Оглавление
Robert Schippel. Gewährleistung von Datensicherheit und Datenschutz im eVergabe-Verfahren
Gewährleistung von. Datensicherheit und Datenschutz. im eVergabe-Verfahren
Vorwort
Inhalt
A. Gegenstand der Untersuchung
B. E-Vergabe und ihre historische Entwicklung
I. Begriff der E-Vergabe. 1. Definition der E-Vergabe
2. Abgrenzung der E-Vergabe im engeren Sinne von der E-Vergabe im weiteren Sinne
a) eVergabe im engeren Sinne
b) eVergabe im weiteren Sinne
c) Pflicht zur eVergabe
II. Historische Entwicklung der E-Vergabe
III. Weiterentwicklung der E-Vergabe durch die EU-Richtlinien aus 2014
1. Leitgedanken der E-Vergabe in Hinblick auf elektonische Kommunikationsmittel
2. Vorgaben aus dem Richtlinientext
a) Inhalt des Art. 22 RL 2014/24/EU
aa) Ausnahme von der verpflichtenden elektronischen Kommunikation
bb) Nutzung von Alternativen zu spezifischen elektronischen Einrichtungen, Instrumenten oder Vorrichtungen
cc) Ausführungen bzgl. technischer Spezifikationen
dd) Dokumentationspflichten
ee) Ausführungen zu Datensicherheit und -schutz
b) Anhang IV zur RL 2014/24/EU
3. Vorgaben aus Art. 35 und Art. 36 RL 2014/24/EU. a) Elektronische Auktionen – Art. 35 RL 2014/24/EU
b) Elektronischer Katalog – Art. 36 RL 2014/24/EU
4. Vorgaben aus den RL 2014/23/EU bzw. RL 2014/25/EU
a) Konzessionsrichtlinie – RL 2014/23/EU
b) Sektorenrichtlinie – RL 2014/25/EU
5. Nationale Umsetzung der EU-Richtlinien aus 2014
a) Anpassungen des GWB
b) Vergabeverordnungen. aa) Einführung
bb) Ausgestaltung in der VgV
(1) Grundsätze der elektronischen Kommunikation nach § 9 VgV
(2) Anforderungen an die verwendeten elektronischen Mittel nach § 10 VgV
(3) Anforderungen an den Einsatz elektronischer Mittel im Vergabeverfahren nach § 11 VgV
(4) Einsatz alternativer elektronischer Mittel bei der Kommunikation nach § 12 VgV
c) Ausnahme von der verpflichtenden elektronischen Kommunikation
d) Umsetzung außerhalb des europäischen Anwendungsbereichs
6. Weitere elektronische Kommunikationsverfahren
a) Dynamische Beschaffungssysteme
b) Elektronische Auktionen
c) Elektronische Kataloge
C. E-Vergabe-Verfahren in der nationalen Umsetzung
I. Darstellung des Verfahrensgangs
1. Vorbereitung des Vergabeverfahrens sowie Erstellung der Vergabeunterlagen
2. Bekanntmachung eines zu vergebenden Auftrags
a) Allgemeines
b) Angabe eines Links in der Bekanntmachung
3. Bereitstellung der Vergabeunterlagen
a) Vollständige Bereitstellung
b) Unentgeltliche Bereitstellung
c) Uneingeschränkte und direkte Bereitstellung
d) Weitere notwendige Maßnahmen
4. Kommunikation in der Angebotsphase
5. Erstellung der Angebote
6. Abgabe der Angebote
a) Aktualität der eVergabe-Lösung
b) Verspätet eingereichte Angebote
c) Zwischenergebnis
7. Angebotsöffnung
8. Wertung der Angebote und Angebotsöffnung
a) 1. Stufe: formale und inhaltliche Prüfung
b) 2. Stufe: Eignungsprüfung
aa) Eignungsprüfung
bb) Einheitliche Europäische Eigenerklärung
c) 3. Stufe: Preisprüfung
d) 4. Stufe: Ermittlung des wirtschaftlichen Angebots
9. Informations- und Wartepflicht nach § 134 GWB i.V.m. § 62 VgV
10. Zuschlag
11. Bekanntmachung vergebener Aufträge
12. Zusammenfassung
II. Bedeutung von Datensicherheit und Datenschutz für die E-Vergabe
1. Die Bedeutung des Datenschutzes bei der E-Vergabe
2. Die Bedeutung der Datensicherheit bei der E-Vergabe
3. Formen elektronischer Kommunikationsmittel
D. Einführung in den Datenschutz
I. Entwicklung des Datenschutzrechts
1. Nationale Entwicklung
2. Europäische Entwicklung
II. Schutz personenbezogener Daten in einem E-Vergabe-Verfahren. 1. Vorrang der DSGVO
2. Vorliegen personenbezogener Daten
a) Vorliegen der Tatbestandsvoraussetzungen personenbezogener Daten
aa) Betroffener
bb) Bestimmbarkeit
cc) Einordnung persönlicher und sachlicher Angaben
b) Einschlägige Fälle personenbezogener Daten im Rahmen eines Vergabeverfahrens. aa) Persönliche und sachliche Angaben
bb) Persönliche und sachliche Angaben entsprechend der Einheitlichen Europäischen Eigenerklärung
c) Dynamische IP-Adressen als personenbezogene Daten
3. Begriff der Verarbeitung
4. Abgrenzung personenbezogene Daten und besondere Arten personenbezogener Daten
5. Grundsätze der Verarbeitung personenbezogener Daten nach Art. 5 DSGVO
a) Rechtsmäßigkeit der Verarbeitung
b) Verarbeitung nach Treu und Glauben
c) Transparenz
d) Zweckbindung
e) Datenminimierung
f) Richtigkeit der Datenverarbeitung
g) Speicherbegrenzung
h) Integrität und Vertraulichkeit
i) Zwischenergebnis. aa) Zusammenfassung der Darstellung zu den Grundsätzen der Verarbeitung personenbezogener Daten
bb) Subsumtion unter die eVergabe bzw. unter ein Vergabeverfahren
6. Erlaubnistatbestände und Verarbeitungssituationen
E. Datenschutz in einem E-Vergabe-Verfahren
I. Verarbeitung von Kontaktdaten durch Arbeitgeber
1. Beschäftigtendatenschutz nach Art. 88 DSGVO
2. Datenschutz in Bezug auf Kontaktdaten nach § 26 Abs. 1 S. 1 BDSG
3. Zwischenergebnis
II. Datenverarbeitung zum Zweck der Registrierung auf der E-Vergabe-Plattform
1. Registrierung auf der eVergabeplattform und diesbezügliche Verarbeitung von Mitarbeiterdaten gemäß § 26 Abs. 1 BDSG durch den Arbeitgeber
2. Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 UAbs. 1 lit. c) DSGVO
3. Erforderliche Verarbeitung zur Erfüllung öffentlicher Aufgaben nach Art. 6 Abs. 1 UAbs. 1 lit. e) DSGVO
III. Push-Nachrichten
1. Aussagen der VgV zur Kommunikation bzgl. Updates in Vergabeverfahren und Registrierungen
2. Push-Nachrichten als Kommunikationsmittel. a) Einführung in die Rechtsprobleme zu Push-Nachrichten
b) Empfehlung einer Opt-in-Lösung zu Push-Nachrichten
3. Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a) DSGVO für Push-Nachrichten
a) Legaldefinition
b) Erwägungsgründe zur Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a) DSGVO
c) Die freiwillige, informierte Einwilligung nach Art. 7 DSGVO
4. Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 UAbs. 1 lit. c) DSGVO
5. Erforderliche Verarbeitung zur Erfüllung öffentlicher Aufgaben nach Art. 6 Abs. 1 UAbs. 1 lit. e) DSGVO
6. Zwischenergebnis
IV. Beschäftigtendatenschutz in Bezug auf die Verarbeitung von Nachweisen
1. Erlaubnis nach § 26 Abs. 1 BDSG zur Durchführung des Beschäftigungsverhältnisses
2. Zwischenergebnis
V. Zulässigkeit der Verarbeitung personenbezogener Daten bei der Eignungsprüfung
1. Rechtsmäßigkeit der Verarbeitung zur Erfüllung eines Vertrags gemäß Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO
a) Rückgriff auf ErwG. 44
b) Rechtliche Ausgestaltung des Tatbestands
aa) Variante 1 – Datenverarbeitung zur Vertragserfüllung
bb) Variante 2 – Durchführung vorvertraglicher Maßnahmen
2. Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 UAbs. 1 lit. c) DSGVO
3. Erforderliche Verarbeitung zur Erfüllung öffentlicher Aufgaben nach Art. 6 Abs. 1 UAbs. 1 lit. e) DSGVO
4. Zwischenergebnis und Ausblick auf die Leistungserfüllungsphase
VI. Einschlägige Erlaubnistatbestände für die Verarbeitung personenbezogener Daten bei der E-Vergabe
F. Datenschutzrechtliche Pflichten des Verantwortlichen und Rechte der Betroffenen
I. Allgemeine Vorgaben. 1. Einhaltung der Informationspflichten der Art. 13, 14 DSGVO
a) Informationspflichten gemäß Art. 13 Abs. 1 DSGVO
b) Informationspflichten gemäß Art. 13 Abs. 2 DSGVO
c) Informationspflichten gemäß Art. 13 Abs. 3 DSGVO
d) Informationspflichten gemäß Art. 14 Abs. 1 DSGVO
e) Informationspflichten gemäß Art. 14 Abs. 2 DSGVO
f) Informationspflichten gemäß Art. 14 Abs. 3 und 4 DSGVO
g) Zwischenergebnis
2. Betroffenenrechte nach der DSGVO
a) Recht auf Widerruf nach Art. 7 Abs. 3 DSGVO
b) Auskunftsrecht nach Art. 15 DSGVO
c) Recht auf Berichtigung entsprechend Art. 16 DSGVO
d) Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO
e) Recht auf Datenübertragbarkeit entsprechend Art. 20 DSGVO
f) Widerspruchsrecht nach Art. 21 DSGVO
g) Recht auf Unbetroffenheit nach Art. 22 DSGVO von automatisierten Verarbeitungen
h) Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 DSGVO
i) Zwischenergebnis
3. Recht auf Löschung nach Art. 17 DSGVO
a) Rückgriff auf die ErwG. 65 und 66
b) Inhalt des Art. 17 DSGVO
c) Unverzügliche Löschung als Rechtsfolge
4. Privacy by design und Privacy by default nach Art. 25 DSGVO
a) Rückgriff auf ErwG. 78
b) Datenschutz durch Technik
aa) „technische und organisatorische Maßnahmen“ nach Art. 25 Abs. 1 DSGO
bb) Ausrichtung des Art. 25 Abs. 1 DSGVO
cc) Abwägungsvoraussetzungen
(1) „Eintrittswahrscheinlichkeit“ und die „Schwere des Risikos“
(2) Stand der Technik
(3) Implementierungskosten
dd) Zeitpunkt der Verpflichtung
c) Datenschutzfreundliche Voreinstellungen (Abs. 2)
d) Zwischenergebnis
5. Verzeichnis von Verarbeitungstätigkeiten
a) Rückgriff auf ErwG. 82
b) Inhalt des Verzeichnisses der Verarbeitungstätigkeiten
6. Datenschutz-Folgenabschätzung
7. Einhaltung der Meldepflichten nach Art. 33 und 34 DSGVO
a) Meldung an die zuständige Aufsichtsbehörde nach Art. 33 DSGVO
b) Meldung an den Betroffenen nach Art. 34 DSGVO
c) Zwischenergebnis
II. Auftragsverarbeitung bei der E-Vergabe
1. Vorgaben der DSGVO. a) ErwG. 81
b) Vorgaben des Art. 28 DSGVO
2. Inhalt der Auftragsverarbeitung
G. Datensicherheit und IT-Sicherheit bei der E-Vergabe
I. Datensicherheit gemäß BDSG a.F. und TMG
1. Technische und organisatorische Maßnahmen nach BDSG a.F
2. Technische und organisatorische Maßnahmen nach § 13 Abs. 4 TMG
II. Datensicherheit gemäß Art. 32 DSGVO
1. Inhalt des Art. 32 DSGVO
a) Rückgriff auf ErwG. 83
b) Technische und organisatorische Maßnahmen
c) Angemessenes Schutzniveau nach Art. 32 Abs. 1 HS. 1, Abs. 2 DSGVO
d) Bezugsgröße: Stand der Technik
e) Bezugsgröße: Verhältnismäßigkeit und Implementierungskosten
f) Überwachungspflicht bzgl. unterstellter natürlicher Personen
g) Folgerungen
2. Wechselwirkung mit anderen Vorschriften der DSGVO
III. IT-Sicherheitsrecht
1. Vorgaben an die Datensicherheit gemäß NIS-Richtlinie (RL 2016/1148/EU)
a) Inhalt der ErwG. der RL 2016/1148/EU
b) Regelungsinhalt der RL 2016/1148/EU
2. Vorgaben an die Datensicherheit mittels Vorgaben an Anbieter digitaler Dienste gemäß § 8c BSIG
a) Inhalt des § 8c BSIG
b) Einschlägigkeit von § 8c BSIG bei der eVergabe
c) Verhältnis von § 8c BSIG zu § 13 Abs. 7 TMG
3. Vorgaben an die Datensicherheit gemäß IT-Sicherheitsgesetz
4. Vorgaben an Telemedien-Diensteanbieter gemäß § 13 Abs. 7 TMG
a) Einführung
b) Adressaten
c) Schutzgegenstand
aa) Verhinderung des unerlaubten Zugriffes nach § 13 Abs. 7 S. 1 Nr. 1 TMG
bb) Sicherung gegen Verletzung des Schutzes personenbezogener Daten nach § 13 Abs. 7 S. 1 Nr. 2a TMG
cc) Sicherung gegen Störungen gemäß § 13 Abs. 7 S. 1 Nr. 2b TMG
d) Schutzmaßnahmen
e) Wirtschaftliche Angemessenheit
f) Stand der Technik
IV. Regelungen im Vergaberecht
1. Vorgaben aus der RL 2014/24/EU bzgl. öffentlicher Auftragsvergaben
2. Vorgaben aus dem GWB
3. Vorgaben aus der VgV
a) Wahrung der Vertraulichkeit nach § 5 VgV
b) Anforderungen an die verwendeten elektronischen Mittel gemäß § 10 VgV
c) Anforderungen an den Einsatz elektronischer Mittel im Vergabeverfahren gemäß § 11 VgV
d) Vorgaben des § 53 Abs. 3 und 4 VgV zu elektronischen Signaturen und Siegeln
aa) Nutzung elektronischer Signaturen und Siegel nach § 53 Abs. 3 VgV
bb) Verzicht auf elektronische Mittel nach § 53 Abs. 4 VgV
e) Vorgaben zur Kennzeichnung und Verschlüsselung in § 54 S. 1 VgV
f) Angebotsöffnung nach § 55 VgV
V. Einschlägige Daten- und IT-Sicherheitsrechtliche Maßnahmen
I. Zusammenfassung
1. Vorphase eines Vergabeverfahrens
a) Nutzung von Auftragsverarbeitern nach Art. 28 DSGVO
b) Datenschutzfreundliche Voreinstellungen bzw. Daten durch Technik nach Art. 25 DSGVO
c) Gewährleistung der Datensicherheit nach Art. 32 DSGVO
d) Verzeichnis von Verarbeitungstätigkeiten
e) Datenschutz-Folgenabschätzung
f) Umsetzung eines Löschkonzepts nach Art. 17 DSGVO
g) Einhaltung der Vorgaben aus § 8c BSIG bzw. § 13 Abs. 7 TMG
h) Einhaltung der Vorgaben der VgV
2. Vorbereitung des Vergabeverfahrens
a) Ausnahme von der Nutzung elektronischer Kommunikationsmittel
b) Einhaltung der Grundsätze der Datenverarbeitung nach Art. 5 DSGVO. aa) Datenminimierung
bb) Rechtmäßigkeit der Verarbeitung
cc) Richtigkeit der Datenverarbeitung
c) Umsetzung der Informationspflichten nach Art. 13, 14 DSGVO
3. Bekanntmachung eines zu vergebenden Auftrags
4. Bereitstellung der Vergabeunterlagen
5. Kommunikation in der Angebotsphase
6. Erstellung der Angebote
7. Abgabe der Angebote
8. Angebotsöffnung
9. Wertung der Angebote und Angebotsöffnung
10. Informations- und Wartepflicht nach § 134 GWB i.V.m. § 62 VgV
11. Zuschlag
12. Bekanntmachung vergebener Aufträge
II. Ausblick
Literatur