© iStock/greenbutterfly
gesetzliche Regelungen

Datenschutz und IT-Recht in Vergabeverfahren

Von Jan Morgenstern, 17. Januar 2023
gesetzliche Regelungen

Die Digitalisierung und die zunehmende technische Komplexität von digitalen Produkten wirken sich auch auf die Planung, Steuerung und Durchführung von IT-Vergaben aus. Um die Vielzahl der IT-Projekte effizient, zielführend und sicher umzusetzen, ist eine genaue Kenntnis der datenschutz- und IT-rechtlichen Anforderungen in einem Vergabeverfahren mittlerweile unverzichtbar.

Wichtig für die vergaberechtskonforme Abbildung dieser Aspekte in den Ausschreibungsverfahren ist, dass Datenschutz und IT-rechtliche Besonderheiten bereits bei der Planung des Beschaffungsbedarfs berücksichtigt werden.

Datenschutz: Darauf kommt es an.

  • Allgemeine Grundlagen

Nach der DS-GVO müssen Verantwortliche eine Vielzahl an Pflichten bei der Verarbeitung der personenbezogenen Daten der Betroffenen erfüllen. Gleichzeitig stehen Betroffenen eine Vielzahl an Rechten zur Verfügung.

  • Bedeutung im Vergabeverfahren

Das Datenschutzrecht ist in mehreren Abschnitten eines Vergabeverfahrens relevant. Hilfreich ist es, sich dazu zunächst am Ablauf einer Beschaffung zu orientieren und zu prüfen, in welchem Abschnitt personenbezogene Daten von eigenen Mitarbeitern oder Dritten verarbeitet werden.

  • Vergabeplattform

Kaum ein Vergabeverfahren wird noch ohne eine Vergabeplattform abgewickelt. Diese werden in aller Regel von mehreren Mitarbeiter des öffentlichen Auftraggebers genutzt, sei es in der Vergabestelle oder aus den jeweils beschaffenden Fachabteilungen (z.B. Bau, Technik, EDV). Die Mitarbeiter erhalten dazu nach vorheriger Registrierung einen eigenen Account, in dem Name, E-Mailadresse, Abteilung oder Funktion des Mitarbeiters hinterlegt sind. Bei der Nutzung erfasst die Plattform Log-Daten, IP-Adresse oder Nutzungszeit des Mitarbeiters. Neben den eigenen Mitarbeitern nutzen zudem regelmäßig auch externe Berater, wie z.B. Architekten oder Rechtsanwälte, die Plattform.

  • Datenaustausch zwischen Vergabestelle und Bieter während der Ausschreibung

Im laufenden Vergabeverfahren verarbeiten der öffentliche Auftraggeber und die Bieter bzw. Teilnehmer personenbezogene Daten im Wesentlichen bei der Kommunikation, den Vergabeunterlagen oder im Rahmen der Angebotsabgabe und Angebotswertung.

  • Der eigentliche Auftrag

Die größte Bedeutung hat die Verarbeitung personenbezogener Daten schließlich in Bezug auf die zu beschaffende Leistung. Dabei sind immer im Einzelfall und mit Blick auf die Verarbeitungsvorgänge die jeweiligen Verarbeitungen zu untersuchen und auf ihre Zulässigkeit zu prüfen.
Zu klären ist:

  • wie,
  • in welchem Umfang und
  • wo personenbezogene Daten

verarbeitet werden.

So wird beispielsweise eine simple Lieferung von Hard- oder Software regelmäßig datenschutzrechtlich weniger komplex sein, als die Einführung einer e-Government-Plattform auf Cloud-Basis für die Bürgerinnen und Bürger. Auch die Frage, ob (nur) eine Auftragsverarbeitung stattfindet oder eine gemeinsame Verantwortlichkeit vorliegt, sollte geklärt sein.

  • Wichtige im Vorfeld zu klärende Fragen:

– Wird eine Software für interne Organisations- und Arbeitsabläufe beschafft, kann die Einbeziehung der Mitarbeiter-Vertretung erforderlich sein. (Bundesarbeitsgericht, Beschluss vom 08.03.2022 – 1ABR 20/21 zur Einführung von Microsoft Office 365).

– Es ist zu entscheiden, welche Funktionen und Einstellungen überhaupt zwingend benötigt werden oder auf welche verzichtet werden kann oder sollte (Grundsatz der Datenminimierung).

– Zu prüfen ist insbesondere auch, um welche Art von personenbezogenen Daten von der Verarbeitung betroffen sind. Die Verarbeitung von besonderen Kategorien personenbezogener Daten i.S.v. Art. 9 DS-GVO (z.B. Gesundheitsdaten, Religionszugehörigkeit, biometrische Daten) ist etwa an strengere Voraussetzungen geknüpft als die Verarbeitung einer Wohnanschrift.

– Welche Mindestanforderungen sollen mit Blick auf den Datenschutz in das Verfahren einfließen?

Workbook: Auftragssuche leicht gemacht

  • eine kurze Einführung in die Öffentliche Auftragsvergabe,
  • eine praktische Anleitung zur Ausschreibungssuche auf Vergabe24 und
  • kreative Lernübungen, Quizze, Tipps, Checklisten und Hilfevideos für Ihre Praxis.
  • 32 Seiten Wissen im PDF
Hier geht’s zum Workbook

IT-rechtliche Besonderheiten

  • Die Nutzung der Ergänzenden Vertragsbedingungen für die Beschaffung von IT-Leistungen (EVB-IT)

Der CIO Bund stellt auf seiner Website die jeweils aktuellsten Fassungen der EVB-IT bereit.

Im Rahmen von IT-Vergabeverfahren bietet es sich an, diese EVB-IT zu nutzen. Das hat den Vorteil, dass einerseits nicht auf der freien Wiese begonnen werden muss, andererseits ein von öffentlicher Hand und den IT-Unternehmen abgestimmtes und akzeptiertes Vertragswerk vorliegt. Nicht zu unterschätzen ist allerdings der mit dem Ausfüllen und Anpassen der EVB-IT-Muster verbundene Aufwand.

  • Produktneutralität

Als besonders anspruchsvolle Herausforderung bei der IT-Beschaffung wird häufig die Einhaltung des Grundsatzes der Produktneutralität genannt. Denn grundsätzlich ist in einem Vergabeverfahren eine Produktvorgabe oder Spezifizierungen der Leistungsbeschreibung dahingehend, dass nur noch ein oder sehr wenige Unternehmen in Betracht kommen, unzulässig. Insbesondere bei komplexen Systemen bestehen jedoch häufig starke Abhängigkeiten der Einzelsysteme voneinander, sodass darin ein Grund für eine Produktvorgabe liegen kann, um zum Beispiel drohende Ausfallrisiken abzuwenden.

Fazit:

  • Gerade bei IT-Vergaben ist eine frühzeitige Planung unter Einbeziehung der datenschutzrechtlichen und IT-rechtlichen Anforderungen essentiell.
  • Dies gilt umso mehr, je komplexer die zu beschaffenden Leistungen oder die Abhängigkeiten zu bestehenden Systemen sind.
  • Unerlässlich ist insoweit eine enge und kontinuierliche Abstimmung zwischen Vergabestelle, Beratern und den Fachabteilungen.

 

Autor

Jan Morgenstern

„Als Rechtsanwalt und Fachanwalt für IT-Recht sowie Geschäftsführer zweier Gesellschaften mit den Schwerpunktbereichen IT-Recht, Datenschutzrecht, IT-Sicherheit und Compliance begleite ich seit Jahren zusammen mit meinem Team Unternehmen auf dem Weg zur Digitalisierung. Insbesondere die Erfassung und rechtskonforme Umsetzung der Schnittmengen aus IT-Recht, Datenschutz und IT-­Security steht für mich im Fokus. Darüber hinaus berate ich sowohl öffentliche Auftraggeber als auch Unternehmen, insbesondere im Bereich von IT-­Vergaben sowie zu rechtlichen Fragestellungen bei der Einführung neuer Technologien im öffentlichen Sektor. Als externer Datenschutzbeauftragter bin ich für Unternehmen aller Größenordnungen tätig und berate mehrere Industrie- und Handelskammern bei der rechtskonformen Gestaltung von Prozessen. Für die IHK Akademie Koblenz bin ich seit vielen Jahren als Referent und Autor tätig. Über die DIHK­-Bildungs-GmbH bin ich in die Entwicklung von Lehrgangs- und Fortbildungsformaten im Bereich Datenschutz und IT-Sicherheit eingebunden." Homepage: https://www.morgenstern-legal.com/

Artikel teilen

Diese Beiträge könnten Sie auch interessieren

Schadensersatzansprüche in Vergabeverfahren
1. November 2023
Bieter können bei Vergaberechtsverstößen einen Anspruch auf Schadensersatz gegen öffentliche Auftraggeber haben. Wir zeigen Bietern mögliche Ansprüche und Rechtsfolgen auf.
gesetzliche Regelungen Nach der Auftragsvergabe Rüge Wissenswertes

eRechnung: Pflicht soll auch im B2B schnell kommen!
19. Januar 2024
In Deutschland soll es ab 2025 im B2B-Geschäft nur noch eRechnungen geben. Lesen Sie jetzt, was das konkret bedeutet, wer davon betroffen ist und was sie tun müssen.
Auftragserfüllung gesetzliche Regelungen Wissenswertes

Die rechtssichere Baudokumentation: Must-Have für jedes Bauprojekt!
19. Februar 2024
Warum eine umfassende Baudokumentation in Bauprojekten unverzichtbar ist und wie sie rechtssichere Abrechnungen und erfolgreiche Projekte sichert
Auftragserfüllung Eignung gesetzliche Regelungen Mängel Nachtrag Rechtsschutz Vorbereitung Wissenswertes