Neu beim DTAD? Jetzt registrieren
Unverbindlich testen
Neu beim DTAD? Jetzt registrieren

Suchen Sie passende Ausschreibungen & Aufträge?

Mit der DTAD Plattform finden Sie alle relevanten Projekte. Fordern Sie einen unverbindlichen Testzugang an und erhalten Sie aktuelle Veröffentlichungen, auf die Sie sich bewerben können.

DATENSCHUTZ IM VERGABEVERFAHREN: WISSENSWERTES & TIPPS

DATENSCHUTZ IM VERGABEVERFAHREN: WISSENSWERTES & TIPPS BEIM DTAD

Daten sind zu einem wichtigen Treiber für Innovation und ein entscheidender Faktor im Rennen um Wettbewerbsvorteile geworden. Gleichzeitig werden die Rufe nach strikteren Regeln und mehr Schutz sensibler Daten laut. Beides spielt in Vergabeverfahren eine entscheidende Rolle – gerade bei der zunehmenden E-Vergabe. Daher ist es wichtig, Datenschutzbestimmungen einzuhalten, um Bußgelder, Schadensersatzansprüche und Ausschlüsse aus den Verfahren zu vermeiden.

 

Datenschutz ist kein Selbstzweck, sondern soll die Vertraulichkeit und Integrität während des gesamten Vergabeprozesses sicherstellen. Das Regelwerk dazu liefert die Datenschutzgrundverordnung (DSGVO).

In diesem Artikel in unserem DTAD Magazin erklären wir Ihnen, welche Rolle der Datenschutz im Vergabeverfahren spielt, mit welchen Herausforderungen Unternehmen im Ausschreibungsverfahren konfrontiert sind und wie Sie effektive Datenschutzmaßnahmen in Ihre Abläufe integrieren.

WAS BEDEUTET DATENSCHUTZ IM VERGABEVERFAHREN?

Datenschutz wird in Europa seit dem 25.05.2018 von der DSGVO geregelt. Kurz gefasst gibt sie unter anderem den rechtlichen Rahmen dafür, wie Unternehmen personenbezogene Daten speichern, nutzen und verarbeiten dürfen. Ziel ist, die Regeln auf europäischer Ebene anzugleichen und somit übergreifend für mehr Datensicherheit zu sorgen.

Grundsätzlich gilt: Betroffene Personen müssen über die Verarbeitung ihrer Daten informiert werden und ihre Zustimmung schriftlich erteilen, damit die Daten verwendet werden dürfen. Sie haben ein Recht darauf, zu erfahren, was mit ihren Daten geschieht, und können sich zu jeder Zeit Auskunft darüber einholen, welche Daten vorliegen und wie sie verarbeitet wurden. Zudem können sie die Löschung der Daten einfordern.

Gerade in Ausschreibungsverfahren hat dies besondere Relevanz, da eine Vielzahl persönlicher Daten und Informationen zu Angebotsdetails und Finanzen im Vergabeprozess von den Bietern an private oder öffentliche Auftraggeber übermittelt werden. Daher ist es von entscheidender Bedeutung, nicht nur den Schutz dieser Daten sicherzustellen, sondern auch die DSGVO-konforme Verarbeitung der Daten. So lassen sich hohe Bußgelder, Schadensersatzansprüche und abgebrochene Ausschreibungsverfahren umgehen. Auch die Geheimhaltung bestimmter Daten muss Beachtung finden.

EXKURS: WAS ZÄHLT LAUT DSGVO ZU DEN PERSONENBEZOGENEN DATEN?

Unter personenbezogene Daten fallen laut Artikel 4 der DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person [...] beziehen“. In anderen Worten: Alle Daten, mit denen ein Bezug zu einer Person hergestellt werden kann.

Folgende Angaben zählen unter anderem zu den personenbezogenen Daten:

  • Vorname und Name
  • Privatadresse
  • Telefonnummer
  • E-Mail-Adresse, auch bei Firmen (z. B. nachname@unternehmen.de)
  • Personalausweisnummer
  • Kontodaten
  • Kfz-Kennzeichen
  • Online-Daten (z. B. IP-Adresse oder Standortdaten)

Darüber hinaus zählen auch physische Daten, wie das Aussehen, Religions- und Vereinszugehörigkeit und auch Arbeitszeiten zu personenbezogenen Daten.

Personenbezogene Daten im Vergabeverfahren

Um ein Angebot einreichen zu können oder am Ende den Zuschlag zu bekommen, müssen Unternehmen in Vergabeverfahren beweisen, warum sie für die jeweilige Ausschreibung geeignet sind. In diesem Zusammenhang sieht die Vergabeverordnung (VgV) unter anderem vor, dass Unternehmen alle Informationen zu ihren für den Auftrag vorgesehenen Fachkräften offenlegen müssen, so dass die Auftraggeber die beste Entscheidungsgrundlage haben.

Diese Referenzen und Nachweise fallen in der Regel unter die personenbezogenen Daten:

  • Lebensläufe und Qualifikationsnachweise von Mitarbeitenden: Um in Ausschreibungsverfahren zu überzeugen, setzen Bieter in der Regel auf die Erfahrungen und Qualifikationen ihrer Mitarbeitenden, z. B. Abschlüsse, Zertifizierungen oder Zulassungen. Die entsprechenden Nachweise liegen demnach oft dem Angebot bei.
  • Daten in Referenzen: In Vergabeverfahren ist es üblich, erfolgreich absolvierte Projekte als Referenzen zu nennen, denn sie erhöhen die Wahrscheinlichkeit, auch für einen ähnlich gelagerten Auftrag in die engere Wahl zu kommen. In diesen Referenzen finden sich unter anderem Kontaktdaten der vormaligen Auftraggeber und ggf. unternehmensbezogene Details, die mit dem Auftrag in Verbindung stehen.
  • Finanzdaten: Um zu zeigen, dass das Unternehmen liquide und finanziell stabil ist, ist es in Vergabeverfahren üblich und oft erforderlich, Bilanzen oder Jahresabschlüsse mitzuliefern.
  • Daten zu Subunternehmern: Nicht immer kann ein Bieter alle Dienstleistungen selbst ausführen und greift auf Subunternehmer zurück. Um die Eignung der Partner für den Auftrag zu belegen, können auch hier Nachweise nötig sein, insbesondere dann, wenn sie spezifische rechtliche oder regulatorische Anforderungen erfüllen müssen.

Je nach Branche, auf die sich der Auftrag bezieht, können weitere personenbezogene Daten in den Angeboten relevant sein, z. B. Gesundheitsdaten bei Ausschreibungen im medizinischen Bereich.

Tipp: Passende Aufträge aus Ihrer Branche finden Sie über unsere DTAD Plattform.

DATENSCHUTZ IM E-VERGABEVERFAHREN: WAS ÄNDERT SICH DURCH DIE DSGVO?

Insbesondere im Bereich der E-Vergabe ergeben sich durch die Einführung der DSGVO weitreichende Auswirkungen und Änderungen. Dieses elektronische Vergabeverfahren kommen vor allem bei öffentlichen Ausschreibungen zum Einsatz und die meisten Prozessschritte laufen digital ab: unter anderem die Angebotsabgabe, das Hochladen von Nachweisen, die Klärung von Rückfragen, die Zuschlagserteilung und der Vertragsabschluss. Bei der E-Vergabe werden viele personenbezogene Daten über die Vergabeplattform übermittelt und die Einhaltung der geltenden Regelungen der DSGVO ist daher besonders kritisch. Art. 6 Abs. 1 lit. b, c und e der DSGVO gibt den datenschutzrechtlichen Rahmen für Vergabeverfahren vor. Unter anderem umfasst sie den Schutz der Daten bei:

  • Einreichung der Angebote durch die Bieter
  • Speicherung der Daten
  • Prüfung und Auswertung der Vergabestelle

Die Rechte der betroffenen Mitarbeitenden und weiteren dritten Personen sollen stärker geschützt werden, so dass nur die für das Verfahren relevanten Daten übermittelt werden und sie über die Verwendung informiert werden. Eine Löschung muss problemlos möglich sein und auf Anfrage durchgeführt werden.

Zudem gelten strenge Regeln für die Datensicherheit: Unternehmen, die personenbezogene Daten im Ausschreibungsverfahren verwenden – auf Bieter- und Auftraggeberseite – müssen sicherstellen, dass diese durch geeignete Maßnahmen vor unbefugtem Zugriff, Verlust oder Diebstahl geschützt sind.

Gut zu wissen: Haben Bieter Zweifel zur Datensicherheit, können sie Informationen dazu im Rahmen der Bieterfrage einholen.

Drohende Strafen bei Datenschutzverstößen

Ob E-Vergabe oder papierbasierte Vergabeverfahren – entspricht die Ausschreibung oder das Angebot nicht den geltenden Regeln, kann dies Buß- oder Schadensgeldzahlungen, den Abbruch des Verfahrens oder den Ausschluss vom selbigen zur Folge haben.

Bei einem Verstoß können bis zu 20 Millionen Euro Bußgeld oder 4 % des Jahresumsatzes anfallen. Darüber hinaus können auch Strafen verhängt werden, die den Verlust der Eignung nach sich ziehen.

Die zunehmend strengeren Regeln fordern ein Umdenken und einen behutsameren Umgang mit sensiblen Daten.

DIE 4 GRÖSSTEN HERAUSFORDERUNGEN BEIM DATENSCHUTZ IM VERGABEVERFAHREN

Im Vergabeverfahren stellt die DSGVO Auftraggeber als auch Bieter vor einige Herausforderungen.

1. Datensicherheit während des Angebotsversands

Wenn Bieter ihre Angebote versenden, tun sie dies meist über digitale Plattformen oder per E-Mail. Dabei besteht grundsätzlich die Gefahr, dass diese sensiblen Daten während der Übertragung abgefischt oder manipuliert werden. Gleichzeitig müssen Auftraggeber sicherstellen, dass sie verschlüsselte Übertragungswege zur Verfügung stellen, die einen sicheren Transfer ermöglichen.

2. Bieter aus Drittländern im Vergabeverfahren

Die DSGVO gilt nur innerhalb Europas, weshalb bei internationalen Vergabeverfahren Bieter aus Drittstaaten nicht an die DSGVO gebunden sind. Dies kann zu erheblichen Datenschutzrisiken führen und einer Herausforderung für die Wettbewerbssituation. Kompliziert wird dies zusätzlich, wenn ein Unternehmen seinen Hauptsitz außerhalb der EU hat.

Hier gab es in der Vergangenheit einzelne Rechtsprechungen der Vergabekammer Baden-Württemberg (Beschluss vom 13.07.2022 – 1VK 21/22) und des Oberlandesgerichtes Karlsruhe (Beschluss vom 7. September 2022 – 1 VK 23/22), die sich mit der DSGVO-Konformität eines Cloud-Anbieters mit US-amerikanischem Mutterkonzern beschäftigten und in diesem Fall kurzgefasst zu dem Schluss kam, dass keine pauschalen Einschätzungen zur Konformität getroffen werden können, sondern die Datenschutzrisiken individuell beurteilt werden müssen.

3. Einhaltung der Informationspflicht

Personen, deren Daten im Rahmen eines Vergabeverfahrens verarbeitet werden, haben Anspruch darauf, über verschiedene Aspekte der Verarbeitung oder Nutzung ihrer Daten informiert zu werden. Dieser Informationspflicht müssen sowohl Bieter als auch Auftraggeber zu jeder Zeit nachkommen können.

4. Datenschutz bei der Zusammenarbeit mit Subunternehmern

Müssen Bieter im Angebotsverfahren auf die (Teil-)Leistungen von Subunternehmern zurückgreifen, dann birgt dies Datenschutzrisiken, die über das eigene Unternehmen hinausgehen. Bieter müssen sicherstellen, dass ihre Subunternehmer entsprechende Maßnahmen in ihre Prozesse implementieren, die der DSGVO entsprechen. Eine sorgfältige Auswahl, Kommunikation und entsprechende Verträge sind hier der Schlüssel.

TIPPS: SO SETZEN SIE DEN DATENSCHUTZ IM AUSSCHREIBUNGSVERFAHREN EFFEKTIV UM

Als Auftraggeber:

  • Prüfen Sie bei jeder Ausschreibung genauestens, dass sie den Datenschutzrichtlinien entspricht.
  • Berufen Sie einen Datenschutzbeauftragten, der die DSGVO-Konformität der Ausschreibung sicherstellt und alle beteiligten Mitarbeitenden ausführlich schult.
  • Stellen Sie sichere, verschlüsselte Übermittlungswege zur Verfügung, damit die Angebote mit möglichst geringem Risiko eingereicht werden können und vor unbefugtem Zugriff geschützt sind. Prüfen Sie dabei die DSGVO-Konformität Ihrer Filesharing-Plattform und dass alle Vorgänge rückverfolgbar sind.
  • Implementieren Sie strenge Sicherheitsschranken wie Passwörter, limitierte Zugriffsrechte, so dass nur autorisiertes Personal auf die sensiblen Ausschreibungsdaten zugreifen können – und weiten Sie dies auf den gesamten Bewertungsprozess aus.
  • Wenden Sie sich im Zweifel an externe Datenschutzexperten, die Sie zu vergabe- und datenschutzrechtlichen Fragen umfassend und fallspezifisch beraten können.

Als Bieter:

  • Klären Sie Mitarbeitende bei Vertragsbeginn über ihre Datenschutzrechte auf und lassen Sie sie eine DSGVO-Vereinbarung unterzeichnen.
  • Achten Sie bei der Angebotsabgabe genauestens auf die DSGVO-Konformität aller mitzuliefernden Dokumente, so dass kein Ausschluss aus dem Verfahren droht.
  • Vergewissern Sie sich, dass die Daten sicher ausgetauscht werden können und setzen Sie auf verschlüsselte Kommunikationskanäle (Ende-zu-Ende-Verschlüsselung).
  • Schulen Sie Ihre Teams, die mit den Ausschreibungen betraut sind und ernennen Sie bei entsprechender Unternehmensgröße einen Datenschutzbeauftragten, der über alle relevanten gesetzlichen Bestimmungen informiert ist und neue Entwicklungen im Blick behält.
  • Richten Sie ein Sammelpostfach für Rückfragen ein und verwenden es, statt einzelne E-Mail-Adressen der Mitarbeitenden oder Subunternehmer zu nennen.
  • Klären Sie Verantwortlichkeiten mit Ihren Subunternehmern, um Missverständnissen und Datenschutzverstößen vorzubeugen.
  • Ziehen Sie externe Datenschutzexperten zu Rate, die Sie zu vergabe- und datenschutzrechtlichen Fragen individuell beraten können.

Tipp: Nutzen Sie die Vergabesprechstunde des DTAD für eine rechtssichere Beratung zu allen Aspekten Ihrer Angebotsabgabe. Kund:innen steht das Angebot kostenfrei zur Verfügung.

FAZIT: AUSSCHREIBUNGEN DATENSCHUTZKONFORM GEWINNEN

Nicht erst seit der Einführung der DSGVO und den letzten Urteilen ist klar: Datenschutz nimmt bei Ausschreibungen eine immer wichtigere Rolle ein, sonst können Bußgeldzahlungen oder rechtliche Ausschlüsse drohen. Durch die immer weiter verbreitete E-Vergabe ergeben sich neue Herausforderungen rund um die Datensicherheit, gleichzeitig entfallen die Risiken, die durch papierbasierte Vergabeprozesse vorherrschten.

Klar ist: Den Datenschutz im gesamten Vergabeverfahren sicherzustellen, ist eine große Herausforderung für alle beteiligten Parteien. Entscheidend ist dabei, die datenschutzrechtlichen Anforderungen für die Angebotsabgabe genau zu beachten, um als Auftraggeber die Ausschreibungen zu veröffentlichen und als Bieter erfolgreich an den Vergabeverfahren teilnehmen zu können.

In diesem Kontext bietet die DTAD Plattform eine wertvolle Lösung: Sie erleichtert die Suche nach Ausschreibungen, die Einhaltung von Fristen und die Organisation des Vergabeprozesses. Sie erhalten Benachrichtigungen zu aktuellen öffentliche Aufträgen und sind Ihren Mitbewerbern stets einen Schritt voraus.

DIE DTAD PLATTFORM

EINFACH ZU NEUEN AUSSCHREIBUNGEN

Erhalten Sie täglich relevante Ausschreibungen mit Prognosen zum Vergabeverhalten und möglichen Bietern für Ihr Unternehmen. Nutzen Sie Vorinformationen, Kontaktdaten und rechtssichere E-Mail-Vorlagen für Ihre effiziente Ansprache.

Mehr erfahren
a group of people smiling men

WEITERE BEITRÄGE

Lisa Kelm: Teamleitung Customer Success

SIND NOCH FRAGEN OFFEN? SPRECHEN SIE UNS AN