© iStockphoto.com/gorodenkoff

Datenschutz gilt auch im Vergaberecht

Das Thema Datenschutz ist seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) allgegenwärtig. Dass Unternehmen sich auch im Vergabeverfahren Gedanken über den Datenschutz machen sollten, ist indessen den wenigsten Bietern bewusst.

Durch die Einführung der DSGVO soll europaweit sichergestellt werden, dass personenbezogene Daten nur unter bestimmten Voraussetzungen verarbeitet werden dürfen. Um ein einheitliches Schutzniveau zu gewährleisten, setzt die Verordnung den Verantwortlichen enge Grenzen in Bezug auf den Umgang mit personenbezogenen Daten.

Was sind personenbezogene Daten?

Dazu zählen sämtliche Informationen, die sich auf natürliche Personen beziehen, etwa der Name oder die Wohnanschrift. Sofern es hingegen um Daten geht, die unternehmensbezogen sind, unterfallen diese grundsätzlich nicht der DSGVO . Im Einzelfall können aber die Jobbezeichnung oder das Aufgabengebiet personenbezogene Daten sein. Es ist wie so oft eine Frage des Einzelfalls. Entscheidend ist, ob über die Daten Personen identifizierbar sind. Ein Geschäftsführer ist z.B. durch seine Stellenbezeichnung identifizierbar. Dies ist ebenfalls der Fall, wenn es nur wenige Personen mit dieser Jobbezeichnung gibt, insbesondere, wenn weitere Daten hinzukommen, die eine Identifizierung vereinfachen, z.B. Telefonnummer, Stockwerk, Eintrittsdatum etc. Für das Aufgabengebiet gilt dies genauso. Es liegen ebenfalls personenbezogene Daten vor, wenn – wie bei einer IP-Adresse – eine Identifizierung durch das Heranziehen weiterer Informationen möglich ist.

Die Verarbeitung personenbezogener Daten

Erhebt, speichert oder übermittelt (die DSGVO benutzt hierfür umfassend den Begriff der Verarbeitung) ein Unternehmen personenbezogene Daten und bestimmt es den Zweck und Mittel der Verarbeitung dieser Daten (also „Ob“ Daten verarbeitet werden und „Wie“ dies geschieht), so ist das Unternehmen verantwortlich im Sinne der DSGVO. Damit ist das Unternehmen verpflichtet, die in der DSGVO enthaltenen Grundsätze einzuhalten.

Um die von der Datenverarbeitung betroffenen Personen möglichst effektiv vor rechtswidriger Verarbeitung ihrer Daten zu schützen, verbietet die DSGVO zunächst jegliche Datenverarbeitung, es sei denn, es liegt ein gesetzlich erlaubter Grund vor. Dazu gehört etwa:

  • die Einwilligung der betroffenen Person
  • die Erfüllung eines Vertrages oder die Durchführung vorvertraglicher Maßnahmen
  • die Erforderlichkeit zur Erfüllung einer rechtlichen Verpflichtung
  • die Wahrung berechtigter Interessen des Unternehmens

Zudem sorgen weitere allgemeine Grundsätze der DSGVO für den Schutz von personenbezogenen Daten. So dürfen die Daten nur zu dem Zweck, zu dem sie erhoben wurden, verarbeitet werden (sogenannte Zweckbindung). Auch sollen nach dem Grundsatz der Datenminimierung so wenig personenbezogene Daten wie möglich verarbeitet werden und alle Informationen zur Datenverarbeitung leicht zugänglich und einfach verständlich sein (Grundsatz der Transparenz).

Werden personenbezogene Daten erhoben und verarbeitet, so müssen die betroffenen Personen über Datenschutzhinweise vorab darüber ausführlich informiert werden. Unternehmen müssen aber nicht nur informieren. Sie sind auch verpflichtet, den betroffenen Personen Auskunft zu geben, welche und wofür diese Daten hinterlegt sind. Verlangt die Person eine Löschung der eigenen personenbezogenen Daten, ist das Unternehmen dazu verpflichtet, wenn gesetzlich dem nichts im Wege steht (Steuerrecht, Arbeitsrecht, etc.).

Zudem müssen sie durch sogenannte technisch-organisatorische Maßnahmen die Sicherheit der Datenverarbeitung gewährleisten. Alle diese Anforderungen gelten auch im Rahmen eines Vergabeverfahrens.

Die DSGVO im Vergabeverfahren

Im Rahmen des Vergabeverfahrens sind Bieter – ebenso wie öffentliche Auftraggeber – regelmäßig als Verantwortliche zur Einhaltung der datenschutzrechtlichen Normen nach DSGVO verpflichtet. Wichtig: Auch für die Weiterleitung von personenbezogenen Daten im Vergabeverfahren ist die Erlaubnis von den betroffenen Personen im Sinne der DSGVO notwendig. Beispiel: Für den Nachweis der Eignung muss das Unternehmen Zeugnisse eines Mitarbeiters vorlegen. Hier ist das Unternehmen verpflichtet, den Mitarbeiter zu fragen, ob dieser überhaupt damit einverstanden ist. Es dürfen auch nur solche personenbezogenen Daten an den Auftraggeber weitergeleitet werden, die zur ordnungsgemäßen Teilnahme am Vergabeverfahren zwingend erforderlich sind.

Bieter müssen beim Nachweis der Qualifikation ihrer Mitarbeiter ergänzend das Bundesdatenschutzgesetz (BDSG) beachten. Dort ist die Datenverarbeitung für Zwecke des Beschäftigtenverhältnisses speziell geregelt. Zum Beispiel werden an die Freiwilligkeit der Einwilligung zur Datenverarbeitung und die Einhaltung der datenschutzrechtlichen Grundprinzipien bei Mitarbeiterdaten höhere Anforderungen gestellt. Hier sollten Arbeitgeber zum einen prüfen, ob in den Arbeitsverhältnissen datenschutzkonforme Regelungen getroffen wurden. Zum anderen müssten die Klauseln erlauben, personenbezogene Daten im Vergabeverfahren weiterzuleiten.

Folgen eines Verstoßes

Bei Datenschutzverstößen drohen erhebliche Konsequenzen nach dem Sanktionssystem der DSGVO: Von den Datenschutzbehörden können Unternehmen mit Bußgeldern in Höhe von bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes belastet werden – ein Betrag, der die Existenz eines Unternehmens durchaus bedrohen kann. Im Vergabeverfahren kann ein besonders schwerwiegender Verstoß gegen das Datenschutzecht darüber hinaus zum Verlust der Eignung führen, wenn etwa durch den Verstoß Zweifel an der Integrität des Unternehmens aufkommen.

Unser Praxistipp

Prüfen Sie vor Angebotsabgabe, ob darin personenbezogene Daten enthalten sind. Hier genügt schon die Nennung des Namens eines Mitarbeiters. Erwähnen Sie die mögliche Weitergabe von personenbezogenen Daten bereits in Ihren Datenschutzhinweisen für Mitarbeiter. Beziehen Sie auch Ihren unternehmenseigenen Datenschutzbeauftragten bei der Angebotsabgabe ein.

Nicht nur Unternehmen müssen im Vergabeverfahren auf die Einhaltung der DSGVO achten. Auch Auftraggeber sind davon nicht frei. Erfahren Sie am 07. Mai 2019 mehr über die Pflichten für Auftraggeber. Diese sollten Sie auch als Bieter kennen.

 

Dr. Silvia Hartmann
Rechtsanwältin bei Luther Rechtsanwaltsgesellschaft mbH. Berät in Fragestellungen des IT-Rechts, insbesondere bei der Gestaltung von Softwarevertragsmodellen sowie in den Bereichen der IT-Compliance und des eCommerce. Weiterer Tätigkeitsschwerpunkt: Datenschutz, z.B. die Unterstützung bei der Umsetzung der Anforderungen der DSGVO, die Erstellung von datenschutzrelevanten Verträgen und Betriebsvereinbarungen, von Merkblättern und Richtlinien.