Sie sind auf Seite 1von 6

Aspekte des Datenschutzes für die E-Vergabe - DSGVO und E-Vergabe Page 1 of 6

Lösungen Services Wissen

 Kontakt  Login

19
Startseite
SEP.
2018
Aspekte des Datenschutzes für die
Benachrichtigungsdienst Über uns
E-Vergabe
von Gastbeitrag

Nicht erst seit Einführung der Europäischen


Datenschutzgrundverordnung (DSGVO) spielt das
Thema Datenschutz und Datensicherheit auch im
E-Vergabeverfahren eine bedeutende Rolle. Dabei
meint E-Vergabe die elektronische Durchführung
von Verfahren zur Vergabe öffentlicher Aufträge.
Neben den für Vergabeverfahren spezifischen
Gesetzen und Verordnungen gilt es daher
nunmehr auch verstärkt auf
datenschutzrechtliche Regelungen zu achten.

A. Datenschutzrechtliche Vorgaben im E-Vergabeverfahren


Nach § 97 Abs. 5 GWB haben Auftraggeber und Unternehmen für das Senden, Empfangen, Weiterleiten
und Speichern von Daten in einem Vergabeverfahren grundsätzlich elektronische Mittel zu verwenden.
Gerade die einfache Nutzung von Software-as-a-Service- oder Cloud-Lösungen darf aber nicht darüber
hinwegtäuschen, dass eine fundierte datenschutzrechtliche Bewertung anhand der folgenden Maßstäbe
erforderlich ist:

I. Personenbezogene Daten im E-Vergabeverfahren


Anknüpfungspunkt für die Anwendbarkeit der DSGVO ist das personenbezogene Datum.
Personenbezogene Daten sind nach der DSGVO alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person beziehen. Während das Definitionsmerkmal „identifizierte Person“ klar
umgrenzt ist, vergrößert sich der Anwendungsbereich der DSGVO durch das Definitionsmerkmal
„identifizierbare Person“ erheblich. Denn als Identifizierbar wird „eine natürliche Person angesehen, die
direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer
Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen
Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen,
psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind“ (Art. 4
Nr. 1 DSGVO).

Im Rahmen des E-Vergabeverfahrens müssen zwei Bereiche getrennt betrachtet werden. Zum einen
werden personenbezogene Daten der an dem Verfahren Beteiligten erhoben, um die Nutzung einer
Vergabeplattform überhaupt zu ermöglichen. Diese „Anmeldedaten“ sind Informationen zur
ausschreibenden Stelle und des Bieters/Bewerbers einschließlich des dortigen Ansprechpartners, etwa
der Name, die E-Mail-Adresse oder die berufliche Position. Diese Daten sind nur für das Verhältnis

https://blog.cosinex.de/2018/09/19/aspekte-des-datenschutzes-fuer-die-e-vergabe/ 21.5.2019
Aspekte des Datenschutzes für die E-Vergabe - DSGVO und E-Vergabe Page 2 of 6

Vergabeplattform und öffentlicher Auftraggeber bzw. Bieter/Bewerber relevant, nicht aber im Verhältnis
zwischen dem öffentlichen Auftraggeber und dem Bewerber/Bieter. Denn diese Daten dienen allein der
Abwicklung des Vertragsverhältnisses zur Vergabeplattform. Ebenso werden zumeist auch
Nutzungsdaten erhoben, die Auskünfte über das Verhalten auf der Plattform (Verweildauer,
Plattformaktionen, Server-IP etc.) enthalten. Auch diese Nutzungsdaten gelangen nur an den Anbieter der
Vergabeplattform.

Zum anderen enthalten viele Ausschreibungsdokumente, die insbesondere von dem Bewerber/Bieter auf
der Vergabeplattform im Vergabeprozess hochgeladen werden, personenbezogene Daten (etwa Daten
innerhalb der zur Eignungsprüfung notwendigen Unterlagen, teils geforderte Angabe des Auftraggebers
gem. § 46 Abs. 3 Nr. 2 VgV zum Beleg der technischen und beruflichen Leistungsfähigkeit; Studien- und
Ausbildungsnachweise gem. § 46 Abs. 3 Nr. 6 VgV etc.). Auch Daten, die, wie beispielsweise
Gesundheitsdaten, zu den besonderen Kategorien personenbezogener Daten zählen und als solche
einem besonderen Schutz unterliegen, können hierzu zählen. Im Rahmen der E-Vergabe ist etwa an
Informationen über strafrechtliche Verurteilungen hinsichtlich des Vorliegens von Ausschlussgründen
gem. §§ 123 oder 124 GWB zu denken.

II. Datenschutzrechtliche Erlaubnistatbestände im E-Vergabeverfahren


Jeglichen Umgang mit personenbezogenen Daten bezeichnet die DSGVO als „Verarbeitung“. Denn
Verarbeitung ist laut DSGVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang
oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das
Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen,
das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form
der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die
Vernichtung.

Jeder Verarbeitung bedarf im Datenschutzrecht einer Erlaubnis, denn grundsätzlich gilt: Jeglicher
Umgang mit personenbezogenen Daten ist verboten, wenn er nicht auf eine gesetzliche Grundlage
gestützt werden kann. Dabei kommen unterschiedliche Erlaubnistatbestände in Betracht, die festlegen,
ob und unter welchen Bedingungen eine Datenverarbeitung erlaubt ist.

Bei der Nutzung einer E-Vergabeplattform muss zwischen den oben beschriebenen Bereichen
unterschieden werden: Die Verarbeitung der Anmeldedaten beruht regelmäßig auf Art. 6 Abs. 1 lit. b
DSGVO. Danach ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn sie für die Erfüllung
eines Vertrags erforderlich ist, dessen Vertragspartei die betroffene Person ist. Der Vertrag besteht hier
im Nutzungsvertrag des Vergabeplattformbetreibers mit dem öffentlichen Auftraggeber bzw.
Bewerber/Bieter, soweit eine Vergabeplattform als Software-as-a-Service oder Cloud-Lösung genutzt und
keine eigene Lösung angeboten wird. Allerdings fallen Vertragspartner und die Person, deren Daten
verarbeitet werden, meist auseinander, denn Vertragspartner des Plattformbetreibers ist der öffentliche
Auftraggeber oder der Bieter/Bewerber, nicht aber der Mitarbeiter/die Mitarbeiterin, die dort als
Ansprechpartner fungiert und deren Daten verarbeitet werden. Hier hilft Art. 6 Abs. 1 lit. f DSGVO weiter.
Dieser erlaubt eine Datenverarbeitung bei berechtigtem Interesse des für die Datenverarbeitung
Verantwortlichen, wenn nicht die Interessen der von der Verarbeitung ihrer Daten betroffenen Person
überwiegen. Diese Voraussetzungen liegen in der genannten Konstellation, in der die betroffene Person in
Ausübung ihrer beruflichen Tätigkeit handelt, regelmäßig vor. Auch für die Erhebung von Daten über die
Nutzung der Plattform kommt als Ermächtigungsgrundlage regelmäßig Art. 6 Abs. 1 lit. f DSGVO zum
Tragen. Das berechtigte Interesse des Plattformbetreibers liegt dabei in dem ordnungsgemäßen Betrieb
und der Anpassung und Verbesserung seiner Vergabeplattform. Für die Verarbeitung von Daten, die über

https://blog.cosinex.de/2018/09/19/aspekte-des-datenschutzes-fuer-die-e-vergabe/ 21.5.2019
Aspekte des Datenschutzes für die E-Vergabe - DSGVO und E-Vergabe Page 3 of 6

diese legitimen Zwecke hinausgehen, wird demgegenüber regelmäßig eine gesonderte Einwilligung als
Rechtsgrundlage erforderlich sein (Art. 6 Abs. 1 lit. a DSGVO).

Ähnlich ist die Einordnung derjenigen personenbezogenen Daten, die im Rahmen des Vergabeprozesses
auf die Plattform durch die Vergabeteilnehmer (also öffentliche Auftraggeber und Bewerber/Bieter)
hochgeladen werden. Zwar wird auch hier für manche Verarbeitungen Art. 6 Abs. 1 lit. b DSGVO
eingreifen. Denn Vergabeverfahren dienen gerade der Anbahnung eines Vertrages über einen öffentlichen
Auftrag. Vergabeverfahren stellen daher eine vorvertragliche Maßnahme im Sinne des Art. 6 Abs. 1 lit. b
DSGVO dar. Die Dokumente, die im Rahmen des Vergabeverfahrens hochgeladen werden, enthalten aber
häufig personenbezogene Daten von Mitarbeitern. Vertragspartei wird jedoch nur das Unternehmen,
welches an der Ausschreibung teilnimmt und den Zuschlag erhält. Insofern kann Art. 6 Abs. 1 lit. b
DSGVO keine ausreichende Ermächtigungsgrundlage für die Verarbeitung dieser Daten durch die
Teilnehmer am Vergabeverfahren sein. Während sich die Zulässigkeit der Verwendung der Daten von
Mitarbeitern in einem Vergabeverfahren im Innenverhältnis zwischen Arbeitgeber und Arbeitnehmer nach
§ 26 BDSG richtet, der den Beschäftigtendatenschutz regelt, kommt als Ermächtigungsgrundlage im
Außenverhältnis zwischen öffentlichem Auftraggeber und Bieter/Bewerber als Rechtsgrundlage für die
Verarbeitung von Daten der Mitarbeiter des anderen die Ermächtigungsgrundlage des berechtigten
Interesses nach Art. 6 Abs. 1 lit. f DSGVO zum Tragen.

Teils wird auf die Ermächtigungsgrundlage des Art. 6 Abs. 1 lit. c DSGVO hingewiesen [Hattig/Oest,
Grundsätze der Beschaffung und Vergabe 2018, S. 5 (8)]. Danach ist die Verarbeitung rechtmäßig, wenn
sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Dabei
kann es sich nach Art. 6 Abs. 3 S. 1 DSGVO um eine unionsrechtliche oder mitgliedstaatliche
Rechtsgrundlage handeln. Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt sein.
Ob die vergaberechtlichen Vorschriften etwa der §§ 46 Abs. 3 Nr. 2, 6; 58 Abs. 2 VgV oder der §§ 123 ff.
GWB allerdings diesen Anforderungen genügen, ist bisher fraglich.

III. Einhaltung datenschutzrechtlicher Grundsätze


Neben dem Vorliegen der Erlaubnistatbestände ist die Einhaltung der datenschutzrechtlichen Grundsätze
des Art. 5 DSGVO zwingend. Insbesondere gelten die Grundsätze der Transparenz und der
Zweckbindung. Der Transparenzgrundsatz erfordert es, die von der Verarbeitung ihrer Daten betroffenen
Personen umfänglich und verständlich über die Verarbeitung ihrer personenbezogenen Daten zu
informieren. Diese Verpflichtung trifft den Betreiber der Vergabeplattform gegenüber den Nutzern der
Plattform und die ausschreibende Stelle gegenüber Bietern/Bewerbern.

Der Zweckbindungsgrundsatz wiederum verlangt, dass personenbezogene Daten nur für den Zweck
verwendet werden, für den die Daten erhoben wurden. Eine weitergehende Nutzung ist nicht gestattet.
Endet der Zweck, etwa indem eine Vergabestelle oder ein Bewerber das jeweilige Angebot zurücknimmt,
sind auch die jeweiligen personenbezogenen Daten grundsätzlich zu löschen.

Hinsichtlich der Speicherung und des Löschens der Daten gilt mit Blick auf die Zweckbindung, dass die
Daten nur solange gespeichert werden dürfen, wie es für den Zweck der Verarbeitung erforderlich ist. Das
bedeutet für die Nutzungsdaten und Anmeldedaten, dass sie bei Vertragsende zwischen
Plattformbetreiber und öffentlicher Auftraggeber sowie Bewerber/Bieter zu löschen sind. Nach Ende des
Vertragsverhältnisses ist eine weitergehende Speicherung jedoch teilweise erforderlich, um
vergaberechtliche Dokumentationspflichten oder steuerrechtliche Vorgaben aus der Abgabenordnung zu
erfüllen oder aber Ansprüche durchsetzen zu können. Insoweit bestehende Aufbewahrungspflichten

https://blog.cosinex.de/2018/09/19/aspekte-des-datenschutzes-fuer-die-e-vergabe/ 21.5.2019
Aspekte des Datenschutzes für die E-Vergabe - DSGVO und E-Vergabe Page 4 of 6

überlagern die Verpflichtung zur Löschung aus dem Datenschutzrecht. Sobald diese Pflichten jedoch
nicht mehr bestehen, muss eine endgültige Löschung erfolgen.

IV. Rechte der betroffenen Personen im E-Vergabeverfahren


Die DSGVO sieht eine Reihe von Rechten der betroffenen Personen vor, deren personenbezogene Daten
verarbeitet werden. Die Rechte umfassen das Recht auf Auskunft, ein Recht auf Berichtigung unrichtiger
Daten und unter bestimmten Umständen auf Löschung und Datenportabilität. Diese Betroffenenrechte
richten sich allesamt gegen den sog. Verantwortlichen. Verantwortlich ist die natürliche oder juristische
Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke
und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. In Bezug auf Anmelde- und
Nutzungsdaten der Plattform ist dies der Plattformbetreiber. Hinsichtlich der Dokumente, die im Rahmen
des Vergabeverfahrens hochgeladen werden, ist dies der öffentliche Auftraggeber.

Vom Verantwortlichen ist der Auftragsverarbeiter zu unterscheiden. Das ist derjenige, der
personenbezogene Daten im Auftrag und auf Weisung des Verantwortlichen verarbeitet.
Auftragsverarbeiter und Verantwortlicher sind verpflichtet, eine Vereinbarung über die
Auftragsverarbeitung mit bestimmten Inhalten zu schließen, die die jeweiligen Rechte und Pflichten
festlegt. Der Auftragsverarbeiter ist danach zwar verpflichtet, den Verantwortlichen nach Möglichkeit mit
geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, seiner Pflicht zur
Erfüllung der Betroffenenrechte nachzukommen. Verantwortlich dafür, die Betroffenenrechte zu erfüllen,
ist jedoch der Verantwortliche.

B. Worauf müssen Auftraggeber und Bieter/Bewerber achten?


Ausgangspunkt der datenschutzrechtlichen Überlegung der Auftraggeber und Bewerber/Bieter sollte
stets die Frage sein, welche personenbezogenen Daten im Vergabeverfahren verarbeitet werden. Daran
anknüpfend ist zu klären, wer als Verantwortlicher im Sinne der DSGVO gilt. Denn daraus leiten sich
wiederum Pflichten gegenüber den Betroffenen ab, die zwingend zu erfüllen sind, wie
Informationspflichten und die Verpflichtung zur Erfüllung von Betroffenenrechten.

Zum Autor
Astrid Luedtke ist Salaried Partnerin der Kanzlei Heuking Kühn
Lüer Wojtek im Büro Düsseldorf. Als Fachanwältin für
Gewerblichen Rechtsschutz berät sie deutsche und ausländische
Mandanten auf allen Gebieten des geistigen Eigentums und
Wettbewerbsrechts. Ein weiterer Schwerpunkt ihrer Tätigkeit liegt
im Datenschutzrecht. So berät sie deutsche und ausländische
Unternehmen in Bezug auf alle Aspekte des Schutzes
personenbezogener Daten, insbesondere bei der Gestaltung der
Datenverarbeitung im Konzern und grenzüberschreitender
Datentransfers, bei der Durchführung interner Untersuchungen
und bei der Umsetzung der europäischen
Datenschutzgrundverordnung, aber auch bei der rechtskonformen
Entwicklung neuer Geschäftskonzepte, die auf der Nutzung und
Verwertung von Daten, einschließlich personenbezogener Daten
basieren. Astrid Luedtke hält regelmäßig Vorträge zum

https://blog.cosinex.de/2018/09/19/aspekte-des-datenschutzes-fuer-die-e-vergabe/ 21.5.2019
Aspekte des Datenschutzes für die E-Vergabe - DSGVO und E-Vergabe Page 5 of 6

Datenschutzrecht. Sie ist unter anderem Mitglied der Gesellschaft für Datenschutz und Datensicherheit
(GDD) sowie der International Technology Law Association (ITech Law). Ihre Arbeitssprachen sind
Deutsch und Englisch.

Weitere Informationen und eine Übersicht der Veröffentlichungen von Frau Luedtke finden Sie auf den
Internet-Seiten der Kanzlei Heuking unter diesem Link .

Artikelinformationen

VERÖFFENTLICHT AM DIESER EINTRAG WURDE VERÖFFENTLICHT IN


19. SEPTEMBER 2018 E-VERGABE, ÖFFENTLICHE BESCHAFFUNG, VERGABERECHT
VON UND VERSCHLAGWORTET MIT
GASTBEITRAG DATENSCHUTZ, DATENSICHERHEIT, DSGVO, PERSONENBEZOGENE DATEN

Beitrag empfehlen

Verwandte Beiträge

Forderung der Benennung eines An- Worauf Sie bei Ihren Passwörtern
sprechpartners bei Referenzen für die E-Vergabe achten sollten
nach DSGVO unzulässig? Unabhängig davon, welche Maß-
Im Zusammenhang mit dem vielzi- nahmen auf Seiten der E-Vergabe-
tierten Stichtag "25. Mai 2018" und Anbieter und Betreiber rund um die
dem Inkrafttreten der EU-DSGVO (Daten-)Sicherheit der Lösungen er-
gab es in zahlreichen Bereichen Un- griffen werden, einzelne Risikofak-
sicherheiten um (datenschutz-) toren sind überwiegend […]
rechtskonformes Verhalten […]

Datenschutz und E-Vergabe


Das Thema Datenschutz spielt
auch im Bereich der elektronischen
Vergabe (E-Vergabe) eine bedeuten-
de, bis dato jedoch noch vielfach
unterschätzte Rolle. Mit einem
Gastbeitrag von Herrn Dr. […]

https://blog.cosinex.de/2018/09/19/aspekte-des-datenschutzes-fuer-die-e-vergabe/ 21.5.2019
Aspekte des Datenschutzes für die E-Vergabe - DSGVO und E-Vergabe Page 6 of 6

© 2019 cosinex GmbH

https://blog.cosinex.de/2018/09/19/aspekte-des-datenschutzes-fuer-die-e-vergabe/ 21.5.2019