Viele Kliniken stehen den Lieferanten als Referenzkunde zur Verfügung oder fordern in den Ausschreibungen personenbezogene Daten an. Dieses kann aber schnell zu einem Verstoß gegen die neue DSGVO führen und sehr teuer werden…
Was wäre eine Ausschreibung ohne Referenzen? Aber die Bennenung von Referenzkliniken hilft dem Auftraggeber nicht weiter, wenn er nicht in die Lage versetzt wird, mit dem Referenzgeber direkt zu kommunizieren und nach den Erfahrungen und ggf. Problemen mit dem Lieferanten zu fragen. Erfahrungsgemäß ist dieser Weg ziemlich effektiv, da die Referenzgeber oft sehr offen und ehrlich agieren. Bei einigen Dienstleistungen sind auch besondere Fähigkeit bzw. Ausbildung der ausführenden Kräfte von großer Bedeutung.
Nun haben wir die DSGVO und dort den Schutz von personenbezogenen Daten. Als “personenbezogene Daten” werden nach der DSGVO alle Informationen definiert, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. [1] Dies bezieht sich nicht nur auf die Anforderung der Referenzen sondern auch auf die Mitarbeiter der Klinik, die als Kontaktperson bei Referenzen angegeben werden.
Problematisch ist hier nicht nur, dass die personenenbezogenen Daten der Mitarbeiter auf einer “Referenzliste” angegeben werden, sondern auch, dass diese Daten bei den Vergabestellen über Jahre gespeichert werden müssen, ohne dass die betroffenen Personen das unmittelbare Recht auf Löschen ausüben können. Vielmehr wissen die Betroffenen nicht einmal, wo überall diese Daten in Ausschreibungen durch den Lieferanten genannt werden und wer sie danach wie und wie lange “verarbeitet”.
Noch komplexer wird die Problematik, wenn der Auftraggeber weitreichende persönliche Daten, z.B. Lebensläufe, Nachweise über Studien- oder Ausbildungsabschlüsse etc. von den zur Vertragsausführung vorgesehenen Mitarbeitern eines Dienstleisters in der Ausschreibung fordert. Denn die Nichtangabe dieser Daten führt bisher in der Regel zum Ausschluss des Angebotes. Die Angabe dieser Daten kann aber als Verstoß gegen die DSGVO gelten. Die DSGVO-Falle schnappt zu.
Bei komplexen Ausschreibungen werden von den Kliniken oft externe Berater, wie z.B. Fachplaner oder Projektsteuerer, mit der Übernahme von einzelnen Teilaufgaben in einer Ausschreibung beauftragt. Auch diese Unternehmen erhalten die Angebote inklusive personenbezogenen Daten zur Verarbeitung und müssen diese Daten über Jahre speichern. Da im Zuge der verpflichtenden E-Vergabe die Daten auch noch beim E-Vergabe-Dienstleister “verarbeitet” werden, vereinfacht die Situation nicht.
Öffentliche Auftraggeber sind als Verantwortliche grundsätzlich verpflichtet, den durch die DSGVO erweiterten Informationspflichten im Zusammenhang mit der Verarbeitung personenbezogener Daten nach §§ 13, 14 DSGVO nachzukommen, in dem geeignete Regelungen in den Vergabeunterlagen getroffen werden. [2]
Es ist daher für die Kliniken extrem wichtig, die daraus resultierenden Fragen mit dem Datenschutzbeauftragten des Hauses zu klären und eine einheitliche Vorgehensweise im Haus für alle Ausschreibungen (auch nicht öffentliche) zu definieren.
Adam Pawelek
projectontime.de
Quellen:
[1] https://www.abz-bayern.de/abz/inhalte/Aktuelles/thema-des-monats2/september-2018-datenschutz-im-e-vergabeverfahren.html?nl=true
[2] https://www.lexology.com/library/detail.aspx?g=16c5d3ca-6416-464a-b80c-dd7898c84d4b