© iStockphoto.com/D-Keine

Die DSGVO für Auftraggeber

Seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Mai 2018 wird das Thema Datenschutz in der Öffentlichkeit viel beachtet. Doch von den Gesetzesänderungen sind nicht nur Unternehmen betroffen. Dass die DSGVO auch im Vergabeverfahren beachtet werden muss, ist vielen Auftraggebern noch nicht klar. Während wir uns im ersten Teil den Pflichten von Unternehmen gewidmet haben, steht nun der Auftraggeber im Mittelpunkt. Doch auch für Bieter lohnt es sich, die Richtlinien für Auftraggeber zu kennen, falls diese sie nicht einhalten.

Richtlinien für öffentliche Auftraggeber im Vergabeverfahren

Erhebt, speichert oder übermittelt (die DSGVO benutzt hierfür umfassend den Begriff der Verarbeitung) ein öffentlicher Auftraggeber personenbezogene Daten, so ist er als Verantwortlicher verpflichtet, die in der DSGVO enthaltenen Grundsätze zu beachten. Dies gilt auch im Rahmen eines Vergabeverfahrens.

Im Rahmen des Vergabeverfahrens sind insbesondere die folgenden Besonderheiten zu beachten: Die Prüfung der technischen und beruflichen Leistungsfähigkeit eines Bieters nach § 46 VgV erfolgt üblicherweise anhand von Referenzen sowie Nachweisen der Qualifikation der Mitarbeiter. Diese enthalten zumeist Angaben zu Namen, Lebensläufen sowie Unterlagen über Studien- und Berufsabschlüsse der Fachkräfte. Selbst personenbezogene Daten zu Straftaten von aktuellen oder ehemaligen Mitarbeitern sind von der Vergabestelle abzufragen, wenn sichergestellt werden soll, dass keine Ausschlussgründe vorliegen, die Bedenken an der Zuverlässigkeit der Bieter aufkommen lassen. Alle diese Informationen stehen als personenbezogene Daten unter dem Schutz des Datenschutzrechtes. Auftraggeber müssen daher einiges bei der Erhebung und dem Umgang mit diesen Daten beachten.

So viel wie nötig, so wenig wie möglich

Um dem Grundsatz der Datenminimierung gerecht zu werden, können öffentliche Auftraggeber sich bei der Abfrage der Referenzgeber – entgegen der bisher gängigen Praxis – darauf beschränken, die Position eines Ansprechpartners beim Referenzgeber abzufragen. Dies hat zudem den Vorteil, dass (personenbezogene) Daten, die gar nicht erst erhoben werden, auch nicht nach den Vorgaben des Datenschutzrechts zu behandeln sind. So kann ein erheblicher organisatorischer Aufwand durch kleine Anpassungen der bisher verwendeten Vergabeunterlagen eingespart werden.

Um die gesetzlichen Informationspflichten einzuhalten, müssen die betroffenen Personen vor Erhebung der Daten im Rahmen von Datenschutzhinweisen ausführlich über die Verarbeitung ihrer Daten informiert werden. Öffentlichen Auftraggebern sollten die Datenschutzhinweise bereits in die Vergabeunterlagen aufnehmen und die Bieter verpflichten, diese an ihre Mitarbeiter weiterzuleiten, sofern die personenbezogenen Daten zu diesem Zeitpunkt zum ersten Mal erhoben werden. Denn nur so kann die betroffene Person schon vor Erhebung das Ausmaß der Datenverarbeitung erfassen und ggf. ihre Betroffenenrechte wahrnehmen.

Folgen eines Verstoßes

Vergleicht man die Konsequenzen eines Datenschutzverstoßes durch einen öffentlichen Auftraggeber mit einem Verstoß durch Private, zeigen sich erhebliche Unterschiede. Anders als bei privaten Unternehmen können gegenüber Behörden und sonstigen öffentlichen Stellen grundsätzlich keine Geldbußen verhängt werden. Dennoch sind Bieter nicht schutzlos: Sie können einen öffentlichen Auftraggeber mithilfe einer vergaberechtlichen Rüge dazu bringen, den Datenschutzverstoß einzustellen und den Verstoß gegenüber der Datenschutzbehörde anzeigen. Die zuständige Aufsichtsbehörde hat die Wahl aus einem ganzen Katalog von Anordnungen, die sie zur Beendigung des Datenschutzverstoßes aussprechen kann. So kann sie zum Beispiel Untersuchungen in Form von Datenschutzüberprüfungen durchführen. Zudem kann sie die öffentlichen Auftraggeber verwarnen, wenn sie mit ihren Verarbeitungsvorgängen gegen die DSGVO verstoßen. Soweit erforderlich, reichen die Befugnisse bis hin zu einem zeitlich begrenzten oder endgültigen Verbot der Datenverarbeitung.

Bemerkenswert ist der Beschluss des OLG München vom 13.03.2017 (Aktenzeichen Verg 15/16). Danach können Bieter datenschutzrechtliche Verstöße des öffentlichen Auftraggebers im Vergabeverfahren nicht in einem Nachprüfungsverfahren angreifen. Der Grund: Datenschutzrechtliche Normen gehören nicht zu den Bestimmungen, die vom vergaberechtlichen Anspruch auf Einhaltung des Verfahrens nach dem GWB erfasst sind.

Im Zuge der DSGVO hat allerdings eine große Sensibilisierung für die Verarbeitung von personenbezogenen Daten eingesetzt. Daher wird sich zeigen, ob die Tendenz der Vergabekammern, die datenschutzrechtlichen Normen aus ihrem Prüfprogramm auszuklammern, weiterhin so bleibt.

 

Dr. Silvia Hartmann
Rechtsanwältin bei Luther Rechtsanwaltsgesellschaft mbH. Berät in Fragestellungen des IT-Rechts, insbesondere bei der Gestaltung von Softwarevertragsmodellen sowie in den Bereichen der IT-Compliance und des eCommerce. Weiterer Tätigkeitsschwerpunkt: Datenschutz, z.B. die Unterstützung bei der Umsetzung der Anforderungen der DSGVO, die Erstellung von datenschutzrelevanten Verträgen und Betriebsvereinbarungen, von Merkblättern und Richtlinien.