Die Digitalisierung und die zunehmende technische Komplexität von digitalen Produkten wirken sich auch auf die Planung, Steuerung und Durchführung von IT-Vergaben aus. Um die Vielzahl der IT-Projekte effizient, zielführend und sicher umzusetzen, ist eine genaue Kenntnis der datenschutz- und IT-rechtlichen Anforderungen in einem Vergabeverfahren mittlerweile unverzichtbar.
Wichtig für die vergaberechtskonforme Abbildung dieser Aspekte in den Ausschreibungsverfahren ist, dass Datenschutz und IT-rechtliche Besonderheiten bereits bei der Planung des Beschaffungsbedarfs berücksichtigt werden.
Datenschutz: Darauf kommt es an.
Nach der DS-GVO müssen Verantwortliche eine Vielzahl an Pflichten bei der Verarbeitung der personenbezogenen Daten der Betroffenen erfüllen. Gleichzeitig stehen Betroffenen eine Vielzahl an Rechten zur Verfügung.
- Bedeutung im Vergabeverfahren
Das Datenschutzrecht ist in mehreren Abschnitten eines Vergabeverfahrens relevant. Hilfreich ist es, sich dazu zunächst am Ablauf einer Beschaffung zu orientieren und zu prüfen, in welchem Abschnitt personenbezogene Daten von eigenen Mitarbeitern oder Dritten verarbeitet werden.
Kaum ein Vergabeverfahren wird noch ohne eine Vergabeplattform abgewickelt. Diese werden in aller Regel von mehreren Mitarbeiter des öffentlichen Auftraggebers genutzt, sei es in der Vergabestelle oder aus den jeweils beschaffenden Fachabteilungen (z.B. Bau, Technik, EDV). Die Mitarbeiter erhalten dazu nach vorheriger Registrierung einen eigenen Account, in dem Name, E-Mailadresse, Abteilung oder Funktion des Mitarbeiters hinterlegt sind. Bei der Nutzung erfasst die Plattform Log-Daten, IP-Adresse oder Nutzungszeit des Mitarbeiters. Neben den eigenen Mitarbeitern nutzen zudem regelmäßig auch externe Berater, wie z.B. Architekten oder Rechtsanwälte, die Plattform.
- Datenaustausch zwischen Vergabestelle und Bieter während der Ausschreibung
Im laufenden Vergabeverfahren verarbeiten der öffentliche Auftraggeber und die Bieter bzw. Teilnehmer personenbezogene Daten im Wesentlichen bei der Kommunikation, den Vergabeunterlagen oder im Rahmen der Angebotsabgabe und Angebotswertung.
Die größte Bedeutung hat die Verarbeitung personenbezogener Daten schließlich in Bezug auf die zu beschaffende Leistung. Dabei sind immer im Einzelfall und mit Blick auf die Verarbeitungsvorgänge die jeweiligen Verarbeitungen zu untersuchen und auf ihre Zulässigkeit zu prüfen.
Zu klären ist:
- wie,
- in welchem Umfang und
- wo personenbezogene Daten
verarbeitet werden.
So wird beispielsweise eine simple Lieferung von Hard- oder Software regelmäßig datenschutzrechtlich weniger komplex sein, als die Einführung einer e-Government-Plattform auf Cloud-Basis für die Bürgerinnen und Bürger. Auch die Frage, ob (nur) eine Auftragsverarbeitung stattfindet oder eine gemeinsame Verantwortlichkeit vorliegt, sollte geklärt sein.
- Wichtige im Vorfeld zu klärende Fragen:
– Wird eine Software für interne Organisations- und Arbeitsabläufe beschafft, kann die Einbeziehung der Mitarbeiter-Vertretung erforderlich sein. (Bundesarbeitsgericht, Beschluss vom 08.03.2022 – 1ABR 20/21 zur Einführung von Microsoft Office 365).
– Es ist zu entscheiden, welche Funktionen und Einstellungen überhaupt zwingend benötigt werden oder auf welche verzichtet werden kann oder sollte (Grundsatz der Datenminimierung).
– Zu prüfen ist insbesondere auch, um welche Art von personenbezogenen Daten von der Verarbeitung betroffen sind. Die Verarbeitung von besonderen Kategorien personenbezogener Daten i.S.v. Art. 9 DS-GVO (z.B. Gesundheitsdaten, Religionszugehörigkeit, biometrische Daten) ist etwa an strengere Voraussetzungen geknüpft als die Verarbeitung einer Wohnanschrift.
– Welche Mindestanforderungen sollen mit Blick auf den Datenschutz in das Verfahren einfließen?