DatenschutzgrundverordnungNicht erst seit Einführung der Europäischen Datenschutzgrundverordnung (DSGVO) spielt das Thema Datenschutz und Datensicherheit auch im E-Vergabeverfahren eine bedeutende Rolle. Dabei meint E-Vergabe die elektronische Durchführung von Verfahren zur Vergabe öffentlicher Aufträge. Neben den für Vergabeverfahren spezifischen Gesetzen und Verordnungen gilt es daher nunmehr auch verstärkt auf datenschutzrechtliche Regelungen zu achten.

A. Datenschutzrechtliche Vorgaben im E-Vergabeverfahren

Nach § 97 Abs. 5 GWB haben Auftraggeber und Unternehmen für das Senden, Empfangen, Weiterleiten und Speichern von Daten in einem Vergabeverfahren grundsätzlich elektronische Mittel zu verwenden. Gerade die einfache Nutzung von Software-as-a-Service- oder Cloud-Lösungen darf aber nicht darüber hinwegtäuschen, dass eine fundierte datenschutzrechtliche Bewertung anhand der folgenden Maßstäbe erforderlich ist:

I. Personenbezogene Daten im E-Vergabeverfahren

Anknüpfungspunkt für die Anwendbarkeit der DSGVO ist das personenbezogene Datum. Personenbezogene Daten sind nach der DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Während das Definitionsmerkmal „identifizierte Person“ klar umgrenzt ist, vergrößert sich der Anwendungsbereich der DSGVO durch das Definitionsmerkmal „identifizierbare Person“ erheblich. Denn als Identifizierbar wird „eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“ (Art. 4 Nr. 1 DSGVO). Den gesamten Artikel lesen…

Logo der Trusted Cloud Initiative des BMWiUnser Partner für den Betrieb unserer Cloud-Lösungen wurde als einer der ersten Anbieter mit dem Trusted Cloud Label des Bundesministeriums für Wirtschaft und Energie (BMWi) ausgezeichnet.

Abhängig von den individuellen Anforderungen der öffentlichen Auftraggeber können unsere Module rund um die E-Vergabe entweder als klassische „On-Premise-Lösung“ (d.h. Kauf oder Miete einer Lizenz) erworben durch den eigenen IT-Bereich oder einen (meist öffentlichen) Rechenzentrumspartner selbst betrieben oder als Cloud-Lösung genutzt werden.

Kern unserer Cloud-Lösungen im Bereich der E-Vergabe sind das Deutsche Vergabeportal (kurz: DTVP) in Kooperation mit dem Bundesanzeiger Verlag sowie das Vergabemanagementsystem (kurz: VMS) in der sog. Cloud Edition, zur Unterstützung der internen Prozesse der Vergabestellen. Datenschutz und Datensicherheit sind dabei angesichts der besonderen Anforderungen an die E-Vergabe entscheidende Aspekte für die Auswahl des Rechenzentrums- bzw. Betriebspartners. Zertifizierungen etwa nach ISO-27001 oder ein Datenschutzaudit nach BDSG für den Betrieb sind für uns ebenso selbstverständlich wie eine Aufklärung aller unserer Mitarbeiter nach § 5 BDSG sowie eine Sicherheitsüberprüfung (einen Überblick unserer Maßnahmen finden Sie unter anderem unter diesem Link).

Unser Partner für den Betrieb des Deutschen Vergabeportals sowie des VMS in der Cloud Edition, die Claranet GmbH, bleibt hier nicht stehen, sondern geht darüber hinaus. So freuen wir uns, dass Claranet zu den ersten Anbietern von Cloud Services gehört, die mit dem Trusted Cloud Label des Bundesministeriums für Wirtschaft und Energie (BMWi) ausgezeichnet wurden. Den gesamten Artikel lesen…

Goldener Schlüssel in Safe-Pussel - PasswörterUnabhängig davon, welche Maßnahmen auf Seiten der E-Vergabe-Anbieter und Betreiber rund um die (Daten-)Sicherheit der Lösungen ergriffen werden, einzelne Risikofaktoren sind überwiegend nur durch die Anwender selbst beeinflussbar. Hierzu gehört insbesondere der Einsatz sicherer Passwörter und deren Verwaltung. Der Beitrag zeigt auf, warum gerade bei der E-Vergabe besondere Vorsicht geboten ist und worauf Anwender auf Seiten der Vergabestellen aber auch der Bieter achten sollten.

Vielfältige Maßnahmen in unseren Lösungen selbst sowie in den Betriebsumgebungen unserer RZ-Partner bieten ein Höchstmaß an Sicherheit. Einzelne potentielle Schwachstellen sind aber softwareseitig nicht oder nur eingeschränkt beeinflussbar. Hierzu gehört allem voran die Verwendung sicherer Passwörter sowie die Berücksichtigung bestimmter Grundregeln im Umgang mit der Passwortverwaltung.

Warum die E-Vergabe besonders sensibel ist

Anders als viele andere softwaregestützte Fachverfahren oder interne Systeme in Vergabestellen und Behörden, müssen E-Vergabe-Lösungen – jedenfalls mit den Modulen, die die elektronische Kommunikation mit den Bewerbern ermöglichen, also E-Vergabeplattformen bzw. Vergabemarktplätzen – notwendigerweise auch über das Internet verfügbar sein, damit die Unternehmen an der E-Vergabe teilnehmen oder externe Projektanten an der Ausschreibung mitarbeiten können. Bei Einsatz unserer Lösungen werden der Vergabemarktplatz und die E-Vergabeakte bzw. das Vergabemanagementsystem (VMS) zur Unterstützung der Dokumentation als Module technisch getrennt, so dass ein VMS ggf. auch im geschlossenen Intranet der Vergabestellen betrieben werden kann. Aber auch die Anwendungen zur bloßen Kommunikation mit den Bewerbern – also die Vergabemarktplätze – sind in vielfältiger Hinsicht sensibel. Den gesamten Artikel lesen…

Allianz für CybersicherheitDie cosinex GmbH ist der Allianz für Cyber-Sicherheit beigetreten. Die Allianz ist eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Als Zusammenschluss aller wichtigen Akteure im Bereich der Cyber-Sicherheit in Deutschland verfolgt die Initiative das Ziel, aktuelle und valide Informationen zu aktuellen Gefährdungen im Internet bereitzustellen. Sie unterstützt zudem aktiv den Informations- sowie Erfahrungsaustausch zwischen Partnern, Teilnehmern und Multiplikatoren.

Gegründet wurde die Allianz aufgrund einer Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in Zusammenarbeit mit dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM), dem die cosinex als Mitglied bereits seit fast 15 Jahren angehört.

Das Thema Datensicherheit spielt neben den Aspekten zum Thema Datenschutz aus Sicht der cosinex gerade im Bereich der E-Vergabe eine bedeutende Rolle. Insbesondere dann, wenn – wie bei cosinex – die Lösungen nicht nur „On Premise“, also als Lizenzlösung für einen Eigenbetrieb durch die Behörde oder beauftragte IT-Dienstleister erfolgt, sondern diese auch als Cloud-Lösung angeboten werden, kommen neben den softwareseitigen Ansätzen wie der Verwendung einer sicheren PKI-Infrastruktur auch Aspekten rund um die Betriebssicherheit eine große Bedeutung zu. Den gesamten Artikel lesen…

Datensicherheit und E-VergabeNachdem sich bereits eine Reihe von Beiträgen in diesem Blog mit dem Thema „Datenschutz“ im Umfeld des Öffentlichen Auftragswesens und insbesondere der E-Vergabe auseinandergesetzt hat, möchte ich mich als Produktmanager des Vergabemarktplatz im Rahmen dieses Beitrags mit dem zum Datenschutz eng verwandten Thema Datensicherheit im Bereich der E-Vergabe auseinandersetzen.

Dabei geht es zum einen darum, was Datensicherheit im Kontext der E-Vergabe bedeutet, d.h. wie diese für Vergabeverfahren (insbesondere in E-Vergabeplattformen) effizient sichergestellt werden kann, zum anderen aber natürlich auch, was wir als cosinex heute bereits dafür tun, um die E-Vergabe mit unseren Lösungen nicht nur komfortabel und vergaberechtskonform, sondern auch technisch besonders sicher zu machen.

Ermittlung des Schutzbedarfs für die Datensicherheit

Ein entscheidender Aspekt und häufig erster Schritt für die Ableitung geeigneter Maßnahmen rund um das Thema „Datensicherheit“ ist die Bestimmung des sog. Schutzbedarfes. Mit der Schutzbedarfsfeststellung wird bestimmt, welcher Schutz für die jeweiligen Informationen und die eingesetzte Informationstechnik erforderlich und angemessen ist. Hierzu werden für jede Anwendung und die verarbeiteten Informationen denkbare Schäden betrachtet, die bei einer Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können. Wichtig ist in diesem Kontext die realistische Einschätzung möglicher Folgeschäden, wenn Vertraulichkeit, Integrität oder Verfügbarkeit beeinträchtigt werden. Den gesamten Artikel lesen…

DatenschutzDas Thema Datenschutz spielt auch im Bereich der elektronischen Vergabe (E-Vergabe) eine bedeutende, bis dato jedoch noch vielfach unterschätzte Rolle. Mit einem Gastbeitrag von Herrn Dr. Willenbruch haben wir uns bereits im Rahmen des cosinex Blogs mit dem Thema Vergabe und Datenschutz auseinandergesetzt. Mit diesem Beitrag möchte ich einen Überblick über E-Vergabe-spezifische Aspekte aus Sicht der Praxis geben.

Die Bedeutung datenschutzrechtlicher Vorgaben mag sich auf den ersten Blick nicht unmittelbar erschließen: Die Vergabe als Teil der Fiskalverwaltung ist kein hoheitliches Handeln der Verwaltungen und letztlich „nur“ die formalisierte Vertragsanbahnung zwischen einem Öffentlichen Auftraggeber auf der einen und einem Unternehmen (im Regelfall einer juristischen Person oder einem Kaufmann) auf der anderen Seite. Aber auch hier fallen regelmäßig personenbezogene Daten an, die uneingeschränkt den Vorgaben des Bundesdatenschutzgesetzes bzw. der Datenschutzgesetze der Bundesländer unterliegen.

Welche personenbezogenen Daten sind beachtenswert?

Zunächst muss zwischen den Arten personenbezogener Daten unterschieden werden, die im Rahmen der E-Vergabe anfallen. Hierbei lassen sich, unabhängig davon, ob „nur“ eine E-Vergabeplattform genutzt wird oder zudem auch ein Vergabemanagementsystem zum Einsatz kommt, zwei Fallgruppen unterscheiden. Den gesamten Artikel lesen…