Regelfall Vor- und Nachname sowie die (dienstliche bzw. beruflich genutzte) E-Mail-Adresse, gleich, ob es sich dabei um die Nutzer auf Seiten der Vergabestellen oder der Unternehmen handelt. Hinzu kommen Daten zur Vergabestelle bzw. zum Unternehmen (als Bewerber bzw. Bieter) im Vergabeverfahren. Soweit es sich beim Bieter um einen Freiberufler o.ä. handelt, können etwa die Adressangaben der Privatanschrift entsprechen.
Die Anforderungen an die Revisionssicherheit oder Maßnahmen rund um die Datensicherheit von E-Vergabe-Systemen machen es erforderlich, dass bestimmte Daten gespeichert werden müssen, die Aktivitäten der Nutzer in den Systemen dokumentieren und damit – wenn auch wenige – Hinweise auf ein Nutzerverhalten erlauben. Hierzu gehören etwa die Speicherung und Anzeige des letzten Logins am System (eine Anforderung aus der Passwortrichtlinie des Bundesamtes für Sicherheit in der Informationstechnologie) oder die Dokumentation, wann ein Nutzer einer Vergabestelle einen bestimmten Status im Vergabeverfahren herbeigeführt (z.B. Angebotsöffnung) oder einen Vorgang mitgezeichnet hat (zur Abbildung von Genehmigungen).
Ausschreibungsbezogene Daten der Bieter: Weitaus kritischere Daten als die vorgenannten Informationen zu den Nutzern können sich in den Teilnahmeanträgen und Angeboten der Bieter verbergen. Nach § 97 Abs. 4 GWB werden Aufträge an fachkundige, leistungsfähige und zuverlässige Unternehmen vergeben. Diese sog. Eignungskriterien stellen zwar im Regelfall auf unternehmens- und nicht personenbezogene Daten ab, teilweise können diese jedoch auch sensible personenbezogene Informationen enthalten. Beispielhaft können Qualifikationen oder Erfahrungen einzelner Mitarbeiter, die im Rahmen eines Projektes eingesetzt werden sollen, genannt werden aber auch ein Auszug aus dem Gewerbezentralregister, der Angaben zu Ordnungswidrigkeiten oder strafgerichtlichen Verurteilungen der Organe eines potentiellen Auftragnehmers enthalten kann.
Hieraus ergibt sich, dass auch bei der E-Vergabe nicht nur dem Thema Datensicherheit, sondern auch dem Datenschutz eine entsprechend hohe Bedeutung zukommen muss.
Was sollte aus Sicht des Datenschutzes beachtet werden?
Bereits bei der Auswahl einer E-Vergabe-Lösung müssen unterschiedliche Aspekte berücksichtigt werden.
- Berücksichtigung von Datenschutzaspekten in der Software selbst
Bereits bei der Konzeption der Software müssen die Aspekte Datensicherheit aber auch Datenschutz im rechtlichen Sinne umfassend berücksichtigt werden. Dies gelingt u.a. durch die Einhaltung des Prinzips der Datenvermeidung und Datensparsamkeit (gem. § 3a BDSG), nach der vor jeder strukturierten Erfassung personenbezogener Daten geprüft werden sollte, ob diese aus Sicht der Software-Anforderungen vermeidbar sind.
- Fremd- oder Eigenbetrieb: Auswahl des richtigen Betreibermodells
Sowohl beim Einsatz sog. E-Vergabeplattformen oder Vergabemarktplätze für die elektronische Kommunikation zwischen Vergabestelle und Bieter als auch bei dem darüber hinaus gehenden Einsatz eines Vergabemanagementsystems zur Unterstützung der vergabestelleninternen Prozesse (d.h. in der E-Vergabeakte) stellt sich die Frage nach dem richtigen Betriebsmodell. Soll die Lösung durch die eigene IT-Abteilung bzw. den eigenen IT-Dienstleister betrieben werden und wenn nein, welche Anforderungen sind an den Betreiber zu stellen?
Im Fall des sog. Eigenbetriebs einer E-Vergabeplattform oder eines Vergabemanagementsystems ist die Vergabestelle selbst, bzw. die nutzende Behörde „Herr des Verfahrens“ bzw. der Installation und bestimmt die datenschutzrechtlichen Vorgaben und Standards selbst bzw. kann auf die bereits für andere Anwendungen getroffenen Maßnahmen zurückgreifen.
Unter Wirtschaftlichkeitsgesichtspunkten empfiehlt sich jedenfalls für kleinere und mittelgroße Vergabestellen häufig die Nutzung eines Vergabemarktplatzes oder eines Vergabemanagementsystems im Rahmen eines Fremdbetriebs als Software as a Service-Modell (SaaS). Soll eine SaaS-Variante genutzt werden, ist darauf zu achten, dass auch unter datenschutzrechtlichen Gesichtspunkten alle Anforderungen eingehalten werden. Hierzu gehören:
- Technischer Betrieb / Housing (Datenverarbeitung) nur auf Servern bzw. in Rechenzentren mit Sitz in Deutschland,
- Abschluss von Vereinbarungen zur Auftragsverarbeitung nach § 11 BDSG,
- Verpflichtung aller Mitarbeiter des Dienstleisters und betroffener Subunternehmer auf das Datengeheimnis nach § 5 BDSG,
- Sicherstellung, dass der Support des Anbieters nur Zugriff auf Daten erhält, die für die Verfahrensbetreuung bzw. den technischen Support auch tatsächlich erforderlich sind,
- keine Weiternutzung von Daten der Bewerber für weitere Zwecke, als in den Nutzungsbedingungen genannt wurden,
- (optimaler Weise) Zertifizierungen z.B. nach ISO 27001 (oder BSI-Grundschutz), externe Datenschutzzertifizierungen,
- …
Ein besonderer Fall ist die Möglichkeit der (Mit-)Nutzung von E-Vergabe-Lösungen als Software as a Service-Angebot, die durch qualifizierte Öffentliche IT-Dienstleister betrieben werden. Auch unter Datenschutzgesichtspunkten sind solche Angebote sicher nicht nur positiv, sondern ggf. auch einfacher zu bewerten. Beispiele im Bereich der E-Vergabeplattform auf Basis des Vergabemarktplatz sind etwa die Möglichkeit der Nutzung des Vergabemarktplatz Brandenburg durch die brandenburgischen Kommunen (u.a.) sowie die E-Vergabeplattformen Rheinland, der Vergabemarktplatz Metropole Ruhr oder die E-Vergabeplattform Westfalen, die von d-NRW nordrhein-westfälischen Kommunen zur (Mit-)Nutzung angeboten werden.
Datenschutz bei cosinex
Den vorgenannten Anforderungen sind wir uns bewusst! Datensparsamkeit bei personenbezogenen Daten sind ebenso selbstverständlich wie entsprechend qualifizierte und zertifizierte deutsche Partner für den Betrieb unserer Software as a Service-Lösungen (z.B. beim VMS in der Cloud Edition sowie dem Deutschen Vergabeportal), Verpflichtungserklärungen für unsere Mitarbeiter nach BDSG sowie weitreichende Sicherheitsüberprüfungen der meisten Mitarbeiter, die weit über die üblichen Standards hinausgehen.
Darüber hinaus empfehlen wir im Fall eines Eigenbetriebs unserer Anwendungen die Zusammenarbeit mit Öffentlichen IT-Dienstleistern und unterstützen diese bei der Einrichtung sowie dem Betrieb unserer Anwendungen. Heute betreiben bereits vier Landesrechenzentren sowie fünf Kommunale IT-Dienstleister und Mitglieder der Bundes-Arbeitsgemeinschaft der kommunalen IT-Dienstleister Vitako unsere Lösungen.
