Datenschutz im Vergabeverfahren

Datenschutzrechtliche Vorgaben haben auch für das Vergabeverfahren Relevanz. Das gilt nicht erst seit Inkrafttreten der DSGVO im Mai 2018. Durch die Neuregelung wurde das Datenschutzrecht jedoch stärker in den Fokus gerückt. Insbesondere die deutlich erhöhten Bußgelder veranlassen Unternehmen dazu, ihre Datenschutzprozesse zu überprüfen. Im Vergabeverfahren können Verstöße gegen die einschlägigen Vorschriften der DSGVO daneben das Ende des Vergabeverfahrens bedeuten. Die Einhaltung datenschutzrechtlicher Vorgaben hat somit für die erfolgreiche Durchführung erhebliche Bedeutung.

Datenschutzrechtliche Implikationen können sich für das gesamte Vergabeverfahren sowohl für den Bieter als auch die Vergabestelle ergeben. Dabei ist unerheblich, ob das Verfahren elektronisch oder analog durchgeführt wird. Der im Vergabeverfahren datenschutzrechtlich relevanteste Teil ist die Eignungsprüfung. Der Auftraggeber erstellt zu diesem Zwecke ein Anforderungsprofil, für dessen Einhaltung der Bieter Nachweise, Zeugnisse und Referenzen übermitteln muss, die regelmäßig eine Vielzahl an personenbezogenen Daten der beim Bieter Beschäftigten enthalten. Zu diesen Daten gehören neben Namen und geschäftlichen Kontaktdaten häufig auch berufliche Qualifikationen. Daneben kann auch die Weitergabe von sensiblen Daten sowie Informationen zur Gesundheit oder strafrechtlichen Verurteilungen erforderlich sein. Insofern stellt sich sowohl für die Vergabestelle als auch den Bieter die Frage, ob und auf welcher Rechtsgrundlage die Verarbeitung solcher Daten zulässig ist.

Neben der Eignungsprüfung gebührt dem Datenschutzrecht besondere Aufmerksamkeit, wenn der konkrete Auftragsgegenstand eine Auftragsverarbeitung darstellt, also der Bieter personenbezogene Daten im Auftrag und nach Weisung der Vergabestelle verarbeiten soll. Für eine derartige Konstellation sieht die DSGVO besondere Anforderungen vor. Bereits in der Gestaltung des Anforderungsprofils sollte beachtet, wie diese Voraussetzungen für die Auftragsverarbeitung rechtskonform eingebunden werden können. Insbesondere ist abzuwägen, ob die gesamte datenschutzrechtliche Beurteilung des Auftragnehmers bereits im Rahmen der Eignungsprüfung erfolgen soll oder ob eine Aufspaltung der Bewertung vorzugswürdig ist.

Klare Vorgaben für die datenschutzkonforme Durchführung des Vergabeverfahrens gibt es nicht. Verallgemeinerungen sind nur begrenzt möglich. Häufig bedarf es der Prüfung im Einzelfall. Insofern besteht zum Teil erhebliche Unsicherheit, wie die teilweise umfangreichen datenschutzrechtlichen Anforderungen umzusetzen sind.

1. Eignungsprüfung

Schwerpunkt der relevanten Datenverarbeitung im Vergabeverfahren ist die Eignungsprüfung. Entsprechend des Anforderungsprofils übermittelt der Auftragnehmer verschiedene Kategorien personenbezogener Daten seiner Beschäftigten an den Auftraggeber. Für die damit verbundene Verarbeitung dieser Daten haben Auftraggeber und –nehmer neben der Bestimmung einer Rechtsgrundlage die allgemeinen datenschutzrechtlichen Pflichten einzuhalten.

a) Rechtsgrundlage

Die Verarbeitung – also auch die Übermittlung – personenbezogener Daten ist nur zulässig, wenn eine entsprechende Rechtsgrundlage dies ausdrücklich erlaubt. Die Rechtfertigung bestimmt sich insofern nach Art. 6 DSGVO, der verschiedene Erlaubnistatbestände erhält.

Vergabestelle

Für die Vergabestelle ist eine Rechtfertigung primär in Art. 6 Abs. 1 S. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung) oder Art. 6 Abs. 1 S. 1 lit. e DSGVO (Erfüllung einer Aufgabe im öffentlichen Interesse) zu suchen. Nur in besonderen Ausnahmefällen kann die Datenverarbeitung auf eine Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) gestützt werden. Es bedarf insofern einer Bewertung im Einzelfall. Primärer Anknüpfungspunkt bei der Bestimmung der konkreten Rechtsgrundlage ist der Zweck der Datenverarbeitung. Hier ist zu beachten, dass sich für die unterschiedlichen Datenkategorien auch verschiedene Zwecke und somit unterschiedliche Rechtsgrundlagen ergeben können.

Bieter

Neben der Vergabestelle muss auch der Bieter sich vor Übermittlung von personenbezogenen Daten an die Vergabestelle die Frage stellen, ob eine entsprechende Rechtsgrundlage vorliegt. Der Umstand, dass die jeweiligen Daten im Anforderungsprofil gelistet sind, wird für sich regelmäßig nicht ausreichend sein. Außer den für die Vergabestelle beschriebenen Rechtsgrundlagen ergibt sich die Rechtfertigung für den Auftragnehmer gegebenenfalls aus dem Beschäftigungsverhältnis mit den Beschäftigten. Für welche konkreten Daten diese Rechtsgrundlage relevant werden könnte, ist im Einzelfall zu beurteilen.

Sonderproblem: Führungszeugnisse

In § 123 Abs. 1 GWB sind zwingende Gründe für den Ausschluss eines Bieters vom Vergabeverfahren definiert. Hierbei handelt es sich um spezifische strafrechtliche Verurteilungen von leitenden Angestellten. Mitunter wird in der Praxis für den Nachweis, dass entsprechende Ausschlussgründe nicht vorliegen, die Vorlage von Führungszeugnissen der entsprechenden Personen verlangt. Datenschutzrechtlich stößt dieses Vorgehen auf erhebliche Bedenken. Zwar könnte die Verarbeitung von entsprechenden Daten über Verurteilungen gegebenenfalls nach Art. 6 Abs. 1 S. 1 lit. c DSGVO i.V.m. § 123 Abs. 1, 3 GWB zulässig sein. Aufgrund der hohen Sensibilität entsprechender Strafdaten gelten gemäß Art. 10 S. 1 DSGVO jedoch besondere Anforderungen für deren Verarbeitung. Für das Vergabeverfahren kann dies bedeuten, dass die Vergabeunterlagen keine Führungszeugnisse mehr enthalten dürfen, sondern ein anderes Vorgehen gewählt werden muss (z.B. Eigenerklärung des Bieters, künftig Einsichtnahme in das Wettbewerbsregister).

b) Sonstige Pflichten

Im Vergabeverfahren gelten auch die allgemeinen datenschutzrechtlichen Pflichten für die Datenverarbeitung. Hierzu gehören insbesondere der Grundsatz der Datensparsamkeit sowie die Informationspflichten. Ersterer besagt, dass nur solche Daten verarbeitet werden dürfen, die für die Erfüllung des Zwecks erforderlich sind. Dies betrifft neben dem Umfang der Datenerhebung insbesondere auch die Frage, ob die Verarbeitung anonymisierter Daten ausreichend ist. Die Parteien müssen darüber hinaus, die betroffenen Personen im Voraus über die jeweilige Datenverarbeitung zum Zwecke des Vergabeverfahrens sowie die Rechte der Betroffenen informieren. Diese Anforderung ist bereits vor Beginn des Vergabeverfahrens zu beachten, um eine rechtzeitige Information sicherzustellen.

2. Auftragsverarbeitung

Bedient sich die verantwortliche Stelle für die Verarbeitung personenbezogener Daten eines Auftragnehmers, liegt eine Auftragsverarbeitung vor, sofern der Auftragnehmer ausschließlich auf Weisung des Auftraggebers handelt und die Daten nicht zu eigenen Zwecken verwendet. Anders als in anderen Fällen der Datenübermittlung an Dritte bedarf die Zugänglichmachung personenbezogener Daten an einen Auftragsverarbeiter keiner gesonderten Rechtsgrundlage nach Art. 6 DSGVO. Sie ist vielmehr privilegiert. Voraussetzung ist jedoch, dass die Parteien einen sog. Auftragsverarbeitungsvertrag nach den Vorgaben des Art. 28 Abs. 3 DSGVO schließen.

a) Umsetzung im Vergabeverfahren

Für Vergabeverfahren spielt Auftragsverarbeitung eine Rolle, wenn der zu vergebende Auftrag eine Datenverarbeitung durch den Auftragnehmer beinhaltet, bspw. bei der Vergabe in Form des Outsourcings von IT-Dienstleistungen. Die Einhaltung der entsprechenden Vorgaben, insbesondere nach Art. 28 DSGVO, muss entsprechend bereits als Bedingung in die Vergabeunterlagen implementiert werden. Um die Eignungsprüfung jedoch nicht mit zusätzlichen Bewertungen der Kriterien zur Auftragsverarbeitung zu überlasten, kann es angezeigt sein, die konkrete Beurteilung der datenschutzrechtlichen Kriterien aufzuspalten und etwa ein umfassendes Datenschutzkonzept erst von dem im Teilnahmewettbewerb präqualifizierten Bietern anzufordern.

Für den Abschluss des Auftragsverarbeitungsvertrags sind die formellen Voraussetzungen des Art. 28 Abs. 9 DSGVO zu beachten. Besondere Beachtung ist hier geboten, sofern die Vereinbarung durch Zuschlag geschlossen werden soll.

b) Unterauftragnehmer

Vergaberechtlich ist die Unterbeauftragung durch den Auftragnehmer regelmäßig zulässig und kann folglich nicht von der Vergabestelle untersagt werden. Im Rahmen der Auftragsverarbeitung sieht die DSGVO jedoch vor, dass der Auftraggeber dem Einsatz von Sub-Auftragsverarbeitern zustimmen muss. Zwar kann die Zustimmung auch generell erteilt werden. In diesem Fall muss der Auftragnehmer den Auftraggeber jedoch dennoch über die Unterbeauftragung informieren und dem Auftraggeber ein Einspruchsrecht einräumen.

3. Rechtsfolgen bei Verstoß

Ein Verstoß gegen die Vorgaben der DSGVO kann mit einem Bußgeld bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes des jeweiligen Verantwortlichen geahndet werden. Behörden und öffentliche Stellen sind von Bußgeldern jedoch weitgehend ausgenommen. Daneben drohen jedoch sowohl für den Auftraggeber als auch den Auftragnehmer Untersagungsverfügungen der Aufsichtsbehörden. Dies kann den Abbruch eines Vergabeverfahrens zur Folge haben. Außerdem können die betroffenen Personen bei Verletzungen der DSGVO Schadensersatz verlangen. Für den Bieter kann die Missachtung datenschutzrechtlicher Vorgaben ferner als „schwere Verfehlung“ i.S.d. § 124 I Nr. 3 GWB gewertet werden, die einen fakultativen Ausschlussgrund begründet.