Die mit der Datenschutzgrundverordnung einhergehenden Regelungen müssen auch im Rahmen von Vergabeverfahren beachtet werden. Ein Beitrag von Dr. Söntje Hilberg und Sebastian Schnitzler von Deloitte Legal zeigt die Besonderheiten, die bei der Beachtung der neuen Datenschutzgrundverordnung im Rahmen öffentlicher Ausschreibungen vorliegen, auf. 

Seit Mai 2018 gilt die europäische Datenschutzgrundverordnung (DSGVO) unmittelbar in allen EU-Mitgliedstaaten. Die Reform hatte nicht nur eine Vereinheitlichung des Datenschutzrechts in Europa zur Folge, sondern zog auch umfangreiche Diskussionen in der Öffentlichkeit und damit einhergehende Medienpräsenz nach sich. Es gibt nahezu kein Unternehmen, welches sich im Jahre 2018 nicht mit datenschutzrechtlichen Fragestellungen auseinandersetzen musste. Das durch die DSGVO wesentlich prominentere Thema Datenschutz erlangt zunehmend auch Einfluss auf den geschäftlichen Alltag der öffentlichen Hand, denn ein weiterer Treiber für die zunehmende Bedeutung des Themas ist die ab Oktober 2018 zwingend vorgegebene Durchführung elektronischer Vergabeverfahren.

Den gesamten Artikel lesen…

DatenschutzgrundverordnungNicht erst seit Einführung der Europäischen Datenschutzgrundverordnung (DSGVO) spielt das Thema Datenschutz und Datensicherheit auch im E-Vergabeverfahren eine bedeutende Rolle. Dabei meint E-Vergabe die elektronische Durchführung von Verfahren zur Vergabe öffentlicher Aufträge. Neben den für Vergabeverfahren spezifischen Gesetzen und Verordnungen gilt es daher nunmehr auch verstärkt auf datenschutzrechtliche Regelungen zu achten.

A. Datenschutzrechtliche Vorgaben im E-Vergabeverfahren

Nach § 97 Abs. 5 GWB haben Auftraggeber und Unternehmen für das Senden, Empfangen, Weiterleiten und Speichern von Daten in einem Vergabeverfahren grundsätzlich elektronische Mittel zu verwenden. Gerade die einfache Nutzung von Software-as-a-Service- oder Cloud-Lösungen darf aber nicht darüber hinwegtäuschen, dass eine fundierte datenschutzrechtliche Bewertung anhand der folgenden Maßstäbe erforderlich ist:

I. Personenbezogene Daten im E-Vergabeverfahren

Anknüpfungspunkt für die Anwendbarkeit der DSGVO ist das personenbezogene Datum. Personenbezogene Daten sind nach der DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Während das Definitionsmerkmal „identifizierte Person“ klar umgrenzt ist, vergrößert sich der Anwendungsbereich der DSGVO durch das Definitionsmerkmal „identifizierbare Person“ erheblich. Denn als Identifizierbar wird „eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“ (Art. 4 Nr. 1 DSGVO). Den gesamten Artikel lesen…

Logo der Trusted Cloud Initiative des BMWiUnser Partner für den Betrieb unserer Cloud-Lösungen wurde als einer der ersten Anbieter mit dem Trusted Cloud Label des Bundesministeriums für Wirtschaft und Energie (BMWi) ausgezeichnet.

Abhängig von den individuellen Anforderungen der öffentlichen Auftraggeber können unsere Module rund um die E-Vergabe entweder als klassische „On-Premise-Lösung“ (d.h. Kauf oder Miete einer Lizenz) erworben durch den eigenen IT-Bereich oder einen (meist öffentlichen) Rechenzentrumspartner selbst betrieben oder als Cloud-Lösung genutzt werden.

Kern unserer Cloud-Lösungen im Bereich der E-Vergabe sind das Deutsche Vergabeportal (kurz: DTVP) in Kooperation mit dem Bundesanzeiger Verlag sowie das Vergabemanagementsystem (kurz: VMS) in der sog. Cloud Edition, zur Unterstützung der internen Prozesse der Vergabestellen. Datenschutz und Datensicherheit sind dabei angesichts der besonderen Anforderungen an die E-Vergabe entscheidende Aspekte für die Auswahl des Rechenzentrums- bzw. Betriebspartners. Zertifizierungen etwa nach ISO-27001 oder ein Datenschutzaudit nach BDSG für den Betrieb sind für uns ebenso selbstverständlich wie eine Aufklärung aller unserer Mitarbeiter nach § 5 BDSG sowie eine Sicherheitsüberprüfung (einen Überblick unserer Maßnahmen finden Sie unter anderem unter diesem Link).

Unser Partner für den Betrieb des Deutschen Vergabeportals sowie des VMS in der Cloud Edition, die Claranet GmbH, bleibt hier nicht stehen, sondern geht darüber hinaus. So freuen wir uns, dass Claranet zu den ersten Anbietern von Cloud Services gehört, die mit dem Trusted Cloud Label des Bundesministeriums für Wirtschaft und Energie (BMWi) ausgezeichnet wurden. Den gesamten Artikel lesen…

Allianz für CybersicherheitDie cosinex GmbH ist der Allianz für Cyber-Sicherheit beigetreten. Die Allianz ist eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Als Zusammenschluss aller wichtigen Akteure im Bereich der Cyber-Sicherheit in Deutschland verfolgt die Initiative das Ziel, aktuelle und valide Informationen zu aktuellen Gefährdungen im Internet bereitzustellen. Sie unterstützt zudem aktiv den Informations- sowie Erfahrungsaustausch zwischen Partnern, Teilnehmern und Multiplikatoren.

Gegründet wurde die Allianz aufgrund einer Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in Zusammenarbeit mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM), dem die cosinex als Mitglied bereits seit fast 15 Jahren angehört.

Das Thema Datensicherheit spielt neben den Aspekten zum Thema Datenschutz aus Sicht der cosinex gerade im Bereich der E-Vergabe eine bedeutende Rolle. Insbesondere dann, wenn – wie bei cosinex – die Lösungen nicht nur „On Premise“, also als Lizenzlösung für einen Eigenbetrieb durch die Behörde oder beauftragte IT-Dienstleister erfolgt, sondern diese auch als Cloud-Lösung angeboten werden, kommen neben den softwareseitigen Ansätzen wie der Verwendung einer sicheren PKI-Infrastruktur auch Aspekten rund um die Betriebssicherheit eine große Bedeutung zu. Den gesamten Artikel lesen…

DatenschutzDas Thema Datenschutz spielt auch im Bereich der elektronischen Vergabe (E-Vergabe) eine bedeutende, bis dato jedoch noch vielfach unterschätzte Rolle. Mit einem Gastbeitrag von Herrn Dr. Willenbruch haben wir uns bereits im Rahmen des cosinex Blogs mit dem Thema Vergabe und Datenschutz auseinandergesetzt. Mit diesem Beitrag möchte ich einen Überblick über E-Vergabe-spezifische Aspekte aus Sicht der Praxis geben.

Die Bedeutung datenschutzrechtlicher Vorgaben mag sich auf den ersten Blick nicht unmittelbar erschließen: Die Vergabe als Teil der Fiskalverwaltung ist kein hoheitliches Handeln der Verwaltungen und letztlich „nur“ die formalisierte Vertragsanbahnung zwischen einem Öffentlichen Auftraggeber auf der einen und einem Unternehmen (im Regelfall einer juristischen Person oder einem Kaufmann) auf der anderen Seite. Aber auch hier fallen regelmäßig personenbezogene Daten an, die uneingeschränkt den Vorgaben des Bundesdatenschutzgesetzes bzw. der Datenschutzgesetze der Bundesländer unterliegen.

Welche personenbezogenen Daten sind beachtenswert?

Zunächst muss zwischen den Arten personenbezogener Daten unterschieden werden, die im Rahmen der E-Vergabe anfallen. Hierbei lassen sich, unabhängig davon, ob „nur“ eine E-Vergabeplattform genutzt wird oder zudem auch ein Vergabemanagementsystem zum Einsatz kommt, zwei Fallgruppen unterscheiden. Den gesamten Artikel lesen…

DatenschutzWie bei der Einführung von E-Government-Lösungen generell stellt sich auch im Kontext der E-Vergabe die Frage, welcher Bedeutung das Thema Datenschutz beigemessen werden muss. Dass es hierbei nicht nur um die Frage nach personenbezogenen Daten der Mitarbeiter der Vergabestelle geht und in welchem Spannungsfeld Vergaberecht und Datenschutz stehen, zeigt der folgende Beitrag von Hr. RA Dr. Klaus Willenbruch.

(BS/Klaus Willenbruch*) In vielen Bereichen des Rechtslebens, nicht nur in den IT-nahen Branchen, kommt dem Datenschutz heutzutage ein hoher Stellenwert zu. Der Bereich des Vergaberechts gehört nicht dazu, obgleich in jedem Vergabeverfahren auch personenbezogene Daten eine Rolle spielen. Es ist deshalb öffentlichen Auftraggebern zu empfehlen, dem Gesichtspunkt des Datenschutzes Beachtung zu schenken und sich im Verfahren darauf eizustellen. Den gesamten Artikel lesen…