Datenschutz im Vergabeverfahren

Das Thema Datenschutz lässt einen auch im Vergabewesen nicht los. Spätestens seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 müssen sich auch kleinere Unternehmen damit befassen. Im Vergabeverfahren ist vor allem der Umgang mit personenbezogenen Daten von der DSGVO betroffen.

Datenschutz im Vergabeverfahren

Was änderte sich durch die Datenschutzgrundverordnung (DSGVO)?

Durch die Einführung der DSGVO soll sichergestellt werden, dass die personenbezogenen Daten von Mitarbeitern im Unternehmen und auch die Daten von Kunden und Privatpersonen nur mit ausdrücklicher Genehmigung dieser verarbeitet werden dürfen. Zu personenbezogenen Daten zählen jene, durch die eine Person unter Heranziehen weiterer Informationen identifizierbar ist. Das sind unter anderem:

  • Telefonnummer
  • Kreditkarten- oder Personalnummern
  • Kontodaten
  • Adressen
  • Geburtsdatum
  • Kfz-Zeichen
  • Aussehen
  • Berufsbezeichnung

Aus der ständigen Rechtsprechung des Europäischen Gerichtshofs geht hervor, dass auch Daten wie Arbeits- und Pausenzeiten zu personenbezogenen Daten gehören.

Die wichtigste Regel ist, dass Personen noch vor der Abgabe ihrer persönlichen Daten darüber aufgeklärt werden müssen, was mit diesen passiert. Dafür müssen sie vorher ihr schriftliches Einverständnis geben. Auch sind Unternehmen dazu verpflichtet, betroffenen Personen bei Anfrage jederzeit Auskunft über die gesammelten Daten und die Verarbeitung zu geben. Am besten regelt der Arbeitgeber das Einverständnis direkt mit der Vertragsschließung und legt ein zu unterschreibendes DSGVO-Infoblatt hinzu. Ausführliche Erläuterungen zum Umgang mit den Daten und weitreichendere Beschlüsse der DSGVO finden Sie in unserem Ratgeber.

Was bedeutet das für das Vergabewesen?

Auch im Vergabeverfahren sammeln Unternehmen und öffentliche Ausschreiber viele personenbezogene Daten. Hier gilt ebenfalls, dass die betroffenen Personen darüber aufgeklärt werden, dem zugestimmt haben und jederzeit eine Auskunft über die Daten oder sogar die Löschung beantragen dürfen, sofern dem keine Gesetze aus dem Steuer-, dem Arbeitsrecht oder sonstiges im Weg stehen.

Eine wichtige Pflicht, die die verarbeitenden Unternehmen erfüllen müssen, ist die Gewährleistung der Sicherheit der Datenverarbeitung. Diese erreichen sie durch sogenannte technisch-organisatorische Maßnahmen. Da diese Anforderungen allerdings auch im Rahmen eines Vergabeverfahrens gelten, stellt dies meist keinen zusätzlichen Aufwand dar.

Der Datenschutz im Zusammenhang mit dem Vergaberecht © Zerbor / stock.adobe.com

DSGVO im Zusammenhang mit VgV, VOB/A, UVgO und GWB

Betrachtet man die Rahmenbedingungen und Richtlinien rund ums Vergabeverfahren, kommt die Frage auf, inwiefern die Inhalte der DSGVO mit anderen Verordnungen vereinbar sind. So schreibt die Vergabeverordnung (VgV) zum Beispiel vor, dass der Auftraggeber die Angabe aller Fachkräfte fordern darf, die der Auftragnehmer für den ausgeschriebenen Auftrag einzusetzen plant. Für den Umgang mit diesen personenbezogenen Daten gelten dann die DSGVO-Richtlinien.

Außerdem schützen die Vorschriften der Vergabeverordnungen VgV, VOB/A, SektVO und UVgO die betroffenen Fachkräfte davor, dass vertrauliche (Arbeits-)Informationen wie zum Beispiel die Anzahl der Krankentage an Auftraggeber weitergegeben. Jene Vorschriften sehen nämlich vor, dass öffentliche Auftraggeber den Grundsatz der Wahrung der Vertraulichkeit einhalten müssen. Zwar unterliegen berufliche Daten weniger Schutz als private Daten, solche Details über Arbeitnehmer werden jedoch in der Regel nicht abgefragt.

Beispiel aus Vergabeverfahren: Referenzen und Eignungsnachweise

Auch in der Vergabe werden personenbezogene Daten weitergegeben, sodass Verantwortliche zur Einhaltung der datenschutzrechtlichen Bestimmungen verpflichtet sind. So müssen bietende Unternehmen laut Vergaberecht zum Beispiel Nachweise der Eignung vorlegen. Darunter zählen sowohl ausgeführte vergleichbare Leistungen (Referenzen), als auch Dokumente eines Mitarbeiters, um eine Eignung des Unternehmens und seiner Mitarbeiter für die ausgeschriebene Leistung nachzuweisen.

Diese personenbezogenen Dokumente sind unter anderem:

  • Zeugnisse
  • Lebensläufe
  • Nachweise über Studien- und Schulabschlüsse
  • Angaben zur Berufsausbildung

Betroffene Mitarbeiter müssen vor der Weiterleitung darüber aufgeklärt worden sein und ihre Unterschrift unter die Aufklärung gesetzt haben. Der Hinweis und eine entsprechende Einwilligung können bereits vorher im Rahmen der Vertragsvereinbarungen erfolgen, um für solche Zwecke vorbereitet zu sein. In einem solchen ersten Gespräch können diese Bedingungen zur Datenweitergabe allgemeingültig für alle weiteren Verfahren festgelegt und vom Mitarbeiter unterschrieben werden. Auch können die betroffenen hier darüber verhandeln, inwiefern sie den Umgang mit ihren personenbezogenen Daten eventuell einschränken wollen.

Praxistipps: Umgang mit Referenzen

Eine Möglichkeit, als öffentlicher Auftraggeber die Umsetzung von datenschutzrechtlichen Richtlinien für Bieter und Auftraggeber zu vereinfachen, ist zum Beispiel die Einrichtung von Funktionspostfächern als zumindest erste Kontaktmöglichkeit. So werden sowohl vergaberechtliche als auch datenschutzrechtliche Forderungen erfüllt. Ohne eine solche anonymisierte Möglichkeit der (ersten) Kontaktaufnahme kommen Bewerber beziehungsweise Bieter nicht drum herum, bei angegebenen Referenzen auch natürliche Personen als Ansprechpartner anzugeben.

Auch sollten öffentliche Auftraggeber der Fairness halber dazu bereit sein, im Falle eines erfolgreich abgeschlossenen Projekts den beteiligten Unternehmen dieses auch als Referenz auszustellen. Da Auftraggeber im Vergabeverfahren oft Transparenz und den offenen Umgang mit personenbezogenen Daten im Rahmen von Referenzen wünschen, sollten sie auch dazu bereit sein, als Referenzgeber über solche zu bescheinigen.

Der Datenschutz im elektronischen Vergabeverfahren © oatawa / stock.adobe.com

Datenschutz im eVergabeverfahren

Mit eVergabe bezeichnet man die elektronische Durchführung des Vergabeverfahrens bei öffentlichen Aufträgen. Der Prozess beinhaltet die üblichen Stufen des Vergabeverfahrens (Weitergabe der Ausschreibungsunterlagen, Ausfüllen der Vergabeunterlagen beziehungsweise Verdingungsunterlagen, Nachweise der Fachkunden, Zuverlässigkeit und Leistungsfähigkeit, Angebotsabgabe, Auftragserteilung und Vertragsschluss) auf dem Online-Weg.
Auch hier gelten die üblichen Regeln im Umgang mit personenbezogenen Daten der DSGVO. In den Online-Verfahren gibt es zwei verschiedene Arten von personenbezogenen Daten, die ausgetauscht werden. Zum einen müssen sich am Verfahren beteiligte Personen auf einer Plattform anmelden. Zum Beispiel Bieter geben dabei meist ihren Namen, eine E-Mail-Adresse und eventuell ihre Berufsposition an.

Diese Daten sind erforderlich, um auf entsprechenden Plattformen als Bieter beziehungsweise Auftraggeber teilnehmen zu können. Sie werden nur über den Zeitraum des Verfahrens gespeichert und sind lediglich vom Anbieter der Vergabeplattform einsehbar. In Art. 6 Abs. 1 lit. b der DSGVO gilt diese Verarbeitung als rechtmäßig, weil sie zur Erfüllung eines Vertrags erforderlich ist.
Werden personenbezogene Daten eines Mitarbeiters, der für die Kommunikation auf der eVergabe-Plattform zuständig ist, verarbeitet, so wird dies durch Art. 6 Abs. 1 lit. f DSGVO geregelt. Dieser erlaubt bei berechtigtem Interesse die Datenverarbeitung des Verantwortlichen im eVergabe-Prozess, sofern seine eigenen Interessen nicht überwiegen. Da die betroffene Person aber in Ausübung ihrer beruflichen Tätigkeit handelt, liegt diese Voraussetzung regelmäßig vor und bedarf keiner zusätzlichen Einverständniserklärung.

Personenbezogene Daten in der eVergabe

Werden Dokumente im Rahmen des Vergabeverfahrens hochgeladen, die personenbezogenen Daten von Mitarbeitern des Unternehmens enthalten, bietet Art. 6 Abs. 1 lit. b DSGVO keine ausreichende rechtliche Grundlage mehr. Ob diese Weitergabe zulässig ist oder nicht, regelt der Beschäftigtendatenschutz, da es sich hier um ein Innenverhältnis zwischen Arbeitgeber und Arbeitnehmer handelt. Für die Weitergabe dieser Daten gelten also die gleichen Voraussetzungen, wie im „normalen“ Vergabewesen auch. Die betroffene Person muss der Weitergabe der Daten vorher zugestimmt haben und über diese aufgeklärt worden sein. Sie hat ein Recht auf Berichtigung beziehungsweise Einsicht der Daten, unter bestimmten Umständen auch auf die Löschung der eigenen Daten.
Die Daten dürfen dabei nicht an Dritte weitergegeben und nicht über ein mögliches Beschäftigungsverhältnis hinaus gespeichert werden.

Drohende Strafen bei Verstößen

Die nationalen Aufsichtsbehörden sind dazu verpflichtet, im Falle von schwerwiegenden datenschutzrechtlichen Vergehen Bußgelder an die Unternehmen zu verhängen. Im Falle eines Verstoßes werden meist nicht nur Bußgelder verhängt, sondern auch zu Handlungen aufgefordert, die den Fehler beheben sollen. Dazu gehört zum Beispiel die Aufforderung zur Löschung von bestimmten Daten oder zur Beendigung bestimmter Vorgänge.

Die Höhe des Bußgeldes wird dabei in einem Verfahren diskutiert und unter anderem von Faktoren wie dem Ausmaß des verursachten Schadens oder der Anzahl an Personen, die an der Datenschutzverletzung beteiligt waren, abhängig gemacht. Besonders schlimme Verstöße können Geldstrafen von bis zu 20 Millionen Euro oder im Falle eines Unternehmens bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des letzten Geschäftsjahres mit sich ziehen.

Noch schlimmere Vergehen können in seltenen Fällen sogar den Verlust der Eignung bedeuten. Das ist der Fall, wenn durch das Vergehen Zweifel an der Integrität des Unternehmens aufkommen.

Jacqueline Segeth - Redakteurin bei der ibau GmbH
Jacqueline Segeth

Jacqueline Segeth ist seit 2019 bei der ibau GmbH in Münster tätig. Als Redakteurin recherchiert und verfasst sie Ratgeber- und Glossarartikel für unsere Onlinemagazine. Ihre vielseitige und strukturierte Schreibweise erlaubt es ihr, Inhalte verschiedener Themenbereiche strukturiert und verständlich aufzubereiten.