Gewährleistung von
Datensicherheit und Datenschutz
im eVergabe-Verfahren
Robert Schippel
Fachmedien Recht und Wirtschaft | dfv Mediengruppe | Frankfurt am Main
Gewährleistung von Datensicherheit und Datenschutz im eVergabe-Verfahren
Von der Carl von Ossietzky Universität Oldenburg – Fakultät II – Informatik,
Wirtschafts- und Rechtswissenschaften – zur Erlangung des Grades eines Doktors
der Rechtswissenschaften (Dr. iur.)
genehmigte Dissertation
von Herrn Robert Schippel
geboren am 5. November 1981 in Sonneberg (Thüringen)
Referent: | Prof. Dr. Prof. h.c. Jürgen Taeger |
Koreferent: | Prof. Dr. Dr. Volker Boehme-Neßler |
Tag der Disputation: | 26. Oktober 2020 |
Bibliografische Information der Deutschen Nationalbibliothek
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
ISBN: 978-3-8005-1792-3
© 2021 Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Frankfurt am Main
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.
Druck: WIRmachenDRUCK GmbH, Backnang
Printed in Germany
Vorwort
Die vorliegende Arbeit wurde im Wintersemester 2019/2020 an der Fakultät II – Informatik, Wirtschafts- und Rechtswissenschaften der Carl von Ossietzky Universität Oldenburg eingereicht und im Juli 2020 als Dissertation angenommen.
Mein besonderer Dank gilt meinem Doktorvater, Herrn Prof. Dr. Prof.h.c. Jürgen Taeger, der das Thema angeregt, die Arbeit betreut und durch zahlreiche Hinweise zu ihrem Gelingen beigetragen hat. Herrn Prof. Dr. Dr. Volker Boehme-Neßler danke ich an dieser Stelle für seine Bereitschaft, als Zweitgutachter zur Verfügung zu stehen.
Dank gebührt auch der Prüfungskommission, die sich trotz aller Einschränkungen durch die Corona-Pandemie bereitgefunden hat, die Disputation durchzuführen.
Mein ausdrücklicher Dank gilt den vielen Helfern im Hintergrund, die mir trotz meiner laufenden Berufstätigkeit den Abschluss dieser Dissertation ermöglich haben. Herausgehoben werden soll Frau Ulrike Erlebach, deren Korrekturen und Anregungen in die Arbeit eingeflossen sind.
Zu guter Letzt möchte ich meinen wichtigsten und herzlichsten Dank aussprechen: Dieser gilt meiner geliebten Ehefrau und meiner Familie, die mir den Abschluss dieses Lebenstraums ermöglicht haben, indem sie mir mit ihrem Verständnis und Einsatz den Rücken freigehalten haben.
A. Gegenstand der Untersuchung
„Künftig wird durch die Einführung der E-Vergabe das gesamte Vergabeverfahren digital abgewickelt. Damit verringert sich der Aufwand der Unternehmen bei der Auftragsrecherche und Bewerbung und die Vergabeverfahren werden beschleunigt.“1 Mit dieser positiven Darstellung wurde eine umfassende Reform des Vergaberechts eingeleitet, deren Wechselwirkungen zum gleichfalls aktualisierten Datenschutzrecht in Gestalt der Datenschutz-Grundverordnung (DSGVO) sowie den Vorgaben zum Datensicherheits- und IT-Sicherheitsrecht weitgehend im Dunkeln liegen und daher Gegenstand dieser Dissertation sind.
Vergaberecht umfasst sämtliche Rechtsnormen – sowohl das Gesetz gegen Wettbewerbsbeschränkungen (GWB) als auch die auf Basis dieser gesetzlichen Grundlage erlassenen Rechtsverordnungen –, die die Beschaffungstätigkeit nicht nur der öffentlichen Hand,2 sondern auch der semi-öffentlichen juristischen Personen regeln, die aufgrund Beteiligungen oder Subventionen zur Anwendung des Vergaberechts verpflichtet sind. D.h. im Umkehrschluss, dass sich die öffentliche Auftragsvergabe an eine unbestimmte, größere Zielgruppe wendet, die nicht lokal eingegrenzt werden kann, die aber entsprechend des Diskriminierungsverbots gleich zu behandeln ist.3 Insgesamt wird das Einkaufsvolumen dieser Normadressaten auf ca. 300 Mrd. Euro geschätzt.4
Die 2014 seitens der Europäischen Union, in Gestalt des Rates und der Kommission, erlassenen Richtlinien RL 2014/24/EU, RL 2014/25/EU sowie RL 2014/23/EU beinhalten eine ganze Reihe von neuen Vorgaben: ein neues Verfahren (in Gestalt der Innovationspartnerschaft),5 Auflockerungen in den bestehenden Verfahrensarten,6 aber auch eine Erweiterung der elektronischen Kommunikation bzw. neue elektronische Kommunikationsverfahren.7 Damit stellt diese Reform die umfangreichste Modernisierung seit Bestehen des Vergaberechts dar.8 Die elektronische Kommunikation zwischen den Beteiligten an einem Vergabeverfahren sollte an die modernen Kommunikationsgegebenheiten des 21. Jahrhunderts angepasst werden.9 Die drei Richtlinien regulieren erstmals die gesamte Kommunikation,10 die die Bekanntmachung des Auftrages, die elektronische Bereitstellung der Vergabeunterlagen, die Einreichung der Angebotsunterlagen sowie die abschließende Kommunikation mit Bietern und Teilnehmern rund um den Zuschlag, aber auch die endgültige Bekanntmachung, umfasst.11
Die wissenschaftliche Auseinandersetzung soll sich exemplarisch an den Vorgaben des 4. Teils des GWB sowie der Vergabeverordnung (VgV) orientieren. Diese Vergabeverordnung, welche seit dem 1.Januar 2020 ab dem europäischen Schwellenwert von 214.000 Euro zzgl. USt. für öffentliche Auftraggeber gemäß § 106 Abs. 1 und 2 GWB sowie § 1 VgV Anwendung findet, umfasst die Mehrheit der öffentlichen Auftraggeber, die einen nicht unerheblichen Anteil am jährlichen Beschaffungsvolumen von geschätzt mindestens 300 Mrd. Euro öffentlicher Auftraggeber darstellen.
Nicht unüblich ist es, dass bei öffentlichen Beschaffungsvorgängen personenbezogene Daten Teil der beizubringenden Unterlagen sind. In der gängigen vergaberechtlichen Kommentarliteratur finden sich dahingehend aber kaum Anhaltspunkte oder Hinweise zur Beachtung komplexer datenschutzrechtlicher Probleme. Die Umsetzung der DSGVO im Mai 2018 hat das bis dahin angewendete Datenschutzrecht umgestaltet. Da bis dato kaum gemeinsame Ausführungen zwischen Datenschutz- und Vergaberecht existierten, ist der Forschungsstand an dieser Stelle bislang überschaubar.
Jedoch ergibt sich im gegenwärtigen Schrifttum zur eVergabe eine Unschärfe zu den datensicherheits- und datenschutzrechtlichen Fragestellungen. Kern dieser Auseinandersetzung muss daher auch die Frage nach der Datensicherheit und dem Datenschutz in Zeiten der DSGVO und des IT-Sicherheitsgesetzes bei der eVergabe sein.
Somit sind drei wesentliche Gesichtspunkte zu erörtern:
• Die spätestens seit dem 18. Oktober 2018 uneingeschränkt geltende Pflicht zur elektronischen Kommunikation ist insbesondere in Fällen, in denen personenbezogene Daten von Bietern eines Vergabeverfahrens durch den öffentlichen Auftraggeber (etwa Berufserfahrung, Eignungsnachweise, etc.) abgefordert werden, datenschutzrechtrechtlich besonders relevant.
• Mit der DSGVO, die seit dem 25. Mai 2018 anzuwenden ist, stellt sich die Frage, wie die Verarbeitung personenbezogener Daten in mittels elektronischer Kommunikation geführten Vergabeverfahren datenschutzkonform ausgestaltet werden kann. Zudem ist die Frage zu beantworten, inwieweit Push-Nachrichten oder andere Formen elektronischer Kommunikation zulässig sind, wenn Vergabeunterlagen ergänzt werden oder schon erstellte Unterlagen unter Verwendung personenbezogener Daten überarbeitet wurden.
• Die Masse der am Markt gängigen eVergabe-Lösungen sind digitale Angebote oder Telemedienangebote.