Datenschutz im Vergabeverfahren

Insights

Daten­schutz im Vergabe­verfahren – zwischen Effizienz und Konformität

Seit Mai 2018 gilt die europäische Datenschutzgrundverordnung (DSGVO) unmittelbar in allen EU-Mitgliedstaaten. Die Reform hatte nicht nur eine Vereinheitlichung des Datenschutzrechts in Europa zur Folge, sondern zog auch umfangreiche Diskussionen in der Öffentlichkeit und damit einhergehende Medienpräsenz nach sich. Es gibt nahezu kein Unternehmen, welches sich im Jahre 2018 nicht mit datenschutzrechtlichen Fragestellungen auseinandersetzen musste. Das durch die DSGVO wesentlich prominentere Thema Datenschutz erlangt zunehmend auch Einfluss auf den geschäftlichen Alltag der öffentlichen Hand.

Datenschutzrechtliche Implikationen betreffen im Grunde auch den Bereich öffentlicher Ausschreibungen. Dennoch hat das Thema auf Seiten öffentlicher Beschaffer erst mit erheblicher zeitlicher Verzögerung Beachtung gefunden. Als sich unsere Experten, Rechtsanwältin Dr. Söntje Julia Hilberg, LL.M. (IT/Datenschutz) und Rechtsanwalt Sebastian Schnitzler, LL.M. (Vergaberecht), vor einigen Jahren erstmals mit Fragestellungen an der Schnittstelle des Vergabe- und Datenschutzrechts befassten, fühlte sich das noch wie Pionierarbeit an. Spätestens seit dem „Datenschutzjahr 2018“ wird dem Thema jedoch auch von anderen erhöhte Aufmerksamkeit entgegengebracht. Ein weiterer Treiber für die zunehmende Bedeutung des Themas ist die ab Oktober 2018 zwingend vorgegebene Durchführung elektronsicher Vergabefahren (eVergabe). Als in der anhaltenden Diskussion weiterhin wenig beleuchtet stellen sich demgegenüber noch immer die nicht offensichtlich datenschutzrelevanten Prozesse, insbesondere in Geschäftsabläufen der öffentlichen Hand, dar. Doch gerade auch hier finden sich regelmäßig Schnittstellen zu Datenverarbeitungen in der Privatwirtschaft.

Insbesondere bei der Vergabe öffentlicher Aufträge werden personenbezogene Daten – etwa Namen, Adressen, Zeugnisse und andere personenbezogene Daten wie Referenzen – zwischen der öffentlichen Hand als Vergabestelle und den Bietern aus der Privatwirtschaft übermittelt. So findet in allen Phasen des Vergabeverfahrens die Verarbeitung personenbezogener Daten statt. Dies wird gerne und oft übersehen - jedoch sind öffentliche Auftraggeber ebenso wie am Verfahren teilnehmende Unternehmen als Adressaten der DSGVO für den Schutz der personenbezogenen Daten verantwortlich. So muss sich die Datenverarbeitung auch im Vergabeverfahren an datenschutzrechtlichen Grundsätzen orientieren und zweckmäßig, transparent und beschränkt auf das notwenige Maß erfolgen. Insofern bringt auch die seit 2018 verpflichtende elektronische Vergabe neue Datenverarbeitungsprozesse mit sich, weshalb die am Vergabeverfahren Beteiligten, nämlich öffentliche Auftraggeber, Bieter sowie Betreiber von Vergabeplattformen dazu angehalten sind, ihre datenschutzrechtlichen Rollen und entsprechenden Pflichten zu überdenken.

Auch im Rahmen des datenschutzrechtlichen Diskurses sollte aber das primäre Ziel öffentlicher Beschaffungen nicht aus den Augen verloren werden. Im Ergebnis gilt es, einen zuvor identifizierten Beschaffungsgegenstand zu möglichst wirtschaftlichen Konditionen zu erwerben. Daran ändert das Datenschutzrecht nichts.

Die Crux liegt also insbesondere darin, die Anforderungen an das Design eines effizienten Vergabeverfahrens mit den Anforderungen an die datenschutzrechtliche Compliance zu verknüpfen und möglichst homogen zu verbinden.

Söntje Hilberg und Sebastian Schnitzler standen im vergangenen Jahr zu diesem und anderen Themen in regelmäßigem Austausch mit öffentlichen Auftraggebern, Bietern sowie Anbietern von eVergabe-Lösungen. Dies häufig auch außerhalb der regulären Mandatsarbeit: So hatten die beiden zum Beispiel Gelegenheit, das Thema auf öffentlichen Veranstaltungen wie dem 5. Deutschen Vergabetag, der Smart Country Convention in Berlin sowie im Rahmen regelmäßiger bundesweiter Seminare der DVNW Akademie zu präsentieren und diskutieren.

Der intensive Austausch im Rahmen der diversen Veranstaltungen machte deutlich, dass zahlreiche Fragen bis zum heutigen Tage nicht abschließend geklärt sind. Dies betrifft vor allem die Umsetzung der datenschutzrechtlichen Anforderungen in der Praxis, gerade mit Blick auf die im öffentlichen Bereich vorzufindenden Geschäftsprozesse. Oftmals sind Vergabestellen bereits aufgrund der vergaberechtlichen Rahmenbedingungen mit komplexen Prozessen und Dokumentationspflichten konfrontiert und sich unsicher, wie sie mit den zusätzlichen Anforderungen aus dem Datenschutzrecht umgehen sollen, ohne dass dies zu Ineffizienzen führt.

In der Diskussion treten regelmäßig die folgenden Fragestellungen auf:
  • Welche datenschutzrechtliche Rolle kommt den diversen Beteiligten im jeweiligen Abschnitt des Vergabeverfahrens jeweils zu?
  • Wer muss wann welche Informationspflichten gegenüber den Betroffenen erfüllen? Wie, wann und auf welchem Wege lässt sich die Information im Vergabeverfahren überhaupt rechtssicher implementieren?
  • Welche besonderen Datenschutzvorgaben sind im elektronischen Vergabeverfahren zu berücksichtigen?
  • Was kann ich Auftragnehmern datenschutzrechtlich im Rahmen der Vergabe von Leistungen abverlangen?
  • Und: Was passiert bei Verstößen gegen datenschutzrechtliche Pflichten?

Die meisten dieser Fragestellungen sind durchaus pragmatischen Lösungen zugänglich; auch lassen sich bestehende Prozesse häufig mit durchaus überschaubarem Aufwand anpassen. Doch solchen Lösungen stehen natürlich häufig auch eine gewisse Skepsis und mitunter auch das Gefühl einer aus einer empfundenen Überregulierung resultierenden Überforderung im Wege. Die übergreifende Frage danach, ob und gegebenenfalls wie man das Thema insgesamt überhaupt angehen soll, blockiert oftmals die Entwicklung und Umsetzung pragmatischer Ansätze. Insofern bestätigen unsere Seminarteilnehmer immer wieder, dass der fachlich moderierte Austausch zu den teils ganz individuellen Fragen und das Aufzeigen und auch die Diskussion praktischer Lösungen dazu beiträgt, Missverständnisse aufzuklären und vorhandene Scheu in Bezug auf das Thema Datenschutz abzubauen.

Wir freuen uns deshalb darauf, das Thema auch weiterhin vorauszudenken und den Wandel in der Praxis zu begleiten.

Vergaberecht
Vergaberecht
Did you find this useful?