der auftrag.at-Blog

zurück zur Übersicht

Datenschutz im Vergabeverfahren

2 Minuten Lesezeit

Im Rahmen der Abwicklung eines Vergabeverfahrens werden zahlreiche personenbezogene Daten verarbeitet. Die Datenschutzgrundverordnung (DSGVO) nimmt in diesem Zusammenhang nicht nur Auftraggeber und vergebende Stellen, sondern auch Bieter in die Pflicht. Als „Verantwortliche“ im Sinne der DSGVO dürfen auch Bieter personenbezogene Daten nur bei Vorliegen bestimmter Voraussetzungen verarbeiten. Bei einer Datenschutzverletzung drohen hohe Strafen.

Personenbezogene Daten im Vergabeverfahren

Nach der DSGVO sind sogenannte „personenbezogene“ Daten geschützt. Das sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Diese Daten dürfen gemäß der DSGVO nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Für die Verarbeitung sogenannter „besonderer Kategorien personenbezogener Daten“ gelten noch strengere Voraussetzungen. Zu den besonderen Kategorien personenbezogener Daten zählen u.a. Daten zur rassischen und ethnischen Herkunft, politische Ansichten, Gesundheitsdaten und Daten zur sexuellen Orientierung.

Vom Anwendungsbereich der DSGVO sind die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten – z.B. im Rahmen der elektronischen Durchführung von Vergabeverfahren – sowie jede Verarbeitung von personenbezogenen Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, umfasst. Ein Dateisystem ist jede strukturierte Sammlung von Daten, egal ob analog oder elektronisch. Die Verarbeitung umfasst alle Aktionen vom Erheben über das Speichern bis zum Löschen der Daten, also im Zweifel jeden Umgang mit Daten.

Personenbezogene Daten sind zum Beispiel Name, Sozialversicherungsnummer, Kontaktdaten, Strafregisterauszüge, elektronische Signatur, Lebenslauf, Sprachkenntnisse, Ausbildungsnachweise, Referenznachweise, Alter, Behinderung oder Fotos von leitenden Angestellten, Arbeitnehmern oder Geschäftsführern. Werden solche Daten beispielsweise zum Nachweis der Eignung (z.B. durch Übermittlung der Lebensläufe des Schlüsselpersonals) oder für die Bewertung eines Zuschlagskriteriums (z.B. durch Angabe von Name und Geburtsdatum älterer Arbeitnehmer im Unternehmen) Auftraggebern übermittelt, müssen die datenschutzrechtlichen Bestimmungen eingehalten werden.

Worauf muss ich als Bieter achten?

Bieter sind als Unternehmer regelmäßig auch Verantwortliche im Sinne der DSGVO, weil sie über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten ihrer Arbeitnehmer, Geschäftsführer, Subunternehmer etc. entscheiden. Sie müssen daher sicherstellen, dass die Verarbeitung dieser personenbezogenen Daten DSGVO-konform erfolgt. In diesem Zusammenhang müssen Bieter insbesondere prüfen, ob eine entsprechende Rechtsgrundlage für die Verarbeitung personenbezogener Daten, also einer der in der DSGVO aufgezählten Erlaubnistatbestände, vorliegt: Wird durch die Verarbeitung eine rechtliche Verpflichtung erfüllt? Ist die Verarbeitung zur Wahrung der eigenen berechtigten Interessen oder der Interessen eines Dritten erforderlich? Hat die Person in die Verarbeitung ihrer Daten eingewilligt? Ist die Verarbeitung einer besonderen Kategorie personenbezogener Daten aufgrund eines erheblichen öffentlichen Interesses erforderlich? Die Datenverarbeitung darf grundsätzlich nur zu dem in der Rechtsgrundlage festgelegten Zweck erfolgen, der vor Beginn der Verarbeitung festzulegen und zu dokumentieren ist.

Folgen eines Verstoßes gegen die DSGVO

Bei Verstoß gegen die datenschutzrechtlichen Bestimmungen drohen erhebliche Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweit erzielten Jahresumsatzes. Darüber hinaus könnten betroffene Unternehmer aufgrund des Vorliegens einer schweren beruflichen Verfehlung gemäß § 78 Abs 1 Z 5 BVergG 2018 vom Vergabeverfahren ausgeschlossen werden.

Geprüft von FSM Rechtsanwaltskanzlei