Fachbeitrag

Datenschutz und IT-Recht in Vergabeverfahren

Die Digitalisierung und die zunehmende technische Komplexität von digitalen Produkten wirken sich auch auf die Planung, Steuerung und Durchführung von IT-Vergaben aus. Um die Vielzahl der IT-Projekte effizient, zielführend und sicher umzusetzen, ist eine genaue Kenntnis der datenschutz- und IT-rechtlichen Anforderungen in einem Vergabeverfahren mittlerweile unverzichtbar.

Wichtig für die vergaberechtskonforme Abbildung dieser Aspekte in den Ausschreibungsverfahren ist, dass Datenschutz und IT-rechtliche Besonderheiten bereits bei der Planung des Beschaffungsbedarfs berücksichtigt werden.

Datenschutz: Darauf kommt es an.

  • Allgemeine Grundlagen

Nach der DS-GVO müssen Verantwortliche eine Vielzahl an Pflichten bei der Verarbeitung der personenbezogenen Daten der Betroffenen erfüllen. Gleichzeitig stehen Betroffenen eine Vielzahl an Rechten zur Verfügung.

  • Bedeutung im Vergabeverfahren

Das Datenschutzrecht ist in mehreren Abschnitten eines Vergabeverfahrens relevant. Hilfreich ist es, sich dazu zunächst am Ablauf einer Beschaffung zu orientieren und zu prüfen, in welchem Abschnitt personenbezogene Daten von eigenen Mitarbeitern oder Dritten verarbeitet werden.

  • Vergabeplattform

Kaum ein Vergabeverfahren wird noch ohne eine Vergabeplattform abgewickelt. Diese werden in aller Regel von mehreren Mitarbeiter des öffentlichen Auftraggebers genutzt, sei es in der Vergabestelle oder aus den jeweils beschaffenden Fachabteilungen (z.B. Bau, Technik, EDV). Die Mitarbeiter erhalten dazu nach vorheriger Registrierung einen eigenen Account, in dem Name, E-Mailadresse, Abteilung oder Funktion des Mitarbeiters hinterlegt sind. Bei der Nutzung erfasst die Plattform Log-Daten, IP-Adresse oder Nutzungszeit des Mitarbeiters. Neben den eigenen Mitarbeitern nutzen zudem regelmäßig auch externe Berater, wie z.B. Architekten oder Rechtsanwälte, die Plattform.

  • Datenaustausch zwischen Vergabestelle und Bieter während der Ausschreibung

Im laufenden Vergabeverfahren verarbeiten der öffentliche Auftraggeber und die Bieter bzw. Teilnehmer personenbezogene Daten im Wesentlichen bei der Kommunikation, den Vergabeunterlagen oder im Rahmen der Angebotsabgabe und Angebotswertung.

  • Der eigentliche Auftrag

Die größte Bedeutung hat die Verarbeitung personenbezogener Daten schließlich in Bezug auf die zu beschaffende Leistung. Dabei sind immer im Einzelfall und mit Blick auf die Verarbeitungsvorgänge die jeweiligen Verarbeitungen zu untersuchen und auf ihre Zulässigkeit zu prüfen.
Zu klären ist:

  • wie,
  • in welchem Umfang und
  • wo personenbezogene Daten

verarbeitet werden.

So wird beispielsweise eine simple Lieferung von Hard- oder Software regelmäßig datenschutzrechtlich weniger komplex sein, als die Einführung einer e-Government-Plattform auf Cloud-Basis für die Bürgerinnen und Bürger. Auch die Frage, ob (nur) eine Auftragsverarbeitung stattfindet oder eine gemeinsame Verantwortlichkeit vorliegt, sollte geklärt sein.

  • Wichtige im Vorfeld zu klärende Fragen:

– Wird eine Software für interne Organisations- und Arbeitsabläufe beschafft, kann die Einbeziehung der Mitarbeiter-Vertretung erforderlich sein. (Bundesarbeitsgericht, Beschluss vom 08.03.2022 – 1ABR 20/21 zur Einführung von Microsoft Office 365).

– Es ist zu entscheiden, welche Funktionen und Einstellungen überhaupt zwingend benötigt werden oder auf welche verzichtet werden kann oder sollte (Grundsatz der Datenminimierung).

– Zu prüfen ist insbesondere auch, um welche Art von personenbezogenen Daten von der Verarbeitung betroffen sind. Die Verarbeitung von besonderen Kategorien personenbezogener Daten i.S.v. Art. 9 DS-GVO (z.B. Gesundheitsdaten, Religionszugehörigkeit, biometrische Daten) ist etwa an strengere Voraussetzungen geknüpft als die Verarbeitung einer Wohnanschrift.

– Welche Mindestanforderungen sollen mit Blick auf den Datenschutz in das Verfahren einfließen?

IT-rechtliche Besonderheiten

  • Die Nutzung der Ergänzenden Vertragsbedingungen für die Beschaffung von IT-Leistungen (EVB-IT)

Der CIO Bund stellt auf seiner Website die jeweils aktuellsten Fassungen der EVB-IT bereit.

Im Rahmen von IT-Vergabeverfahren bietet es sich an, diese EVB-IT zu nutzen. Das hat den Vorteil, dass einerseits nicht auf der freien Wiese begonnen werden muss, andererseits ein von öffentlicher Hand und den IT-Unternehmen abgestimmtes und akzeptiertes Vertragswerk vorliegt. Nicht zu unterschätzen ist allerdings der mit dem Ausfüllen und Anpassen der EVB-IT-Muster verbundene Aufwand.

  • Produktneutralität

Als besonders anspruchsvolle Herausforderung bei der IT-Beschaffung wird häufig die Einhaltung des Grundsatzes der Produktneutralität genannt. Denn grundsätzlich ist in einem Vergabeverfahren eine Produktvorgabe oder Spezifizierungen der Leistungsbeschreibung dahingehend, dass nur noch ein oder sehr wenige Unternehmen in Betracht kommen, unzulässig. Insbesondere bei komplexen Systemen bestehen jedoch häufig starke Abhängigkeiten der Einzelsysteme voneinander, sodass darin ein Grund für eine Produktvorgabe liegen kann, um zum Beispiel drohende Ausfallrisiken abzuwenden.

Fazit:

  • Gerade bei IT-Vergaben ist eine frühzeitige Planung unter Einbeziehung der datenschutzrechtlichen und IT-rechtlichen Anforderungen essentiell.
  • Dies gilt umso mehr, je komplexer die zu beschaffenden Leistungen oder die Abhängigkeiten zu bestehenden Systemen sind.
  • Unerlässlich ist insoweit eine enge und kontinuierliche Abstimmung zwischen Vergabestelle, Beratern und den Fachabteilungen.

 

Autor

„Als Rechtsanwalt und Fachanwalt für IT-Recht sowie Geschäftsführer zweier Gesellschaften mit den Schwerpunktbereichen IT-Recht, Datenschutzrecht, IT-Sicherheit und Compliance begleite ich seit Jahren zusammen mit meinem Team Unternehmen auf dem Weg zur Digitalisierung. Insbesondere die Erfassung und rechtskonforme Umsetzung der Schnittmengen aus IT-Recht, Datenschutz und IT-­Security steht für mich im Fokus. Darüber hinaus berate ich sowohl öffentliche Auftraggeber als auch Unternehmen, insbesondere im Bereich von IT-­Vergaben sowie zu rechtlichen Fragestellungen bei der Einführung neuer Technologien im öffentlichen Sektor. Als externer Datenschutzbeauftragter bin ich für Unternehmen aller Größenordnungen tätig und berate mehrere Industrie- und Handelskammern bei der rechtskonformen Gestaltung von Prozessen. Für die IHK Akademie Koblenz bin ich seit vielen Jahren als Referent und Autor tätig. Über die DIHK­-Bildungs-GmbH bin ich in die Entwicklung von Lehrgangs- und Fortbildungsformaten im Bereich Datenschutz und IT-Sicherheit eingebunden." Homepage: https://www.morgenstern-legal.com/

Wissen

Diese Beiträge könnten Sie auch interessieren

27.11.2024 | Fachbeitrag

So erkennen Sie, ob die Vertragslaufzeit zulässig ist!

Ist einer der Vertragspartner ein öffentlicher Auftraggeber, gelten für Vertragslaufzeiten eigene Gesetze. Diese sollten Sie auch als Bieter unbedingt kennen.
Mehr erfahren
25.10.2024 | Fachbeitrag

De-Facto-Vergabe: So können sich Bieter wehren

Bei einer De-Facto-Vergabe wird ein öffentlicher Auftrag ohne vorheriges Vergabeverfahren direkt vergeben. Das ist nicht erlaubt. So können Sie sich wehren.
Mehr erfahren
07.10.2024 | Fachbeitrag

6 Tipps, um passende Vergaben auszuwählen

Mit strukturierten Teilnahme-Entscheidungen konzentrieren Sie Ihre Kraft auf Ausschreibungen, bei denen sich die Teilnahme lohnt und erhöhen unmittelbar Ihre Gewinnchancen.
Mehr erfahren
22.08.2024 | Fachbeitrag

Preisrecht und Preisprüfung

Nicht jede Ausschreibung führt zu einem Marktpreis – entscheidend sind die Regelungen des öffentlichen Preisrechts.
Mehr erfahren
09.07.2024 | Fachbeitrag

So vermeiden Sie eine Rechnungskürzung!

Zweifel an fairen Preisen? Öffentliche Auftraggeber können Preisprüfungen beantragen, die oft zu Auftragskürzungen führen. Erfahren Sie, wie Sie sich davor schützen können!
Mehr erfahren
20.05.2024 | Fachbeitrag

Rechtsgrundlagen zur Aufhebung öffentlicher Ausschreibungen

Aufhebung von Vergabeverfahren: Wann sie möglich ist und was Bieter wissen müssen.
Mehr erfahren
23.04.2024 | Fachbeitrag

Eigenerklärungen, EEE, Präqualifikation und Besonderheiten bei zweistufigen Verfahren (Teil 2)

Optimieren Sie Ihre Vergabeerfolge: Umfassender Guide zu EEE, Präqualifikation und strategischer Nutzung von Eigenerklärungen im Vergaberecht
Mehr erfahren
26.03.2024 | Fachbeitrag

Nachweise zur Leistungsfähigkeit, Referenzen und Besonderheiten für Start-ups (Teil 1)

Erfahren Sie, wie Sie die Eignungsprüfung für öffentliche Aufträge meistern. Schlüsselkriterien und Tipps für den Erfolg in Vergabeverfahren
Mehr erfahren
19.02.2024 | Fachbeitrag

Die rechtssichere Baudokumentation: Must-Have für jedes Bauprojekt!

Warum eine umfassende Baudokumentation in Bauprojekten unverzichtbar ist und wie sie rechtssichere Abrechnungen und erfolgreiche Projekte sichert
Mehr erfahren
19.01.2024 | Fachbeitrag

eRechnung: Pflicht soll auch im B2B schnell kommen!

In Deutschland soll es ab 2025 im B2B-Geschäft nur noch eRechnungen geben. Lesen Sie jetzt, was das konkret bedeutet, wer davon betroffen ist und was sie tun müssen.
Mehr erfahren
Zum Wissensbereich