R&W Abo Buch Datenbank Veranstaltungen Betriebs-Berater
 
 
 
Gewährleistung von Datensicherheit und Datenschutz im eVergabe-Verfahren (2021), S. VII 
Inhalt 
Robert Schippel 

VII Inhalt

  1. Vorwort
  2. A. Gegenstand der Untersuchung
  3. B. E-Vergabe und ihre historische Entwicklung
    1. I. Begriff der E-Vergabe
      1. 1. Definition der E-Vergabe
      2. 2. Abgrenzung der E-Vergabe im engeren Sinne von der E-Vergabe im weiteren Sinne
        1. a) eVergabe im engeren Sinne
        2. b) eVergabe im weiteren Sinne
        3. c) Pflicht zur eVergabe
    2. II. Historische Entwicklung der E-Vergabe
    3. III. Weiterentwicklung der E-Vergabe durch die EU-Richtlinien aus 2014
      1. 1. Leitgedanken der E-Vergabe in Hinblick auf elektonische Kommunikationsmittel
      2. 2. Vorgaben aus dem Richtlinientext
        1. a) Inhalt des Art. 22 RL 2014/24/EU
          1. aa) Ausnahme von der verpflichtenden elektronischen Kommunikation
          2. bb) Nutzung von Alternativen zu spezifischen elektronischen Einrichtungen, Instrumenten oder Vorrichtungen
          3. cc) Ausführungen bzgl. technischer Spezifikationen
          4. dd) Dokumentationspflichten
          5. ee) Ausführungen zu Datensicherheit und -schutz
        2. b) Anhang IV zur RL 2014/24/EU
      3. 3. Vorgaben aus Art. 35 und Art. 36 RL 2014/24/EU
        1. a) Elektronische Auktionen – Art. 35 RL 2014/24/EU
        2. b) Elektronischer Katalog – Art. 36 RL 2014/24/EU
      4. 4. Vorgaben aus den RL 2014/23/EU bzw. RL 2014/25/EU
        1. a) Konzessionsrichtlinie – RL 2014/23/EU
        2. b) Sektorenrichtlinie – RL 2014/25/EU
      5. 5. Nationale Umsetzung der EU-Richtlinien aus 2014
        1. a) Anpassungen des GWB
        2. b) Vergabeverordnungen
          1. aa) Einführung
          2. bb) Ausgestaltung in der VgV
            1. (1) Grundsätze der elektronischen Kommunikation nach § 9 VgV
            2. (2) Anforderungen an die verwendeten elektronischen Mittel nach § 10 VgV
            3. (3) Anforderungen an den Einsatz elektronischer Mittel im Vergabeverfahren nach § 11 VgV
            4. (4) Einsatz alternativer elektronischer Mittel bei der Kommunikation nach § 12 VgV
        3. c) Ausnahme von der verpflichtenden elektronischen Kommunikation
        4. d) Umsetzung außerhalb des europäischen Anwendungsbereichs
      6. 6. Weitere elektronische Kommunikationsverfahren
        1. a) Dynamische Beschaffungssysteme
        2. b) Elektronische Auktionen
        3. c) Elektronische Kataloge
  4. C. E-Vergabe-Verfahren in der nationalen Umsetzung
    1. I. Darstellung des Verfahrensgangs
      1. 1. Vorbereitung des Vergabeverfahrens sowie Erstellung der Vergabeunterlagen
      2. 2. Bekanntmachung eines zu vergebenden Auftrags
        1. a) Allgemeines
        2. b) Angabe eines Links in der Bekanntmachung
      3. 3. Bereitstellung der Vergabeunterlagen
        1. a) Vollständige Bereitstellung
        2. b) Unentgeltliche Bereitstellung
        3. c) Uneingeschränkte und direkte Bereitstellung
        4. d) Weitere notwendige Maßnahmen
      4. 4. Kommunikation in der Angebotsphase
      5. 5. Erstellung der Angebote
      6. 6. Abgabe der Angebote
        1. a) Aktualität der eVergabe-Lösung
        2. b) Verspätet eingereichte Angebote
        3. c) Zwischenergebnis
      7. 7. Angebotsöffnung
      8. 8. Wertung der Angebote und Angebotsöffnung
        1. a) 1. Stufe: formale und inhaltliche Prüfung
        2. b) 2. Stufe: Eignungsprüfung
          1. aa) Eignungsprüfung
          2. bb) Einheitliche Europäische Eigenerklärung
        3. c) 3. Stufe: Preisprüfung
        4. d) 4. Stufe: Ermittlung des wirtschaftlichen Angebots
      9. 9. Informations- und Wartepflicht nach § 134 GWB i.V.m. § 62 VgV
      10. 10. Zuschlag
      11. 11. Bekanntmachung vergebener Aufträge
      12. 12. Zusammenfassung
    2. II. Bedeutung von Datensicherheit und Datenschutz für die E-Vergabe
      1. 1. Die Bedeutung des Datenschutzes bei der E-Vergabe
      2. 2. Die Bedeutung der Datensicherheit bei der E-Vergabe
      3. 3. Formen elektronischer Kommunikationsmittel
  5. D. Einführung in den Datenschutz
    1. I. Entwicklung des Datenschutzrechts
      1. 1. Nationale Entwicklung
      2. 2. Europäische Entwicklung
    2. II. Schutz personenbezogener Daten in einem E-Vergabe-Verfahren
      1. 1. Vorrang der DSGVO
      2. 2. Vorliegen personenbezogener Daten
        1. a) Vorliegen der Tatbestandsvoraussetzungen personenbezogener Daten
          1. aa) Betroffener
          2. bb) Bestimmbarkeit
          3. cc) Einordnung persönlicher und sachlicher Angaben
        2. b) Einschlägige Fälle personenbezogener Daten im Rahmen eines Vergabeverfahrens
          1. aa) Persönliche und sachliche Angaben
          2. bb) Persönliche und sachliche Angaben entsprechend der Einheitlichen Europäischen Eigenerklärung
        3. c) Dynamische IP-Adressen als personenbezogene Daten
      3. 3. Begriff der Verarbeitung
      4. 4. Abgrenzung personenbezogene Daten und besondere Arten personenbezogener Daten
      5. 5. Grundsätze der Verarbeitung personenbezogener Daten nach Art. 5 DSGVO
        1. a) Rechtsmäßigkeit der Verarbeitung
        2. b) Verarbeitung nach Treu und Glauben
        3. c) Transparenz
        4. d) Zweckbindung
        5. e) Datenminimierung
        6. f) Richtigkeit der Datenverarbeitung
        7. g) Speicherbegrenzung
        8. h) Integrität und Vertraulichkeit
        9. i) Zwischenergebnis
          1. aa) Zusammenfassung der Darstellung zu den Grundsätzen der Verarbeitung personenbezogener Daten
          2. bb) Subsumtion unter die eVergabe bzw. unter ein Vergabeverfahren
      6. 6. Erlaubnistatbestände und Verarbeitungssituationen
  6. E. Datenschutz in einem E-Vergabe-Verfahren
    1. I. Verarbeitung von Kontaktdaten durch Arbeitgeber
      1. 1. Beschäftigtendatenschutz nach Art. 88 DSGVO
      2. 2. Datenschutz in Bezug auf Kontaktdaten nach § 26 Abs. 1 S. 1 BDSG
      3. 3. Zwischenergebnis
    2. II. Datenverarbeitung zum Zweck der Registrierung auf der E-Vergabe-Plattform
      1. 1. Registrierung auf der eVergabeplattform und diesbezügliche Verarbeitung von Mitarbeiterdaten gemäß § 26 Abs. 1 BDSG durch den Arbeitgeber
      2. 2. Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 UAbs. 1 lit. c) DSGVO
      3. 3. Erforderliche Verarbeitung zur Erfüllung öffentlicher Aufgaben nach Art. 6 Abs. 1 UAbs. 1 lit. e) DSGVO
    3. III. Push-Nachrichten
      1. 1. Aussagen der VgV zur Kommunikation bzgl. Updates in Vergabeverfahren und Registrierungen
      2. 2. Push-Nachrichten als Kommunikationsmittel
        1. a) Einführung in die Rechtsprobleme zu Push-Nachrichten
        2. b) Empfehlung einer Opt-in-Lösung zu Push-Nachrichten
      3. 3. Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a) DSGVO für Push-Nachrichten
        1. a) Legaldefinition
        2. b) Erwägungsgründe zur Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a) DSGVO
        3. c) Die freiwillige, informierte Einwilligung nach Art. 7 DSGVO
      4. 4. Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 UAbs. 1 lit. c) DSGVO
      5. 5. Erforderliche Verarbeitung zur Erfüllung öffentlicher Aufgaben nach Art. 6 Abs. 1 UAbs. 1 lit. e) DSGVO
      6. 6. Zwischenergebnis
    4. IV. Beschäftigtendatenschutz in Bezug auf die Verarbeitung von Nachweisen
      1. 1. Erlaubnis nach § 26 Abs. 1 BDSG zur Durchführung des Beschäftigungsverhältnisses
      2. 2. Zwischenergebnis
    5. V. Zulässigkeit der Verarbeitung personenbezogener Daten bei der Eignungsprüfung
      1. 1. Rechtsmäßigkeit der Verarbeitung zur Erfüllung eines Vertrags gemäß Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO
        1. a) Rückgriff auf ErwG. 44
        2. b) Rechtliche Ausgestaltung des Tatbestands
          1. aa) Variante 1 – Datenverarbeitung zur Vertragserfüllung
          2. bb) Variante 2 – Durchführung vorvertraglicher Maßnahmen
      2. 2. Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 UAbs. 1 lit. c) DSGVO
      3. 3. Erforderliche Verarbeitung zur Erfüllung öffentlicher Aufgaben nach Art. 6 Abs. 1 UAbs. 1 lit. e) DSGVO
      4. 4. Zwischenergebnis und Ausblick auf die Leistungserfüllungsphase
    6. VI. Einschlägige Erlaubnistatbestände für die Verarbeitung personenbezogener Daten bei der E-Vergabe
  7. F. Datenschutzrechtliche Pflichten des Verantwortlichen und Rechte der Betroffenen
    1. I. Allgemeine Vorgaben
      1. 1. Einhaltung der Informationspflichten der Art. 13, 14 DSGVO
        1. a) Informationspflichten gemäß Art. 13 Abs. 1 DSGVO
        2. b) Informationspflichten gemäß Art. 13 Abs. 2 DSGVO
        3. c) Informationspflichten gemäß Art. 13 Abs. 3 DSGVO
        4. d) Informationspflichten gemäß Art. 14 Abs. 1 DSGVO
        5. e) Informationspflichten gemäß Art. 14 Abs. 2 DSGVO
        6. f) Informationspflichten gemäß Art. 14 Abs. 3 und 4 DSGVO
        7. g) Zwischenergebnis
      2. 2. Betroffenenrechte nach der DSGVO
        1. a) Recht auf Widerruf nach Art. 7 Abs. 3 DSGVO
        2. b) Auskunftsrecht nach Art. 15 DSGVO
        3. c) Recht auf Berichtigung entsprechend Art. 16 DSGVO
        4. d) Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO
        5. e) Recht auf Datenübertragbarkeit entsprechend Art. 20 DSGVO
        6. f) Widerspruchsrecht nach Art. 21 DSGVO
        7. g) Recht auf Unbetroffenheit nach Art. 22 DSGVO von automatisierten Verarbeitungen
        8. h) Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 DSGVO
        9. i) Zwischenergebnis
      3. 3. Recht auf Löschung nach Art. 17 DSGVO
        1. a) Rückgriff auf die ErwG. 65 und 66
        2. b) Inhalt des Art. 17 DSGVO
        3. c) Unverzügliche Löschung als Rechtsfolge
      4. 4. Privacy by design und Privacy by default nach Art. 25 DSGVO
        1. a) Rückgriff auf ErwG. 78
        2. b) Datenschutz durch Technik
          1. aa) „technische und organisatorische Maßnahmen“ nach Art. 25 Abs. 1 DSGO
          2. bb) Ausrichtung des Art. 25 Abs. 1 DSGVO
          3. cc) Abwägungsvoraussetzungen
            1. (1) „Eintrittswahrscheinlichkeit“ und die „Schwere des Risikos“
            2. (2) Stand der Technik
            3. (3) Implementierungskosten
          4. dd) Zeitpunkt der Verpflichtung
        3. c) Datenschutzfreundliche Voreinstellungen (Abs. 2)
        4. d) Zwischenergebnis
      5. 5. Verzeichnis von Verarbeitungstätigkeiten
        1. a) Rückgriff auf ErwG. 82
        2. b) Inhalt des Verzeichnisses der Verarbeitungstätigkeiten
      6. 6. Datenschutz-Folgenabschätzung
      7. 7. Einhaltung der Meldepflichten nach Art. 33 und 34 DSGVO
        1. a) Meldung an die zuständige Aufsichtsbehörde nach Art. 33 DSGVO
        2. b) Meldung an den Betroffenen nach Art. 34 DSGVO
        3. c) Zwischenergebnis
    2. II. Auftragsverarbeitung bei der E-Vergabe
      1. 1. Vorgaben der DSGVO
        1. a) ErwG. 81
        2. b) Vorgaben des Art. 28 DSGVO
      2. 2. Inhalt der Auftragsverarbeitung
  8. G. Datensicherheit und IT-Sicherheit bei der E-Vergabe
    1. I. Datensicherheit gemäß BDSG a.F. und TMG
      1. 1. Technische und organisatorische Maßnahmen nach BDSG a.F.
      2. 2. Technische und organisatorische Maßnahmen nach § 13 Abs. 4 TMG
    2. II. Datensicherheit gemäß Art. 32 DSGVO
      1. 1. Inhalt des Art. 32 DSGVO
        1. a) Rückgriff auf ErwG. 83
        2. b) Technische und organisatorische Maßnahmen
        3. c) Angemessenes Schutzniveau nach Art. 32 Abs. 1 HS. 1, Abs. 2 DSGVO
        4. d) Bezugsgröße: Stand der Technik
        5. e) Bezugsgröße: Verhältnismäßigkeit und Implementierungskosten
        6. f) Überwachungspflicht bzgl. unterstellter natürlicher Personen
        7. g) Folgerungen
      2. 2. Wechselwirkung mit anderen Vorschriften der DSGVO
    3. III. IT-Sicherheitsrecht
      1. 1. Vorgaben an die Datensicherheit gemäß NIS-Richtlinie (RL 2016/1148/EU)
        1. a) Inhalt der ErwG. der RL 2016/1148/EU
        2. b) Regelungsinhalt der RL 2016/1148/EU
      2. 2. Vorgaben an die Datensicherheit mittels Vorgaben an Anbieter digitaler Dienste gemäß § 8c BSIG
        1. a) Inhalt des § 8c BSIG
        2. b) Einschlägigkeit von § 8c BSIG bei der eVergabe
        3. c) Verhältnis von § 8c BSIG zu § 13 Abs. 7 TMG
      3. 3. Vorgaben an die Datensicherheit gemäß IT-Sicherheitsgesetz
      4. 4. Vorgaben an Telemedien-Diensteanbieter gemäß § 13 Abs. 7 TMG
        1. a) Einführung
        2. b) Adressaten
        3. c) Schutzgegenstand
          1. aa) Verhinderung des unerlaubten Zugriffes nach § 13 Abs. 7 S. 1 Nr. 1 TMG
          2. bb) Sicherung gegen Verletzung des Schutzes personenbezogener Daten nach § 13 Abs. 7 S. 1 Nr. 2a TMG
          3. cc) Sicherung gegen Störungen gemäß § 13 Abs. 7 S. 1 Nr. 2b TMG
        4. d) Schutzmaßnahmen
        5. e) Wirtschaftliche Angemessenheit
        6. f) Stand der Technik
    4. IV. Regelungen im Vergaberecht
      1. 1. Vorgaben aus der RL 2014/24/EU bzgl. öffentlicher Auftragsvergaben
      2. 2. Vorgaben aus dem GWB
      3. 3. Vorgaben aus der VgV
        1. a) Wahrung der Vertraulichkeit nach § 5 VgV
        2. b) Anforderungen an die verwendeten elektronischen Mittel gemäß § 10 VgV
        3. c) Anforderungen an den Einsatz elektronischer Mittel im Vergabeverfahren gemäß § 11 VgV
        4. d) Vorgaben des § 53 Abs. 3 und 4 VgV zu elektronischen Signaturen und Siegeln
          1. aa) Nutzung elektronischer Signaturen und Siegel nach § 53 Abs. 3 VgV
          2. bb) Verzicht auf elektronische Mittel nach § 53 Abs. 4 VgV
        5. e) Vorgaben zur Kennzeichnung und Verschlüsselung in § 54 S. 1 VgV
        6. f) Angebotsöffnung nach § 55 VgV
    5. V. Einschlägige Daten- und IT-Sicherheitsrechtliche Maßnahmen
  9. H. Zusammenfassung und Ausblick
    1. I. Zusammenfassung
      1. 1. Vorphase eines Vergabeverfahrens
        1. a) Nutzung von Auftragsverarbeitern nach Art. 28 DSGVO
        2. b) Datenschutzfreundliche Voreinstellungen bzw. Daten durch Technik nach Art. 25 DSGVO
        3. c) Gewährleistung der Datensicherheit nach Art. 32 DSGVO
        4. d) Verzeichnis von Verarbeitungstätigkeiten
        5. e) Datenschutz-Folgenabschätzung
        6. f) Umsetzung eines Löschkonzepts nach Art. 17 DSGVO
        7. g) Einhaltung der Vorgaben aus § 8c BSIG bzw. § 13 Abs. 7 TMG
        8. h) Einhaltung der Vorgaben der VgV
      2. 2. Vorbereitung des Vergabeverfahrens
        1. a) Ausnahme von der Nutzung elektronischer Kommunikationsmittel
        2. b) Einhaltung der Grundsätze der Datenverarbeitung nach Art. 5 DSGVO
          1. aa) Datenminimierung
          2. bb) Rechtmäßigkeit der Verarbeitung
          3. cc) Richtigkeit der Datenverarbeitung
        3. c) Umsetzung der Informationspflichten nach Art. 13, 14 DSGVO
      3. 3. Bekanntmachung eines zu vergebenden Auftrags
      4. 4. Bereitstellung der Vergabeunterlagen
      5. 5. Kommunikation in der Angebotsphase
      6. 6. Erstellung der Angebote
      7. 7. Abgabe der Angebote
      8. 8. Angebotsöffnung
      9. 9. Wertung der Angebote und Angebotsöffnung
      10. 10. Informations- und Wartepflicht nach § 134 GWB i.V.m. § 62 VgV
      11. 11. Zuschlag
      12. 12. Bekanntmachung vergebener Aufträge
    2. II. Ausblick
  10. Literatur
 
stats