Euroforum Vergabrecht

Euroforum

Themen, Seminare, Konferenzen im Vergaberecht
Info-Hotline: +49 2 11/887 43 - 33 40

Die Auswirkungen des neuen Datenschutzrechts auf das Vergabeverfahren

„Nichts wird so heiß gegessen, wie es gekocht wird“ sagt ein Sprichwort. Gilt das auch für das neue Datenschutzrecht und seine Auswirkungen auf das Vergaberecht? Wie so oft, wenn der Normgeber neue Regelungen erlässt, lässt sich diese Frage noch nicht eindeutig beantworten.

Zwar gilt die EU-Datenschutzgrundverordnung bereits seit Mai 2018 unmittelbar in allen EU-Mitgliedstaaten. Jedoch wird erst die Rechtsprechung der nächsten  Monate und Jahre zeigen, wie das neue Datenschutzrecht auszulegen ist und die damit verbundenen vergaberechtlichen Fragen zu beantworten sind. Vergabestellen sollten sich gleichwohl bereits jetzt mit dem neuen Datenschutzrecht vertraut machen, denn in aller Regel wird es im Vergabeverfahren zur Verarbeitung personenbezogener  Daten im Sinne der Datenschutzgrundverordnung kommen. Darauf ist bei der Verfahrensgestaltung Rücksicht zu nehmen. Nach folgend werden daher das neue Datenschutzrecht und seine wichtigsten Auswirkungen auf das Vergabeverfahren näher beleuchtet.

I. DAS NEUE DATENSCHUTZRECHT IM ÜBERBLICK

Seit dem 25.05.2018 gilt die Verordnung EU 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO) in allen Mitgliedsstaaten der EU unmittelbar.

Die DSGVO hat Vorrang vor den nationalen Datenschutz   – be stimmungen des Bundesdatenschutzgesetzes (BDSG) und der Landes datenschutzgesetze (LDSG). Sie findet Anwendung, wenn „Verantwortliche“ im Sinne der Verordnung „personenbezogene Daten verarbeiten“.

Personenbezogene Daten im Sinne der DSGVO sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Umfasst sind damit alle Informationen, die allein oder im Zusammenspiel mit andern Informationen Rückschluss auf die Identität der Person geben. Dazu gehören neben Name und Adresse auch E-Mailadressen, die den Namen der Person enthalten, Fotos, Geburtsdaten, Telefonnummern und IP-Adressen, aber z.B. auch persönliche Vorlieben und Interessen. Informationen, die sich ausschließlich auf juristische Personen beziehen sind dagegen nicht umfasst.

Verantwortlicher im Sinne der DSGVO ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, also über das „Ob“, „Wie“ und „Wofür“ der Datenverarbeitung.

Verantwortliche sind nach der DSGVO verpflichtet, alle erforderlichen organisatorischen und technischen Maßnahmen zu treffen, damit die Rechte der betroffenen Personen bei der Datenverarbeitung gewahrt werden. Die Rechte der Betroffenen werden durch die DSGVO gestärkt und zum Teil wesentlich erweitert. Insbesondere die Informationspflicht der Verantwortlichen gegenüber den betroffenen Personen im Falle einer Datenverarbeitung wird umfassender geregelt. Art. 13 DSGVO regelt die Informationspflicht, wenn die Daten beim Betroffenen selbst erhoben werden, Art. 14 die  Informationspflicht, wenn die Daten bei Dritten erhoben werden.

II. WAS MÜSSEN VERGABESTELLEN BEACHTEN?  

Dass die DSGVO in Kraft getreten ist, dürfte kaum jemandem entgangen sein. Private E-Mail- Accounts quollen über von Aufforderungen zur Abgabe von Einverständnis erklärungen; Unternehmen und die öffentliche Hand prüften ihre  internen und externen Abläufe auf Datenschutzkonformität. Und im  Vergabeverfahren – was ist da zu tun? Was bedeutet das neue  Datenschutzrecht nun für öffentliche Auftraggeber?

Öffentliche Auftraggeber verarbeiten im Vergabeverfahren personenbezogene Daten als Verantwortliche im Sinne der DSGVO. Personenbezogene Daten werden z.B. im Rahmen der Eignungs- und Nachunternehmerprüfung und bei der Angebotswertung erhoben und verarbeitet. Bei der Eignungsprüfung fordert der öffentliche Auftraggeber die Bieter beispielsweise auf, Referenzen unter Angabe des Ansprechpartners bei früheren Auftraggebern zu benennen. Gemäß § 46 VgV darf der Auftraggeber auch die Angabe der Fachkräfte fordern, die der Auftragnehmer für die Ausführung des Auftrags einsetzen will, sowie Studien- und Ausbildungsnachweise der Inhaber und Führungskräfte der Bieterunternehmen. Im Rahmen der Angebotswertung kommt es insbesondere zur Verarbeitung personenbezogener Daten, wenn der Auftraggeber die Erfahrung und Qualifikation des eingesetzten Personals wertet.

Nach den Vorgaben der Art. 13, 14 DSGVO müsste der Auftrag geber grundsätzlich jede natürliche Person, deren Daten er im Vergabeverfahren erhebt, über die Verarbeitung ihrer Daten informieren. Der öffentliche Auftraggeber müsste jeden Betroffenen selbst kontaktieren und ihm die nach Art. 13, 14 DSGVO erforderlichen Informationen zukommen lassen, u.a. Namen und Kontaktdaten des Verarbeiters, die Kontaktdaten des Datenschutzbeauftragten, Verarbeitungszweck und Rechtsgrundlage der Verarbeitung, die Empfänger der Daten und die Rechte des Betroffenen nach der DSGVO. Diese Verpflichtung würde im Vergabeverfahren mindestens einen erheblichen organisatorischen und zeitlichen Mehraufwand für die Auftraggeber bedeuten; mitunter schlicht undurchführbar sein. Die Informationspflicht aber auf den Bieter zu über tragen, damit dieser wiederum seine Mitarbeiter, früheren Auftraggeber, etc. informiert, erscheint nach dem Wortlaut der beiden Vorschriften nicht möglich. Beide Vorschriften sehen vor, dass der Verarbeiter den Betroffenen selbst informiert.

Nach der hier vertretenen Auffassung trifft die Informationspflicht öffentliche Auftraggeber aber in der Regel nur in den Fällen des Art. 13 DSGVO, wenn die Daten beim Betroffenen selbst erhoben werden. Das kommt im Vergabeverfahren aber eher selten vor. Die Bieter im Vergabeverfahren sind in der Regel Unternehmen, also juristische und keine natürlichen Personen. Dennoch ist es empfehlenswert, den Vergabeunterlagen eine standardisierte Daten schutzerklärung mit den nach Art. 13 DSGVO erforderlichen Informationen beizufügen, sofern nicht vollständig auszuschließen ist, dass personenbezogene Daten beim Betroffenen selbst erhoben werden. Dies gilt insbesondere, wenn es möglich erscheint, dass sich Einzelkaufleute auf den Auftrag bewerben. Zudem muss der Auftraggeber damit rechnen, dass diejenige Person, die seine  Anfrage beim Bieter beantwortet, auch ihre eigenen personen bezogenen Daten preisgibt, etwa über eine „sprechende“ E-Mail- Adresse. Die Datenschutzerklärung kann entweder in die Aufforderung zur Angebotsabgabe integriert oder als separates Formblatt den Vergabeunterlagen beigefügt werden.

Von der in Art. 14  DSGVO geregelten Informationspflicht für Fälle, in denen die Daten bei einem Dritten erhoben werden, ist der öffentliche Auftrag geber, abhängig von den Umständen des Einzelfalls, dagegen mit guten Argumenten befreit. Nach Art. 14 Abs. 5 lit. b) DSGVO ist die Information an den Betroffenen entbehrlich, wenn sie einen unverhältnismäßig hohen  Aufwand erfordert und im Übrigen bereits geeignete Schutzmaß nahmen bestehen, um die Freiheiten und Rechte des Betroffenen zu gewährleisten.

Der Ausnahmetatbestand erfordert eine Abwägung der Interessen des Betroffenen im Einzelfall mit dem Aufwand, den der Auftraggeber betreiben müsste. In die Abwägung ist u.a. einzustellen, wie groß das Informationsdefizit des Betroffenen tatsächlich ist. Inwieweit besteht z.B. überhaupt ein Informationsdefizit bei Mit arbeitern des Bieters oder bei Nachunternehmern, die grundsätzlich davon ausgehen müssen, dass ihre Namen und ihre beruflichen Kontaktdaten an potentielle Auftraggeber weitergegeben werden, um sich auf Aufträge zu bewerben und diese durchzuführen?

In der Abwägung ist das Schutzbedürfnis des Betroffenen zu berücksichtigen. Das Schutzbedürfnis beruflicher personenbezogener Daten ist im Regelfall geringer als das privater Informationen, es sei denn es handelt sich um kritische Daten, wie z.B. die Gewerkschaftszugehörigkeit oder die Anzahl der Krankentage. Außer im Falle eines Personalübergangs werden solche  Daten im Vergabeverfahren aber in der Regel nicht abgefragt.

Auch die Ausnahme des Art. 14 Abs. 5 lit. c) DSGVO kann im Einzelfall greifen. Demnach darf auf die Information verzichtet werden, wenn die Erlangung der personenbezogenen Daten auf einer Rechtsvorschrift beruht, die geeignete Maßnahmen zum Schutz des Betroffenen vorsehen. Die Rechtsvorschrift muss allerdings ausreichend konkret beschreiben, welche Daten für welchen Zweck erhoben werden. Dies ist mit guten Argumenten z.B. für § 46 Abs. 3 Nr. 2 VgV anzunehmen. Die Vorschrift führt ausdrücklich aus, dass der Auftraggeber für die Eignungsprüfung die Angabe von Fachkräften  fordern darf, die für die Auftragsausführung eingesetzt werden.

Das erforderliche Schutzniveau wird in beiden Fällen durch die umfassenden Schutzmechanismen des Vergaberechts für die im Vergabeverfahren übermittelten Informationen erreicht. Die Vorschriften der Vergabe(ver)ordnungen VgV, VOB/A, SektVO und UVgO sehen vor, dass öffentliche Auftraggeber im Vergabeverfahren den Grundsatz der Wahrung der Vertraulichkeit einhalten müssen (vgl. beispielhaft § 5 Abs. 2 VgV) und hohe Sicherheitsanforderungen an die verwendeten elektronischen Mittel und deren Einsatz stellen müssen (vgl. beispielhaft §§ 10, 11 VgV).

III.  KEINE BUSSGELDER FÜR ÖFFENTLICHE  AUFTRAGGEBER BEI VERSTÖSSEN  

Die in der DSGVO vorgesehenen Bußgeldvorschriften sind für öffentliche Auftraggeber durch das BDSG und die LDSG wesentlich entschärft. Die DSGVO lässt zu, dass die Mitgliedsstaaten Behörden und öffentliche Stellen von der Bußgeldpflicht befreien. Das BDSG und die LDSG stellen öffentliche Stellen und damit auch die Mehrheit der öffentlichen Auftraggeber entsprechend von den Bußgeldvorschriften frei. Eine öffentliche Stelle nach dem BDSG und dem LDSG liegt in der Regel nur dann nicht vor, wenn ein Unter nehmen mehrheitlich privatrechtlich kontrolliert ist. Dies kann insbesondere bei Sektorenauftraggebern der Fall sein.

IV.  FAZIT  

Nach der hier vertretenen Auffassung sind die Auswirkungen der neuen DSGVO auf das Vergabeverfahren nicht so gravierend, wie es auf den ersten Blick erscheint. Zwar gelten öffentliche Auftraggeber als Ver arbeiter im Sinne der Verordnung. Aber insbesondere von der Informationspflicht nach Art. 14 DSGVO sind öffentliche Auftrag geber – abhängig von den Umständen des Einzelfalls – mit guten Argumenten befreit.

Zu empfehlen ist allerdings, den Vergabeunterlagen eine Datenschutzerklärung nach Art. 13 DSGVO beizufügen, da nicht auszuschließen ist, dass im Zuge des Vergabeverfahrens auch personenbezogene Daten bei den Betroffenen selbst erhoben werden.

Das Verfolgungsrisiko bei Verstößen gegen die DSGVO für öffentliche Auftraggeber ist gering. Denn sowohl das BDSG als auch die LDSG sehen Ausnahmen von den Bußgeldvorschriften für öffentliche Stellen vor.

Kirstin van de Sande,  Rechtsanwältin und Salaried Partnerin, und
Rebecca Dreps,  Rechtsanwältin und Senior Associate, HEUKING KÜHN LÜER WOJTEK, Düsseldorf