Jusletter IT

Digitalisierung im Vergaberecht – Verantwortungsbewusster Umgang der Bieter mit Daten?

Gedanken zu vergaberechtlicher Zuverlässigkeit und Datenschutz

  • Author: Philipp Götzl
  • Category of articles: E-Procurement
  • Category: Articles
  • Region: Austria
  • Field of law: E-Procurement
  • Collection: Conference proceedings IRIS 2020
  • DOI: 10.38023/c69e244b-035c-4e7f-add4-6cb5533217c4
  • Citation: Philipp Götzl, Digitalisierung im Vergaberecht – Verantwortungsbewusster Umgang der Bieter mit Daten?, in: Jusletter IT 30 September 2020
Die Digitalisierung im Vergaberecht schreitet voran, gerade der Einsatz elektronischer Beschaffungsformen und die Notwendigkeit elektronischer Angebotsverfahren bedingt die Verwendung komplexer Vergabeverfahren unter Anwendung großer Datenmengen. Die verpflichtende elektronische Vergabeabwicklung im Oberschwellenbereich stellt die Frage, wie mit marktrelevanten Bieterdaten gerade iZm den Eignungskriterien Zuverlässigkeit, Leistungsfähigkeit und Befugnis im Wechselspiel mit Geheimhaltungsinteressen der Bieter verantwortungsvoll umgegangen werden kann. Das seit 21.8.2018 in Kraft getretene BVergG 2018 gibt dabei die Rechtsgrundlagen vor, die in der Folge auch nach ihrer praktischen Relevanz an einem Anlassfall – einer fehlerhaften Aufklärung zum Umgang mit Kundendaten – überprüft werden. Ausgehend von der Bestandsaufnahme aktueller Problembereiche im Vergaberecht, werden die (rechtlichen) Möglichkeiten der Umsetzung aufgezeigt, die wiederum Basis eines verantwortungsvollen und den Wettbewerb wahrenden Umgangs mit Bieterdaten sein können. Der Analyseschwerpunkt liegt aber in einer aktuellen Fragestellung: Ist ein Bieter noch vergaberechtlich zuverlässig, dem eine Verletzung der DSG-VO nachgewiesen wurde?

Inhaltsverzeichnis

  • 1. Ausgangslage
  • 2. Elektronische Vergabe und datenschutzrechtlich relevanten Digitalisierung, der Ausgangsfall
  • 3. Informationen im Vergabeverfahren und Datenschutz im Verhältnis des Bieters zum Auftraggeber
  • 4. Konkretisierte Anforderungen an den Bieter – Zuverlässigkeit bei Verstößen gegen die DSG-VO
  • 5. Ergebnis

1.

Ausgangslage ^

[1]
Die Europäische Kommission hat im Zuge eines Aktionsplans zur Umsetzung und Anwendung der Rechtsvorschriften über die elektronische Vergabe eine «timeline»1, veröffentlicht, mit der der digitale Wandel im Vergabewesen dokumentiert sein soll. Dabei wird – ausgehend vom Erfordernis der elektronischen Vergabe seit dem Vergaberichtlinienpaket 20142 – der verpflichtende Einsatz elektronischer Vergabe bis 09/2023 in ganz Europa beschrieben. Dem wird ein Rollout of e-procurement auf Unionsebene beigegeben, welcher den Mitgliedsstaaten bei der Umsetzung der neuen Vergaberichtlinien behilflich sein soll. Ziel ist es, den Behörden durch die elektronische Vergabe einen günstigeren Einkauf zu ermöglichen und den Wettbewerb weiter anzukurbeln. Dazu stellt die Kommission auch eine Studie (inhaltlich ein Länderbericht) zu den Vorteilen der neuen elektronischen Bereiche zur Verfügung3, die die einzelnen neuen Technologien wie AI & ML, big data, blockchain, RPA, 3D printing im individuellen Ländervergleich gegenüberstellt und damit auch ihre Nutzbarkeit für das das Vergaberecht ansprechen möchte. Dabei werden die notwendigen Lernprozesse und die erheblichen Einsparungspotentiale betont und den erforderlichen Kosten, technischen Erfordernissen und Risiken gegenübergestellt. Ursprünglich war zur Umsetzung dieser unionsrechtlichen Vorgaben beabsichtigt, das BVergG4 grundlegend auch idS zu novellieren. Schlussendlich ist es zu einer Neukodifikation durch das BVergG 20185 gekommen, die die Vorgaben des Vergaberichtlinienpaketes 20146 umsetzt, wobei die gänzliche elektronischen Abwicklung von Vergabeverfahren im Oberschwellenbereich grs auch durch elektronischen Angebotsabgabe RL-gemäß bis 18. Oktober 2018 umzusetzen war und in Österreich auch umgesetzt wurde.7 Ziel aller dieser Maßnahmen ist es, die Effizienz des öffentlichen Beschaffungswesens und damit des im öffentlichen Beschaffungswesen letztendlich abzuschließenden zivilrechtlichen Vertrages durch die Verringerung des Zeitaufwandes zu verbessern und Kosten zu sparen. Vergabegemäß umgesetzt werden diese Verfahren aber nur, wenn sie in entsprechenden Plattformen, also Vergabeplattformen wie zB ANKÖ, Vemap, auftrag.at; Lieferanzeiger uvm8 für alle interessierten Bieter in gleicher Weise zugänglich zur Verfügung stehen und so der Intention des Gesetzgebers gefolgt wird, elektronische Vergabemöglichkeiten und Vergabemittel auch praktisch unter Berücksichtigung der Vergabegrundsätze der Bietergleichbehandlung, Transparenz und des freien, lauteren Wettbewerbs anwenden zu können. Bei der Verwendung dieser Vergabeplattformen werden bereits Daten iS der DSG-VO verwendet, deren besonderes Schutz aber nicht Gegenstand dieser Betrachtung sein soll, sondern vielmehr die Frage, wie mit einem Bieter zu verfahren ist, der nachweislich in mit dem Ausschreibungsgegenstand vergleichbaren Fällen Datenschutzrecht verletzt hat.

2.

Elektronische Vergabe und datenschutzrechtlich relevanten Digitalisierung, der Ausgangsfall ^

[2]
§ 126 Abs 2 BVergG 2018 bestimmt, dass Angebote elektronisch abzugeben sind, wenn ein Vergabeverfahren im Oberschwellenbereich, oder eine elektronische Auktion durchgeführt wird; weiters wenn ein Auftrag im Wege eines dynamischen Beschaffungssystems vergeben werden soll, ein Angebot unter Verwendung eines elektronischen Kataloges abgegeben werden soll oder ein Auftrag oder eine Rahmenvereinbarung von einer zentralen Beschaffungsstelle vergeben bzw. abgeschlossen werden soll. Auch andere Bestimmungen des BVergG 2018 unterstützen die elektronische Vergabe, insb. wenn die elektronische Bereitstellung bzw. Übermittlung der Ausschreibungsunterlagen (§ 90 BVergG 2018) oder die elektronische Rechnungslegung (§ 368 BvergG 2018) vorgesehen wird. Im Vergaberecht soll damit der Informationsaustausch grundsätzlich und möglichst umfassend elektronisch erfolgen9. Ziel der elektronischen Vergabe ist es gerade, den Behörden durch die elektronische Vergabe einen besseren Einkauf zu ermöglichen und ein besseres Preis-/Leistungsverhältnis am Markt zu erzielen, den Wettbewerb zu fördern und (menschliche) Bürokratie abzubauen, was den Unternehmen die Bewerbung um öffentliche Aufträge erleichtern soll.10 Grundlage dafür ist, dass der gesamte Informationsaustausch im Vergabeverfahren, insbesondere auch die elektronische Einreichung von Angeboten, unter Anwendung elektronischer Kommunikationsmittel erfolgt.11 Daraus entsteht aber eine digitale Welt durch Vergabeplattformen und Datenspeicherorte, deren Interaktion die Interoperabilität der elektronischen Rechnungsstellungssysteme (durch e-Rechnungen12), die einheitliche Europäische Eigenerklärung, elektronische Preisspiegel und andere Tools erfordert, um den Zweck, die Auftragsvergabe zu erleichtern, erfüllen zu können.13 Bei der gesamten Kommunikation sowie beim Austausch und der Speicherung von Informationen muss der Auftraggeber bzw. sein Dienstleister oder Plattformbetreiber sicherstellen, dass die Integrität der Daten und die Vertraulichkeit der Angebote und der Teilnahmeanträge bis zu deren digitalen Öffnung gewährleistet sind. Im Ergebnis müssen alle Informationen über die Spezifikationen für die elektronische Einreichung der Angebote und Teilnahmeanträge, einschließlich Verschlüsselung und Zeitstempelung zugänglich sein.14 Gleichzeitig muss der Schutz der Bieterdaten gewährleistet sein. Nun stellt sich in dieser datenschutzrechtlich heiklen Situation die Frage, wie mit einem Bieter umzugehen ist, der nachweislich fortgesetzt Datenschutzvorschriften verletzt hat und damit bei der Auftragsabwicklung eine mögliche Datenschutzverletzung zu befürchten ist.
[3]
Der hier behandelte Ausgangsfall ist aber ein Einfacher: Die Österreichische Post AG wurde von der Österreichischen Datenschutzbehörde mit einer Verwaltungsstrafe von 18 Millionen Euro bedacht, da sie unzulässigerweise Daten Ihre Kunden zur Parteiaffinität gesammelt hat.15 Die oben genannten Grundsätze der elektronischen Vergabe einschließlich des Schutzes persönlicher Daten scheint daher auf den ersten Blick konterkariert. Hier ist eine eingehende vergaberechtliche Analyse auch hinsichtlich der Zuverlässigkeit eines derart agierenden Bieters gefordert:

3.

Informationen im Vergabeverfahren und Datenschutz im Verhältnis des Bieters zum Auftraggeber ^

[4]
Vergaberecht hat vor allem das Verhältnis Auftraggeber-Bieter im Vergabeverfahren und damit das Verhältnis vor der Zuschlagserteilung im Focus, nicht aber das vice versa ebenso wichtige Verhältnis Bieter-Auftraggeber, das dort erst nach Zuschlagserteilung und bei der Auftragsabwicklung schlagend wird. Vor Zuschlagserteilung ist dieser Bereich über die Eignung, insbesondere die vergaberechtliche Zuverlässigkeit in den Griff zu bekommen. Grundlegend hat der EuGH16 dazu ausgesprochen, dass er als Hüter des Unionsrechts selbst – ohne Verweis auf nationales Recht – den Anwendungsbereich eines Ausschlussgrundes im Rahmen der vergaberechtlichen Zuverlässigkeitsprüfung eines Bieters bestimmt. Einzige Ausnahme bieten dabei lediglich die – für die vorliegende Betrachtung nicht relevanten – fakultativen Ausschlussgründe der «Zahlungsunfähigkeit/Insolvenz»17; dort darf direkt auf nationales Recht rekurriert werden. Gleichzeitig ist zu bemerken, dass ausschließlich der Auftraggeber selbst (nicht Dritte, wie auch Gerichte) über den Ausschluss eines Bieters nach Verwirklichung eines unionsrechtlich vorgegebenen Ausschlusstatbestands zu entscheiden hat und daher eine «automatische» Bindung an zB die Gerichtsanhängigkeit18 oder die Entscheidungen anderer Auftraggeber19 unzulässig ist und insbesondere auch aus der Entscheidung eines anderen Auftraggebers nicht unmittelbar ableiten darf, dass ein Ausschlussgrund vorliegt oder nicht. Die Integrität und Zuverlässigkeit muss daher in jedem einzelnen Fall geprüft werden. Der Ausschluss wegen der Nichterfüllung einer Verpflichtung muss sich dabei aus den Vergabeunterlagen oder dem anwendbaren nationalen Recht ergeben, nicht bloß erst aus einer Auslegung desselben.20
[5]
Um hier den relevanten vergabe- und datenschutzrechtlichen Rahmen abzustecken ist festzuhalten, dass vergaberechtlich der gesamte Informationsaustausch im Bieterverfahren, insbesondere auch die elektronische Einreichung von Angeboten, unter Anwendung elektronischer Kommunikationsmittel erfolgen soll.21 Die für die elektronische Kommunikation zu verwendenden Instrumente und Vorrichtungen sowie ihre technischen Merkmale müssen nichtdiskriminierend und allgemein verfügbar sowie mit den allgemein verbreiteten Erzeugnissen der Informations- und Kommunikationstechnologie kompatibel22 sein und dürfen den Zugang der Wirtschaftsteilnehmer zum Vergabeverfahren nicht einschränken. Bei der gesamten Kommunikation sowie beim Austausch und der Speicherung von Informationen muss der Auftraggeber sicherstellen, dass die Integrität der Daten und die Vertraulichkeit der Angebote und der Teilnahmeanträge gewährleistet ist. Diese in den Vergaberichtlinien enthaltenen Vorgaben zur transparenten Kommunikation23 – ist einschließlich der nun verpflichtenden elektronischen Angebotseinreichung – durch das BVergG 2018 umgesetzt. Dass die für die elektronische Kommunikation zu verwendenden Instrumente und Vorrichtungen sowie ihre technischen Merkmale nichtdiskriminierend und allgemein verfügbar24 sein müssen und den Zugang der Wirtschaftsteilnehmer zum Vergabeverfahren nicht einschränken dürfen, ergibt sich ebenfalls aus dem bestehendem nationalen Vergaberecht und dem zugrundeliegen Unionsrecht.25 Gleiches gilt auch für die Vorgabe, dass der Auftraggeber beim Austausch und der Speicherung von Informationen sicherstellen muss, dass die Integrität der Daten und die Vertraulichkeit der Angebote und der Teilnahmeanträge gewährleistet wird.26 Dies muss aber vice versa auch bedeuten, dass der Bieter bei der Auftragsabwicklung vertraulich mit personenbezogenen Daten des Auftraggebers und auch Dritten umgeht. Das primäre Unionsrecht verlangt, dass Vergabeverfahren transparent zu führen sind.27 Ebenso transparent muss aber auch der Bieter angeben, wenn er den rechtlichen auch datenschutzrechtlichen Vorgaben nicht entsprochen hat, einfach um ihm, wie auch dem Auftraggeber, die Überprüfung dieser Vorgange zu ermöglichen und gegebenenfalls eine Selbstreinigung vorzusehen. Nur so kann sichergestellt werden, dass Vergabeverfahren unparteiisch durchgeführt werden28 und auch der Wettbewerbsgrundsatz eingehalten wird. Das Transparenzgebot fordert vor allem, dass die zu erbringende Leistung so klar wie möglich definiert sein muss.29 Es muss für einen Bieter eindeutig sein, auf welche Leistung und welchen Leistungsumfang (samt (Daten-) Schutzniveau) sich sein Angebotspreis beziehen soll und für den Auftraggeber klar sein, welche Leistungen er unter welchen Bedingungen er erhält. Wenn es reine Glückssache ist, ob ein Bieter zufällig das maßgebliche Kriterium erfüllt, entspricht dies nicht den Anforderungen an die Objektivität und Transparenz des Vergabeverfahrens.30 Gleiches gilt für den Bieter, wenn es reiche Glücksache wird, ob er im abzuführenden Fall klare Vorgaben der Ausschreibung (zB die Einhaltung der DSG-VO) einhalten wird oder nicht. Das Ziel umfassender Transparenz sowohl auf Bieter als auch auf Auftraggeberseite ist daher als Grundvoraussetzung zur vergabegemäßen Abwicklung festzuhalten. In diesem Sinne ist der Bieter auch verpflichtet allfällige Anfragen und Nachweise richtig und vollständig abzugeben, wobei sowohl aktives Tun (zB Übermittlung unrichtiger Information) als auch Unterlassen (Verschweigen relevanter Umstände zB zur Eignung) für den Bieter inkriminierend sein und zu seinem Ausschluss führen können. Wenn der Bieter im Kontext von früheren Vertragsauflösungen wegen erheblichem Mangel bei der Vertragsabwicklung verpflichte ist, den Auftraggeber von sich aus darüber zu informieren31, muss dies wohl auch für allfällige Datenschutzverletzungen gelten, zu denen überdies ein datenschutzrechtliches Verfahren anhängig ist. Klar ist jedenfalls, dass ein Ausschlussgrund eines Bieters vom Vergabeverfahren dann gegeben ist, wenn er aufgrund eines nach den Rechtsvorschriften des betreffenden Landes rechtskräftigen Urteils wegen eines Deliktes bestraft worden sind, das die berufliche Zuverlässigkeit in Frage stellt oder der Bieter im Rahmen ihrer beruflichen Tätigkeit eine sonstige schwere Verfehlung begangen hat, die vom öffentlichen Auftraggeber nachweislich festgestellt wurde.32 Ein derart einfachgesetzlich und auf dieser Grundlage festgelegte zwingende Ausschlussgrund von der Teilnahme am Vergabeverfahren verstößt übrigens auch nicht gegen den Gleichheitsgrundsatz.33 Vorliegend ist aber vor allem die Frage interessant, ob bereits ein ausreichend klar bestimmbarer Datenschutzverstoß (noch bevor eine rechtskräftige Entscheidung der zuständigen Datenschutzbehörde vorliegt) ausreichen kann, es dem Auftraggeber zu ermöglichen einen derart agierenden Bieter wegen Unzuverlässigkeit aus dem Vergabeverfahren auszuschließen.

4.

Konkretisierte Anforderungen an den Bieter – Zuverlässigkeit bei Verstößen gegen die DSG-VO ^

[6]
§ 78 BVergG 2018 normiert die Ausschlussgründe, wonach der öffentliche Auftraggeber einen Unternehmer jederzeit von der Teilnahme am Vergabeverfahren auszuschließen kann, wenn er unter anderem (Z 1) «Kenntnis von einer rechtskräftigen Verurteilung des Unternehmers hat, die einen der folgenden Tatbestände betrifft: Mitgliedschaft bei einer kriminellen Vereinigung oder Organisation (§§ 278 und 278a des Strafgesetzbuches – StGB), Terroristische Vereinigung, Terroristische Straftaten oder Terrorismusfinanzierung (§§ 278b bis 278d StGB), Bestechlichkeit, Vorteilsannahme, Bestechung, Vorteilszuwendung oder verbotene Intervention (§§ 304 bis 309 StGB und § 10 des Bundesgesetzes gegen den unlauteren Wettbewerb 1984 – UWG), Betrug (§§ 146 bis 148 StGB), Untreue (§ 153 StGB), Geschenkannahme (§ 153a StGB), Förderungsmissbrauch (§ 153b StGB), Geldwäscherei (§ 165 StGB), Sklaverei, Menschenhandel oder Grenzüberschreitender Prostitutionshandel (§§ 104, 104a und 217 StGB) bzw. einen entsprechenden Straftatbestand gemäß den Vorschriften des Landes, in dem der Unternehmer seinen Sitz hat. «Ein weiterer Ausschlussgrund ist gegeben, wenn der öffentliche Auftraggeber (Z 4)» über hinreichend plausible Anhaltspunkte dafür verfügt, dass der Unternehmer mit anderen Unternehmern für den öffentlichen Auftraggeber nachteilige Abreden getroffen hat, die gegen die guten Sitten verstoßen, oder mit anderen Unternehmern Abreden getroffen hat, die auf eine Verzerrung des Wettbewerbes abzielen, oder (Z 5) der Unternehmer im Rahmen seiner beruflichen Tätigkeit eine schwere Verfehlung, insbesondere gegen Bestimmungen des Arbeits-, Sozial- oder Umweltrechtes, begangen hat, die vom öffentlichen Auftraggeber auf geeignete Weise nachgewiesen wurde, oder (Z 10) der Unternehmer sich bei der Erteilung von Auskünften betreffend die Eignung einer schwerwiegenden Täuschung schuldig gemacht hat, diese Auskünfte nicht erteilt hat oder die vom öffentlichen Auftraggeber zum Nachweis der Eignung geforderten Nachweise bzw. Bescheinigungen nicht vorgelegt, vervollständigt oder erläutert hat oder (Z 11) der Unternehmer versucht hat, die Entscheidungsfindung des öffentlichen Auftraggebers in unzulässiger Weise zu beeinflussen oder versucht hat, vertrauliche Informationen zu erhalten, durch die er unzulässige Vorteile beim Vergabeverfahren erlangen könnte, oder fahrlässig irreführende Informationen an den öffentlichen Auftraggeber übermittelt, die die Entscheidung des öffentlichen Auftraggebers über den Ausschluss oder die Auswahl von Unternehmern oder die Zuschlagserteilung erheblich beeinflussen könnten, oder versucht hat, solche Informationen zu übermitteln». Die zitierten Ausschlussgründe können nun bei einem Verstoß des Bieters gegen die DSG-VO betroffen sein. In einem solchen Fall fehlt dem Bieter auch die Antragslegitimation für einen Vergabenachprüfungs- oder Feststellungsantrag, da diese nach ständiger vergaberechtlicher Spruchpraxis dann nicht gegeben ist, wenn der Antragsteller nicht in seinen Rechten verletzt sein kann. Grundlegende Voraussetzung der Antragslegitimation ist daher, dass der Antragsteller in seinen (zB subjektiv öffentlichen) Rechten verletzt werden kann bzw – im Falle einer Verfassungswidrigkeit – das Gesetz denkmöglich in die Rechtssphäre des Antragstellers nachteilig eingreift und diese verletzt. Ohne Verletzung subjektiver Rechte besteht somit keine Beschwer, was zur Abweisung des Antrags als aussichtslos führt.34 Von der Nachprüfungsbehörde kann dabei zwar nicht verlangt werden, fiktiv zu prüfen, wie sich ein Antragsteller als Bieter verhalten hätte. Demnach können trotz Verbesserungsauftrags nicht behobene Mängel des Angebots die Zurückweisung eines Antrags begründen.35 Wie nachstehend diskutiert wird, erfüllt ein Bieter einen Ausscheidensgrund und ist für ein anschließendes Vergabenachprüfungsverfahren zur inhaltlichen Frage der Berechtigung des Bestbieters zum Zuschlag, dann nicht antragslegitimiert, wenn aufgrund datenschutzrechtlicher Verfehlungen seine Zuverlässigkeit nicht gegeben ist. Die Nachprüfungsbehörde ist nach ständiger Rechtsprechung gerade bei hinreichend konkreten Einwänden einer Verfahrenspartei – auch des AG, der den Bieter selbst nicht ausgeschieden hat – verpflichtet, zu prüfen, ob das Angebot des Antragstellers auszuscheiden gewesen wäre. Diese Verpflichtung besteht darin, bei Prüfung der Zulässigkeit eines Nachprüfungsantrages einen aufgrund der Akten des Vergabeverfahrens erkannten und vom AG nicht aufgegriffenen Ausschließungsgrund heranzuziehen.36
[7]
Dabei ist im Anlassfall festzuhalten, dass dann, wenn ein Bieter Datenprofile über seine Kunden erstellt und diese z.B. an politische Parteien weitergegeben werden, eine solche gravierende Datenschutzverletzung vorliegen kann.37 Konkret wurden aus zugekauften Datensätzen, aber auch aus den sogenannten Nachsendeaufträgen, personenbezogene Daten verwendet und verarbeitet. Nach den AGB38 des betreffenden Bieters für einen Nachsendeauftrag ergibt sich folgende Information über die Datennutzung: «Ihre personenbezogenen Daten (Anrede, Titel, Vorname, Nachname, Geburtsdatum, Adresse) können von der österreichischen Post AG an Dritte gemäß § 151 GewO zu Marketingzwecken übermittelt werden. Sie sind jederzeit und ohne Angaben von Gründen berechtigt, die Übermittlung an Dritte zu Marketingzwecken zu untersagen.» Bei der Verarbeitung und Verdichtung von Datensätzen (Profiling) und auch gerade im Zusammenhang mit § 151 GewO hat der Bieter aber erhöhte Informations- und Sorgfaltspflichten – nach den Art 13, 14 DSG-VO sowie das Widerspruchsrecht nach Art 21 iZm Profiling und Direktwerbung zu beachten. Dabei ist den Medien zu entnehmen gewesen, dass der Bieter Daten Ihrer Benutzer z.B. über politische Weltanschauung im Zusammenhang mit Nachsendeaufträgen sowie der Verwendung ihrer personenbezogenen Daten benutzt haben, ohne eine ausreichende Informationsbelehrung im Sinne der Art 13 und 14 DSG-VO abzugeben. Die österreichische Datenschutzbehörde (DSB) hat erst jüngst39 zur Pflichtverletzung bei datenschutzrechtlichen Direktwerbemaßnahmen ausgesprochen, dass ein Verstoß gegen die Informationspflicht nach Art 14 DSG-VO zugleich eine Verletzung im Recht auf Geheimhaltung gemäß § 1 Abs 2 DSG 2018 mit sich bringt. Die Bieterin hat daher im Anlassfall in schwerwiegender Weise gegen die DSG-VO und Datenschutzrechte ihrer Kunden verstoßen, obwohl sie überdies im laufenden Vergabeverfahren ausdrücklich erklärt hat, die datenschutzrechtlichen Bestimmungen einzuhalten. Sie hat auch über Vorhalt der betreffenden Umstände im laufenden Verfahren lediglich behauptet, dass keine Daten die Rückschlüsse auf politische Ansichten der einzelnen Betroffenen zulassen, gespeichert werden würden, sondern bloß gewisse Affinitäten berechnet würden, auf denen nur zur Affinität von Zielgruppen (nicht Einzelpersonen) geschlossen werden könne. Aus anderen Auskunftsersuchen40 war der Auftraggeberin aber bereits bekannt, dass die Antragstellerin Daten von einzelnen klar individualisierten Postkunden nach folgenden Kategorien speichert, die einen klaren Rückschluss auf die einzelne Person geben. Hier wurden Personen mit eigener individueller Personen ID, mit Anrede, Vorname, Nachname, Geburtsdatum, Straße, Postleitzahl, Telefonnummer, Bioaffinität, Investmentaffinität (z.B. niedrig, sehr niedrig, hoch), die Lebensphase und die konkreten Parteiaffinitäten (SPÖ, ÖVP, NEOS, GRÜNE, FPÖ), die Spendenaffinität, die Distanzhandelaffinität, die Paketfrequenz und die Umzugsaffinität und andere konkrete personenbezogene Daten einer speziellen Person (Personen ID!) aufgeführt und zugeordnet. Die Auskunft der Antragstellerin waren daher offensichtlich unrichtig und wider besseres Wissen abgegeben, wenn sie ausführt, dass die Vorgangsweise der Bewerberin, «mangels Vorliegen eines Personenbezuges» vom Anwendungsbereich der DSG-VO und des DSG 2018 ausgenommen wäre. Diese Verantwortung ist auch im Hinblick darauf, dass bereits ein laufendes Verfahren bei der Datenschutzbehörde anhängig war, offensichtlich unrichtig. Offenbar war sich die Antragstellerin bei der Einlassung der datenschutzrechtlichen und damit auch vergaberechtlichen Tragweite des Vorbringens nicht bewusst. Daran ändert auch nichts, dass wie die Antragstellerin selbst ausführt, aus gewerberechtlichen Gründen zu Werbezwecken derartige Daten verwendet werden dürften. Trotz des Ersuchens der Auftraggeberin auf Bekanntgabe von Selbstreinigungsmaßnahmen zur Hintanhaltung derartiger Verstöße für die Zukunft wurde von der Antragstellerin lediglich ausgeführt «unabhängig davon wird die Bewerberin künftig auf die statistische Berechnung einer möglichen Parteiaffinität verzichten und beabsichtigt darüber hinaus, die aktuell gespeicherte Parteiaffinität – in Abstimmung mit der Datenschutzbehörde – zu löschen.» Damit ist auch keine iS des § 83 Abs 2 BVergG 2018 ausreichende Selbstreinigungsmaßnahme glaubhaft gemacht worden. Mit keinem Wort wird erwähnt, wann die Löschung erfolgen soll und ob insbesondere auch die personenbezogenen Daten einschließlich Personen IDs gelöscht werden sollen. Damit wird insbesondere nicht klargestellt, ob tatsächlich ein Löschen und damit eine Selbstreinigung zumindest vor Auftragserteilung möglich und beabsichtigt ist oder auch erfolgen wird, da kein klarer Zeitpunkt genannt wird, was ebenfalls einen Ausscheidungsgrund (Ausschluss) im obigen Sinne nahelegt.

5.

Ergebnis ^

[8]
Die am Anlassfall aufgezeigten gravierende Datenschutzverletzung und unrichtige Einlassung (Auskunftserteilung) eines Bieters im Vergabeverfahren stellt wohl zum einen eine Verfehlung im Sinne des § 78 Abs 1 Z 5 BVergG 2018, sowie auch eine unrichtige Auskunftserteilung im Sinne des § 68 Abs 1 Z 10 BVergG 2018 dar. Im Übrigen kann sie ganz offensichtlich die Vorgaben der Ausschreibung hinsichtlich Geheimhaltung und Einhaltung des DSG einschließlich der DS-GVO nicht erfüllen, so dass Ausscheidensgründe nach § 141 Abs 1 Z 2 (mangelnde Zuverlässigkeit als Eignung), Z 7 (den Ausschreibungsvorgaben – hinsichtlich Datenschutz widersprechendes Angebot) und auch Z 10 (der Ausführung des Auftrags widersprechende Interessen) sowie Abs 2 (mangelhafte Auskunftserteilung) BVergG 2018 gegeben sind. Einem solchen Bieter fehlt es auch an der Antragslegitimation für ein nachfolgendes Nachprüfungsverfahren. Dies ist gerade auch an der unionsrechtlichen Vorgabe zu messen, dass der Auftraggeber beim Austausch und der Speicherung von Informationen sicherstellen muss, dass die Integrität der Daten und die Vertraulichkeit der im Vergabeverfahren übermittelten Informationen gewährleistet wird.41 Dies muss gerade auch bedeuten, dass der Bieter bei der Auftragsabwicklung vertraulich mit personenbezogenen Daten des Auftraggebers und auch von Dritten, die von der Auftragsabwicklung berührt sein können, umgeht Das primäre Unionsrecht verlangt, dass Vergabeverfahren transparent zu führen sind.42 Ebenso transparent muss aber auch der Bieter angeben, wenn er den rechtlichen auch datenschutzrechtlichen Vorgaben nicht entsprochen hat, einfach um dem Auftraggeber die Überprüfung dieser Vorgänge zu ermöglichen und andererseits dem Bieter die Chance zu geben Selbstreinigungsmaßnahmen zu ergreifen. Nur so kann sichergestellt werden, dass Vergabeverfahren unparteiisch durchgeführt werden43 und auch der Wettbewerbsgrundsatz eingehalten wird.
  1. 1 https://ec.europa.eu/growth/single-market/public-procurement/digital_en (Stand: 02.12.19).
  2. 2 RL 2014/24/EU v 26.2.2014 über die öffentliche Auftragsvergabe, RL 2014/25/EU v 26.2.2014 über den Sektorenbereich, RL 2014/23/EU v 26.2.2014 über die Konzessionsvergabe.
  3. 3 https://ec.europa.eu/docsroom/documents/38104.
  4. 4 Ursprünglich noch das Bundesgesetz über die Vergabe von Aufträgen (Bundesvergabegesetz 2006 – BVergG 2006) BGBl I Nr. 17/2006, geändert durch BGBl I Nr. 7/2016 und BGBl II Nr. 250/2016; Neukodifikation sollte durch RV 1658 der Beilagen zu den Stenographischen Protokollen des NR XXV.GP erfolgen, was letztendlich erst durch das BVergG 2018, BGBl. I Nr. 65/2018 per 21.08.2018 erfolgt ist.
  5. 5 Bundesgesetz über die Vergabe von Aufträgen (Bundesvergabegesetz 2018 – BVergG 2018), BGBl. I Nr. 65/2018.
  6. 6 RL 2014/24/EU, RL 2014/25/EU, RL 2014/23/EU.
  7. 7 Vgl Art 106 der RL 2014/24/EU; vgl § 126 Abs 2 oder § 368 BVergG 2018.
  8. 8 Vgl den Überblick unter www.wko.at/site/Vergabe-N-/Vergabe-Plattformen.html.
  9. 9 Sie schlägt mit 19 % des BIP der Union zu Buche, vgl. Haslhofer, PEPPOL: Technisch harmonisierte Online-Vergabeverfahren in Europa, JusIT 2011/19, 41 mwN in Fn 1; Holoubek/Fuchs/Holzinger, Vergaberecht4, 9f.
  10. 10 Gölles, Pressemitteilung der EU-Kms (IP/05/948), RPA (2005), 212; Götzl, Neugestaltung des rechtlichen Rahmens für Vergaben im Unterschwellenbereich als Chance für die elektronische Vergabe, 315.
  11. 11 Art 22 Abs. 1 RL 2014/24/EU.
  12. 12 Vgl. § 368 BVergG 2018.
  13. 13 KOM(2013) 449 final 2; vgl. § 5 IKT-Konsolidierungsgesetz BGBl I Nr. 35/2012; Pachner, ZVG-Aktuell, ZVB 2013/121, 400.
  14. 14 Art 22 Abs. 6 lit a der RL 2014/24/EU.
  15. 15 https://wien.orf.at/stories/3019396/ oder https://kurier.at/chronik/oesterreich/post-in-der-causa-datenskandal-verurteilt/400660373 (Bericht vom 29.10.2019) oder https://www.addendum.org/datenhandel/dsgvo-auskunftsbegehren/ (Bericht vom 18.4.2019), oder https://www.diepresse.com/5713847/post-in-datenskandal-zu-18-millionen-euro-strafe-verurteilt (Bericht vom 29.10.2019).
  16. 16 Vgl EuGH Rs C-41/18, Meca und Rs C-552/18, Indaco.
  17. 17 Vgl § 78 Abs 1 Z 2 BVergG 2018.
  18. 18 EuGH Rs C-41/18.
  19. 19 EuGH Rs C-267/18.
  20. 20 EuGH Rs C-309/18, Lavorgna.
  21. 21 Art 22 Abs. 1 RL 2014/24/EU.
  22. 22 Vgl insb. die Technische Spezifikationen im IKT-Bereich, die gemäß den Artikeln 13 und 14 der Verordnung (EU) Nr. 1025/2012 festgelegt wurden.
  23. 23 Art 22 Abs. 1 RL 2014/24/EU.
  24. 24 Informations- und Kommunikationstechnologie, vgl. insb. die Technische Spezifikationen im IKT-Bereich, die gemäß den Artikeln 13 und 14 der Verordnung (EU) Nr. 1025/2012 festgelegt wurden.
  25. 25 Vgl. § 20 BVergG 2018 unter Verweis auf die unionsrechtlichen Vergabegrundsätze.
  26. 26 Art 22 Abs. 2 der RL 2014/24/EU.
  27. 27 EuGH 20.09.1988, Rs C-31/87, Beentjes; 17.09.2002, Rs C-513/99, Concordia/Stadt Helsinki; 24.11.2005, Rs C-331/04, ATI EAC ua.
  28. 28 EuGH 07.12.2000, Rs C-324/98, Telaustria; 27.01.2005, Rs C-231/03 Coname; 13.10.2005 Rs C-458/03, Parking Brixen.
  29. 29 Götzl, Aspekte zu den Konkretisierungserfordernissen einer Ausschreibung, RPA 2006/1, 10.
  30. 30 EuGH 12.12.2002, Rs C-470/99, Universale-Bau.
  31. 31 EuGH Rs C-267/18, Delta; Art 57 Abs 4 lit h Rl 2014/24/EU; vgl weiters § 78 Abs 1 Z 10 BVergG 2019.
  32. 32 EuGH 28.02.2018, C-523/16 = RPA 2018, 185 = ZVB 2019/30, 117.
  33. 33 VfGH 26.09.2014, E 304/2014; ZVB 2015/23, 73 = ÖJZ 2015/20, 139 = ecolex 2015, 80 = JUS Vf/5172 = RPA2015, 91 = bbl 2015/41, 42 = VfSlg 19.896.
  34. 34 VfGH 28.06.2004, B 737/04.
  35. 35 VwGH 18.03.2009, 2007/04/0095.
  36. 36 VwGH 27.05.2009, 2008/04/0041.
  37. 37 Vgl https://www.news.at/a/datenschutz-post-daten-parteiaffinitaet-10576137: «Post sammelt und verkauft Daten zu «Parteiaffinität» oder «Datenschutzskandal: Millionenstrafe für Post» unter https://wien.orf.at/stories/3019396/ (abgerufen am 17.12.2019)».
  38. 38 In der jeweils gültigen Fassung abrufbar unter: www.post.at/AGB.
  39. 39 DSB 31.10.2018/DSB-D123076/0003DSB/18.
  40. 40 https://www.addendum.org/datenhandel/parteiaffinitaet/ und https://www.addendum.org/datenhandel/schadenersatz/ (Abfragedatum 3.12.2019).
  41. 41 Art 22 Abs. 2 der RL 2014/24/EU.
  42. 42 EuGH 20.09.1988, Rs C-31/87, Beentjes; 17.09.2002, Rs C-513/99, Concordia/Stadt Helsinki; 24.11.2005, Rs C-331/04, ATI EAC ua.
  43. 43 EuGH 07.12.2000, Rs C-324/98, Telaustria; 27.01.2005, Rs C-231/03 Coname; 13.10.2005 Rs C-458/03, Parking Brixen.