DSGVO für Auftraggeber

Seit Mai 2018 gilt mit der Datenschutzgrundverordnung (DSGVO) für Unternehmen besondere Vorsicht im Umgang mit personenbezogenen Daten. Das Ziel ist, wie der Name schon sagt, der Schutz persönlicher Daten von Kunden und Nutzern. Aber welche Regeln und Gesetze gelten dabei eigentlich für Auftraggeber im Vergabeverfahren und wobei müssen sie dabei besonders aufpassen?

DSGVO-Richtlinien für private und öffentliche Auftraggeber
Grundlegende Regelungen für alle

Mit der DSGVO wurden zunächst – unabhängig von Vergabeverfahren - viele datenschutzrechtliche Grundregeln geschaffen, an die sich jeder, der mit personenbezogenen Daten arbeitet, halten muss. Hier finden Sie zunächst eine Übersicht dieser allgemeinen Regelungen:

  • Speicherung von Kundendaten nur mit Begründung: In einer Datenbank dürfen Kundendaten wie zum Beispiel Geburtstage und Nachnamen nur gespeichert werden, wenn sie für das Kundenverhältnis notwendig sind oder weil gesetzliche Vorgaben eine Speicherung vorschreiben. Sie dürfen außerdem nicht an Dritte weitergegeben und in der Regel nicht über die Dauer des Kundenverhältnisses hinaus gespeichert werden.
  • Auskunftsrechte: Betroffene Personen haben das Recht, bei Unternehmen anzufragen, welche eigenen personenbezogenen Daten im Unternehmen hinterlegt sind und verarbeitet werden.
  • Einverständniserklärungen: Werden personenbezogene Daten weitergegeben, muss dafür eine Einverständniserklärung der betroffenen Person, der die Daten angehören, eingeholt werden.
  • ePrivacy-Verordnung: Diese Erweiterung der DSGVO ergänzt um weitere Regelungen rund um die elektronische Kommunikation. Das Versenden von Werbemails und auch die Sammlung der sogenannten Cookies auf Webseiten unterliegt somit strengeren Richtlinien als vorher.

In unserem Ratgeber-Artikel „DSGVO kompakt: Das gilt in 2020“ können Sie die Regelungen im Detail nachlesen.

Bitte beachten Sie, dass Sie für die Umsetzung der Verordnung selbst verantwortlich sind. Dieser Artikel stellt keine Rechtsberatung dar und kann auch keine Rechtsberatung ersetzen.

Was bedeutet das für Auftraggeber?

Als Auftraggeber arbeitet man im Rahmen von Vergabeverfahren viel mit personenbezogenen Daten. Vor allem bei einer Prüfung der technischen und beruflichen Leistungsfähigkeit eines Bieters nach § 46 der Vergabeverordnung (VgV) werden viele Nachweise und somit auch Daten der Mitarbeiter von sich bewerbenden Unternehmen gesammelt. Diese Daten dürfen unter keinen Umständen an Dritte weitergegeben werden und unterliegen bei dem Mitarbeiter, der Einsicht auf diese Daten hat, einem Datengeheimnis.

Betroffene Personen müssen vor Erhebung ihrer personenbezogenen Daten immer darüber aufgeklärt werden, dass ihre Daten in einer Datenbank gespeichert werden. Öffentliche Auftraggeber sollten die Datenschutzhinweise daher bereits in die Vergabeunterlagen aufnehmen und die Unternehmen dazu auffordern, ihre Mitarbeiter darüber in Kenntnis zu setzen, um rechtlich abgesichert zu sein.

Umsetzen lässt sich das zum Beispiel mit einem Informationsblatt zum Umgang mit personenbezogenen Daten innerhalb der Vergabe. Auf diesem Informationsblatt sollte der Auftraggeber genau angeben,

  • zu welchem Zweck die personenbezogenen Daten verarbeitet werden,
  • welche personenbezogenen Daten genau verarbeitet werden (zum Beispiel Vor- und Nachname, Adresse, E-Mail-Adresse-Telefonnummer etc.),
  • wie die Daten verarbeitet werden,
  • ob die Daten an Dritte weitergegeben werden und wenn ja, an welche,
  • wie lange die personenbezogenen Daten zur Verarbeitung behalten werden,
  • welche Rechte die betroffenen Personen haben.

Dieses Informationsblatt sollte sich entweder direkt an die Mitarbeiter der sich bewerbenden Unternehmen richten, oder am Ende des Dokuments eine klare Aufforderung dazu enthalten, dass diese Informationen vom Unternehmen an die einzelnen Mitarbeiter weitergegeben werden sollen. Das Land Baden-Württemberg zum Beispiel bietet für diesen Anlass eine Vorlage zum kostenlosen Download an, mit der Auftraggeber all diese Vorgaben erfüllen.

Auch muss der Auftraggeber für die Weiterleitung der Daten im Rahmen des Vergabeverfahrens die betroffenen Personen darüber informieren und eine Erlaubnis beziehungsweise Einwilligung dieser einholen.

Welche Folgen haben Verstöße?

Bei Verstößen gegen diese Regelungen drohen öffentlichen Auftraggebern wie zum Beispiel Behörden zwar erheblich mildere Strafen als privaten Unternehmen, trotzdem haben Bieter die Möglichkeit, rechtlich gegen sie vorzugehen. So können gegenüber Behörden zwar keine Geldstrafen verhängt werden, Bieter können einen öffentlichen Auftraggeber jedoch mithilfe einer vergaberechtlichen Rüge dazu bringen, den Datenschutzverstoß einzustellen. Außerdem können sie den Verstoß gegenüber der Datenschutzbehörde anzeigen.

Die daraus folgenden Anordnungen, die zur Beendigung des Datenschutzverstoßes führen sollen, sind zum Beispiel die Verordnung von Untersuchungen in Form von Datenschutzüberprüfungen. Verwarnungen bis hin zu zeitlich begrenzten oder sogar endgültigen Verboten der Datenverarbeitung sind ebenfalls eine Form von Anordnungen im Falle eines Verstoßes gegen die DSGVO.

Beschluss OLG München vom 13.03.2017

Seit einem Beschluss des Oberlandesgerichts München am 13. März 2017 können Bieter datenschutzrechtliche Verstöße von öffentlichen Auftraggebern im Vergabeverfahren nicht in einem Nachprüfungsverfahren angreifen. Dies liegt darin begründet, dass datenschutzrechtliche Normen nicht zu den Bestimmungen gehören, die vom vergaberechtlichen Anspruch auf Einhaltung des Verfahrens nach dem Gesetz gegen Wettbewerbsbeschränkungen (GWB) erfasst sind.

Abonnieren Sie den ibau Newsletter und bleiben Sie auf dem Laufenden

Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich. Bitte bestätigen Sie noch Ihre E-Mail Adresse über unsere Bestätigungs-E-Mail, damit wir Ihnen zukünftig Informationen per E-Mail zusenden können.

Ich möchte regelmäßig über Inhalte, Services und Produkte der ibau GmbH per E-Mail informiert werden. Diese Einwilligung kann ich jederzeit widerrufen. Nach Bestätigung Ihrer E-Mail Adresse erhalten Sie zukünftig unseren ibau Newsletter zu den von Ihnen ausgewählten Themengebieten. Näheres erläutert der Datenschutzhinweis.


Abschließender Hinweis
Aus Gründen der besseren Lesbarkeit wird bei Personenbezeichnungen und personenbezogenen Hauptwörtern auf dieser Website die männliche Form verwendet. Entsprechende Begriffe gelten im Sinne der Gleichbehandlung grundsätzlich für alle Geschlechter. Die verkürzte Sprachform hat nur redaktionelle Gründe und beinhaltet keine Wertung.

Jacqueline Segeth - Redakteurin bei der ibau GmbH
Jacqueline Segeth

Jacqueline Segeth ist seit 2019 bei der ibau GmbH in Münster tätig. Als Redakteurin recherchiert und verfasst sie Ratgeber- und Glossarartikel für unsere Onlinemagazine. Ihre vielseitige und strukturierte Schreibweise erlaubt es ihr, Inhalte verschiedener Themenbereiche strukturiert und verständlich aufzubereiten.