Buch lesen: «Gewährleistung von Datensicherheit und Datenschutz im eVergabe-Verfahren»
Gewährleistung von
Datensicherheit und Datenschutz
im eVergabe-Verfahren
Robert Schippel
Fachmedien Recht und Wirtschaft | dfv Mediengruppe | Frankfurt am Main
Gewährleistung von Datensicherheit und Datenschutz im eVergabe-Verfahren
Von der Carl von Ossietzky Universität Oldenburg – Fakultät II – Informatik,
Wirtschafts- und Rechtswissenschaften – zur Erlangung des Grades eines Doktors
der Rechtswissenschaften (Dr. iur.)
genehmigte Dissertation
von Herrn Robert Schippel
geboren am 5. November 1981 in Sonneberg (Thüringen)
| Referent: | Prof. Dr. Prof. h.c. Jürgen Taeger |
| Koreferent: | Prof. Dr. Dr. Volker Boehme-Neßler |
| Tag der Disputation: | 26. Oktober 2020 |
Bibliografische Information der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
ISBN: 978-3-8005-1792-3
© 2021 Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Frankfurt am Main
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.
Druck: WIRmachenDRUCK GmbH, Backnang
Printed in Germany
Vorwort
Die vorliegende Arbeit wurde im Wintersemester 2019/2020 an der Fakultät II – Informatik, Wirtschafts- und Rechtswissenschaften der Carl von Ossietzky Universität Oldenburg eingereicht und im Juli 2020 als Dissertation angenommen.
Mein besonderer Dank gilt meinem Doktorvater, Herrn Prof. Dr. Prof.h.c. Jürgen Taeger, der das Thema angeregt, die Arbeit betreut und durch zahlreiche Hinweise zu ihrem Gelingen beigetragen hat. Herrn Prof. Dr. Dr. Volker Boehme-Neßler danke ich an dieser Stelle für seine Bereitschaft, als Zweitgutachter zur Verfügung zu stehen.
Dank gebührt auch der Prüfungskommission, die sich trotz aller Einschränkungen durch die Corona-Pandemie bereitgefunden hat, die Disputation durchzuführen.
Mein ausdrücklicher Dank gilt den vielen Helfern im Hintergrund, die mir trotz meiner laufenden Berufstätigkeit den Abschluss dieser Dissertation ermöglich haben. Herausgehoben werden soll Frau Ulrike Erlebach, deren Korrekturen und Anregungen in die Arbeit eingeflossen sind.
Zu guter Letzt möchte ich meinen wichtigsten und herzlichsten Dank aussprechen: Dieser gilt meiner geliebten Ehefrau und meiner Familie, die mir den Abschluss dieses Lebenstraums ermöglicht haben, indem sie mir mit ihrem Verständnis und Einsatz den Rücken freigehalten haben.
Inhalt
1 Vorwort
2 A. Gegenstand der Untersuchung
3 B. E-Vergabe und ihre historische Entwicklung I. Begriff der E-Vergabe 1. Definition der E-Vergabe 2. Abgrenzung der E-Vergabe im engeren Sinne von der E-Vergabe im weiteren Sinne a) eVergabe im engeren Sinne b) eVergabe im weiteren Sinne c) Pflicht zur eVergabe II. Historische Entwicklung der E-Vergabe III. Weiterentwicklung der E-Vergabe durch die EU-Richtlinien aus 2014 1. Leitgedanken der E-Vergabe in Hinblick auf elektonische Kommunikationsmittel 2. Vorgaben aus dem Richtlinientext a) Inhalt des Art. 22 RL 2014/24/EU aa) Ausnahme von der verpflichtenden elektronischen Kommunikation bb) Nutzung von Alternativen zu spezifischen elektronischen Einrichtungen, Instrumenten oder Vorrichtungen cc) Ausführungen bzgl. technischer Spezifikationen dd) Dokumentationspflichten ee) Ausführungen zu Datensicherheit und -schutz b) Anhang IV zur RL 2014/24/EU 3. Vorgaben aus Art. 35 und Art. 36 RL 2014/24/EU a) Elektronische Auktionen – Art. 35 RL 2014/24/EU b) Elektronischer Katalog – Art. 36 RL 2014/24/EU 4. Vorgaben aus den RL 2014/23/EU bzw. RL 2014/25/EU a) Konzessionsrichtlinie – RL 2014/23/EU b) Sektorenrichtlinie – RL 2014/25/EU 5. Nationale Umsetzung der EU-Richtlinien aus 2014 a) Anpassungen des GWB b) Vergabeverordnungen aa) Einführung bb) Ausgestaltung in der VgV (1) Grundsätze der elektronischen Kommunikation nach § 9 VgV (2) Anforderungen an die verwendeten elektronischen Mittel nach § 10 VgV (3) Anforderungen an den Einsatz elektronischer Mittel im Vergabeverfahren nach § 11 VgV (4) Einsatz alternativer elektronischer Mittel bei der Kommunikation nach § 12 VgV c) Ausnahme von der verpflichtenden elektronischen Kommunikation d) Umsetzung außerhalb des europäischen Anwendungsbereichs 6. Weitere elektronische Kommunikationsverfahren a) Dynamische Beschaffungssysteme b) Elektronische Auktionen c) Elektronische Kataloge
4 C. E-Vergabe-Verfahren in der nationalen Umsetzung I. Darstellung des Verfahrensgangs 1. Vorbereitung des Vergabeverfahrens sowie Erstellung der Vergabeunterlagen 2. Bekanntmachung eines zu vergebenden Auftrags a) Allgemeines b) Angabe eines Links in der Bekanntmachung 3. Bereitstellung der Vergabeunterlagen a) Vollständige Bereitstellung b) Unentgeltliche Bereitstellung c) Uneingeschränkte und direkte Bereitstellung d) Weitere notwendige Maßnahmen 4. Kommunikation in der Angebotsphase 5. Erstellung der Angebote 6. Abgabe der Angebote a) Aktualität der eVergabe-Lösung b) Verspätet eingereichte Angebote c) Zwischenergebnis 7. Angebotsöffnung 8. Wertung der Angebote und Angebotsöffnung a) 1. Stufe: formale und inhaltliche Prüfung b) 2. Stufe: Eignungsprüfung aa) Eignungsprüfung bb) Einheitliche Europäische Eigenerklärung c) 3. Stufe: Preisprüfung d) 4. Stufe: Ermittlung des wirtschaftlichen Angebots 9. Informations- und Wartepflicht nach § 134 GWB i.V.m. § 62 VgV 10. Zuschlag 11. Bekanntmachung vergebener Aufträge 12. Zusammenfassung II. Bedeutung von Datensicherheit und Datenschutz für die E-Vergabe 1. Die Bedeutung des Datenschutzes bei der E-Vergabe 2. Die Bedeutung der Datensicherheit bei der E-Vergabe 3. Formen elektronischer Kommunikationsmittel
5 D. Einführung in den Datenschutz I. Entwicklung des Datenschutzrechts 1. Nationale Entwicklung 2. Europäische Entwicklung II. Schutz personenbezogener Daten in einem E-Vergabe-Verfahren 1. Vorrang der DSGVO 2. Vorliegen personenbezogener Daten a) Vorliegen der Tatbestandsvoraussetzungen personenbezogener Daten aa) Betroffener bb) Bestimmbarkeit cc) Einordnung persönlicher und sachlicher Angaben b) Einschlägige Fälle personenbezogener Daten im Rahmen eines Vergabeverfahrens aa) Persönliche und sachliche Angaben bb) Persönliche und sachliche Angaben entsprechend der Einheitlichen Europäischen Eigenerklärung c) Dynamische IP-Adressen als personenbezogene Daten 3. Begriff der Verarbeitung 4. Abgrenzung personenbezogene Daten und besondere Arten personenbezogener Daten 5. Grundsätze der Verarbeitung personenbezogener Daten nach Art. 5 DSGVO a) Rechtsmäßigkeit der Verarbeitung b) Verarbeitung nach Treu und Glauben c) Transparenz d) Zweckbindung e) Datenminimierung f) Richtigkeit der Datenverarbeitung g) Speicherbegrenzung h) Integrität und Vertraulichkeit i) Zwischenergebnis aa) Zusammenfassung der Darstellung zu den Grundsätzen der Verarbeitung personenbezogener Daten bb) Subsumtion unter die eVergabe bzw. unter ein Vergabeverfahren 6. Erlaubnistatbestände und Verarbeitungssituationen
6 E. Datenschutz in einem E-Vergabe-Verfahren I. Verarbeitung von Kontaktdaten durch Arbeitgeber 1. Beschäftigtendatenschutz nach Art. 88 DSGVO 2. Datenschutz in Bezug auf Kontaktdaten nach § 26 Abs. 1 S. 1 BDSG 3. Zwischenergebnis II. Datenverarbeitung zum Zweck der Registrierung auf der E-Vergabe-Plattform 1. Registrierung auf der eVergabeplattform und diesbezügliche Verarbeitung von Mitarbeiterdaten gemäß § 26 Abs. 1 BDSG durch den Arbeitgeber 2. Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 UAbs. 1 lit. c) DSGVO 3. Erforderliche Verarbeitung zur Erfüllung öffentlicher Aufgaben nach Art. 6 Abs. 1 UAbs. 1 lit. e) DSGVO III. Push-Nachrichten 1. Aussagen der VgV zur Kommunikation bzgl. Updates in Vergabeverfahren und Registrierungen 2. Push-Nachrichten als Kommunikationsmittel a) Einführung in die Rechtsprobleme zu Push-Nachrichten b) Empfehlung einer Opt-in-Lösung zu Push-Nachrichten 3. Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a) DSGVO für Push-Nachrichten a) Legaldefinition b) Erwägungsgründe zur Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a) DSGVO c) Die freiwillige, informierte Einwilligung nach Art. 7 DSGVO 4. Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 UAbs. 1 lit. c) DSGVO 5. Erforderliche Verarbeitung zur Erfüllung öffentlicher Aufgaben nach Art. 6 Abs. 1 UAbs. 1 lit. e) DSGVO 6. Zwischenergebnis IV. Beschäftigtendatenschutz in Bezug auf die Verarbeitung von Nachweisen 1. Erlaubnis nach § 26 Abs. 1 BDSG zur Durchführung des Beschäftigungsverhältnisses 2. Zwischenergebnis V. Zulässigkeit der Verarbeitung personenbezogener Daten bei der Eignungsprüfung 1. Rechtsmäßigkeit der Verarbeitung zur Erfüllung eines Vertrags gemäß Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO a) Rückgriff auf ErwG. 44 b) Rechtliche Ausgestaltung des Tatbestands aa) Variante 1 – Datenverarbeitung zur Vertragserfüllung bb) Variante 2 – Durchführung vorvertraglicher Maßnahmen 2. Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 UAbs. 1 lit. c) DSGVO 3. Erforderliche Verarbeitung zur Erfüllung öffentlicher Aufgaben nach Art. 6 Abs. 1 UAbs. 1 lit. e) DSGVO 4. Zwischenergebnis und Ausblick auf die Leistungserfüllungsphase VI. Einschlägige Erlaubnistatbestände für die Verarbeitung personenbezogener Daten bei der E-Vergabe
7 F. Datenschutzrechtliche Pflichten des Verantwortlichen und Rechte der Betroffenen I. Allgemeine Vorgaben 1. Einhaltung der Informationspflichten der Art. 13, 14 DSGVO a) Informationspflichten gemäß Art. 13 Abs. 1 DSGVO b) Informationspflichten gemäß Art. 13 Abs. 2 DSGVO c) Informationspflichten gemäß Art. 13 Abs. 3 DSGVO d) Informationspflichten gemäß Art. 14 Abs. 1 DSGVO e) Informationspflichten gemäß Art. 14 Abs. 2 DSGVO f) Informationspflichten gemäß Art. 14 Abs. 3 und 4 DSGVO g) Zwischenergebnis 2. Betroffenenrechte nach der DSGVO a) Recht auf Widerruf nach Art. 7 Abs. 3 DSGVO b) Auskunftsrecht nach Art. 15 DSGVO c) Recht auf Berichtigung entsprechend Art. 16 DSGVO d) Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO e) Recht auf Datenübertragbarkeit entsprechend Art. 20 DSGVO f) Widerspruchsrecht nach Art. 21 DSGVO g) Recht auf Unbetroffenheit nach Art. 22 DSGVO von automatisierten Verarbeitungen h) Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 DSGVO i) Zwischenergebnis 3. Recht auf Löschung nach Art. 17 DSGVO a) Rückgriff auf die ErwG. 65 und 66 b) Inhalt des Art. 17 DSGVO c) Unverzügliche Löschung als Rechtsfolge 4. Privacy by design und Privacy by default nach Art. 25 DSGVO a) Rückgriff auf ErwG. 78 b) Datenschutz durch Technik aa) „technische und organisatorische Maßnahmen“ nach Art. 25 Abs. 1 DSGO bb) Ausrichtung des Art. 25 Abs. 1 DSGVO cc) Abwägungsvoraussetzungen (1) „Eintrittswahrscheinlichkeit“ und die „Schwere des Risikos“ (2) Stand der Technik (3) Implementierungskosten dd) Zeitpunkt der Verpflichtung c) Datenschutzfreundliche Voreinstellungen (Abs. 2) d) Zwischenergebnis 5. Verzeichnis von Verarbeitungstätigkeiten a) Rückgriff auf ErwG. 82 b) Inhalt des Verzeichnisses der Verarbeitungstätigkeiten 6. Datenschutz-Folgenabschätzung 7. Einhaltung der Meldepflichten nach Art. 33 und 34 DSGVO a) Meldung an die zuständige Aufsichtsbehörde nach Art. 33 DSGVO b) Meldung an den Betroffenen nach Art. 34 DSGVO c) Zwischenergebnis II. Auftragsverarbeitung bei der E-Vergabe 1. Vorgaben der DSGVO a) ErwG. 81 b) Vorgaben des Art. 28 DSGVO 2. Inhalt der Auftragsverarbeitung
8 G. Datensicherheit und IT-Sicherheit bei der E-Vergabe I. Datensicherheit gemäß BDSG a.F. und TMG 1. Technische und organisatorische Maßnahmen nach BDSG a.F. 2. Technische und organisatorische Maßnahmen nach § 13 Abs. 4 TMG II. Datensicherheit gemäß Art. 32 DSGVO 1. Inhalt des Art. 32 DSGVO a) Rückgriff auf ErwG. 83 b) Technische und organisatorische Maßnahmen c) Angemessenes Schutzniveau nach Art. 32 Abs. 1 HS. 1, Abs. 2 DSGVO d) Bezugsgröße: Stand der Technik e) Bezugsgröße: Verhältnismäßigkeit und Implementierungskosten f) Überwachungspflicht bzgl. unterstellter natürlicher Personen g) Folgerungen 2. Wechselwirkung mit anderen Vorschriften der DSGVO III. IT-Sicherheitsrecht 1. Vorgaben an die Datensicherheit gemäß NIS-Richtlinie (RL 2016/1148/EU) a) Inhalt der ErwG. der RL 2016/1148/EU b) Regelungsinhalt der RL 2016/1148/EU 2. Vorgaben an die Datensicherheit mittels Vorgaben an Anbieter digitaler Dienste gemäß § 8c BSIG a) Inhalt des § 8c BSIG b) Einschlägigkeit von § 8c BSIG bei der eVergabe c) Verhältnis von § 8c BSIG zu § 13 Abs. 7 TMG 3. Vorgaben an die Datensicherheit gemäß IT-Sicherheitsgesetz 4. Vorgaben an Telemedien-Diensteanbieter gemäß § 13 Abs. 7 TMG a) Einführung b) Adressaten c) Schutzgegenstand aa) Verhinderung des unerlaubten Zugriffes nach § 13 Abs. 7 S. 1 Nr. 1 TMG bb) Sicherung gegen Verletzung des Schutzes personenbezogener Daten nach § 13 Abs. 7 S. 1 Nr. 2a TMG cc) Sicherung gegen Störungen gemäß § 13 Abs. 7 S. 1 Nr. 2b TMG d) Schutzmaßnahmen e) Wirtschaftliche Angemessenheit f) Stand der Technik IV. Regelungen im Vergaberecht 1. Vorgaben aus der RL 2014/24/EU bzgl. öffentlicher Auftragsvergaben 2. Vorgaben aus dem GWB 3. Vorgaben aus der VgV a) Wahrung der Vertraulichkeit nach § 5 VgV b) Anforderungen an die verwendeten elektronischen Mittel gemäß § 10 VgV c) Anforderungen an den Einsatz elektronischer Mittel im Vergabeverfahren gemäß § 11 VgV d) Vorgaben des § 53 Abs. 3 und 4 VgV zu elektronischen Signaturen und Siegeln aa) Nutzung elektronischer Signaturen und Siegel nach § 53 Abs. 3 VgV bb) Verzicht auf elektronische Mittel nach § 53 Abs. 4 VgV e) Vorgaben zur Kennzeichnung und Verschlüsselung in § 54 S. 1 VgV f) Angebotsöffnung nach § 55 VgV V. Einschlägige Daten- und IT-Sicherheitsrechtliche Maßnahmen
9 H. Zusammenfassung und Ausblick I. Zusammenfassung 1. Vorphase eines Vergabeverfahrens a) Nutzung von Auftragsverarbeitern nach Art. 28 DSGVO b) Datenschutzfreundliche Voreinstellungen bzw. Daten durch Technik nach Art. 25 DSGVO c) Gewährleistung der Datensicherheit nach Art. 32 DSGVO d) Verzeichnis von Verarbeitungstätigkeiten e) Datenschutz-Folgenabschätzung f) Umsetzung eines Löschkonzepts nach Art. 17 DSGVO g) Einhaltung der Vorgaben aus § 8c BSIG bzw. § 13 Abs. 7 TMG h) Einhaltung der Vorgaben der VgV 2. Vorbereitung des Vergabeverfahrens a) Ausnahme von der Nutzung elektronischer Kommunikationsmittel b) Einhaltung der Grundsätze der Datenverarbeitung nach Art. 5 DSGVO aa) Datenminimierung bb) Rechtmäßigkeit der Verarbeitung cc) Richtigkeit der Datenverarbeitung c) Umsetzung der Informationspflichten nach Art. 13, 14 DSGVO 3. Bekanntmachung eines zu vergebenden Auftrags 4. Bereitstellung der Vergabeunterlagen 5. Kommunikation in der Angebotsphase 6. Erstellung der Angebote 7. Abgabe der Angebote 8. Angebotsöffnung 9. Wertung der Angebote und Angebotsöffnung 10. Informations- und Wartepflicht nach § 134 GWB i.V.m. § 62 VgV 11. Zuschlag 12. Bekanntmachung vergebener Aufträge II. Ausblick
10 Literatur
A. Gegenstand der Untersuchung
„Künftig wird durch die Einführung der E-Vergabe das gesamte Vergabeverfahren digital abgewickelt. Damit verringert sich der Aufwand der Unternehmen bei der Auftragsrecherche und Bewerbung und die Vergabeverfahren werden beschleunigt.“1 Mit dieser positiven Darstellung wurde eine umfassende Reform des Vergaberechts eingeleitet, deren Wechselwirkungen zum gleichfalls aktualisierten Datenschutzrecht in Gestalt der Datenschutz-Grundverordnung (DSGVO) sowie den Vorgaben zum Datensicherheits- und IT-Sicherheitsrecht weitgehend im Dunkeln liegen und daher Gegenstand dieser Dissertation sind.
Vergaberecht umfasst sämtliche Rechtsnormen – sowohl das Gesetz gegen Wettbewerbsbeschränkungen (GWB) als auch die auf Basis dieser gesetzlichen Grundlage erlassenen Rechtsverordnungen –, die die Beschaffungstätigkeit nicht nur der öffentlichen Hand,2 sondern auch der semi-öffentlichen juristischen Personen regeln, die aufgrund Beteiligungen oder Subventionen zur Anwendung des Vergaberechts verpflichtet sind. D.h. im Umkehrschluss, dass sich die öffentliche Auftragsvergabe an eine unbestimmte, größere Zielgruppe wendet, die nicht lokal eingegrenzt werden kann, die aber entsprechend des Diskriminierungsverbots gleich zu behandeln ist.3 Insgesamt wird das Einkaufsvolumen dieser Normadressaten auf ca. 300 Mrd. Euro geschätzt.4
Die 2014 seitens der Europäischen Union, in Gestalt des Rates und der Kommission, erlassenen Richtlinien RL 2014/24/EU, RL 2014/25/EU sowie RL 2014/23/EU beinhalten eine ganze Reihe von neuen Vorgaben: ein neues Verfahren (in Gestalt der Innovationspartnerschaft),5 Auflockerungen in den bestehenden Verfahrensarten,6 aber auch eine Erweiterung der elektronischen Kommunikation bzw. neue elektronische Kommunikationsverfahren.7 Damit stellt diese Reform die umfangreichste Modernisierung seit Bestehen des Vergaberechts dar.8 Die elektronische Kommunikation zwischen den Beteiligten an einem Vergabeverfahren sollte an die modernen Kommunikationsgegebenheiten des 21. Jahrhunderts angepasst werden.9 Die drei Richtlinien regulieren erstmals die gesamte Kommunikation,10 die die Bekanntmachung des Auftrages, die elektronische Bereitstellung der Vergabeunterlagen, die Einreichung der Angebotsunterlagen sowie die abschließende Kommunikation mit Bietern und Teilnehmern rund um den Zuschlag, aber auch die endgültige Bekanntmachung, umfasst.11
Die wissenschaftliche Auseinandersetzung soll sich exemplarisch an den Vorgaben des 4. Teils des GWB sowie der Vergabeverordnung (VgV) orientieren. Diese Vergabeverordnung, welche seit dem 1.Januar 2020 ab dem europäischen Schwellenwert von 214.000 Euro zzgl. USt. für öffentliche Auftraggeber gemäß § 106 Abs. 1 und 2 GWB sowie § 1 VgV Anwendung findet, umfasst die Mehrheit der öffentlichen Auftraggeber, die einen nicht unerheblichen Anteil am jährlichen Beschaffungsvolumen von geschätzt mindestens 300 Mrd. Euro öffentlicher Auftraggeber darstellen.
Nicht unüblich ist es, dass bei öffentlichen Beschaffungsvorgängen personenbezogene Daten Teil der beizubringenden Unterlagen sind. In der gängigen vergaberechtlichen Kommentarliteratur finden sich dahingehend aber kaum Anhaltspunkte oder Hinweise zur Beachtung komplexer datenschutzrechtlicher Probleme. Die Umsetzung der DSGVO im Mai 2018 hat das bis dahin angewendete Datenschutzrecht umgestaltet. Da bis dato kaum gemeinsame Ausführungen zwischen Datenschutz- und Vergaberecht existierten, ist der Forschungsstand an dieser Stelle bislang überschaubar.
Jedoch ergibt sich im gegenwärtigen Schrifttum zur eVergabe eine Unschärfe zu den datensicherheits- und datenschutzrechtlichen Fragestellungen. Kern dieser Auseinandersetzung muss daher auch die Frage nach der Datensicherheit und dem Datenschutz in Zeiten der DSGVO und des IT-Sicherheitsgesetzes bei der eVergabe sein.
Somit sind drei wesentliche Gesichtspunkte zu erörtern:
• Die spätestens seit dem 18. Oktober 2018 uneingeschränkt geltende Pflicht zur elektronischen Kommunikation ist insbesondere in Fällen, in denen personenbezogene Daten von Bietern eines Vergabeverfahrens durch den öffentlichen Auftraggeber (etwa Berufserfahrung, Eignungsnachweise, etc.) abgefordert werden, datenschutzrechtrechtlich besonders relevant.
• Mit der DSGVO, die seit dem 25. Mai 2018 anzuwenden ist, stellt sich die Frage, wie die Verarbeitung personenbezogener Daten in mittels elektronischer Kommunikation geführten Vergabeverfahren datenschutzkonform ausgestaltet werden kann. Zudem ist die Frage zu beantworten, inwieweit Push-Nachrichten oder andere Formen elektronischer Kommunikation zulässig sind, wenn Vergabeunterlagen ergänzt werden oder schon erstellte Unterlagen unter Verwendung personenbezogener Daten überarbeitet wurden.
• Die Masse der am Markt gängigen eVergabe-Lösungen sind digitale Angebote oder Telemedienangebote. Mit der NIS-Richtlinie und § 8c BSIG sowie dem IT-Sicherheitsgesetz und dem neu eingeführten § 13 Abs. 7 TMG könnten Anbieter von eVergabe-Lösungen verpflichtet sein, diese entsprechend der gesetzlichen Vorgaben und dem Stand der IT-Technik abzusichern. Diese Verpflichtung muss dann aber auch die weiteren Vorgaben aus der DSGVO sowie der VgV berücksichtigen.
Die Bezüge zur Datensicherheit sind durch die Bezüge zum BDSG a.F., das IT-Sicherheitsgesetz und die DSGVO im Rechtsgebiet der Informationstechnologien fest verankert – jedoch sind die Bezüge vergaberechtlich wenig ausgearbeitet. Mit den Vorgaben zur elektronischen Kommunikation und der Gestaltung der eVergabe-Lösungen als Telemedienangebote ergeben sich Überschneidungen zwischen Vergaberecht und Datensicherheit, die das Rechtsgebiet vorher nicht gekannt hat. Ergänzt wird dieses Sicherheitsgefüge durch das Geschäftsgeheimnisgesetz.
Insgesamt umfasst das Thema daher drei von der Forschung und Literatur beleuchtete Themengebiete (Vergaberecht, Datenschutz- und Datensicherheitsrecht sowie das Recht der IT-Sicherheit), die allerdings in ihrem Zusammenwirken bislang kaum im Fokus der Forschung lagen. Insoweit greift diese Arbeit ein bislang wenig betrachtetes Feld auf.
Nach einer erläuternden Einleitung in die Thematik widmet sich der erste Teil der eVergabe, d.h. es wird der Entstehungsweg der vom europäischen Gesetzgeber gewünschten Pflicht zur Nutzung elektronischer Kommunikationswege aufgezeigt, der mit einer notwendigen Analyse der Vorgaben der EU-Richtlinien einhergeht. Dies ist nur in Zusammenhang mit der Darstellung eines typischen, ideal-verlaufenden und erfolgreich endenden Vergabeverfahrens sinnvoll; eine solche wiederum erfasst die vorhergehende Darstellung aller Bezüge zur eVergabe in den drei relevanten EU-Richtlinien. In Wechselwirkung zu den Vorschriften betreffend den Ablauf eines Verfahrens zur Vergabe eines öffentlichen Auftrags kann daher klar evaluiert werden, inwieweit z.B. anhand der Regelungen der §§ 9ff. VgV die Verpflichtung zur Nutzung elektronischer Kommunikationspflichten ausgestaltet wurde.12 Sicher ist auf jeden Fall, dass die eVergabe zu einer weitgehenden Digitalisierung des Beschaffungsprozesses führt.13
Darauffolgend soll dann im zweiten und dritten Teil dieser Arbeit – unter Berücksichtigung aller Vorgaben der eVergabe in seinen wesentlichen Verfahrensschritten aus dem ersten Teil der Arbeit – dargestellt werden, in welchen Verfahrensschritten
• personenbezogene Daten verarbeitet werden,
• ob diese Verarbeitung konform mit geltendem Recht ist,
• Bezüge zum Datensicherheitsrecht relevant sind und
• der Datenschutz bzw. die Datensicherheit nach dem musterhaft behandelten Vergabeverfahren Berücksichtigung finden sollen.
1 Pressemitteilung des Bundeswirtschaftsministeriums vom 19. April 2016. 2 Oberndörfer/Lehmann, BB 2015, S. 1027. 3 Heckmann, K&R 2003, S. 97 (100). 4 Probst/Winters, JuS 2015, S. 121. 5 Allekotte, WPg 2015, S. 1146 (1147); Schaller, LKV 2016, S. 529 (532); Stoye/Thomas, in: von Beust/Stoye/Thomas/Zielke, eVergabe, 2018, S. 31. 6 Schaller, LKV 2016, S. 529 (532). 7 Schippel, VergabeR 2016, S. 434. 8 Stoye, NZBau 2016, S. 457; Zimmermann, E-Vergabe, 2016, S. 1. 9 Zeiss, VPR 2014, S. 53. 10 Oberndörfer/Lehmann, BB 2015, S. 1027 (1029). 11 Braun, VergabeR 2016, S. 179 (181); Schippel, VergabeR 2016, S. 434 (435). 12 Müller, in: Kulartz/Kus/Portz/Prieß, GWB, 2016, Einführung Rn. 36. 13 Zielke, VergabeR 2015, S. 273 (275).
