Die DSGVO-konforme Ausgestaltung der Vergabeunterlagen

< zurück zur Übersicht 

Öffentliche Auftraggeber verarbeiten im Laufe des Vergabeverfahrens diverse personenbezogene Daten der teilnehmenden Bieter, wie bspw. die Namen vertretungsberechtigter Personen, Qualifikationen der Projektleiter oder Angaben über vergangene Insolvenzverfahren im Handelsregisterauszug.

Datenverarbeitung in der Ausschreibung – und ggf. auch bei der Leistung

Ebenso kann Gegenstand der zu vergebenen Leistung selbst die Verarbeitung personenbezogener Daten Dritter durch den Auftragnehmer sein. So läge der Fall bspw. bei der Beauftragung zum Aufstellen neuer Abfalltonnen und zur Abfallsammlung. Für die Leistungserbringung müsste der Auftraggeber dem Auftragnehmer Informationen über die betroffenen Bewohner des Sammelgebiets überlassen, wie Namen, Adressen, Behältergrößen, Abfuhrintervalle o.ä.

Dies führt dazu, dass sich die Auftraggeber mit der Frage auseinandersetzen müssen, wie sich die EU-Datenschutzgrundverordnung (DSGVO) auf die Ausgestaltung der Vergabeunterlagen auswirkt.

Erfordernis einer Datenschutzerklärung im Vergabeverfahren

Gemäß Art. 13 Abs. 1 DSGVO hat der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung der personenbezogenen Daten diverse Informationen mitzuteilen. Verantwortlicher ist der öffentliche Auftraggeber. Im Verhältnis zwischen ihm und dem einzelnen Bieter ist jeder Bieter „betroffene Person“. Daher ist den Vergabeunterlagen zwingend eine Datenschutzerklärung nach Art. 12, 13 DSGVO beizufügen. Gegenstand ist die Verarbeitung von Daten der Bieter im Vergabeverfahren.

Zuordnung der Akteure des Vergabeverfahrens

Um die Datenschutzerklärung inhaltlich korrekt und vollständig verfassen zu können, sollte der Auftraggeber im Vorfeld die am Vergabeverfahren beteiligten Akteure identifizieren und sie einer in der DSGVO definierten „Rolle“ zuordnen. Denn hiervon hängt ab, ob und wie die Akteure in der Datenschutzerklärung zu benennen sind und ob die Datenübertragung zwischen ihnen und dem Auftraggeber als rechtfertigungsbedürftige „Datenverarbeitung“ zu qualifizieren ist; im letzteren Fall wären Zweck und Rechtsgrundlage der Weitergabe der Daten in der Datenschutzerklärung zu benennen.

Erfordernis eines Auftragsverarbeitungsvertrags für den Leistungszeitraum

Bedingt es die künftige Leistungserbringung, dass der Auftragnehmer auch personenbezogene Daten Dritter im Auftrag des öffentlichen Auftraggebers verarbeitet, dann ist der Auftragnehmer als „Auftragsverarbeiter“ i.S.d. DSGVO einzustufen. Gemäß Art. 28 Abs. 3 DSGVO hat der Auftraggeber mit dem Auftragnehmer einen Auftragsverarbeitungsvertrag für den Leistungszeitraum abzuschließen. In diesem Fall ist den Vergabeunterlagen zwingend ein Auftragsverarbeitungsvertrag beizufügen, zu dessen Abschluss es mit Zuschlagserteilung kommt.

[GGSC] berät regelmäßig öffentliche Auftraggeber bei der Durchführung von Vergabeverfahren auch in Fragen des Datenschutzrechts.