Datenschutz bei eForms – was muss bei der Vergabe beachtet werden?
24.10.2023 | J. Morelli – Online Redaktion, Forum Verlag Herkert GmbH
Mit eForms verfolgt die EU-Kommission eine Digitalreform der Vergabe öffentlicher Aufträge. Dabei soll neben einem vereinfachten Zugang zu allen Bekanntmachungen der Verwaltungsaufwand für alle Beteiligten reduziert und die Qualität der eingehenden Registrierungen erhöht werden. Gleichzeitig sollen eForms dazu beitragen, transparenter gegenüber der Gesellschaft zu agieren. Und bei letztem Punkt stellen sich diverse Datenschutz-Fragen: Welche Daten müssen oder dürfen auf elektronischen Formularen angegeben werden? Welche Rolle spielt dabei der Schutz personenbezogener Daten?
Inhaltsverzeichnis
- Elektronische Formulare oder digitalisierte Standardvergabeformulare? – eForms eine Definition
- EU-Standard für Daten zur Auftragsvergabe – öffentliche Daten fallen nicht unter den Datenschutz?
- Implementierung der eForms
- Datenschutz und Datensicherheit bei der Verwendung von eForms
- Fazit: Ob bisheriges Standardformular oder eForm – an der Datenschutzregelung ändert sich nicht viel
Elektronische Formulare oder digitalisierte Standardvergabeformulare? – eForms eine Definition
Bei eForms handelt es sich nicht nur um „einfache elektronische Formulare“, sondern um ein komplexes Datenmodell, das für alle Bekanntmachungen (Ausschreibungen und Bewerbungen) oberhalb und unterhalb der EU-Schwellenwerte zum Einsatz kommt. Dabei stehen drei Faktoren im Fokus:
- Verbesserung der Datenqualität
- Steigerung der Auswertbarkeit
- Erhöhung der Aussagekraft
Die Rechtsgrundlage für die eForms bildet die Durchführungsverordnung (EU) 2019/1790 und die „Verordnung zur Anpassung des Vergaberechts an die Einführung neuer elektronischer Standardformulare (eForm)“, die am 23. August 2023 im Bundesgesetzblatt veröffentlicht wurde.
Durch die ab dem 25. Oktober 2023 verpflichtende Verwendung der eForm-Bekanntmachungen und -Bewerbungen erhielt die Vergabeverordnung mit dem § 10a einen Anforderungskatalog zur Erstellung und Übermittlung von Bekanntmachungen und dem dabei stattfindenden Datenaustausch, wonach Datensätze im Zentrum der eForm-Technologie stehen und sich bestimmten Datenschutzanforderungen ausgesetzt sehen.
EU-Standard für Daten zur Auftragsvergabe – öffentliche Daten fallen nicht unter den Datenschutz?
Die eForms sollen laut der eForms-Verordnung vom 23. August 2023 den EU-Standard für Datenverwaltung zur Auftragsvergabe aller öffentlichen Aufträge digitalisieren. Dies hat zur Folge, dass anstelle der bisherigen PDF-Dateien maschinenlesbare XML-Dateien generiert werden. Diese können entsprechend vom Vergabesystem bis zum TED (Tender Electronic Daily, der europaweiten digitalen Ausschreibungsplattform) oder für weitere Datenservices in Bezug auf den öffentlichen Einkauf genutzt werden. Dabei sollen anhand von bestimmten Kennzahlen auch Aussagen zu nachhaltigen, qualitativen und innovativen Charakteristika getroffen werden können.
Die Verwendung von eForms erfordert dabei eine sorgfältige Berücksichtigung des Datenschutzes und der Datensicherheit. Die maschinenlesbaren XML-Dateien, die im Rahmen der eForms generiert werden, können sensible Informationen enthalten, die geschützt werden müssen. Daher ist es entscheidend, dass Systeme, die zur Erstellung, Übermittlung und Speicherung dieser Formulare verwendet werden, sicher sind und die Daten während der Übertragung und Speicherung verschlüsselt werden, um sie vor unbefugtem Zugriff zu schützen.
Implementierung der eForms
Die Implementierung von eForms bringt sowohl Vorteile als auch Herausforderungen mit sich. Einerseits trägt sie zur weiteren Digitalisierung öffentlicher Vergabeverfahren bei und vereinfacht die Ausschreibungssuche für Unternehmen, die sich an öffentlichen Vergabeverfahren beteiligen möchten. Andererseits erfordert die Umstellung auf das neue System Anpassungen und möglicherweise Schulungen für die beteiligten Akteure, um einen reibungslosen Übergang und die effektive Nutzung der neuen digitalen Werkzeuge zu gewährleisten.
Bei der Übertragung größerer Datensätze anhand der neuen eForms-Matrix ist datenschutzrechtlich besondere Vorsicht geboten, da es hier schnell zu Verstößen und Pannen kommen kann. In dem offiziellen Handbuch zur Implementierung (eForms Policy Implementation Handbook) wird dieser Tatsache aber bisher nicht Folge geleistet und die DSGVO, bzw. GDPR nicht eigens erwähnt.
Qualitätsmanagement
Bereits bei der Konzeptualisierung und den Entwürfen der eForms-Software war die Öffentlichkeit involviert – und das in Form offener Diskussionsrunden auf GitHub. Diesen Austausch wollen die Verantwortlichen auch weiterhin beibehalten und für einen "freizugänglichen" (registrierungspflichtigen) Optimierungshub sorgen. Sowohl durch ein fortlaufendes Feedback-Forum als auch durch punktuell durchgeführte Befragungen sollen die eForms an die Bedürfnisse der User angepasst werden.
Datenschutz und Datensicherheit bei der Verwendung von eForms
Grundsätzlich unterliegt das Gros der erhobenen Daten bei der öffentlichen Ausschreibung jedoch nicht zwangsläufig der DSGVO, da es sich bereits um frei zugängliche Daten handelt und dies bewusst so beibehalten werden soll, um ein Höchstmaß an Transparenz bei öffentlichen Aufträgen zu gewährleisten. Aber ohne personenbezogene Daten der Bewerber oder Auftragnehmer ist der Vergabeprozess analog sowie via eForms nicht möglich. Und diese Daten fallen uneingeschränkt unter das BDSG und die DSGVO.
Selbst – oder gerade – die Datenschutz-Profis greifen im Alltag gerne auf die Inhalte des „Datenschutz-Pakets“ zurück. Neben der einsatzbereiten „Dokumentenmappe: Datenschutz im Unternehmen“ beinhaltet dies auch das Buch „Datenschutz 2023“ und das „Mitarbeiter-Merkblatt Datenschutz und IT-Sicherheit“. Mit diesem Komplettpaket sind Sie und Ihre Belegschaft datenschutzrechtliche auf der sicheren Seite. Informieren Sie sich jetzt!
- SWITCH!:ext#&160;
Eine zusätzliche Datenschutzherausforderung stellen bei der Verwendung von eForms auch die unterschiedlichen zum Einsatz kommenden Software-Programme dar: Anhand von "eSender" werden von und zu TED XML-Dateien versandt. „ENotices“ erlauben den Usern, die codierten Nachrichten zu entschlüsseln. An all diesen Schnittstellen zwischen diesen unterschiedlichen Software-Akteuren besteht eine potenzielle Datenschutzgefahr.
Nutzerdaten und inhaltsbezogene Daten
Um eForms nutzen zu können, wird künftig ausschließlich auf Vergabeplattformen (z. B. www.evergabe-online.info) zurückgegriffen werden. Um gleich welches Portal es sich handelt, benötigen alle Nutzer eigene, passwortgeschützte Zugänge. Diese Nutzerdaten werden auf den jeweiligen Servern gespeichert und unterliegen den üblichen Datenschutzanforderungen.
Bei den inhaltsbezogenen Daten hingegen handelt es sich einerseits um die Ausschreibungsinformationen der öffentlichen Hand, die bereits uneingeschränkt zugänglich sind. Andererseits geben die bewerbenden Unternehmen ein Gebot ab, dass neben dem Firmennamen, der Anschrift, dem zugehörigen Wirtschaftssektor etc. auch ein finanzielles Angebot beinhaltet. Da diese Angaben spätestens im Falle des eintretenden Zuschlags öffentlich werden, greift auch hier der Datenschutz nur sehr bedingt. Und zwar im Falle ansonsten nicht öffentlich zugänglicher Informationen. Hier kann unter bestimmten Voraussetzungen eine partielle Anonymisierung stattfinden, die aber aufgrund der bereits angesprochenen Transparenz einen genehmigungspflichtigen Ausnahmefall darstellt.
Fazit: Ob bisheriges Standardformular oder eForms – an der Datenschutzregelung ändert sich nicht viel
Bis zum 24.10.2023 können die Standardformulare gemäß der Durchführungsverordnung (EU) 2019/1780 für schwellenabhängige, europaweite Vergabeverfahren genutzt werden. Diese Formulare wurden als PDF ausgefüllt, digital unterschrieben und an die Vergabeplattform weitergeschickt. Hier galten dieselben Datenschutzanforderungen, die auch künftig an die eForms gestellt werden. Aufgrund kommender Komplexität und Automatisierung, die beide u. a. auf Datenspeicherung beruhen, sollte bei der Implementierung der eForm-Software aber bewusst auf die Kompatibilität, den Datenschutz und Datensicherheit geachtet werden.
Quellen: eForms Policy Implementation Handbook, Durchführungsverordnung (EU) 2019/1780, https://www.evergabe-online.info, https://www.bescha.bund.de