Im Zusammenhang mit dem vielzitierten Stichtag „25. Mai 2018“ und dem Inkrafttreten der EU-DSGVO gab es in zahlreichen Bereichen Unsicherheiten um (datenschutz-)rechtskonformes Verhalten (nicht nur, aber vor allem) im geschäftlichen Umgang. Selbst langjährige und von gegenseitigem Vertrauen geprägte Geschäftsbeziehungen standen in den letzten Wochen und Monaten auf einmal vor (zum Teil irrwitzigen) Bewährungsproben: Woher stammt eine E-Mail-Adresse? Darf ich am Telefon Auskunft geben? Müssen (wohlmöglich rückwirkend) alle Dokumente eines Geschäftsjahres anonymisiert (geschwärzt) oder vernichtet werden? (Wie) Darf ich noch eine Betriebsfeier organisieren und dokumentieren? Muss ich alle Outlook-Kontakte löschen?
Eine nicht weniger ausgeprägte Konfusion entstand – und besteht zum Teil bis heute – auch für viele Aspekte im Bereich des öffentlichen Auftragswesens. Eine, die unmittelbare Vergabepraxis betreffende und jüngst auch in Fachforen wie dem Deutschen Vergabenetzwerk diskutierte Frage, ist, ob die Benennung von Ansprechpartnern bei geforderten Referenzen – bzw. umgekehrt eine Auskunft des Unternehmens ohne ausdrückliche Einwilligung des Betroffenen – gegen die nun geltenden datenschutzrechtlichen Bestimmungen verstoße.
Aus vergaberechtlicher Sicht hervorzuheben ist insbesondere das 2. Kapitel der DSGVO mit den Grundsätzen u.a. zur Rechtmäßigkeit der Verarbeitung (Art. 6 Abs. 1 und Abs. 3 DSGVO, das gesetzliche Erlaubnistatbestände (jenseits individueller Einwilligungen) postuliert), bei deren Vorliegen eine individuelle Zustimmung gerade nicht erforderlich wird. Zu nennen sind in diesem Zusammenhang u.a. § 122 ff. GWB oder §§ 46 Abs. 3 und 58 VgV, die neben dem Unionsrecht die nationalen Rechtsgrundlagen auf der Ebene der Mitgliedstaaten für die Verarbeitung personenbezogener Daten darstellen.
Ergänzend anzuführen sind die Vergabe- und Vertragsordnung für Leistungen (VOL/A – soweit noch gültig) bzw. die Unterschwellenvergabeordnung (UVgO), die Landeshaushaltsordnung (LHO) sowie ggf. spezielle beihilferechtliche Rahmenbedingungen, die wie die Regelungen für den Oberschwellenbereich eine entsprechende Dokumentation des Vergabevorgangs inkl. der Erhebung und Aufbewahrung personenbezogener Daten vorschreiben und z.B. dem unmittelbaren Recht auf Löschen oder Vergessenwerden in weiten Teilen entgegenstehen.
Zwar können Wirtschaftsteilnehmer (Bewerber bzw. Bieter im Vergabeverfahren) nicht zur Auskunft verpflichtet werden, bei entsprechender Nichtangabe riskieren sie aber sehenden Auges einen zwangsweisen Ausschluss wegen eines Verstoßes gegen förmliche Mindestanforderungen.
Aus datenschutzrechtlichen Gesichtspunkten dürfte sich damit nach aktueller Rechtslage und dem Stand der Rechtsprechung kein Bewerber mit Aussicht auf Erfolg unter Verweis auf die DSGVO um die Nennung personenbezogener Daten „drücken“ können, die gerade auch in diesem Aspekt keinesfalls wesentlich weitergehend ist als die ohnehin zuvor bestehenden Vorgaben des Bundesdatenschutzgesetzes (BDSG) oder der entsprechenden Länderpendants.
Referenzen – Nehmen seliger denn geben?
Gleichwohl bleibt ein von datenschutzrechtlichen Aspekten in weiten Teilen nicht tangiertes Problem in der Praxis, welches in der Zwitterrolle öffentlicher Auftraggeber sowohl als Referenznehmer, als auch als Referenzgeber zu liegen scheint. Gerade in diesem Zusammenhang wird „nehmen“ de facto seliger gesehen als „geben“.
So ist bei allem Verständnis für eine geboten konservative Außenkommunikation öffentlicher Auftraggeber doch in der Praxis eines auffällig: Gerade Auftraggeber, die in gesonderten Vertragsbedingungen umfangreiche Beschränkungen in der „Referenzgebung“ bzw. Außenkommunikation und Vertraulichkeit vorgeben (und selbst nach einer erfolgreichen Umsetzung mit Verweis auf die Presseabteilung oder den zuständigen Bereich eine solche verwehren), fordern umgekehrt in eigenen Ausschreibungen häufig umfangreiche und möglichst vergleichbare Referenzen.
Unabhängig von datenschutzrechtlichen Aspekten sollte dieses Dilemma zwischen Vergabestelle und Presseabteilung kritisch diskutiert werden. Wer in funktionierenden Märkten beschaffen und sich transparent auf Referenzen verlassen möchte, sollte umgekehrt auch bereit sein – einen erfolgreichen Projektverlauf vorausgesetzt – als Referenzgeber zur Verfügung zu stehen.
Möglicherweise verdient dieser Aspekt zudem – zumindest für den IT-Bereich – eine genauere Betrachtung im Rahmen der Weiterentwicklung der EVB-IT.
Hinweise für die Praxis
Sofern man – aus Sicht des öffentlichen Auftraggebers – die personenbezogene Referenzgebung in den Vergabeunterlagen etwas „entschärfen“ möchte, ließe sich z.B. in einem ersten Schritt Funktionspostfächer als Kontaktmöglichkeit vorsehen. So entspricht man vergaberechtlichen und datenschutzrechtlichen Forderungen.
Bewerber bzw. Bieter werden sich mit Verweis auf die DSGVO kaum davor „drücken“ können, bei angegebenen Referenzen auch natürliche Personen als Ansprechpartner zu benennen, soweit die Auftraggeber nicht – wie zuvor beschrieben – entsprechende anonymisierte Möglichkeiten zur (ersten) Kontaktaufnahme geschaffen haben.
Eine weitere Herausforderung für Bieter liegt in der vereinzelt geforderten Angabe von Mitarbeiterqualifikationen und Profilen. So mögen Unternehmen zudem vorausschauend gut beraten sein, sich hierauf einzustellen und mit den betroffenen Mitarbeitern vorsorglich eine korrespondierende, individuelle Vereinbarung zu treffen (sofern nicht arbeitsvertraglich bereits geregelt), deren betrieblicher Zweck (Benennung in Ausschreibungen) zwar allgemein (d.h. nicht nur für ein Angebot) gelten soll, die im Falle von Bedenken durch den Betroffenen aber auch ausreichend präzise eingegrenzt werden kann. Dass Arbeitnehmer sich diesbezüglichen Forderungen ihres Arbeitgebers im Zweifelsfall nur schwer werden entziehen können, steht im Spannungsfeld von DSGVO und Arbeitsrecht und wird zukünftig u.U. Arbeitsgerichte & Co. beschäftigen.
Fazit und Ausblick
Aus der „Referenz“-Perspektive betrachtet verliert die DSGVO somit einen Teil ihres Schreckens, was die Vergabeunterlagen und ein rechtskonformes Vorgehen betrifft, da es viele Fundstellen und Vorgehensweisen gibt, die das bewährte (und erforderliche) Vorgehen auch nach dem 25. Mai legitimieren.
Ohne das aus Verbrauchersicht im Ursprung zweifellos begrüßenswerte Ansinnen der Urheber der Datenschutznovellierung pauschal verurteilen zu wollen, darf dennoch gesagt werden, dass die operative Umsetzung bei allen Beteiligten im Vorfeld und auch in den Wochen danach durchaus signifikanten und nachhaltigen Aufwand verursacht hat, der z.T. sicherlich nicht unbedingt in einem rationalen Verhältnis zur (vermeintlichen) Verbesserung der Situation stand. Für eine Präzisierung der aus juristischer Sicht gewohnt abstrakt formulierten Passagen („ausreichender Schutz“, „in geeigneter Weise“, „hinreichende Garantien“, „Transparenz in der Erhebung und Nutzung“) mit viel Interpretationsspielraum wird zudem sicherlich noch die richterliche Rechtsfortbildung abzuwarten sein.
Eine erste Lagebewertung der unmittelbar Anwendung findenden Verordnung kann aber bereits heute gezogen werden und fällt vergleichsweise nüchtern aus. Das „Rüstzeug“, mit dem in der Praxis Ausschreibungen und Vergabeverfahren (nicht: Kontaktaufnahmen, die allgemeinen Markterkundungen oder Preisinformationen dienen) vorbereitet und durchgeführt werden, spricht eine vergleichsweise klare Sprache und deckt die hierfür Verantwortlichen – bei entsprechend sorgfältiger Durchführung – vor willkürlichen Androhungen und Strafen. Exemplarisch seien an dieser Stelle die beschriebenen Referenzen und Eignungsnachweise genannt, die naturgemäß einen persönlichen Bezug haben.
Die namentliche Benennung von Mitarbeitern nebst Details zu Werdegang, Qualifikation, Erfahrung etc. als Referenzen und Zuschlagskriterium unterliegt nicht nur der DSGVO, sondern steht auch nicht im Widerspruch zu letzterer, da ihre Verfasser in Brüssel und Luxemburg dankenswerterweise die flankierende Rechtsprechung nicht ausgeblendet haben. Ungeachtet dessen werden alle Beteiligten beobachten müssen, wie sich die vergaberechtliche Entwicklung im Umfeld datenschutzrechtlicher Erwägungen entwickelt.
Verwandte Beiträge
(Bildquelle: Bernulius – fotolia.de)
Sehr geehrter Herr Förster,
als praktischer Vergaberechtsexperte und als langjähriger Dienstleister bei Vergabeprozessen für die Öffentlichen Auftraggeber in Deutschland, kann ich eigentlich nicht verstehen, dass die Problematik erst mit der neuen Datenschutzverordnung aufgekommen ist! Das Problem mit korrekten Referenzen und Referenzangaben bestand schon immer. Wie häufig habe ich bei Überprüfungen von Referenzen Antworten bekommen wie: „das Unternehmen kenne ich gar nicht!“ oder „das Unternehmen erlaubt sich und als Referenzgeber zu benennen! Der soll doch erst einmal seine geschuldete Leistung erbringen! “ oder der angegebene Referenzgeber existiert gar nicht! Die praktische Erfahrung von hunderten von Vergabeverfahren ergibt unter dem Strich eine Vielzahl von negativen Ergebnissen bei Referenzüberprüfungen..
Aus meiner Sicht unverständlich! Ein Unternehmer muss doch zuvor den Auftraggeber um Zustimmung bitten, dass er die Fakten (inkl. Adresse) aus der vertraglichen Zusammenarbeit weitergeben darf. Wenn diese schriftliche Bestätigung vorliegt, dann habe ich doch kein Datenschutzproblem! Nur die Unternehmen haben Problem, die ohne Zustimmung seitens eines Referenzgebers dessen Vertrags- und Kontaktdaten weitergegeben haben. Das Problem liegt dann aber eher auf der Unternehmerseite!
Mit Freundlichen Grüßen
Burkhard Kühn
Unternehmensberatung Kühn
Wangenheimstra. 36
14193 Berlin