von Thomas Ax
Die Vorgaben betreffend Datenschutz und Datensicherheit sind schon in der Leistungsbeschreibung eindeutig und erschöpfend niederzulegen bzw müssen in Rahmenbedingungen einer funktionalen Leistungsbeschreibung festgelegt werden. Öffentliche Auftraggeber sind im Rahmen ihrer Gesetzesbindung verpflichtet, Datenschutzrecht, insbesondere die Datenschutz-Grundverordnung zu beachten. Mit Leistungen, die diesen Anforderungen in ihren Ausprägungen für die jeweilige öffentliche Stelle nicht voll entsprechen, kann diese letztlich „nichts anfangen“.
Das bedeutet: Werden im Zusammenhang mit der jeweiligen Leistung personenbezogene Daten (z. B. Bürgerdaten) verarbeitet, muss der Auftraggeber als datenschutzrechtlich Verantwortlicher nach Art. 5 Abs. 2 DSGVO schon durch die Beschreibung der Leistung sicherstellen, dass die jeweilige Verarbeitung rechtskonform erfolgt, das heißt sämtliche zwingenden Vorgaben der Datenschutz-Grundverordnung erfüllt. Insbesondere muss die Verarbeitung über einen der Erlaubnistatbestände des Art. 6 DSGVO legitimiert, also rechtmäßig im Sinne des Art. 5 Abs. 1 Buchst. a DSGVO sein; auch müssen die betroffenen Personen in einer Datenschutzerklärung im Sinne des Art. 13 DSGVO über die Verarbeitung informiert werden.15 Zudem ist bei der Gestaltung der Leistungsbeschreibung ein besonderer Fokus auf die Grundsätze der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) und die Sicherheit der Verarbeitung (Art. 32 in Verbindung mit Art. 5 Abs. 1 Buchst. f DSGVO) zu legen: Die Inhalte des Leistungsgegenstandes sind so zu gestalten, dass personenbezogene Daten nur verarbeitet werden, soweit dies für den jeweiligen Verarbeitungszweck erforderlich ist und entsprechende technische Anforderungen die jeweils notwendige Datensicherheit gewährleisten. Die konkreten Anforderungen hängen dabei von der Art der personenbezogenen Daten und dem jeweiligen Verarbeitungszweck ab. Daneben kann der Auftraggeber individuell noch weitere (datenschutzrechtliche) Anforderungen an die Leistung festlegen.
Zugleich müssen öffentliche Auftraggeber darauf achten, dass die datenschutzrechtlichen Anforderungen an den Beschaffungsgegenstand den Markt für potentielle Bieter vor dem Hintergrund des vergaberechtlichen Wettbewerbsprinzips nicht unverhältnismäßig verengen. So müssen die vom Auftraggeber festgelegten datenschutzrechtlichen Vorgaben durch den Leistungsgegenstand sachlich gerechtfertigt sein; sie dürfen nicht diskriminierend sein und müssen auf nachvollziehbaren objektiven und auftragsbezogenen Gründen basieren. Diese Aspekte sind ebenso wie eine eventuelle Beschränkung des Wettbewerbs aufgrund von (datenschutzrechtlichen) Leistungsspezifitäten (z. B. Erfordernis einer bestimmten Verschlüsselungstechnik) auf der Grundlage von § 31 Abs. 6 beziehungsweise § 14 Abs. 3 Nr. 2 VgV im Vergabevermerk nach § 8 VgV nachvollziehbar zu dokumentieren.
Gegenstand der Risikoanalyse ist bei der Beschaffung von datenschutzrelevanten Leistungen die Frage, welche Risiken und (materiellen oder immateriellen) Folgen für die Rechte von betroffenen Personen bei Risikoeintritt aus der leistungsgegenständlichen Verarbeitung und gegebenenfalls dem Transfer von Daten resultieren können (auch: Datenschutz-Sicherheitskonzept). Je nach der zu bewertenden Verarbeitung kann eine allgemeine Risikoanalyse ausreichen oder bei Hochrisikoverarbeitungen eine Datenschutz-Folgenabschätzung im Sinne des Art. 35 DSGVO erforderlich sein. Dabei gilt: Je sensibler die Daten, desto höher das Risiko für die betroffenen Personen und umso höher die Anforderungen an den Schutz dieser Daten. Dies entspricht auch dem risikobasierten Ansatz der Datenschutz-Grundverordnung. Als weitere Kriterien sind unter anderem die Kategorien personenbezogener Daten, die Anzahl der von der Verarbeitung betroffenen Personen, die Datenmenge, die Häufigkeit von Transfers sowie die Eintrittswahrscheinlichkeit eines Risikos und der potentielle Schaden zu berücksichtigen. In diesem Zusammenhang spielen insbesondere der Ort der Datenverarbeitung und die Bewertung technischer und organisatorischer Schutzmaßnahmen eine Rolle. Zu prüfen ist, ob der Ort der Datenverarbeitung Auswirkungen auf die Eignung und Nutzbarkeit der Leistung, auf den Datenschutz und die IT-Sicherheit sowie auf die Kosten hat, und ob ein gegebenenfalls erforderlicher Datentransfer nach Art. 44 ff. DSGVO zulässig ist. Für die Bewertung technischer Schutzmaßnahmen sind die Möglichkeiten von Verschlüsselung, Anonymisierung und Pseudonymisierung sowie das Vorhandensein anerkannter Zertifikate maßgeblich. Nach Art. 24 Abs. 1 Satz 1, Art. 32 Abs. 1 DSGVO ist jeder Verantwortliche verpflichtet, mittels der wirksamen Umsetzung von technischen und organisatorischen Maßnahmen ein dem Verarbeitungsrisiko angemessenes Schutzniveau zu gewährleisten.
Im Rahmen der Leistungsbeschreibung sollte auch der Leistungsort bestimmt werden. Dieser ist als Teil des Lebenszyklus beziehungsweise der Produktionskette eines Auftrags im Sinne des § 31 Abs. 3 Satz 2 VgV für datenverarbeitende Projekte mit Blick auf die Vorgaben der Datenschutz-Grundverordnung und die Rechtsprechung des Europäischen Gerichtshofs, insbesondere in der Rechtssache „Schrems II“, von besonderer Relevanz.
Weiterer Bestandteil der Leistungsbeschreibung sind Festlegungen des Auftraggebers zu erwarteter Verfügbarkeit und Dienstgüte. Bezogen auf datenschutzrelevante Leistungen umfasst die Verfügbarkeit nicht nur deren leistungsbezogene Definition, das heißt die Bestimmung, welche Daten in welchem Format mit welchen Ressourcen verarbeitet werden.
Schließlich können schon in der Leistungsbeschreibung (oder in den Vertragsbestimmungen) Regelungen zum Vertragsende getroffen werden. Diese können insbesondere Vertraulichkeitsabreden, die Bereitstellung bestimmter Informationen durch die Vertragsparteien, Löschpflichten sowie die Verpflichtung des Auftragnehmers zur Unterstützung bei der Migration an den Auftraggeber selbst oder einen Folgeauftragnehmer umfassen. Die konkrete Ausgestaltung ist abhängig vom jeweiligen Einzelfall.
Einer der Kernpunkte der Beschreibung datenschutzrelevanter Leistungen sind jedoch die Anforderungen des öffentlichen Auftraggebers an Datenschutz und Datensicherheit. Öffentliche Auftraggeber sind als Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO auch verpflichtet, die Verpflichtungen nach Art. 24 Abs. 1 und 2 sowie Art. 32 Abs. 1 und 2 DSGVO zu erfüllen.
Im Rahmen der Leistungsbeschreibung sollte der Auftraggeber daher Ausführungen zu den für ein ausreichendes Datenschutzniveau erforderlichen technischen und organisatorischen Maßnahmen machen. Wichtige Anhaltspunkte hierfür können sich unter anderem aus den Mustern der EVB-IT, den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) als Bestandteil des IT-Grundschutzes sowie aus den Richtlinien und Leitfäden des Landesamts für Sicherheit in der Informationstechnik ergeben.
Zur Sicherstellung der Gewährleistung dieser Anforderungen kann der Auftraggeber in den Grenzen des § 31 Abs. 6 VgV unter Einbeziehung vergleichbarer Standards von den Bietern auch den Nachweis bestimmter Datenschutzaudits und/oder die Vorlage bestimmter Zertifizierungen für die ausgeschriebenen IT-Produkte oder Dienstleistungen verlangen. Beispielhaft sind hier Zertifizierungen nach BSI IT-Grundschutz, die Zertifizierung von Informationssicherheitsmanagementsystemen nach ISO 27001 sowie datenschutzspezifische Zertifizierungsverfahren, Datenschutzsiegel und Datenschutzprüfzeichen nach Art. 42 DSGVO zu nennen. Eine Zertifizierung mindert allerdings nicht die Verantwortung zur Einhaltung der Datenschutz-Grundverordnung. Im Übrigen ist zu beachten, dass manche Zertifizierungen oder Audits auch dann verliehen werden können, wenn das mittels Zertifizierung oder Audit nachzuweisende Datenschutzniveau nicht vollständig erreicht wird. Der öffentliche Auftraggeber muss sich daher vor Festlegung eines bestimmten Zertifizierungs- oder Auditerfordernisses vergewissern, ob dieses tatsächlich zum Nachweis des gewünschten Datenschutzniveaus sinnvoll und tauglich ist.
Betreiber Kritischer Infrastrukturen wie Strom- und Wasserversorgung, Finanzen oder Ernährung sind zum Schutz der Sicherheit und Verfügbarkeit ihrer IT-Systeme zudem auf die sog. KRITIS-Regulierung (Sicherheit Kritischer Infrastrukturen) mit unter anderem dem IT-Sicherheitsgesetz 2.0 verpflichtet.
Besondere Anforderungen an Datenschutz und Datensicherheit gelten dann, wenn im Rahmen der zu beauftragenden Leistung personenbezogene Daten verarbeitet werden. In diesem Fall ist der Auftraggeber als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO und der Bieter als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO einzuordnen, und die Parteien müssen deshalb gemäß Art. 28 Abs. 3 DSGVO in einem Vertrag oder einem anderen Rechtsinstrument die Verteilung der wesentlichen datenschutzrechtlichen Verpflichtungen regeln.
Teil der vom Auftraggeber im Vergabeverfahren zur Verfügung zu stellenden Vertragsunterlagen sind neben der Leistungsbeschreibung die Vertragsbedingungen, § 29 Abs. 1 Nr. 3 VgV. Auch diese müssen datenschutzkonform festgelegt werden.
Datenschutz kann im Vergabeverfahren allerdings nicht nur auf der Ebene der Vertragsunterlagen, sondern auch im Zusammenhang mit den Bewerbungsbedingungen im Sinne des § 29 Abs. 1 Nr. 2 VgV als Kriterium berücksichtigt werden. Dies umfasst insbesondere die Eignungs- und Zuschlagskriterien.
Die Pflichten der Parteien setzen sich nach Zuschlagserteilung entsprechend fort: So ist derAuftraggeber in der Ausführungsphase zur Kontrolle der Ordnungsmäßigkeit der Leistungserbringung verpflichtet; insbesondere hat er gemäß Art. 5 Abs. 2 DSGVO als datenschutzrechtlich Verantwortlicher für die Einhaltung der Anforderungen der Datenschutz-Grundverordnung zu sorgen.
Der bezuschlagte Bieter muss seinerseits dafür Sorge tragen, dass er seine Leistung entsprechend den abgegebenen Garantien umsetzt und durchführt.
Für den Umgang mit nach Zuschlagserteilung veränderten Rahmenbedingungen und Änderungsverlangen müssen das geltende Vertragsrecht und insbesondere die Regelungen über die Zulässigkeit von Vertragsänderungen nach § 132 GWB beachtet werden. Entsprechende Vereinbarungen können auch in den Vertragsbedingungen getroffen werden; in den EVB-IT sind diese zum Teil bereits in den jeweiligen AGB enthalten.
Fragen?
Gerne!