E-Book, Deutsch, 275 Seiten, PB, Format (B × H): 148 mm x 210 mm
Reihe: Datenschutzberater
E-Book, Deutsch, 275 Seiten, PB, Format (B × H): 148 mm x 210 mm
Reihe: Datenschutzberater
ISBN: 978-3-8005-9446-7
Verlag: Fachmedien Recht und Wirtschaft in Deutscher Fachverlag GmbH
Format: PDF
Kopierschutz: Wasserzeichen (»Systemvoraussetzungen)
Ebenfalls Berücksichtigung finden die Wechselwirkungen zwischen der Datensicherheit nach Art. 32 DSGVO sowie anderen IT-sicherheitsrechtlichen Vorgaben aus BSIG, TMG sowie der beispielhaft behandelten VgV, so dass in diesem Werk erstmalig in Gänze die Gewährleistung von Datensicherheit und Datenschutz im eVergabe-Verfahren betrachtet wird.
In Kürze:
- Strenge Reglementierung des Vergabeverfahrens im öffentlichen Auftragswesen
- Verpflichtender Einsatz von digitalen Kommunikationsmitteln
- Betrachtung der Wechselwirkung von Vergaberecht im Verhältnis zu Datenschutz- und IT-Sicherheitsrecht
Zielgruppe
Betriebliche Datenschutzbeauftragte, Unternehmensjuristen, externe Datenschutzexperten, Rechtsanwälte, Mitarbeiter in Compliance-Abteilungen, Geschäftsführer und Manager, in deren Verantwortungsbereich Datenschutz und IT fallen, Unternehmen, Vereine
Autoren/Hrsg.
Weitere Infos & Material
1;Cover;1
2;Titel;4
3;Impressum;5
4;Vorwort;6
5;Inhalt;7
6;A. Gegenstand der Untersuchung;16
7;B. E-Vergabe und ihre historische Entwicklung;20
7.1;I. Begriff der E-Vergabe;20
7.1.1;1. Definition der E-Vergabe;20
7.1.2;2. Abgrenzung der E-Vergabe im engeren Sinne von der E-Vergabe im weiteren Sinne;21
7.1.2.1;a) eVergabe im engeren Sinne;21
7.1.2.2;b) eVergabe im weiteren Sinne;22
7.1.2.3;c) Pflicht zur eVergabe;23
7.2;II. Historische Entwicklung der E-Vergabe;23
7.3;III. Weiterentwicklung der E-Vergabe durch die EU Richtlinien aus 2014;28
7.3.1;1. Leitgedanken der E-Vergabe in Hinblick auf elektonische Kommunikationsmittel;29
7.3.2;2. Vorgaben aus dem Richtlinientext;31
7.3.2.1;a) Inhalt des Art. 22 RL 2014/24/EU;31
7.3.2.1.1;aa) Ausnahme von der verpflichtenden elektronischen Kommunikation;32
7.3.2.1.2;bb) Nutzung von Alternativen zu spezifischen elektronischen Einrichtungen, Instrumenten oder Vorrichtungen;33
7.3.2.1.3;cc) Ausführungen bzgl. technischer Spezifikationen;33
7.3.2.1.4;dd) Dokumentationspflichten;34
7.3.2.1.5;ee) Ausführungen zu Datensicherheit und -schutz;34
7.3.2.2;b) Anhang IV zur RL 2014/24/EU;34
7.3.3;3. Vorgaben aus Art. 35 und Art. 36 RL 2014/24/EU;35
7.3.3.1;a) Elektronische Auktionen – Art. 35 RL 2014/24/EU;35
7.3.3.2;b) Elektronischer Katalog – Art. 36 RL 2014/24/EU;35
7.3.4;4. Vorgaben aus den RL 2014/23/EU bzw. RL 2014/25/EU;36
7.3.4.1;a) Konzessionsrichtlinie – RL 2014/23/EU;36
7.3.4.2;b) Sektorenrichtlinie – RL 2014/25/EU;37
7.3.5;5. Nationale Umsetzung der EU-Richtlinien aus 2014;38
7.3.5.1;a) Anpassungen des GWB;38
7.3.5.2;b) Vergabeverordnungen;39
7.3.5.2.1;aa) Einführung;39
7.3.5.2.2;bb) Ausgestaltung in der VgV;40
7.3.5.2.2.1;(1) Grundsätze der elektronischen Kommunikation nach § 9 VgV;41
7.3.5.2.2.2;(2) Anforderungen an die verwendeten elektronischen Mittel nach § 10 VgV;41
7.3.5.2.2.3;(3) Anforderungen an den Einsatz elektronischer Mittel im Vergabeverfahren nach § 11 VgV;43
7.3.5.2.2.4;(4) Einsatz alternativer elektronischer Mittel bei der Kommunikation nach § 12 VgV;43
7.3.5.3;c) Ausnahme von der verpflichtenden elektronischen Kommunikation;43
7.3.5.4;d) Umsetzung außerhalb des europäischen Anwendungsbereichs;44
7.3.6;6. Weitere elektronische Kommunikationsverfahren;45
7.3.6.1;a) Dynamische Beschaffungssysteme;45
7.3.6.2;b) Elektronische Auktionen;47
7.3.6.3;c) Elektronische Kataloge;48
8;C. E-Vergabe-Verfahren in der nationalen Umsetzung;49
8.1;I. Darstellung des Verfahrensgangs;49
8.1.1;1. Vorbereitung des Vergabeverfahrens sowie Erstellung der Vergabeunterlagen;49
8.1.2;2. Bekanntmachung eines zu vergebenden Auftrags;51
8.1.2.1;a) Allgemeines;52
8.1.2.2;b) Angabe eines Links in der Bekanntmachung;53
8.1.3;3. Bereitstellung der Vergabeunterlagen;54
8.1.3.1;a) Vollständige Bereitstellung;55
8.1.3.2;b) Unentgeltliche Bereitstellung;55
8.1.3.3;c) Uneingeschränkte und direkte Bereitstellung;56
8.1.3.4;d) Weitere notwendige Maßnahmen;57
8.1.4;4. Kommunikation in der Angebotsphase;57
8.1.5;5. Erstellung der Angebote;59
8.1.6;6. Abgabe der Angebote;60
8.1.6.1;a) Aktualität der eVergabe-Lösung;61
8.1.6.2;b) Verspätet eingereichte Angebote;63
8.1.6.3;c) Zwischenergebnis;64
8.1.7;7. Angebotsöffnung;64
8.1.8;8. Wertung der Angebote und Angebotsöffnung;66
8.1.8.1;a) 1. Stufe: formale und inhaltliche Prüfung;66
8.1.8.2;b) 2. Stufe: Eignungsprüfung;67
8.1.8.2.1;aa) Eignungsprüfung;67
8.1.8.2.2;bb) Einheitliche Europäische Eigenerklärung;69
8.1.8.3;c) 3. Stufe: Preisprüfung;70
8.1.8.4;d) 4. Stufe: Ermittlung des wirtschaftlichen Angebots;71
8.1.9;9. Informations- und Wartepflicht nach § 134 GWB i. V. m. § 62VgV;72
8.1.10;10. Zuschlag;73
8.1.11;11. Bekanntmachung vergebener Aufträge;74
8.1.12;12. Zusammenfassung;74
8.2;II. Bedeutung von Datensicherheit und Datenschutz für die E-Vergabe;75
8.2.1;1. Die Bedeutung des Datenschutzes bei der E-Vergabe;76
8.2.2;2. Die Bedeutung der Datensicherheit bei der E-Vergabe;81
8.2.3;3. Formen elektronischer Kommunikationsmittel;84
9;D. Einführung in den Datenschutz;87
9.1;I. Entwicklung des Datenschutzrechts;87
9.1.1;1. Nationale Entwicklung;87
9.1.2;2. Europäische Entwicklung;90
9.2;II. Schutz personenbezogener Daten in einem E-Vergabe-Verfahren;93
9.2.1;1. Vorrang der DSGVO;93
9.2.2;2. Vorliegen personenbezogener Daten;94
9.2.2.1;a) Vorliegen der Tatbestandsvoraussetzungen personenbezogener Daten;95
9.2.2.1.1;aa) Betroffener;95
9.2.2.1.2;bb) Bestimmbarkeit;96
9.2.2.1.3;cc) Einordnung persönlicher und sachlicher Angaben;96
9.2.2.2;b) Einschlägige Fälle personenbezogener Daten im Rahmen eines Vergabeverfahrens;97
9.2.2.2.1;aa) Persönliche und sachliche Angaben;97
9.2.2.2.2;bb) Persönliche und sachliche Angaben entsprechend der Einheitlichen Europäischen Eigenerklärung;98
9.2.2.3;c) Dynamische IP-Adressen als personenbezogene Daten;99
9.2.3;3. Begriff der Verarbeitung;100
9.2.4;4. Abgrenzung personenbezogene Daten und besondere Arten personenbezogener Daten;100
9.2.5;5. Grundsätze der Verarbeitung personenbezogener Daten nach Art. 5 DSGVO;101
9.2.5.1;a) Rechtsmäßigkeit der Verarbeitung;102
9.2.5.2;b) Verarbeitung nach Treu und Glauben;102
9.2.5.3;c) Transparenz;103
9.2.5.4;d) Zweckbindung;104
9.2.5.5;e) Datenminimierung;106
9.2.5.6;f) Richtigkeit der Datenverarbeitung;107
9.2.5.7;g) Speicherbegrenzung;108
9.2.5.8;h) Integrität und Vertraulichkeit;108
9.2.5.9;i) Zwischenergebnis;109
9.2.5.9.1;aa) Zusammenfassung der Darstellung zu den Grundsätzen der Verarbeitung personenbezogener Daten;109
9.2.5.9.2;bb) Subsumtion unter die eVergabe bzw. unter ein Vergabeverfahren;110
9.2.6;6. Erlaubnistatbestände und Verarbeitungssituationen;111
10;E. Datenschutz in einem E-Vergabe-Verfahren;115
10.1;I. Verarbeitung von Kontaktdaten durch Arbeitgeber;116
10.1.1;1. Beschäftigtendatenschutz nach Art. 88 DSGVO;117
10.1.2;2. Datenschutz in Bezug auf Kontaktdaten nach § 26 Abs. 1 S. 1 BDSG;118
10.1.3;3. Zwischenergebnis;121
10.2;II. Datenverarbeitung zum Zweck der Registrierung auf der E-Vergabe-Plattform;121
10.2.1;1. Registrierung auf der eVergabeplattform und diesbezügliche Verarbeitung von Mitarbeiterdaten gemäß § 26 Abs. 1 BDSG durch den Arbeitgeber;122
10.2.2;2. Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 UAbs. 1 lit. c) DSGVO;123
10.2.3;3. Erforderliche Verarbeitung zur Erfüllung öffentlicher Aufgaben nach Art. 6 Abs. 1 UAbs. 1 lit. e) DSGVO;125
10.3;III. Push-Nachrichten;127
10.3.1;1. Aussagen der VgV zur Kommunikation bzgl. Updates in Vergabeverfahren und Registrierungen;127
10.3.2;2. Push-Nachrichten als Kommunikationsmittel;128
10.3.2.1;a) Einführung in die Rechtsprobleme zu Push-Nachrichten;128
10.3.2.2;b) Empfehlung einer Opt-in-Lösung zu Push-Nachrichten;129
10.3.3;3. Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a) DSGVO für Push-Nachrichten;132
10.3.3.1;a) Legaldefinition;132
10.3.3.2;b) Erwägungsgründe zur Einwilligung nach Art. 6 Abs. 1 UAbs. 1 lit. a) DSGVO;132
10.3.3.3;c) Die freiwillige, informierte Einwilligung nach Art. 7 DSGVO;133
10.3.4;4. Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 UAbs. 1 lit. c) DSGVO;135
10.3.5;5. Erforderliche Verarbeitung zur Erfüllung öffentlicher Aufgaben nach Art. 6 Abs. 1 UAbs. 1 lit. e) DSGVO;137
10.3.6;6. Zwischenergebnis;137
10.4;IV. Beschäftigtendatenschutz in Bezug auf die Verarbeitung von Nachweisen;138
10.4.1;1. Erlaubnis nach § 26 Abs. 1 BDSG zur Durchführung des Beschäftigungsverhältnisses;138
10.4.2;2. Zwischenergebnis;140
10.5;V. Zulässigkeit der Verarbeitung personenbezogener Daten bei der Eignungsprüfung;141
10.5.1;1. Rechtsmäßigkeit der Verarbeitung zur Erfüllung eines Vertrags gemäß Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO;141
10.5.1.1;a) Rückgriff auf ErwG. 44;141
10.5.1.2;b) Rechtliche Ausgestaltung des Tatbestands;142
10.5.1.2.1;aa) Variante 1 – Datenverarbeitung zur Vertragserfüllung;142
10.5.1.2.2;bb) Variante 2 – Durchführung vorvertraglicher Maßnahmen;143
10.5.2;2. Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 UAbs. 1 lit. c) DSGVO;143
10.5.3;3. Erforderliche Verarbeitung zur Erfüllung öffentlicher Aufgaben nach Art. 6 Abs. 1 UAbs. 1 lit. e) DSGVO;146
10.5.4;4. Zwischenergebnis und Ausblick auf die Leistungserfüllungsphase;148
10.6;VI. Einschlägige Erlaubnistatbestände für die Verarbeitung personenbezogener Daten bei der E-Vergabe;150
11;F. Datenschutzrechtliche Pflichten des Verantwortlichen und Rechte der Betroffenen;153
11.1;I. Allgemeine Vorgaben;153
11.1.1;1. Einhaltung der Informationspflichten der Art. 13, 14 DSGVO;153
11.1.1.1;a) Informationspflichten gemäß Art. 13 Abs. 1 DSGVO;154
11.1.1.2;b) Informationspflichten gemäß Art. 13 Abs. 2 DSGVO;157
11.1.1.3;c) Informationspflichten gemäß Art. 13 Abs. 3 DSGVO;160
11.1.1.4;d) Informationspflichten gemäß Art. 14 Abs. 1 DSGVO;161
11.1.1.5;e) Informationspflichten gemäß Art. 14 Abs. 2 DSGVO;161
11.1.1.6;f) Informationspflichten gemäß Art. 14 Abs. 3 und 4 DSGVO;162
11.1.1.7;g) Zwischenergebnis;162
11.1.2;2. Betroffenenrechte nach der DSGVO;162
11.1.2.1;a) Recht auf Widerruf nach Art. 7 Abs. 3 DSGVO;163
11.1.2.2;b) Auskunftsrecht nach Art. 15 DSGVO;163
11.1.2.3;c) Recht auf Berichtigung entsprechend Art. 16 DSGVO;163
11.1.2.4;d) Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO;164
11.1.2.5;e) Recht auf Datenübertragbarkeit entsprechend Art. 20 DSGVO;165
11.1.2.6;f) Widerspruchsrecht nach Art. 21 DSGVO;165
11.1.2.7;g) Recht auf Unbetroffenheit nach Art. 22 DSGVO von automatisierten Verarbeitungen;165
11.1.2.8;h) Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 DSGVO;166
11.1.2.9;i) Zwischenergebnis;166
11.1.3;3. Recht auf Löschung nach Art. 17 DSGVO;167
11.1.3.1;a) Rückgriff auf die ErwG. 65 und 66;167
11.1.3.2;b) Inhalt des Art. 17 DSGVO;168
11.1.3.3;c) Unverzügliche Löschung als Rechtsfolge;170
11.1.4;4. Privacy by design und Privacy by default nach Art. 25 DSGVO;173
11.1.4.1;a) Rückgriff auf ErwG. 78;173
11.1.4.2;b) Datenschutz durch Technik;174
11.1.4.2.1;aa) „technische und organisatorische Maßnahmen“ nach Art. 25 Abs. 1 DSGO;174
11.1.4.2.2;bb) Ausrichtung des Art. 25 Abs. 1 DSGVO;174
11.1.4.2.3;cc) Abwägungsvoraussetzungen;175
11.1.4.2.3.1;(1) „Eintrittswahrscheinlichkeit“ und die „Schwere des Risikos“;175
11.1.4.2.3.2;(2) Stand der Technik;175
11.1.4.2.3.3;(3) Implementierungskosten;176
11.1.4.2.4;dd) Zeitpunkt der Verpflichtung;177
11.1.4.3;c) Datenschutzfreundliche Voreinstellungen (Abs. 2);177
11.1.4.4;d) Zwischenergebnis;178
11.1.5;5. Verzeichnis von Verarbeitungstätigkeiten;178
11.1.5.1;a) Rückgriff auf ErwG. 82;179
11.1.5.2;b) Inhalt des Verzeichnisses der Verarbeitungstätigkeiten;179
11.1.6;6. Datenschutz-Folgenabschätzung;183
11.1.7;7. Einhaltung der Meldepflichten nach Art. 33 und 34 DSGVO;186
11.1.7.1;a) Meldung an die zuständige Aufsichtsbehörde nach Art. 33 DSGVO;186
11.1.7.2;b) Meldung an den Betroffenen nach Art. 34 DSGVO;188
11.1.7.3;c) Zwischenergebnis;189
11.2;II. Auftragsverarbeitung bei der E-Vergabe;189
11.2.1;1. Vorgaben der DSGVO;189
11.2.1.1;a) ErwG. 81;189
11.2.1.2;b) Vorgaben des Art. 28 DSGVO;190
11.2.2;2. Inhalt der Auftragsverarbeitung;192
12;G. Datensicherheit und IT-Sicherheit bei der E-Vergabe;197
12.1;I. Datensicherheit gemäß BDSG a. F. und TMG;197
12.1.1;1. Technische und organisatorische Maßnahmen nach BDSG a. F.;198
12.1.2;2. Technische und organisatorische Maßnahmen nach § 13 Abs. 4 TMG;201
12.2;II. Datensicherheit gemäß Art. 32 DSGVO;203
12.2.1;1. Inhalt des Art. 32 DSGVO;203
12.2.1.1;a) Rückgriff auf ErwG. 83;205
12.2.1.2;b) Technische und organisatorische Maßnahmen;205
12.2.1.3;c) Angemessenes Schutzniveau nach Art. 32 Abs. 1 HS. 1, Abs. 2 DSGVO;209
12.2.1.4;d) Bezugsgröße: Stand der Technik;210
12.2.1.5;e) Bezugsgröße: Verhältnismäßigkeit und Implementierungskosten;211
12.2.1.6;f) Überwachungspflicht bzgl. unterstellter natürlicher Personen;211
12.2.1.7;g) Folgerungen;212
12.2.2;2. Wechselwirkung mit anderen Vorschriften der DSGVO;214
12.3;III. IT-Sicherheitsrecht;214
12.3.1;1. Vorgaben an die Datensicherheit gemäß NIS-Richtlinie (RL 2016/1148/EU);215
12.3.1.1;a) Inhalt der ErwG. der RL 2016/1148/EU;216
12.3.1.2;b) Regelungsinhalt der RL 2016/1148/EU;218
12.3.2;2. Vorgaben an die Datensicherheit mittels Vorgaben an Anbieter digitaler Dienste gemäß § 8c BSIG;220
12.3.2.1;a) Inhalt des § 8c BSIG;221
12.3.2.2;b) Einschlägigkeit von § 8c BSIG bei der eVergabe;222
12.3.2.3;c) Verhältnis von § 8c BSIG zu § 13 Abs. 7 TMG;223
12.3.3;3. Vorgaben an die Datensicherheit gemäß IT-Sicherheitsgesetz;224
12.3.4;4. Vorgaben an Telemedien-Diensteanbieter gemäß § 13 Abs. 7 TMG;225
12.3.4.1;a) Einführung;225
12.3.4.2;b) Adressaten;226
12.3.4.3;c) Schutzgegenstand;226
12.3.4.3.1;aa) Verhinderung des unerlaubten Zugriffes nach § 13 Abs. 7 S. 1 Nr. 1 TMG;227
12.3.4.3.2;bb) Sicherung gegen Verletzung des Schutzes personenbezogener Daten nach § 13 Abs. 7 S. 1 Nr. 2a TMG;227
12.3.4.3.3;cc) Sicherung gegen Störungen gemäß § 13 Abs. 7 S. 1 Nr. 2b TMG;228
12.3.4.4;d) Schutzmaßnahmen;229
12.3.4.5;e) Wirtschaftliche Angemessenheit;229
12.3.4.6;f) Stand der Technik;230
12.4;IV. Regelungen im Vergaberecht;231
12.4.1;1. Vorgaben aus der RL 2014/24/EU bzgl. öffentlicher Auftragsvergaben;231
12.4.2;2. Vorgaben aus dem GWB;233
12.4.3;3. Vorgaben aus der VgV;235
12.4.3.1;a) Wahrung der Vertraulichkeit nach § 5 VgV;235
12.4.3.2;b) Anforderungen an die verwendeten elektronischen Mittel gemäß § 10 VgV;238
12.4.3.3;c) Anforderungen an den Einsatz elektronischer Mittel im Vergabeverfahren gemäß § 11 VgV;241
12.4.3.4;d) Vorgaben des § 53 Abs. 3 und 4 VgV zu elektronischen Signaturen und Siegeln;243
12.4.3.4.1;aa) Nutzung elektronischer Signaturen und Siegel nach § 53 Abs. 3 VgV;244
12.4.3.4.2;bb) Verzicht auf elektronische Mittel nach § 53 Abs. 4 VgV;244
12.4.3.5;e) Vorgaben zur Kennzeichnung und Verschlüsselung in § 54 S. 1 VgV;245
12.4.3.6;f) Angebotsöffnung nach § 55 VgV;247
12.5;V. Einschlägige Daten- und IT-Sicherheitsrechtliche Maßnahmen;247
13;H. Zusammenfassung und Ausblick;253
13.1;I. Zusammenfassung;253
13.1.1;1. Vorphase eines Vergabeverfahrens;254
13.1.1.1;a) Nutzung von Auftragsverarbeitern nach Art. 28 DSGVO;254
13.1.1.2;b) Datenschutzfreundliche Voreinstellungen bzw. Daten durch Technik nach Art. 25 DSGVO;255
13.1.1.3;c) Gewährleistung der Datensicherheit nach Art. 32 DSGVO;255
13.1.1.4;d) Verzeichnis von Verarbeitungstätigkeiten;256
13.1.1.5;e) Datenschutz-Folgenabschätzung;256
13.1.1.6;f) Umsetzung eines Löschkonzepts nach Art. 17 DSGVO;256
13.1.1.7;g) Einhaltung der Vorgaben aus § 8c BSIG bzw. § 13 Abs. 7 TMG;257
13.1.1.8;h) Einhaltung der Vorgaben der VgV;257
13.1.2;2. Vorbereitung des Vergabeverfahrens;258
13.1.2.1;a) Ausnahme von der Nutzung elektronischer Kommunikationsmittel;258
13.1.2.2;b) Einhaltung der Grundsätze der Datenverarbeitung nach Art. 5 DSGVO;258
13.1.2.2.1;aa) Datenminimierung;258
13.1.2.2.2;bb) Rechtmäßigkeit der Verarbeitung;259
13.1.2.2.3;cc) Richtigkeit der Datenverarbeitung;260
13.1.2.3;c) Umsetzung der Informationspflichten nach Art. 13, 14 DSGVO;260
13.1.3;3. Bekanntmachung eines zu vergebenden Auftrags;260
13.1.4;4. Bereitstellung der Vergabeunterlagen;261
13.1.5;5. Kommunikation in der Angebotsphase;261
13.1.6;6. Erstellung der Angebote;261
13.1.7;7. Abgabe der Angebote;262
13.1.8;8. Angebotsöffnung;262
13.1.9;9. Wertung der Angebote und Angebotsöffnung;262
13.1.10;10. Informations- und Wartepflicht nach § 134 GWB i. V. m. § 62 VgV;263
13.1.11;11. Zuschlag;263
13.1.12;12. Bekanntmachung vergebener Aufträge;263
13.2;II. Ausblick;264
14;Literatur;269
