Vergabekammer des Bundes, Beschluss vom 19.07.2019 – 1 VK 39/19
Hintergrund
Die Vergabekammer des Bundes (VKB) sprach sich mit Beschluss vom 19.07.2019 für deutlich mehr Rechtssicherheit für öffentliche Auftraggeber aus. Nach der Entscheidung dürfen öffentliche Auftraggeber für den Fall, dass der Auftrag die Verarbeitung von Sozialdaten enthält, von den Bietern ein Zertifikat über eine Zertifizierung gemäß DIN ISO/IEC 27001 verlangen. Das Zertifikat weist das Vorliegen eines Informationssicherheits-Managementsystems nach.
Verfahrensbeteiligt war eine Betriebskrankenkasse, der die VKB mit seiner Entscheidung Recht gab.
Gründe
Die Entscheidung der VKB erging ist mit den gesetzlichen Hürden gerechtfertigt und steht insbesondere im Einklang mit den Bestimmungen der Datenschutzgrundverordnung (DSGVO). Denn für den Fall einer Auslagerung entsprechender Datenverarbeitungsprozesse müsse sich, wie die VKB entscheidet, der Auftraggeber auf einen sicheren Umgang mit den bezeichneten Daten verlassen können, der wiederum durch eine Zertifizierungsstelle respektive ein durch sie vergebenes Zertifikat gewährleistet werden kann. Die Rechtsgrundlage für eine entsprechende Forderung öffentlicher Auftraggeber ergibt sich aus der Vergabeverordnung (VgV).
Bewertung
Wie bereits erörtert, bringt die Entscheidung der VKB Rechtssicherheit für öffentliche Auftraggeber. Auch wenn das Einfordern entsprechender Zertifikate durch öffentliche Auftraggeber bereits gängige Praxis war, schreibt die VKB mit ihrer Entscheidung ein entsprechendes Forderungsrecht auf Grundlage der VgV fest – als Eignungskriterium.