Die mit der Datenschutzgrundverordnung einhergehenden Regelungen müssen auch im Rahmen von Vergabeverfahren beachtet werden. Ein Beitrag von Dr. Söntje Hilberg und Sebastian Schnitzler von Deloitte Legal zeigt die Besonderheiten, die bei der Beachtung der neuen Datenschutzgrundverordnung im Rahmen öffentlicher Ausschreibungen vorliegen, auf. 

Seit Mai 2018 gilt die europäische Datenschutzgrundverordnung (DSGVO) unmittelbar in allen EU-Mitgliedstaaten. Die Reform hatte nicht nur eine Vereinheitlichung des Datenschutzrechts in Europa zur Folge, sondern zog auch umfangreiche Diskussionen in der Öffentlichkeit und damit einhergehende Medienpräsenz nach sich. Es gibt nahezu kein Unternehmen, welches sich im Jahre 2018 nicht mit datenschutzrechtlichen Fragestellungen auseinandersetzen musste. Das durch die DSGVO wesentlich prominentere Thema Datenschutz erlangt zunehmend auch Einfluss auf den geschäftlichen Alltag der öffentlichen Hand, denn ein weiterer Treiber für die zunehmende Bedeutung des Themas ist die ab Oktober 2018 zwingend vorgegebene Durchführung elektronischer Vergabeverfahren.

Den gesamten Artikel lesen…

DatenschutzgrundverordnungNicht erst seit Einführung der Europäischen Datenschutzgrundverordnung (DSGVO) spielt das Thema Datenschutz und Datensicherheit auch im E-Vergabeverfahren eine bedeutende Rolle. Dabei meint E-Vergabe die elektronische Durchführung von Verfahren zur Vergabe öffentlicher Aufträge. Neben den für Vergabeverfahren spezifischen Gesetzen und Verordnungen gilt es daher nunmehr auch verstärkt auf datenschutzrechtliche Regelungen zu achten.

A. Datenschutzrechtliche Vorgaben im E-Vergabeverfahren

Nach § 97 Abs. 5 GWB haben Auftraggeber und Unternehmen für das Senden, Empfangen, Weiterleiten und Speichern von Daten in einem Vergabeverfahren grundsätzlich elektronische Mittel zu verwenden. Gerade die einfache Nutzung von Software-as-a-Service- oder Cloud-Lösungen darf aber nicht darüber hinwegtäuschen, dass eine fundierte datenschutzrechtliche Bewertung anhand der folgenden Maßstäbe erforderlich ist:

I. Personenbezogene Daten im E-Vergabeverfahren

Anknüpfungspunkt für die Anwendbarkeit der DSGVO ist das personenbezogene Datum. Personenbezogene Daten sind nach der DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Während das Definitionsmerkmal „identifizierte Person“ klar umgrenzt ist, vergrößert sich der Anwendungsbereich der DSGVO durch das Definitionsmerkmal „identifizierbare Person“ erheblich. Denn als Identifizierbar wird „eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“ (Art. 4 Nr. 1 DSGVO). Den gesamten Artikel lesen…

DatenschutzgrundverordnungIm Zusammenhang mit dem vielzitierten Stichtag „25. Mai 2018“ und dem Inkrafttreten der EU-DSGVO gab es in zahlreichen Bereichen Unsicherheiten um (datenschutz-)rechtskonformes Verhalten (nicht nur, aber vor allem) im geschäftlichen Umgang. Selbst langjährige und von gegenseitigem Vertrauen geprägte Geschäftsbeziehungen standen in den letzten Wochen und Monaten auf einmal vor (zum Teil irrwitzigen) Bewährungsproben: Woher stammt eine E-Mail-Adresse? Darf ich am Telefon Auskunft geben? Müssen (wohlmöglich rückwirkend) alle Dokumente eines Geschäftsjahres anonymisiert (geschwärzt) oder vernichtet werden? (Wie) Darf ich noch eine Betriebsfeier organisieren und dokumentieren? Muss ich alle Outlook-Kontakte löschen?

Eine nicht weniger ausgeprägte Konfusion entstand – und besteht zum Teil bis heute – auch für viele Aspekte im Bereich des öffentlichen Auftragswesens. Eine, die unmittelbare Vergabepraxis betreffende und jüngst auch in Fachforen wie dem Deutschen Vergabenetzwerk diskutierte Frage, ist, ob die Benennung von Ansprechpartnern bei geforderten Referenzen – bzw. umgekehrt eine Auskunft des Unternehmens ohne ausdrückliche Einwilligung des Betroffenen – gegen die nun geltenden datenschutzrechtlichen Bestimmungen verstoße.

Aus vergaberechtlicher Sicht hervorzuheben ist insbesondere das 2. Kapitel der DSGVO mit den Grundsätzen u.a. zur Rechtmäßigkeit der Verarbeitung (Art. 6 Abs. 1 und Abs. 3 DSGVO, das gesetzliche Erlaubnistatbestände (jenseits individueller Einwilligungen) postuliert), bei deren Vorliegen eine individuelle Zustimmung gerade nicht erforderlich wird. Zu nennen sind in diesem Zusammenhang u.a. § 122 ff. GWB oder §§ 46 Abs. 3 und 58 VgV, die neben dem Unionsrecht die nationalen Rechtsgrundlagen auf der Ebene der Mitgliedstaaten für die Verarbeitung personenbezogener Daten darstellen.

Ergänzend anzuführen sind die Vergabe- und Vertragsordnung für Leistungen (VOL/A – soweit noch gültig) bzw. die Unterschwellenvergabeordnung (UVgO), die Landeshaushaltsordnung (LHO) sowie ggf. spezielle beihilferechtliche Rahmenbedingungen, die wie die Regelungen für den Oberschwellenbereich eine entsprechende Dokumentation des Vergabevorgangs inkl. der Erhebung und Aufbewahrung personenbezogener Daten vorschreiben und z.B. dem unmittelbaren Recht auf Löschen oder Vergessenwerden in weiten Teilen entgegenstehen. Den gesamten Artikel lesen…