Vergaberecht und Datenschutz-Folgenabschätzung

Lesezeit: ca. 3 Minuten

Die Bundesdatenschutzbeauftragte und verschiedene Bundesländer haben eine Positivliste für die Datenschutz-Folgenabschätzung gemäß Art.  35 DS-GVO veröffentlich. Eine Datenschutz-Folgenabschätzung nach den neuen datenschutzrechtlichen Regelungen ist dann durchzuführen, wenn die Form der Verarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dann ist vorab, bevor eine Einführung von Systemen erfolgt, eine Datenschutz-Folgenabschätzung durchzuführen. Im Rahmen dieser Datenschutz-Folgenabschätzung soll zum einen eine systematische Beschreibung der geplanten Verarbeitungsvorgänge erfolgen. Die Notwendigkeit und die Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck ist zu bewerten und beurteilen und auch die Risiken für die Rechte und Freiheiten der betroffenen Personen sind zu bewerten. Die geplanten Abhilfemaßnahmen sind näher zu beschreiben, mit denen die Risiken für die Rechte und Freiheiten der betroffenen Personen bewältigt werden sollen. Weitere Einzelheiten fordern Art. 35 und Art. 36 DS-GVO.

Mit der Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO wird u. a. von der niedersächsischen Datenschutzbeauftragten für verschiedene Vergabeverfahren ausdrücklich eine Datenschutz-Folgenabschätzung gefordert. Dies betrifft beispielsweise die Verarbeitungstätigkeiten der Kinder- und Jugendhilfe, Leistungen des Jobcenters, Verarbeitung von Meldedaten und das Führen von Personenstandsregistern. Auch die Verarbeitung von Personalausweis- und Passanträgen sowie der gesamte Bereich Sozialhilfe fallen unter die Positivliste. Auch die Verarbeitung von personenbezogenen Daten im Rahmen der amtlichen Statistik und die Verarbeitung von personenbezogenen Schülerdaten durch Lernplattformen bedürfen vorab und vor Einführung einer Datenschutz-Folgenabschätzung.

Bisher ist dieses Thema vergaberechtlich allerdings in vielen Fällen noch nicht gut implementiert. Die Datenschutz-Folgenabschätzung muss vor Zuschlagserteilung durchgeführt werden. Aus Praktikabilitätsgründen empfiehlt es sich nicht, gleich am Anfang oder in einem frühen Stadium die Datenschutz-Folgenabschätzung vorzunehmen. Erst wenn ein Bewerber und ein Angebot ausgewählt wurden, auf das ein Zuschlag möglich ist, kann für das konkrete Angebot die datenschutzrechtliche Beurteilung erfolgen.

Dies bedeutet in der Praxis, dass vor Zuschlagserteilung auf jeden Fall der datenschutzrechtliche Bericht in Form einer Datenschutz-Folgenabschätzung vorliegen muss. Auf Basis dieser datenschutzrechtlichen Beurteilung ist dann sichergestellt, dass die neueinzuführende Software und das Angebot, das den Zuschlag erhalten soll, den neuen Anforderungen der Datenschutz-Grundverordnung genügen.

Ohne eine vorherige Datenschutz-Folgenabschätzung kann die für Auftraggeber sehr nachteilige Situation entstehen, dass nach Zuschlagserteilung und Vertragsschluss im Nachgang datenschutzrechtlich festgestellt wird, dass die gewählte technische Lösung unter Datenschutzgesichtspunkten völlig ungeeignet und rechtlich unzulässig ist. Ein solcher Umgang mit Steuergeldern ist sicherlich zu vermeiden.

Hier sind in der Zukunft die Abläufe im Vergabeverfahren neu zu justieren. Das Thema Datenschutz ist neben den Anforderungen des Vergaberechts, der Erstellung einer Leistungsbeschreibung, den vertraglichen Gestaltungsmöglichkeiten gesondert zu bedenken. Gleiches gilt für den Bereich IT-Sicherheit. Hier stellen sich für die Auftraggeber neue Herausforderungen.

Wenn stellenweise von einem Design der Beschaffung die Rede ist, empfiehlt sich beim Design nicht zu vergessen, dass das Thema Datenschutz und die EU-Datenschutz-Grundverordnung zukünftig viel umfassender mit dem Vergaberecht vernetzt sind.

Wir empfehlen dringend, vor Zuschlagserteilung bei allen riskanten Datenverarbeitungen, die ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt, eine Datenschutz-Folgenabschätzung durchzuführen. Wir unterstützen Auftraggeber gern sowohl in Hinsicht des Datenschutzrechts als auch in Hinblick auf die Durchführung von IT-Vergaben. Wir sind bundesweit für Auftraggeber und auch für Auftragnehmer tätig.

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen