News | Newsletter | Neues zum Vergaberecht 01/2022
DSGVO im Vergabeverfahren - praxisrelevante Schnittstellen zwischen DSGVO und Vergaberecht
Bereits seit dem 25.05.2018 gilt die Datenschutzgrundverordnung (DSGVO) unmittelbar in allen EU-Mitgliedstaaten und ist mithin auch bei der Vergabe von öffentlichen Aufträgen zu beachten. Der Öffentliche Auftraggeber muss dabei eine Vielzahl von Schnittpunkten zwischen Vergaberecht und DSGVO im Auge behalten.
Bei Durchführung eines Vergabeverfahrens ist der Anwendungsbereich der DSGVO in der Regel eröffnet, da hier regelmäßig personenbezogene Daten (Art. 4 Nr. 1 DSGVO) verarbeitet (Art. 4 Nr. 2 DSGVO) werden. Personenbezogene Daten sind - im Kern - solche, bei denen eine natürliche Person anhand der Daten bereits identifiziert ist oder identifiziert werden kann.
Solche Daten können im Vergabeverfahren in allen Verfahrensabschnitten eine Rolle spielen. Von gehobener Relevanz sind hierbei die Eignungsprüfung und die Prüfung von Zuschlagskriterien (siehe insb. §§ 46 Abs. 3 Nr. 1, Nr. 2, Nr. 6, 58 Abs. 2 VgV, §§ 123 ff. GWB). Darunter fallen etwa Namen von natürlichen Person, Adressen, Lebensläufe, Fotos, Daten zu Ansprechpartnern des Referenzgebers, Angaben über berufliche Aktivitäten oder zu strafrechtlichen Verurteilungen. Nicht vom Anwendungsbereich der DSGVO umfasst sind ausschließlich unternehmensbezogene Informationen, auch wenn sie zu den Betriebs- und Geschäftsgeheimnissen zählen.
Im Rahmen der DSGVO gilt der Grundsatz, dass jede Verarbeitung personenbezogener Daten verboten ist, es sei denn, es gibt eine gesetzliche Erlaubnis: sog. „Verbot mit Erlaubnisvorbehalt“. Von zentraler Bedeutung im vergaberechtlichen Kontext sind hierbei die Grundsätze der Transparenz und Rechtmäßigkeit (Art. 5 Abs. 1 lit. a) DSGVO).
Werden personenbezogene Daten bei der betroffenen Person erhoben, so hat der Verantwortliche der betroffenen Person zum Zeitpunkt der Datenerhebung die in der DSGVO festgelegten Informationen mitzuteilen. Von Relevanz sind insbesondere die Informationspflichten nach Art. 13 DSGVO, wobei einzelne Bundesländer Vordrucke für diese Informationspflicht zur Verfügung stellen - etwa die Freie Hansestadt Hamburg (Vergabevordruck Nr. 03, DSGVO-Informationen, Anlagen II zur HmbVgRL) und der Freistaat Bayern (Formblatt L 2440, VHL Bayern). Diesen ist zu entnehmen, dass es nicht zwingend erforderlich ist, eine Einwilligung (Art 6 Abs. 1 Satz 1 lit. a) DSGVO) bei den Bietern/Bewerber einzuholen. Die vorgenannten Formblätter führen als Rechtsgrundlage unter anderem die Erfüllung rechtlicher Interessen (Art 6 Abs. 1 Satz 1 lit. c) DSGVO) und die Wahrnehmung einer Aufgabe im öffentlichen Interesse auf (Art 6 Abs. 1 Satz 1 lit. e) DSGVO), was mit Blick auf die rechtliche Verpflichtung nach § 122 GWB durchaus als vertretbar erscheint. Darüber hinaus existieren mittlerweile Hilfestellungen und Formblätter für die Einbeziehung von Auftragsverarbeitern (vgl. Formblatt L 2441, VHL Bayern).
In der Vergabepraxis ist oft die Konstellation anzutreffen, dass sich der Bieter/Bewerber selbst auf keine Rechtsgrundlage stützen kann, die es ihm erlaubt, personenbezogenen Daten (etwa von Referenzgebern) an den öffentlichen Auftraggeber weiterzuleiten. Nach der Rechtsprechung besteht jedoch ein sachliches, im Vergaberecht (national und europarechtlich) allgemein anerkanntes Interesse des öffentlichen Auftraggebers an der Benennung eines Ansprechpartners für Referenzobjekte. Dass sich daraus für die Bieter die Notwendigkeit ergibt, um die Einwilligung in die Weitergabe von Kontaktdaten nachzusuchen, macht die Anforderung nicht unzulässig (OLG München, Beschluss vom 13. März 2017 –Verg 15/16, Rn. 37).
Praxistipp
In Anbetracht der voranschreitenden Digitalisierung wird die Handhabung von personenbezogenen Daten zukünftig einen immer höheren Stellenwert gewinnen. Für die Belehrungspflichten und Einbeziehung von Auftragsverarbeitern halten die Vergabehandbücher mittlerweile empfehlenswerte Vorlagen bereit, an denen sich der Vergabepraktiker orientieren kann bzw. muss.