Dieser Sommer brachte für den gesamten Bereich der Vergabe öffentlicher Verträge wichtige Änderungen mit sich, und zwar sowohl für Auftraggeber als auch für Bieter. Zum einen lief die Übergangsfrist für die Verwendung elektronischer Kommunikationsmittel im Vergabeverfahren (E-Vergabe) aus, so dass nunmehr die entsprechenden Gesetzesänderungen, die bereits am 1. Januar 2017 in Kraft getreten waren, ausnahmslos für alle Vergabeverfahren gelten. Zum anderen traten auch die neuen Datenschutzregelungen (General Data Protection Regulation („GDPR“)) in Kraft, die auch die Vergabe öffentlicher Verträge stark beeinflussen werden. Dieser Artikel wird die Auswirkungen dieser neuen Regelungen beleuchten und darüber hinaus aufzeigen, was für Auftraggeber und Bieter zu beachten sein wird.
E-Vergabe
Die neuen Regeln für die Vergabe öffentlicher Verträge, die bereits am 1. Januar 2017 in Kraft getreten sind, verlangen, dass die gesamte Kommunikation zwischen dem Auftraggeber und dem Bieter bei Verträgen, deren Gegenstand über dem nationalen Schwellenwert liegt, d.h. bei Verträgen mit einem Wert über NOK 1,3 Mio., im Wege elektronischer Kommunikationsmittel erfolgt.
Aufgrund dessen müssen alle Auftraggeber, die Vergabeverfahren gemäß Teil II und III der norwegischen Vergabeverordnung durchführen, ausschließlich elektronische Mittel in ihrem Vergabeverfahren verwenden. Zunächst galten die neuen Regeln jedoch wegen verschiedener Übergangsfristen – seit 1. April 2017 – nur für zentrale Beschaffungsstellen und – seit 1. Januar 2018 – auch für zentrale Regierungsbehörden (Ministerien). Künftig gilt die neue Regelung hingegen für jeden Auftraggeber bei der Vergabe öffentlicher Verträge, nachdem am 1. Juli 2018 die letzte Übergangsfrist ausgelaufen ist. Infolgedessen muss nunmehr jeder Auftraggeber von dem E-Vergabesystem Gebrauch machen.
Wichtig ist hervorzuheben, dass eine E-Mail nicht die für die elektronische Kommunikation erforderlichen Sicherheitsmaßnahmen gemäß §§ 8-20 und 22-2 der Vergabeverordnung erfüllt. Am 15. Februar 2017 hat das norwegische Wirtschafts- und Fischereiministerium daher hierzu eine Richtlinie über die anzuwendenden Sicherheitsmaßnahmen für die E-Vergabe veröffentlicht.
Bislang war es üblich, dass die Auftraggeber eigene Systemlösungen hatte, über deren Portal die Bieter ihre Angebote einreichten. Das hatte zur Folge, dass die Bieter sich mit mehreren und zudem sehr unterschiedlichen Systemlösungen auseinandersetzen mussten. Bieter, welche die norwegische Sprache nicht beherrschen, sahen sich mit einer weiterer – sprachlichen – Barriere konfrontiert. Die Richtlinie über die anzuwendenden Sicherheitsmaßnahmen empfiehlt daher ein Modell, bei dem der Auftraggeber über ein E-Vergabesystem und die verschiedenen Bieter jeweils über ein eigenes Einreichungssystem verfügen können, die miteinander elektronisch kommunizieren können. Ein Bieter wird somit das Angebot immer über seine eigene Systemlösung einreichen können.
GDPR
Gemäß den neuen Datenschutzregelungen müssen sich sowohl Auftraggeber als auch Bieter während des gesamten Vergabeprozesses bewusst sein, was das Ziel des Verfahrens ist und welche personenbezogenen Daten dafür erforderlich sind. Beispielsweise ließe sich fragen, ob es erforderlich ist, im Lebenslauf das Geburtsdatum anzugeben, oder ob es ausreicht, nur das Geburtsjahr zu nennen.
Verlangt werden für die Datenverarbeitung ein klar definierter Behandlungszweck und eine eindeutig festgelegte Verarbeitungsgrundlage. Es muss unter anderem sichergestellt sein, dass die Daten jederzeit dem Behandlungszweck entsprechend angemessen und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind. Mögliche Grundlagen zur Verarbeitung von personenbezogenen Daten können die Einwilligung der betroffenen Person oder die Wahrung berechtigter Interessen sein. Wichtig ist auch zu berücksichtigen, dass die personenbezogenen Daten des Betroffenen nur so lange gespeichert werden dürfen, wie dies erforderlich ist.
Bei der Vergabe öffentlicher Verträge werden zum Beispiel vom Auftraggeber Daten wie Namen, E-Mailadresse und Telefonnummer des Ansprechpartners angegeben. Diese dienen dem Zweck der Vergabedurchführung, und in aller Regel wird die Wahrung berechtigter Interessen als erforderliche Verarbeitungsgrundlage herangezogen werden können.
Auch die vom Auftraggeber angefragten Referenzen und Lebensläufe werden personenbezogene Daten im Sinne der Datenschutz-Grundverordnung beinhalten. Dabei stellt sich die Frage, in welchem Maße Angaben personenbezogener Daten für die Erfüllung des angegebenen Behandlungszwecks erforderlich sind. Eine Angabe des Familienstandes ist beispielsweise für die Prüfung und Wertung eines Angebotes nicht erforderlich. Es ist deswegen wichtig zu überprüfen, ob die angefragten Informationen wirklich erforderlich sind, um den konkreten Behandlungszweck zu erfüllen.
Der Auftraggeber ist weiterhin dazu verpflichtet, die Daten in einer Form zu speichern, welche die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es erforderlich ist. Es kann daher für den Auftraggeber ratsam sein zu verlangen, dass die mit den Angeboten eingereichten Unterlagen in durchsuchbarer Form geliefert werden, um später die personenbezogenen Daten unmittelbar auffinden zu können.
Auf Seiten des Bieters muss ebenfalls darauf geachtet werden, welche Daten dem Auftraggeber übermittelt werden und ob dies rechtmäßig ist. Dies beinhaltet die Sicherstellung einer angemessenen Verarbeitungsgrundlage. In den meisten Fällen wird auch hier die Wahrung berechtigter Interessen dem Bieter die Möglichkeit erleichtern, personenbezogene Daten seiner Mitarbeiter im Angebot anzugeben.
Die Nichteinhaltung kann mit einem Bußgeld in Höhe von bis zu EUR 20 Mio. oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes geahndet werden.
E-Vergabesystem und Datenschutz
Auch auf das E-Vergabesystem der Auftraggeber werden die neuen Datenschutzregelungen Auswirkungen haben, insbesondere auf die Rolle und den Verantwortungsbereich des Auftraggebers und des Systemlieferanten.
Der Systemlieferant des E-Vergabesystem verarbeitet nämlich die personenbezogenen Daten im Auftrag des Auftraggebers. Vor dem Einsatz des E-Vergabesystems muss daher zwischen dem Auftraggeber und dem Systemlieferanten ein individueller Vertrag zur Auftragsdatenverarbeitung abgeschlossen werden, um diese Verhältnis im Einklang mit den Datenschutzregelungen zu regeln.
Text: Advokatfirmaet Grette AS
Super geschriebener und informativer Artikel :-). In diesen Blog werde ich mich noch richtig einlesen