Datenerhebung und -abforderung in Vergabeverfahren unter Berücksichtigung der DSGVO – Teil 2

Anknüpfend an Teil 1 beschäftigen sich die Autoren auch in diesem Beitrag mit den Anforderungen der DSGVO, die es im Rahmen eines Vergabeverfahrens zu beachten gilt. Zuerst wird herausgearbeitet, dass es für jegliche Datenverarbeitung grundsätzlich der Einwilligung der betroffenen Personen bedarf. Sind die Bewerber bzw. Bieter ausnahmsweise natürliche Personen, kann die Einwilligung im Vergabeverfahren konkludent durch die Einreichung des Angebots/des Teilnahmeantrags erteilt werden. Auch ohne eine solche Einwilligung könne aber eine Datenverarbeitung im Vergabeverfahren bei Vorliegen der in Art. 6 Abs. 1 b), c) und f) DSGVO genannten Erlaubnisgründe rechtmäßig sein. Dabei sei jedoch stets zwischen unternehmensbezogenen Daten und Mitarbeiterdaten zu differenzieren, sowie jeder Einzelfall gesondert zu prüfen. Des Weiteren wird festgestellt, dass der öffentliche Auftraggeber gemäß Art. 4 Nr. 7 DSGVO „Verantwortlicher“ für die Datenverarbeitung und somit zur Einhaltung der Vorgaben der DSGVO eigenverantwortlich verpflichtet ist, Art. 5 Abs. 2 DSGVO. Soweit es sich bei dem öffentlichen Auftraggeber um eine Behörde oder etwa eine Anstalt öffentlichen Rechts handelt, werde die Nichteinhaltung der Vorgaben aufgrund von Art. 83 Abs. 7 DSGVO i.V.m. nationalem Recht aber nicht mit Bußgeldern sanktioniert. Die Rechte der Betroffenen auf Auskunft, Löschung oder Berichtigung blieben davon unberührt. Ferner wird auf die Informationspflichten gegenüber Betroffenen nach Art. 13, 14 DSGVO eingegangen. Im Falle öffentlicher Vergaben sei besonders Art. 14 mit seinen Ausnahmen in Absatz 5 relevant. Danach werde der öffentliche Auftraggeber bei einer Erhebung von Daten bei einem Unternehmen von seiner Informationspflicht befreit, wenn diese einen unverhältnismäßigen Aufwand erfordere und bereits geeignete Schutzmaßnahmen bestünden. Schließlich wird darauf hingewiesen, dass öffentliche Auftraggeber ein schriftliches Verzeichnis über alle vorgenommenen Datenverarbeitungsvorgänge zu führen haben und dieses der Aufsichtsbehörde auf Anfrage zu Verfügung stellen müssen.