Auswirkungen der DSGVO im Vergaberecht

Die EU-Datenschutz-Grundverordnung (DSGVO) ist derzeit in aller Munde. Sie hebt das Datenschutzniveau in der EU auf eine neue Ebene und stellt höhere Anforderungen an die Verarbeitung personenbezogener Daten. Ihre Auswirkungen machen auch vor dem Vergaberecht keinen Halt. Der folgende Beitrag soll einen ersten Überblick über Fragestellungen geben, die sich angesichts der Neuerungen durch die DSGVO bei der Vorbereitung und Durchführung von Vergabeverfahren ergeben.

Eckpunkte der DSGVO

Seit dem 25. Mai 2018 gilt die DSGVO in den EU-Mitgliedstaaten. Sie sorgt durch ihre unmittelbare Anwendbarkeit für eine Rechtsvereinheitlichung und damit für eine Stärkung des Datenschutzes in der Union. Über Öffnungsklauseln bleibt aber weiterhin Raum für die Anwendung des nationalen Datenschutzrechts.

Der Schutzbereich der DSGVO beschränkt sich auf personenbezogene Daten. Nach Art. 4 Nr. 1 DSGVO fallen hierunter Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Solche Daten sind bspw. der Familienstand, die Adresse sowie Ausweis- oder Versicherungsnummern. Sensible Daten werden besonders geschützt (Art. 9 DSGVO). Der Schutz von Geschäfts- oder Betriebsgeheimnissen als solche ist hingegen nicht Gegenstand der DSGVO, sondern anderer Gesetze (vgl. u. a. auch den Regierungsentwurf zum Umsetzungsgesetz der Richtlinie (EU) 2016/943 zum Schutz von Geschäftsgeheimnissen vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung).

Adressat der DSGVO ist der sog. Verantwortliche (Art. 4 Nr. 7 DSGVO), also die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Werden durch den Verantwortlichen Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) eingesetzt, so werden diese ebenfalls zu Adressaten. Hierdurch wird der Auftraggeber nicht von seiner Verantwortung zur Einhaltung der DSGVO entbunden. Es kann künftig ggf. zu einer gemeinsamen Haftung im Außenverhältnis kommen.

Wie bisher schon im Bundesdatenschutzgesetz (BDSG a.F.), so bleibt es auch unter dem Regime der DSGVO bei einem Verbot mit Erlaubnisvorbehalt für die Verarbeitung personenbezogener Daten. Das heißt, für jedwede Verarbeitung solcher Daten ist eine Rechtsgrundlage erforderlich. Diese kann entweder in einer Einwilligung oder einem gesetzlichen Erlaubnistatbestand bestehen, vgl. Art. 6 Abs. 1 S. 1 lit. a) - f) DSGVO. Gesetzliche Rechtsgrundlagen können sich über die Öffnungsklauseln in der DSGVO auch aus dem BDSG oder aus den Landesdatenschutzgesetzen ergeben. Zu differenzieren ist die zentrale Frage nach der Rechtsgrundlage von den sich aus der DSGVO ergebenden Informationspflichten im Zusammenhang mit der Verarbeitung, vgl. hierzu Art. 12 ff. DSGVO.

Die umfassende Dokumentations- und Rechenschaftspflicht („accountability“) aus Art. 5 Abs. 2 DSGVO ist ebenfalls neu: Verantwortliche tragen die Darlegungs- und Beweislast für die Rechtmäßigkeit ihrer Datenverarbeitung. Dieser sollten sie etwa durch das Erstellen eines Verarbeitungsverzeichnisses gerecht werden (Art. 30 DSGVO). Sie sehen sich zudem umfassenden Betroffenenrechten, insbesondere Auskunfts- und Korrekturrechten ausgesetzt (Art. 15 ff. DSGVO). Bei Verstößen gegen die DSGVO können Bußgelder in empfindlicher Höhe festgesetzt werden.

Auswirkungen im Vergaberecht

Personenbezogene Daten spielen auch in Vergabeverfahren eine wesentliche Rolle. Nicht zuletzt die umfassende Pflicht zur elektronischen Vergabe (bei EU-weiten Vergabeverfahren spätestens ab dem 18. Oktober 2018) befeuert dies.

Der deutliche Anstieg der (elektronischen) Datenverarbeitung im Vergaberecht scheint mit einem Mehr an Datenschutz durch die DSGVO sowie deren Prinzip der Datenminimierung (Art. 5 DSGVO) zu kollidieren. Welche Konsequenzen die DSGVO für die Durchführung von Vergabeverfahren letztlich haben wird, kann derzeit noch nicht abschließend ermessen werden.

Ohne Zweifel sind öffentliche Auftraggeber (einschließlich Sektorenauftraggeber) Adressaten der DSGVO. Gleiches gilt für Verfahrensteilnehmer der anbietenden Wirtschaft (Bieter, Bewerber), die zum Datenschutz z. B. in Bezug auf ihre Mitarbeiter verpflichtet sind. Insbesondere bei der Prüfung der Eignung eines Bewerbers/Bieters sind personenbezogene Daten von Relevanz. Die Datenerhebung erfolgt hier zum Zweck der Eignungsprüfung (Grundsatz der Zweckbindung): Die Prüfung erfolgt üblicherweise anhand von Referenzen und sonstigen Qualifikationen, die regelmäßig Lebensläufe, Nachweise über Studien- oder Ausbildungsabschlüsse, Angaben zu Namen, Adressen von Mitarbeitern oder Angaben zu Fachkräften umfassen. Die Anforderung von Erklärungen zum Nichtvorliegen eines Ausschlussgrundes gemäß §§ 123 ff. GWB dient der Prüfung der Zuverlässigkeit. Auch sensible Daten können im Rahmen der Eignungsprüfung gelegentlich eine Rolle spielen, z. B. wenn Gesundheitszeugnisse für Personal im Küchenbereich gefordert werden. Bieter bzw. Bewerber sind in einem Vergabeverfahren grundsätzlich nicht zur Auskunft verpflichtet. So müssen öffentliche Auftraggeber in den Vergabeunterlagen einen entsprechend deutlichen Hinweis auf die Freiwilligkeit der Auskunft zu Sachverhalten mit personenbezogenen Daten aufnehmen. Dabei müssen sie klarstellen, dass eine Nichtangabe (jedenfalls) nicht unmittelbar zum Ausschluss eines Bewerbers/Bieters führt. Ein Ausschluss kommt aber etwa in Betracht, wenn das Nichtvorliegen personenbezogener Daten zu einer Nichterfüllung von Mindestanforderungen führt.

Für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten und damit für den Eingriff in die grundrechtlich geschützte informationelle Selbstbestimmung bedarf es einer Rechtsgrundlage. Die Datenverarbeitung im Vergabeverfahren kann sich bspw. bereits vom Wortlaut her auf die gesetzlichen Ermächtigungsnormen aus Art. 6 Abs. 1 S. 1 lit. b), lit. c) oder lit. f) DSGVO stützen. Im Einzelnen sind dies Erlaubnistatbestände

• zur Erfüllung eines Vertrags oder Durchführung vorvertraglicher Maßnahmen (lit. b);
• zur Erfüllung einer Verpflichtung, die sich über Öffnungsklauseln aus mitgliedstaatlichem Recht oder aus Unionsrecht ergeben kann (lit. c) (z. B. § 122 GWB; in der Praxis wird häufig auf die Pflicht zur öffentlichen Ausschreibung abgestellt, die sich im Unterschwellenbereich aus § 55 BHO bzw. den entsprechenden landesrechtlichen Normen ergibt) sowie
• bei einem berechtigten Interesse der verarbeitenden (Vergabe)Stellen (lit. f).

Für einen Sachverhalt können also zum einen mehrere Ermächtigungsgrundlagen in Betracht kommen. Zum anderen können unterschiedliche Rechtsgrundlagen für die Datenverarbeitung in den einzelnen Phasen eines Vergabeverfahrens greifen. Im Einzelfall stellen sich hier Abgrenzungsschwierigkeiten, die letztlich gerichtlich geklärt werden müssen.

Zu beachten ist, dass bei Vorliegen eines gesetzlichen Erlaubnistatbestands keine ergänzende Einwilligung des Dateninhabers (Art. 6 Abs. 1 S. 1 lit. a) DSGVO) erforderlich ist. Zwar könnte eine konkludente Einwilligung grundsätzlich auch als Rechtsgrundlage ausreichen. Ein Bieter/Bewerber könnte durch die Einreichung des Teilnahmeantrags oder Angebots konkludent in die Datenverarbeitung einwilligen. Diese Einwilligung müsste aber freiwillig erfolgen. Gerade hieran dürfte es im Verhältnis öffentlicher Auftraggeber und Bieter/Bewerber fehlen. Denn letztere dürften sich zur Preisgabe personenbezogener Daten im Rahmen eines Vergabeverfahrens „gezwungen“ fühlen, um sich ihre Chancen auf den Zuschlag nicht zu verbauen. Im Zusammenhang mit der Europäischen Eigenerklärung (EEE) im Rahmen der Eignungsprüfung stellen sich spezielle Fragen zur Wirksamkeit einer Einwilligung zur Datenerhebung.

Öffentliche Auftraggeber sind als Verantwortliche verpflichtet, den durch die DSGVO erweiterten Informationspflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten nach §§ 13, 14 DSGVO nachzukommen. Dazu müssen entsprechende Maßnahmen bezüglich der Vergabeunterlagen getroffen werden. So bedarf es z. B. eines qualifizierten Datenschutzhinweises, in dem u. a. Name und Kontaktdaten des Verantwortlichen für die Datenverarbeitung beim Auftraggeber, der jeweilige Datenschutzbeauftragte, Zweck und Rechtsgrundlage für die Verarbeitung, Dauer der Speicherung personenbezogener Daten, Betroffenenrechte sowie das Beschwerderecht bei der Datenschutzaufsichtsbehörde genannt wird.

Besondere datenschutzrechtliche Fragestellungen ergeben sich bei der Vergabe von Leistungen, die die Verarbeitung von personenbezogenen Daten umfasst (z. B. Durchführung von Evaluationen). Der Auftragnehmer ordnet sich bei einer solchen Auftragsverarbeitung weisungsgebunden den Datenverarbeitungszwecken des Auftraggebers unter.

Die Einhaltung der entsprechenden DSGVO-Vorgaben durch den im Vergabeverfahren zu ermittelnden Auftragnehmer kann in unterschiedlicher Form geschehen: so kann sie unter dem Aspekt der „technischen Leistungsfähigkeit“ bereits im Vergabeverfahren Eingang in die Eignungsprüfung finden. Liegt der Schwerpunkt der zu sein, geeignete Referenzen über bislang getroffene technische oder organisatorische Maßnahmen zu fordern. In Betracht kommt auch die Einhaltung entsprechender datenschutzrechtlicher Anforderungen für den Fall der Beauftragung im Sinne von Anforderungen an die Auftragsausführung (§ 128 GWB) zu verlangen.

Was passiert bei Verstößen gegen datenschutzrechtliche Pflichten im Vergabeverfahren? Öffentliche Auftraggeber können ggf. mit hohen Bußgeldern belastet werden (s. o.). Die Betroffenenrechte (wie Auskunft, Berichtigung, Löschung) gegenüber der datenverarbeitenden (Vergabe)Stelle gelten auch im Vergabeverfahren. Auf der anderen Seite können Unternehmen durch Datenschutzverstöße im jeweiligen Verfahren sowie zukünftig u. U. ihre Zuverlässigkeit verlieren (s. den fakultativen Ausschlussgrund in §§ 124 Abs. 1 Nr. 3 GWB).

Fazit

Auch wenn sich vor allem vor dem Hintergrund der Auslegungsbedürftigkeit mancher Klauseln die tatsächlichen Auswirkungen der DSGVO für die Vergabepraxis noch nicht abschließend abzeichnen, ist Vergabestellen und anderen Verantwortlichen schon heute dringend zu empfehlen, die Umsetzung der DSGVO sicherzustellen und aufmerksam die weiteren Entwicklungen im Datenschutzrecht zu beobachten.

In unserer nächsten Mandantenveranstaltung, die am 21. September 2018 in unserem Berliner Büro stattfinden wird, werden wir uns u. a. auch diesem Thema widmen. Bei Interesse an einer Teilnahme senden Sie uns bitte eine E-Mail an Michaela.Merten@bblaw.com.

Wenn Sie Fragen zu diesem Thema haben, wenden Sie sich bitte an Stephanie Sabine Goebel.