Vergaberecht und Datenschutz bei Digitalisierungsprojekten

Digitalisierungsprojekte der Öffentlichen Hand begegnen besonderen Anforderungen an der Schnittstelle von Vergaberecht, Datenschutzrecht und Vertragsgestaltung. Kurze Innovationszyklen, ein häufig nur funktional beschreibbares Leistungsbild sowie eine ausgewogene Risikoverteilung und Vergütungsstruktur im Rahmen der Vertragsgestaltung stellen hohe Anforderungen an die Konzeption und Umsetzung der Vergabeverfahren. Ohne eine marktgerechte Ausschreibung und eine passgenaue Vertragsgestaltung ist das Eskalationspotenzial von Digitalisierungsprojekten nach der Beauftragung in der Projektumsetzung enorm.

Besondere Bedeutung kommt der angemessenen Berücksichtigung datenschutzrechtlicher Erfordernisse zu: Denn die Vorgaben der Datenschutzgrundverordnung (DSGVO) sind auch im Vergabeverfahren zu beachten. Öffentliche Auftraggeber sind verpflichtet, für ein hohes Maß an Datenschutz und Datensicherheit zu sorgen. Deshalb ist schon bei der Leistungsbeschreibung von Digitalisierungsprojekten besonderer Wert darauf zu legen, dass die wesentlichen datenschutzrechtlichen Vorgaben erfüllt werden.

Soweit im Rahmen des Projektes selbst oder über die zu beschaffende Software oder Internetplattform personenbezogene Daten (z.B. Bürgerdaten) verarbeitet werden, sollte deshalb schon durch die Beschreibung der Leistung sichergestellt werden, dass die jeweilige Verarbeitung über einen der Erlaubnistatbestände des Art. 6 DSGVO legitimiert ist und die Betroffenen (z.B. die Nutzer der Software) in einer Datenschutzerklärung im Sinne des Art. 13 DSGVO über die Verarbeitung informiert werden können.

Neben diesen Anforderungen ist bei der Gestaltung der Leistungsbeschreibung ein besonderer Fokus auf die Grundätze der Datenminimierung (Art. 5 Abs.1 lit.c DSGVO) und die Sicherheit der Verarbeitung (Art. 32 DSGVO) zu legen. Die Inhalte des Leistungsgegenstandes sollten also so gestaltet werden, dass personenbezogene Daten nur verarbeitet werden, soweit dies für den jeweiligen Verarbeitungszweck erforderlich ist und entsprechende technische Anforderungen die jeweils notwendige Datensicherheit erfüllen. Die konkreten Anforderungen hängen dabei von der Art der personenbezogenen Daten und dem jeweiligen Verarbeitungszweck ab. Zugleich müssen öffentliche Auftraggeber darauf achten, dass diese Anforderungen den Markt für potentielle Bieter vor dem Hintergrund des vergaberechtlichen Wettbewerbsprinzips nicht unverhältnismäßig verengen.

Die Erfahrung zeigt, dass die Bedeutung datenschutzrechtlicher Anforderungen in Vergabeverfahren zunehmend steigt. Zum einen, um sicherzustellen, dass das Projekt bzw. der Beschaffungsgegenstand den gesetzlichen Anforderungen genügt, um Maßnahmen der Landesdatenschutzbehörden aber auch Hackingangriffe bzw. Sicherheitslücken zu verhindern. Zum anderen bieten datenschutzrechtliche Kriterien des Leistungsgegenstandes nicht berücksichtigten Bietern eine neue Argumentationslinie, um Vergabeverfahren zu rügen und vor den Vergabekammern prüfen zu lassen.

Das Spannungsverhältnis zwischen datenschutzrechtlich zwingenden Anforderungen an den Beschaffungsgegenstand und nicht mehr gerechtfertigter Marktverengung ist nicht immer einfach aufzulösen. Die Bestimmung der datenschutzrechtlichen Anforderungen muss durch den Auftragsgegenstand sachlich gerechtfertigt sein und auf nachvollziehbaren objektiven und auftragsbezogenen Gründen basieren. Außerdem dürfen potentielle Wirtschaftsteilnehmer nicht diskriminiert werden. Diese Aspekte sind im Vergabevermerk entsprechend aussagekräftig zu dokumentieren.

In der praktischen Umsetzung der Vergabeverfahren sind die Anforderungen der DSGVO auch bei der Erhebung, Verarbeitung bzw. Weitergabe der Bieterdaten (z.B. Eignungsnachweise) zu berücksichtigen. Stets ist sicherzustellen, dass die jeweilige Verarbeitung nach der DSGVO legitim ist und die Bieter rechtzeitig über die Datenverarbeitung informiert worden sind. Hierfür haben sich aber bereits sinnvolle Standards herausgebildet, die in der Praxis entsprechend eingesetzt werden sollten.

Anmerkung der Redaktion

Die rechtlichen und fachlichen Aspekte des Artikels sind auch Gegenstand im interaktiven Workshop der Autoren im Rahmen des 5. IT-Vergabetag 2020 digital am 17. November 2020. Weitere Informationen sowie eine Anmeldemöglichkeit finden Sie hier.

Kontribution

Der Beitrag wurde gemeinsam mit Herrn Rechtsanwalt Dr. Carsten Ulbricht verfasst.

Dr. Carsten Ulbricht

Dr. Carsten Ulbricht ist auf IT-, Internet- und Digitalisierungsprojekte spezialisierter Rechtsanwalt und Partner bei der Stuttgarter Kanzlei Menold Bezler. Seine Schwerpunkte liegen dabei auf der rechtskonformen Umsetzung internetbasierter Plattformen und Technologien, der Digitalisierung von Prozessen und Produkten und datenschutzrechtlichen Themen. Hierzu veröffentlicht Rechtsanwalt Dr. Ulbricht regelmäßig Beiträge in verschiedenen Fachmedien bzw. seinem Weblog „Internet, Social Media & Recht“ und tritt auf zahlreichen Veranstaltungen als Referent auf.