Gewährleistung von Datensicherheit und Datenschutz im eVergabe-Verfahren. Robert Schippel
dem neu eingeführten § 13 Abs. 7 TMG könnten Anbieter von eVergabe-Lösungen verpflichtet sein, diese entsprechend der gesetzlichen Vorgaben und dem Stand der IT-Technik abzusichern. Diese Verpflichtung muss dann aber auch die weiteren Vorgaben aus der DSGVO sowie der VgV berücksichtigen.
Die Bezüge zur Datensicherheit sind durch die Bezüge zum BDSG a.F., das IT-Sicherheitsgesetz und die DSGVO im Rechtsgebiet der Informationstechnologien fest verankert – jedoch sind die Bezüge vergaberechtlich wenig ausgearbeitet. Mit den Vorgaben zur elektronischen Kommunikation und der Gestaltung der eVergabe-Lösungen als Telemedienangebote ergeben sich Überschneidungen zwischen Vergaberecht und Datensicherheit, die das Rechtsgebiet vorher nicht gekannt hat. Ergänzt wird dieses Sicherheitsgefüge durch das Geschäftsgeheimnisgesetz.
Insgesamt umfasst das Thema daher drei von der Forschung und Literatur beleuchtete Themengebiete (Vergaberecht, Datenschutz- und Datensicherheitsrecht sowie das Recht der IT-Sicherheit), die allerdings in ihrem Zusammenwirken bislang kaum im Fokus der Forschung lagen. Insoweit greift diese Arbeit ein bislang wenig betrachtetes Feld auf.
Nach einer erläuternden Einleitung in die Thematik widmet sich der erste Teil der eVergabe, d.h. es wird der Entstehungsweg der vom europäischen Gesetzgeber gewünschten Pflicht zur Nutzung elektronischer Kommunikationswege aufgezeigt, der mit einer notwendigen Analyse der Vorgaben der EU-Richtlinien einhergeht. Dies ist nur in Zusammenhang mit der Darstellung eines typischen, ideal-verlaufenden und erfolgreich endenden Vergabeverfahrens sinnvoll; eine solche wiederum erfasst die vorhergehende Darstellung aller Bezüge zur eVergabe in den drei relevanten EU-Richtlinien. In Wechselwirkung zu den Vorschriften betreffend den Ablauf eines Verfahrens zur Vergabe eines öffentlichen Auftrags kann daher klar evaluiert werden, inwieweit z.B. anhand der Regelungen der §§ 9ff. VgV die Verpflichtung zur Nutzung elektronischer Kommunikationspflichten ausgestaltet wurde.12 Sicher ist auf jeden Fall, dass die eVergabe zu einer weitgehenden Digitalisierung des Beschaffungsprozesses führt.13
Darauffolgend soll dann im zweiten und dritten Teil dieser Arbeit – unter Berücksichtigung aller Vorgaben der eVergabe in seinen wesentlichen Verfahrensschritten aus dem ersten Teil der Arbeit – dargestellt werden, in welchen Verfahrensschritten
• personenbezogene Daten verarbeitet werden,
• ob diese Verarbeitung konform mit geltendem Recht ist,
• Bezüge zum Datensicherheitsrecht relevant sind und
• der Datenschutz bzw. die Datensicherheit nach dem musterhaft behandelten Vergabeverfahren Berücksichtigung finden sollen.
1 Pressemitteilung des Bundeswirtschaftsministeriums vom 19. April 2016. 2 Oberndörfer/Lehmann, BB 2015, S. 1027. 3 Heckmann, K&R 2003, S. 97 (100). 4 Probst/Winters, JuS 2015, S. 121. 5 Allekotte, WPg 2015, S. 1146 (1147); Schaller, LKV 2016, S. 529 (532); Stoye/Thomas, in: von Beust/Stoye/Thomas/Zielke, eVergabe, 2018, S. 31. 6 Schaller, LKV 2016, S. 529 (532). 7 Schippel, VergabeR 2016, S. 434. 8 Stoye, NZBau 2016, S. 457; Zimmermann, E-Vergabe, 2016, S. 1. 9 Zeiss, VPR 2014, S. 53. 10 Oberndörfer/Lehmann, BB 2015, S. 1027 (1029). 11 Braun, VergabeR 2016, S. 179 (181); Schippel, VergabeR 2016, S. 434 (435). 12 Müller, in: Kulartz/Kus/Portz/Prieß, GWB, 2016, Einführung Rn. 36. 13 Zielke, VergabeR 2015, S. 273 (275).
B. E-Vergabe und ihre historische Entwicklung
Zum Einstieg in das Thema sind zwei vom vergabe- und informationstechnologierechtlichen Standpunkt wichtige Einstiegspunkte zu erörtern: An erster Stelle ist der Begriff der eVergabe teleologisch zu erschließen sowie zu definieren und zweitens die historische Entwicklung bis hin zur heutigen eVergabe darzustellen.
I. Begriff der E-Vergabe
1. Definition der E-Vergabe
Eine einheitliche Definition oder eine Legaldefinition der eVergabe gibt es nicht. Unter dem Begriff der eVergabe versteht die Bundesregierung zunächst die Digitalisierung der Beschaffungsprozesse für Aufträge der öffentlichen Hand; mit anderen Worten handelt es sich bei der eVergabe um die Vergabe öffentlicher Aufträge mit elektronischen Mitteln.14 eVergabe soll dementsprechend die elektronische Durchführung des Verfahrens der Ausschreibung öffentlicher Aufträge von der Bekanntmachung über die Einreichung der Angebotsunterlagen bis hin zum Zuschlag und der abschließenden Bekanntmachung nach erfolgtem Zuschlag umfassen.15
Diese Definition setzt aber eine elektronische Kommunikation voraus.16 Elektronische Kommunikationsmittel sind in diesem Zusammenhang entsprechend der Legaldefinition des Art. 2 Abs. 1 Nr. 19 RL 2014/24/EU elektronische Geräte für die Verarbeitung sowie digitale Kompression und Speicherung von Daten, welche mittels Kabel oder Funk sowie optischen Verfahren oder mit anderen elektromagnetischen Verfahren übertragen, weitergeleitet und empfangen werden.17
Andererseits gibt es vereinzelte Stimmen, die gegenüber der Kommunikationsverpflichtung auch weitergehende Vorgaben unter der eVergabe verstehen. Dahingehend ist eine Abgrenzung, insbesondere vor dem Hintergrund der englischsprachigen Fassung der Richtlinientexte sinnvoll. Unter anderem werden in den Richtlinien tools and devices definiert. Dabei handelt es sich im Regelfall um Software (und seltener Hardware), die zur Unterstützung der elektronischen Kommunikationsmittel eingesetzt werden soll.18 Des Weiteren sollte zwischen der eVergabe im engeren und weiteren Sinne differenziert werden.
2. Abgrenzung der E-Vergabe im engeren Sinne von der E-Vergabe im weiteren Sinne
Entgegen des Verständnisses der eVergabe als reine elektronische Kommunikationsverpflichtung wird teilweise vertreten, dass die eVergabe sehr viel weitgehender zu verstehen sei. Daher wird der Begriff unterschiedlich weit ausgelegt.
a) eVergabe im engeren Sinne
Nicht nur der nationale Gesetzgeber versteht unter dem Begriff der eVergabe die Verpflichtung nur Nutzung elektronischer Kommunikationsmittel; auch der europäische Gesetzgeber hatte diesen Umfang bei der Gestaltung der Richtlinien vor Augen.19 Ausdruck der elektronischen Kommunikationsvorgaben sind die gesetzlichen Vorschriften des § 97 Abs. 5 GWB i.V.m. §§ 9, 10, 11, 41, 53 VgV, in welchen vorrangig die Grundsätze der elektronischen Kommunikation niedergelegt worden sind.20
Der Grundtenor dieser Normen ist die zwingende Anwendung einer elektronischen Kommunikation während des gesamten Ausschreibungsverfahrens. Dies umfasst sowohl die Erstellung und Bereitstellung der Bekanntmachung über den zu vergebenden Auftrag als auch die Bereitstellung bzw. Ausbreitung der Vergabeunterlagen sowie die elektronische Erfüllung der Vorabinformationspflichten und des Zuschlags und abschließend die endgültige Bekanntmachung der Auftragsvergabe.21 Dabei sind die einschlägigen Prozess-Schritte unter dem Gesichtspunkt der verpflichtenden elektronischen Kommunikation durchzuführen:
• das Erstellen und Verfassen der Bekanntmachung sowie die Übermittlung der Bekanntmachung an das EU-Amtsblatt,
• das