Newsletter Vergabe Oktober 2020

Die DSGVO-konforme Ausgestaltung der Vergabeunterlagen

Öffentliche Auftraggeber verarbeiten im Laufe des Vergabeverfahrens diverse personenbezogene Daten der teilnehmenden Bieter, wie bspw. die Namen vertretungsberechtigter Personen, Qualifikationen der Projektleiter oder Angaben über vergangene Insolvenzverfahren im Handelsregisterauszug.

Datenverarbeitung in der Ausschreibung – und ggf. auch bei der Leistung

Ebenso kann Gegenstand der zu vergebenen Leistung selbst die Verarbeitung personenbezogener Daten Dritter durch den Auftragnehmer sein. So läge der Fall bspw. bei der Beauftragung zum Aufstellen neuer Abfalltonnen und zur Abfallsammlung. Für die Leistungserbringung müsste der Auftraggeber dem Auftragnehmer Informationen über die betroffenen Bewohner des Sammelgebiets überlassen, wie Namen, Adressen, Behältergrößen, Abfuhrintervalle o.ä.

Dies führt dazu, dass sich die Auftraggeber mit der Frage auseinandersetzen müssen, wie sich die EU-Datenschutzgrundverordnung (DSGVO) auf die Ausgestaltung der Vergabeunterlagen auswirkt.

Erfordernis einer Datenschutzerklärung im Vergabeverfahren

Gemäß Art. 13 Abs. 1 DSGVO hat der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung der personenbezogenen Daten diverse Informationen mitzuteilen. Verantwortlicher ist der öffentliche Auftraggeber. Im Verhältnis zwischen ihm und dem einzelnen Bieter ist jeder Bieter „betroffene Person“. Daher ist den Vergabeunterlagen zwingend eine Datenschutzerklärung nach Art. 12, 13 DSGVO beizufügen. Gegenstand ist die Verarbeitung von Daten der Bieter im Vergabeverfahren.

Zuordnung der Akteure des Vergabeverfahrens

Um die Datenschutzerklärung inhaltlich korrekt und vollständig verfassen zu können, sollte der Auftraggeber im Vorfeld die am Vergabeverfahren beteiligten Akteure identifizieren und sie einer in der DSGVO definierten „Rolle“ zuordnen. Denn hiervon hängt ab, ob und wie die Akteure in der Datenschutzerklärung zu benennen sind und ob die Datenübertragung zwischen ihnen und dem Auftraggeber als rechtfertigungsbedürftige „Datenverarbeitung“ zu qualifizieren ist; im letzteren Fall wären Zweck und Rechtsgrundlage der Weitergabe der Daten in der Datenschutzerklärung zu benennen.

Erfordernis eines Auftragsverarbeitungsvertrags für den Leistungszeitraum

Bedingt es die künftige Leistungserbringung, dass der Auftragnehmer auch personenbezogene Daten Dritter im Auftrag des öffentlichen Auftraggebers verarbeitet, dann ist der Auftragnehmer als „Auftragsverarbeiter“ i.S.d. DSGVO einzustufen. Gemäß Art. 28 Abs. 3 DSGVO hat der Auftraggeber mit dem Auftragnehmer einen Auftragsverarbeitungsvertrag für den Leistungszeitraum abzuschließen. In diesem Fall ist den Vergabeunterlagen zwingend ein Auftragsverarbeitungsvertrag beizufügen, zu dessen Abschluss es mit Zuschlagserteilung kommt.

[GGSC] berät regelmäßig öffentliche Auftraggeber bei der Durchführung von Vergabeverfahren auch in Fragen des Datenschutzrechts.

Weitere Artikel des Newsletters

Vergabe
10.10.2020
Das Bundeskabinett hat am 16.09.2020 den vom Wirtschaftsministerium vorgelegten Entwurf einer Neuregelung der HOAI beschlossen. Jetzt muss noch der Bundesrat zustimmen.
weiter
Ein vergaberechtlich form- und fristgerecht eingereichtes Angebot ist nicht schon deshalb auszuschließen, weil es bereits zuvor formwidrig an die Vergabestelle übermittelt worden war. Mit dieser Einschätzung weicht das OLG Frankfurt von der strengen „Infektionstheorie“ des OLG Karlsruhe ab.
weiter
Werden von einer Vergabestelle Referenzangaben der Bieter gefordert, ist jedenfalls deren stichprobenhafte Prüfung (z.B. in Form einer telefonischen Kontaktaufnahme mit dem Referenzauftraggeber) erforderlich und in der Vergabeakte zu dokumentieren. Einen Ausschluss allein aufgrund der „Papierlage“ h...
weiter
Auch wenn das OLG Dresden im vergangenen Jahr entschieden hat, dass die Breitbandförderung nicht dem formalen Vergaberecht unterliegt, bleiben öffentliche Auftraggeber jedenfalls nach dem Fördermittel- und Beihilfenrecht sehr wohl ausschreibungspflichtig.
weiter