Funktionale Cookies sind für den Betrieb unserer Webseite erforderlich und können nicht deaktiviert werden. Darüber hinaus verwenden wir Cookies von Matomo, um die Reichweite unserer Inhalte zu messen. Wir verwenden keine Marketing-Cookies (z.B. für Retargeting). Mit einem Klick auf "Akzeptieren" akzeptieren Sie dieses Reichweiten-Cookies. Sie können die Reichweiten-Cookies auch ablehnen. Weitere Informationen finden Sie in der Datenschutzerklärung.
September 2018: Datenschutz im E-Vergabeverfahren
Gastbeitrag von Rechtsanwältin Astrid Luedtke
Die Erstveröffentlichung des Beitrags erfolgte am 19. September 2018 im cosinex Blog.
Nicht erst seit Einführung der Europäischen Datenschutzgrundverordnung (DSGVO) spielt das Thema Datenschutz und Datensicherheit auch im E-Vergabeverfahren eine entscheidende Rolle. Dabei meint E-Vergabe die elektronische Durchführung von Verfahren zur Vergabe öffentlicher Aufträge. Neben den für Vergabeverfahren spezifischen Gesetzen und Verordnungen gilt es daher nunmehr auch verstärkt auf datenschutzrechtliche Regelungen zu achten.
A. Datenschutzrechtliche Vorgaben im E-Vergabeverfahren
Nach § 97 Abs. 5 GWB haben Auftraggeber und Unternehmen für das Senden, Empfangen, Weiterleiten und Speichern von Daten in einem Vergabeverfahren grundsätzlich elektronische Mittel zu verwenden. Gerade die einfache Nutzung von Software-as-a-Service- oder Cloud-Lösungen darf aber nicht darüber hinwegtäuschen, dass eine fundierte datenschutzrechtliche Bewertung anhand der folgenden Maßstäbe erforderlich ist:
I. Personenbezogene Daten im E-Vergabeverfahren
Anknüpfungspunkt für die Anwendbarkeit der DSGVO sind personenbezogene Daten. Personenbezogene Daten sind nach der DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Während das Definitionsmerkmal „identifizierte Person“ klar umgrenzt ist, vergrößert sich der Anwendungsbereich der DSGVO durch das Definitionsmerkmal „identifizierbare Person“ erheblich. Denn als Identifizierbar wird „eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“ (Art. 4 Nr. 1 DSGVO).
Im Rahmen des E-Vergabeverfahrens müssen zwei Bereiche getrennt betrachtet werden. Zum einen werden personenbezogene Daten der an dem Verfahren Beteiligten erhoben, um die Nutzung einer Vergabeplattform überhaupt zu ermöglichen. Diese „Anmeldedaten“ sind Informationen zur ausschreibenden Stelle und des Bieters/Bewerbers einschließlich des dortigen Ansprechpartners, etwa der Name, die E-Mail-Adresse oder die berufliche Position. Diese Daten sind nur für das Verhältnis Vergabeplattform und öffentlicher Auftraggeber bzw. Bieter/Bewerber relevant, nicht aber im Verhältnis zwischen dem öffentlichen Auftraggeber und dem Bewerber/Bieter. Denn diese Daten dienen allein der Abwicklung des Vertragsverhältnisses zur Vergabeplattform. Ebenso werden zumeist auch Nutzungsdaten erhoben, die Auskünfte über das Verhalten auf der Plattform (Verweildauer, Plattformaktionen, Server-IP etc.) enthalten. Auch diese Nutzungsdaten gelangen nur an den Anbieter der Vergabeplattform.
Zum anderen enthalten viele Ausschreibungsdokumente, die insbesondere von dem Bewerber/Bieter auf der Vergabeplattform im Vergabeprozess hochgeladen werden, personenbezogene Daten (etwa Daten innerhalb der zur Eignungsprüfung notwendigen Unterlagen, teils geforderte Angabe des Auftraggebers gem. § 46 Abs. 3 Nr. 2 VgV zum Beleg der technischen und beruflichen Leistungsfähigkeit; Studien- und Ausbildungsnachweise gem. § 46 Abs. 3 Nr. 6 VgV etc.). Auch Daten, die, wie beispielsweise Gesundheitsdaten, zu den besonderen Kategorien personenbezogener Daten zählen und als solche einem besonderen Schutz unterliegen, können hierzu zählen. Im Rahmen der E-Vergabe ist etwa an Informationen über strafrechtliche Verurteilungen hinsichtlich des Vorliegens von Ausschlussgründen gem. §§ 123 oder 124 GWB zu denken.
II. Datenschutzrechtliche Erlaubnistatbestände im E-Vergabeverfahren
Jeglichen Umgang mit personenbezogenen Daten bezeichnet die DSGVO als „Verarbeitung“. Denn Verarbeitung ist laut DSGVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Jeder Verarbeitung bedarf im Datenschutzrecht einer Erlaubnis, denn grundsätzlich gilt: Jeglicher Umgang mit personenbezogenen Daten ist verboten, wenn er nicht auf eine gesetzliche Grundlage gestützt werden kann. Dabei kommen unterschiedliche Erlaubnistatbestände in Betracht, die festlegen, ob und unter welchen Bedingungen eine Datenverarbeitung erlaubt ist.
Bei der Nutzung einer E-Vergabeplattform muss zwischen den oben beschriebenen Bereichen unterschieden werden: Die Verarbeitung der Anmeldedaten beruht regelmäßig auf Art. 6 Abs. 1 lit. b DSGVO. Danach ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie für die Erfüllung eines Vertrags erforderlich ist, dessen Vertragspartei die betroffene Person ist. Der Vertrag besteht hier im Nutzungsvertrag des Vergabeplattformbetreibers mit dem öffentlichen Auftraggeber bzw. Bewerber/Bieter, soweit eine Vergabeplattform als Software-as-a-Service oder Cloud-Lösung genutzt und keine eigene Lösung angeboten wird. Allerdings fallen Vertragspartner und die Person, deren Daten verarbeitet werden, meist auseinander, denn Vertragspartner des Plattformbetreibers ist der öffentliche Auftraggeber oder der Bieter/Bewerber, nicht aber der Mitarbeiter/die Mitarbeiterin, die dort als Ansprechpartner fungiert und deren Daten verarbeitet werden. Hier hilft Art. 6 Abs. 1 lit. f DSGVO weiter. Dieser erlaubt eine Datenverarbeitung bei berechtigtem Interesse des für die Datenverarbeitung Verantwortlichen, wenn nicht die Interessen der von der Verarbeitung ihrer Daten betroffenen Person überwiegen. Diese Voraussetzungen liegen in der genannten Konstellation, in der die betroffene Person in Ausübung ihrer beruflichen Tätigkeit handelt, regelmäßig vor. Auch für die Erhebung von Daten über die Nutzung der Plattform kommt als Ermächtigungsgrundlage regelmäßig Art. 6 Abs. 1 lit. f DSGVO zum Tragen. Das berechtigte Interesse des Plattformbetreibers liegt dabei in dem ordnungsgemäßen Betrieb und der Anpassung und Verbesserung seiner Vergabeplattform. Für die Verarbeitung von Daten, die über diese legitimen Zwecke hinausgehen, wird demgegenüber regelmäßig eine gesonderte Einwilligung als Rechtsgrundlage erforderlich sein (Art. 6 Abs. 1 lit. a DSGVO).
Ähnlich ist die Einordnung derjenigen personenbezogenen Daten, die im Rahmen des Vergabeprozesses auf die Plattform durch die Vergabeteilnehmer (also öffentliche Auftraggeber und Bewerber/Bieter) hochgeladen werden. Zwar wird auch hier für manche Verarbeitungen Art. 6 Abs. 1 lit. b DSGVO eingreifen. Denn Vergabeverfahren dienen gerade der Anbahnung eines Vertrages über einen öffentlichen Auftrag. Vergabeverfahren stellen daher eine vorvertragliche Maßnahme im Sinne des Art. 6 Abs. 1 lit. b DSGVO dar. Die Dokumente, die im Rahmen des Vergabeverfahrens hochgeladen werden, enthalten aber häufig personenbezogene Daten von Mitarbeitern. Vertragspartei wird jedoch nur das Unternehmen, welches an der Ausschreibung teilnimmt und den Zuschlag erhält. Insofern kann Art. 6 Abs. 1 lit. b DSGVO keine ausreichende Ermächtigungsgrundlage für die Verarbeitung dieser Daten durch die Teilnehmer am Vergabeverfahren sein. Während sich die Zulässigkeit der Verwendung der Daten von Mitarbeitern in einem Vergabeverfahren im Innenverhältnis zwischen Arbeitgeber und Arbeitnehmer nach § 26 BDSG richtet, der den Beschäftigtendatenschutz regelt, kommt als Ermächtigungsgrundlage im Außenverhältnis zwischen öffentlichem Auftraggeber und Bieter/Bewerber als Rechtsgrundlage für die Verarbeitung von Daten der Mitarbeiter des anderen die Ermächtigungsgrundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO zum Tragen.
Teils wird auf die Ermächtigungsgrundlage des Art. 6 Abs. 1 lit. c DSGVO hingewiesen [Hattig/Oest, Grundsätze der Beschaffung und Vergabe 2018, S. 5 (8)]. Danach ist die Verarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Dabei kann es sich nach Art. 6 Abs. 3 S. 1 DSGVO um eine unionsrechtliche oder mitgliedstaatliche Rechtsgrundlage handeln. Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt sein. Ob die vergaberechtlichen Vorschriften etwa der §§ 46 Abs. 3 Nr. 2, 6; 58 Abs. 2 VgV oder der §§ 123 ff. GWB allerdings diesen Anforderungen genügen, ist bisher fraglich.
III. Einhaltung datenschutzrechtlicher Grundsätze
Neben dem Vorliegen der Erlaubnistatbestände ist die Einhaltung der datenschutzrechtlichen Grundsätze des Art. 5 DSGVO zwingend. Insbesondere gelten die Grundsätze der Transparenz und der Zweckbindung. Der Transparenzgrundsatz erfordert es, die von der Verarbeitung ihrer Daten betroffenen Personen umfänglich und verständlich über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Diese Verpflichtung trifft den Betreiber der Vergabeplattform gegenüber den Nutzern der Plattform und die ausschreibende Stelle gegenüber Bietern/Bewerbern.
Der Zweckbindungsgrundsatz wiederum verlangt, dass personenbezogene Daten nur für den Zweck verwendet werden, für den die Daten erhoben wurden. Eine weitergehende Nutzung ist nicht gestattet. Endet der Zweck, etwa indem eine Vergabestelle oder ein Bewerber das jeweilige Angebot zurücknimmt, sind auch die jeweiligen personenbezogenen Daten grundsätzlich zu löschen.
Hinsichtlich der Speicherung und des Löschens der Daten gilt mit Blick auf die Zweckbindung, dass die Daten nur solange gespeichert werden dürfen, wie es für den Zweck der Verarbeitung erforderlich ist. Das bedeutet für die Nutzungsdaten und Anmeldedaten, dass sie bei Vertragsende zwischen Plattformbetreiber und öffentlicher Auftraggeber sowie Bewerber/Bieter zu löschen sind. Nach Ende des Vertragsverhältnisses ist eine weitergehende Speicherung jedoch teilweise erforderlich, um vergaberechtliche Dokumentationspflichten oder steuerrechtliche Vorgaben aus der Abgabenordnung zu erfüllen oder aber Ansprüche durchsetzen zu können. Insoweit bestehende Aufbewahrungspflichten überlagern die Verpflichtung zur Löschung aus dem Datenschutzrecht. Sobald diese Pflichten jedoch nicht mehr bestehen, muss eine endgültige Löschung erfolgen.
IV. Rechte der betroffenen Personen im E-Vergabeverfahren
Die DSGVO sieht eine Reihe von Rechten der betroffenen Personen vor, deren personenbezogene Daten verarbeitet werden. Die Rechte umfassen das Recht auf Auskunft, ein Recht auf Berichtigung unrichtiger Daten und unter bestimmten Umständen auf Löschung und Datenportabilität. Diese Betroffenenrechte richten sich allesamt gegen den sog. Verantwortlichen. Verantwortlich ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. In Bezug auf Anmelde- und Nutzungsdaten der Plattform ist dies der Plattformbetreiber. Hinsichtlich der Dokumente, die im Rahmen des Vergabeverfahrens hochgeladen werden, ist dies der öffentliche Auftraggeber.
Vom Verantwortlichen ist der Auftragsverarbeiter zu unterscheiden. Das ist derjenige, der personenbezogene Daten im Auftrag und auf Weisung des Verantwortlichen verarbeitet. Auftragsverarbeiter und Verantwortlicher sind verpflichtet, eine Vereinbarung über die Auftragsverarbeitung mit bestimmten Inhalten zu schließen, die die jeweiligen Rechte und Pflichten festlegt. Der Auftragsverarbeiter ist danach zwar verpflichtet, den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, seiner Pflicht zur Erfüllung der Betroffenenrechte nachzukommen. Verantwortlich dafür, die Betroffenenrechte zu erfüllen, ist jedoch der Verantwortliche.
B. Worauf müssen Auftraggeber und Bieter/Bewerber achten?
Ausgangspunkt der datenschutzrechtlichen Überlegung der Auftraggeber und Bewerber/Bieter sollte stets die Frage sein, welche personenbezogenen Daten im Vergabeverfahren verarbeitet werden. Daran anknüpfend ist zu klären, wer als Verantwortlicher im Sinne der DSGVO gilt. Denn daraus leiten sich wiederum Pflichten gegenüber den Betroffenen ab, die zwingend zu erfüllen sind, wie Informationspflichten und die Verpflichtung zur Erfüllung von Betroffenenrechten.
Astrid Luedtke ist Salaried Partnerin der Kanzlei Heuking Kühn Lüer Wojtek im Büro Düsseldorf. Als Fachanwältin für Gewerblichen Rechtsschutz berät sie deutsche und ausländische Mandanten auf allen Gebieten des geistigen Eigentums und Wettbewerbsrechts. Ein weiterer Schwerpunkt ihrer Tätigkeit liegt im Datenschutzrecht. So berät sie deutsche und ausländische Unternehmen in Bezug auf alle Aspekte des Schutzes personenbezogener Daten, insbesondere bei der Gestaltung der Datenverarbeitung im Konzern und grenzüberschreitender Datentransfers, bei der Durchführung interner Untersuchungen und bei der Umsetzung der europäischen Datenschutzgrundverordnung, aber auch bei der rechtskonformen Entwicklung neuer Geschäftskonzepte, die auf der Nutzung und Verwertung von Daten, einschließlich personenbezogener Daten basieren. Astrid Luedtke hält regelmäßig Vorträge zum Datenschutzrecht. Sie ist unter anderem Mitglied der Gesellschaft für Datenschutz und Datensicherheit (GDD) sowie der International Technology Law Association (ITech Law). Ihre Arbeitssprachen sind Deutsch und Englisch