Читать книгу Gewährleistung von Datensicherheit und Datenschutz im eVergabe-Verfahren - Robert Schippel - Страница 5

„Künftig wird durch die Einführung der E-Vergabe das gesamte Vergabeverfahren digital abgewickelt. Damit verringert sich der Aufwand der Unternehmen bei der Auftragsrecherche und Bewerbung und die Vergabeverfahren werden beschleunigt.“1 Mit dieser positiven Darstellung wurde eine umfassende Reform des Vergaberechts eingeleitet, deren Wechselwirkungen zum gleichfalls aktualisierten Datenschutzrecht in Gestalt der Datenschutz-Grundverordnung (DSGVO) sowie den Vorgaben zum Datensicherheits- und IT-Sicherheitsrecht weitgehend im Dunkeln liegen und daher Gegenstand dieser Dissertation sind.

Vergaberecht umfasst sämtliche Rechtsnormen – sowohl das Gesetz gegen Wettbewerbsbeschränkungen (GWB) als auch die auf Basis dieser gesetzlichen Grundlage erlassenen Rechtsverordnungen –, die die Beschaffungstätigkeit nicht nur der öffentlichen Hand,2 sondern auch der semi-öffentlichen juristischen Personen regeln, die aufgrund Beteiligungen oder Subventionen zur Anwendung des Vergaberechts verpflichtet sind. D.h. im Umkehrschluss, dass sich die öffentliche Auftragsvergabe an eine unbestimmte, größere Zielgruppe wendet, die nicht lokal eingegrenzt werden kann, die aber entsprechend des Diskriminierungsverbots gleich zu behandeln ist.3 Insgesamt wird das Einkaufsvolumen dieser Normadressaten auf ca. 300 Mrd. Euro geschätzt.4

Die 2014 seitens der Europäischen Union, in Gestalt des Rates und der Kommission, erlassenen Richtlinien RL 2014/24/EU, RL 2014/25/EU sowie RL 2014/23/EU beinhalten eine ganze Reihe von neuen Vorgaben: ein neues Verfahren (in Gestalt der Innovationspartnerschaft),5 Auflockerungen in den bestehenden Verfahrensarten,6 aber auch eine Erweiterung der elektronischen Kommunikation bzw. neue elektronische Kommunikationsverfahren.7 Damit stellt diese Reform die umfangreichste Modernisierung seit Bestehen des Vergaberechts dar.8 Die elektronische Kommunikation zwischen den Beteiligten an einem Vergabeverfahren sollte an die modernen Kommunikationsgegebenheiten des 21. Jahrhunderts angepasst werden.9 Die drei Richtlinien regulieren erstmals die gesamte Kommunikation,10 die die Bekanntmachung des Auftrages, die elektronische Bereitstellung der Vergabeunterlagen, die Einreichung der Angebotsunterlagen sowie die abschließende Kommunikation mit Bietern und Teilnehmern rund um den Zuschlag, aber auch die endgültige Bekanntmachung, umfasst.11

Die wissenschaftliche Auseinandersetzung soll sich exemplarisch an den Vorgaben des 4. Teils des GWB sowie der Vergabeverordnung (VgV) orientieren. Diese Vergabeverordnung, welche seit dem 1.Januar 2020 ab dem europäischen Schwellenwert von 214.000 Euro zzgl. USt. für öffentliche Auftraggeber gemäß § 106 Abs. 1 und 2 GWB sowie § 1 VgV Anwendung findet, umfasst die Mehrheit der öffentlichen Auftraggeber, die einen nicht unerheblichen Anteil am jährlichen Beschaffungsvolumen von geschätzt mindestens 300 Mrd. Euro öffentlicher Auftraggeber darstellen.

Nicht unüblich ist es, dass bei öffentlichen Beschaffungsvorgängen personenbezogene Daten Teil der beizubringenden Unterlagen sind. In der gängigen vergaberechtlichen Kommentarliteratur finden sich dahingehend aber kaum Anhaltspunkte oder Hinweise zur Beachtung komplexer datenschutzrechtlicher Probleme. Die Umsetzung der DSGVO im Mai 2018 hat das bis dahin angewendete Datenschutzrecht umgestaltet. Da bis dato kaum gemeinsame Ausführungen zwischen Datenschutz- und Vergaberecht existierten, ist der Forschungsstand an dieser Stelle bislang überschaubar.

Jedoch ergibt sich im gegenwärtigen Schrifttum zur eVergabe eine Unschärfe zu den datensicherheits- und datenschutzrechtlichen Fragestellungen. Kern dieser Auseinandersetzung muss daher auch die Frage nach der Datensicherheit und dem Datenschutz in Zeiten der DSGVO und des IT-Sicherheitsgesetzes bei der eVergabe sein.

Somit sind drei wesentliche Gesichtspunkte zu erörtern:

 • Die spätestens seit dem 18. Oktober 2018 uneingeschränkt geltende Pflicht zur elektronischen Kommunikation ist insbesondere in Fällen, in denen personenbezogene Daten von Bietern eines Vergabeverfahrens durch den öffentlichen Auftraggeber (etwa Berufserfahrung, Eignungsnachweise, etc.) abgefordert werden, datenschutzrechtrechtlich besonders relevant.

 • Mit der DSGVO, die seit dem 25. Mai 2018 anzuwenden ist, stellt sich die Frage, wie die Verarbeitung personenbezogener Daten in mittels elektronischer Kommunikation geführten Vergabeverfahren datenschutzkonform ausgestaltet werden kann. Zudem ist die Frage zu beantworten, inwieweit Push-Nachrichten oder andere Formen elektronischer Kommunikation zulässig sind, wenn Vergabeunterlagen ergänzt werden oder schon erstellte Unterlagen unter Verwendung personenbezogener Daten überarbeitet wurden.

 • Die Masse der am Markt gängigen eVergabe-Lösungen sind digitale Angebote oder Telemedienangebote. Mit der NIS-Richtlinie und § 8c BSIG sowie dem IT-Sicherheitsgesetz und dem neu eingeführten § 13 Abs. 7 TMG könnten Anbieter von eVergabe-Lösungen verpflichtet sein, diese entsprechend der gesetzlichen Vorgaben und dem Stand der IT-Technik abzusichern. Diese Verpflichtung muss dann aber auch die weiteren Vorgaben aus der DSGVO sowie der VgV berücksichtigen.

Die Bezüge zur Datensicherheit sind durch die Bezüge zum BDSG a.F., das IT-Sicherheitsgesetz und die DSGVO im Rechtsgebiet der Informationstechnologien fest verankert – jedoch sind die Bezüge vergaberechtlich wenig ausgearbeitet. Mit den Vorgaben zur elektronischen Kommunikation und der Gestaltung der eVergabe-Lösungen als Telemedienangebote ergeben sich Überschneidungen zwischen Vergaberecht und Datensicherheit, die das Rechtsgebiet vorher nicht gekannt hat. Ergänzt wird dieses Sicherheitsgefüge durch das Geschäftsgeheimnisgesetz.

Insgesamt umfasst das Thema daher drei von der Forschung und Literatur beleuchtete Themengebiete (Vergaberecht, Datenschutz- und Datensicherheitsrecht sowie das Recht der IT-Sicherheit), die allerdings in ihrem Zusammenwirken bislang kaum im Fokus der Forschung lagen. Insoweit greift diese Arbeit ein bislang wenig betrachtetes Feld auf.

Nach einer erläuternden Einleitung in die Thematik widmet sich der erste Teil der eVergabe, d.h. es wird der Entstehungsweg der vom europäischen Gesetzgeber gewünschten Pflicht zur Nutzung elektronischer Kommunikationswege aufgezeigt, der mit einer notwendigen Analyse der Vorgaben der EU-Richtlinien einhergeht. Dies ist nur in Zusammenhang mit der Darstellung eines typischen, ideal-verlaufenden und erfolgreich endenden Vergabeverfahrens sinnvoll; eine solche wiederum erfasst die vorhergehende Darstellung aller Bezüge zur eVergabe in den drei relevanten EU-Richtlinien. In Wechselwirkung zu den Vorschriften betreffend den Ablauf eines Verfahrens zur Vergabe eines öffentlichen Auftrags kann daher klar evaluiert werden, inwieweit z.B. anhand der Regelungen der §§ 9ff. VgV die Verpflichtung zur Nutzung elektronischer Kommunikationspflichten ausgestaltet wurde.12 Sicher ist auf jeden Fall, dass die eVergabe zu einer weitgehenden Digitalisierung des Beschaffungsprozesses führt.13

Darauffolgend soll dann im zweiten und dritten Teil dieser Arbeit – unter Berücksichtigung aller Vorgaben der eVergabe in seinen wesentlichen Verfahrensschritten aus dem ersten Teil der Arbeit – dargestellt werden, in welchen Verfahrensschritten

 • personenbezogene Daten verarbeitet werden,

 • ob diese Verarbeitung konform mit geltendem Recht ist,

 • Bezüge zum Datensicherheitsrecht relevant sind und

 • der Datenschutz bzw. die Datensicherheit nach dem musterhaft behandelten Vergabeverfahren Berücksichtigung finden sollen.

1 Pressemitteilung des Bundeswirtschaftsministeriums vom 19. April 2016. 2 Oberndörfer/Lehmann, BB 2015, S. 1027. 3 Heckmann, K&R 2003, S. 97 (100). 4 Probst/Winters, JuS 2015, S. 121. 5 Allekotte, WPg 2015, S. 1146 (1147); Schaller, LKV 2016, S. 529 (532); Stoye/Thomas, in: von Beust/Stoye/Thomas/Zielke, eVergabe, 2018, S. 31. 6 Schaller, LKV 2016, S. 529 (532). 7 Schippel, VergabeR 2016, S. 434. 8 Stoye, NZBau 2016, S. 457; Zimmermann, E-Vergabe, 2016, S. 1. 9 Zeiss, VPR 2014, S. 53. 10 Oberndörfer/Lehmann, BB 2015, S. 1027 (1029). 11 Braun, VergabeR 2016, S. 179 (181); Schippel, VergabeR 2016, S. 434 (435). 12 Müller, in: Kulartz/Kus/Portz/Prieß, GWB, 2016, Einführung Rn. 36. 13 Zielke, VergabeR 2015, S. 273 (275).