Umfasst ein öffentlicher Auftrag die Verarbeitung von Sozialdaten, so ist der öffentliche Auftraggeber berechtigt, von den Bietern die Vorlage eines aktuellen Zertifikats nach DIN ISO/IEC 27011 (oder gleichwertig) zu verlangen. Das entschied die Vergabekammer (VK) des Bundes mit Beschluss vom 19.07.2019. Die von der Kanzlei Weitnauer vertretene Betriebskrankenkasse (BKK VBU) bekam in vollem Umfange Recht (VK Bund, Beschluss vom 19.7.2019, 1 VK 39/19). Die Entscheidung ist rechtskräftig.
Dass öffentliche Auftraggeber in vergleichbaren Situationen eine Zertifizierung nach DIN ISO/IEC 27001 verlangen, ist üblich. In diesem Fall besonders bedeutend war die Zulässigkeit eines Eignungskriteriums. Das war bisher, soweit öffentlich, nicht Gegenstand gerichtlicher Verfahren. Der Beschluss der VK Bund bringt damit ein deutliches Plus an Rechtssicherheit für öffentliche Auftraggeber.
Besonders die hohen gesetzlichen Anforderungen an die Sicherheit der Verarbeitung von Sozialdaten rechtfertigten den Nachweis eines Informationssicherheitsmanagementsystems. Ob der öffentliche Auftraggeber selbst zertifiziert ist, ist dabei ohne Belang. Denn während er für interne Prozesse die Sicherheit der Verarbeitung selbst einschätzen kann, besteht bei einer Auslagerung von Prozessen ein berechtigtes Interesse an einer objektiven Kontrolle durch eine Zertifizierungsstelle. Das steht im Einklang mit den Anforderungen der Datenschutzgrundverordnung (DSGVO). Die Ermächtigungsgrundlage für die Forderung ergibt sich aus der Vergabeverordnung (VgV). Die dort erwähnten Qualitätssicherungssysteme umfassen – neben denen nach DIN EN ISO 9001 – auch solche nach DIN ISO/IEC 27001.
Ansprechpartner: Rechtsanwalt Alexander Tribess, alexander.tribess@weitnauer.net
Weiterlesen