Datenschutz und IT-Recht in Vergabeverfahren

Wichtig für die vergaberechtskonforme Abbildung dieser Aspekte in den Ausschreibungsverfahren ist, dass Datenschutz und IT-rechtliche Besonderheiten bereits bei der Planung des Beschaffungsbedarfs berücksichtigt werden.

Datenschutz: Darauf kommt es an.

• Allgemeine Grundlagen

Nach der DS-GVO müssen Verantwortliche eine Vielzahl an Pflichten bei der Verarbeitung der personenbezogenen Daten der Betroffenen erfüllen. Gleichzeitig stehen Betroffenen eine Vielzahl an Rechten zur Verfügung.

• Bedeutung im Vergabeverfahren

Das Datenschutzrecht ist in mehreren Abschnitten eines Vergabeverfahrens relevant. Hilfreich ist es, sich dazu zunächst am Ablauf einer Beschaffung zu orientieren und zu prüfen, in welchem Abschnitt personenbezogene Daten von eigenen Mitarbeitern oder Dritten verarbeitet werden.

• Vergabeplattform

Kaum ein Vergabeverfahren wird noch ohne eine Vergabeplattform abgewickelt. Diese werden in aller Regel von mehreren Mitarbeiter des öffentlichen Auftraggebers genutzt, sei es in der Vergabestelle oder aus den jeweils beschaffenden Fachabteilungen (z.B. Bau, Technik, EDV). Die Mitarbeiter erhalten dazu nach vorheriger Registrierung einen eigenen Account, in dem Name, E-Mailadresse, Abteilung oder Funktion des Mitarbeiters hinterlegt sind. Bei der Nutzung erfasst die Plattform Log-Daten, IP-Adresse oder Nutzungszeit des Mitarbeiters. Neben den eigenen Mitarbeitern nutzen zudem regelmäßig auch externe Berater, wie z.B. Architekten oder Rechtsanwälte, die Plattform.

• Datenaustausch zwischen Vergabestelle und Bieter während der Ausschreibung

Im laufenden Vergabeverfahren verarbeiten der öffentliche Auftraggeber und die Bieter bzw. Teilnehmer personenbezogene Daten im Wesentlichen bei der Kommunikation, den Vergabeunterlagen oder im Rahmen der Angebotsabgabe und Angebotswertung.

• Der eigentliche Auftrag

Die größte Bedeutung hat die Verarbeitung personenbezogener Daten schließlich in Bezug auf die zu beschaffende Leistung. Dabei sind immer im Einzelfall und mit Blick auf die Verarbeitungsvorgänge die jeweiligen Verarbeitungen zu untersuchen und auf ihre Zulässigkeit zu prüfen.
Zu klären ist:

• wie,
• in welchem Umfang und
• wo personenbezogene Daten

verarbeitet werden.

So wird beispielsweise eine simple Lieferung von Hard- oder Software regelmäßig datenschutzrechtlich weniger komplex sein, als die Einführung einer e-Government-Plattform auf Cloud-Basis für die Bürgerinnen und Bürger. Auch die Frage, ob (nur) eine Auftragsverarbeitung stattfindet oder eine gemeinsame Verantwortlichkeit vorliegt, sollte geklärt sein.

• Wichtige im Vorfeld zu klärende Fragen:

– Wird eine Software für interne Organisations- und Arbeitsabläufe beschafft, kann die Einbeziehung der Mitarbeiter-Vertretung erforderlich sein. (Bundesarbeitsgericht, Beschluss vom 08.03.2022 – 1ABR 20/21 zur Einführung von Microsoft Office 365).

– Es ist zu entscheiden, welche Funktionen und Einstellungen überhaupt zwingend benötigt werden oder auf welche verzichtet werden kann oder sollte (Grundsatz der Datenminimierung).

– Zu prüfen ist insbesondere auch, um welche Art von personenbezogenen Daten von der Verarbeitung betroffen sind. Die Verarbeitung von besonderen Kategorien personenbezogener Daten i.S.v. Art. 9 DS-GVO (z.B. Gesundheitsdaten, Religionszugehörigkeit, biometrische Daten) ist etwa an strengere Voraussetzungen geknüpft als die Verarbeitung einer Wohnanschrift.

– Welche Mindestanforderungen sollen mit Blick auf den Datenschutz in das Verfahren einfließen?

IT-rechtliche Besonderheiten

• Die Nutzung der Ergänzenden Vertragsbedingungen für die Beschaffung von IT-Leistungen (EVB-IT)

Der CIO Bund stellt auf seiner Website die jeweils aktuellsten Fassungen der EVB-IT bereit.

Im Rahmen von IT-Vergabeverfahren bietet es sich an, diese EVB-IT zu nutzen. Das hat den Vorteil, dass einerseits nicht auf der freien Wiese begonnen werden muss, andererseits ein von öffentlicher Hand und den IT-Unternehmen abgestimmtes und akzeptiertes Vertragswerk vorliegt. Nicht zu unterschätzen ist allerdings der mit dem Ausfüllen und Anpassen der EVB-IT-Muster verbundene Aufwand.

• Produktneutralität

Als besonders anspruchsvolle Herausforderung bei der IT-Beschaffung wird häufig die Einhaltung des Grundsatzes der Produktneutralität genannt. Denn grundsätzlich ist in einem Vergabeverfahren eine Produktvorgabe oder Spezifizierungen der Leistungsbeschreibung dahingehend, dass nur noch ein oder sehr wenige Unternehmen in Betracht kommen, unzulässig. Insbesondere bei komplexen Systemen bestehen jedoch häufig starke Abhängigkeiten der Einzelsysteme voneinander, sodass darin ein Grund für eine Produktvorgabe liegen kann, um zum Beispiel drohende Ausfallrisiken abzuwenden.

Fazit:

• Gerade bei IT-Vergaben ist eine frühzeitige Planung unter Einbeziehung der datenschutzrechtlichen und IT-rechtlichen Anforderungen essentiell.
• Dies gilt umso mehr, je komplexer die zu beschaffenden Leistungen oder die Abhängigkeiten zu bestehenden Systemen sind.
• Unerlässlich ist insoweit eine enge und kontinuierliche Abstimmung zwischen Vergabestelle, Beratern und den Fachabteilungen.