Ausschreibungen im Datenschutz

Inhalt

Organisationen aus dem öffentlichen Bereich dürfen größere Aufträge nicht einfach vergeben. Benötigte Leistungen müssen stattdessen ausgeschrieben werden. Das betrifft auch Leistungen im Bereich des Datenschutzrechts. Dabei kommt es jedoch oft zu Problemen. In diesem Artikel geben wir einige Hinweise, wie Ausschreibungen im Datenschutz für beide Seiten sinnvoller gestaltet werden können.

Ausschreibungen und die Kostenfalle

Die Experten von activeMind werden regelmäßig zur Teilnahme an Ausschreibungen eingeladen. Dabei fallen uns immer wieder die gleichen Punkte auf, die es schwierig machen, ein qualifiziertes Angebot zu erstellen.

Die Beschreibung der geforderten Leistungen ist oft so unqualifiziert, dass eine Beurteilung des voraussichtlichen Aufwands schlechterdings nicht möglich ist. Ein konkretes Angebot zum regelmäßig geforderten Festpreis lässt sich damit nicht oder kaum abgeben. Das Angebot müsste entweder einen Sicherheitszuschlag enthalten oder aber ins Blaue herein abgegeben werden, mit dem Risiko, dass die eigene Kalkulation nicht mehr stimmt und es wirtschaftlich nicht mehr möglich ist, die versprochene Leistung tatsächlich gut zu erbringen.

Nachdem aber auch typischerweise der Preis des Angebots mit einem extrem hohen Prozentsatz in der Entscheidung für einen Anbieter berücksichtigt wird, kommen Angebote nach der erstgenannten Alternative kaum zum Zug. Unter den Folgen leiden auch die Auftraggeber, die dann aus Kostengründen mit oberflächlicher Beratung und mittelmäßiger Umsetzung leben müssen.

Hauptfehler bei Ausschreibungen zum Datenschutz

In nahezu jeder Leistungsbeschreibung finden sich viele Anforderungen, die so ungenau formuliert sind, dass nicht ansatzweise klar ist, mit was für einem Umsetzungsaufwand zu rechnen ist.

Im Grunde ist das in etwa so, als würde bei einem Bauunternehmer die Errichtung eines Gebäudes bestellt, ohne zu verraten, ob es sich um eine Garage oder ein Bürohochhaus handelt. Um bei diesem Bild zu bleiben: Bei den meisten Ausschreibungen ist noch nicht mal erkennbar, ob überhaupt schon ein bebaubares Grundstück vorhanden ist und ob nicht darauf sogar noch eine marode Bruchbude steht, die zuerst mal beseitigt werden muss.

Einige typische Beispiele in Ausschreibungen zum Datenschutz:

  • Es sollen „alle notwendigen Regelungen überprüft oder überarbeitet werden“. Ob und wie viele Regelungen es gibt und wie alt und geeignet diese sind, wird nicht offengelegt.
  • Es sollen „alle Vertragsbeziehungen“ überprüft und „alle gefundenen Mängel“ behoben werden. Wie viele Verträge im Umlauf sind, wird nicht angegeben. Welcher Anteil davon datenschutzrelevant ist und ob und in welchem Umfang Anpassungen notwendig sind, bleibt unbekannt.
  • Entsprechend sollen alle Auftragsverarbeitungen geprüft und gegebenenfalls neu geregelt werden. Wie viele Dienstleister im Bereich welcher Datenverarbeitungen eingesetzt sind, wird nicht genannt.
  • Das Verzeichnis der Verarbeitungstätigkeiten soll geprüft und ggf. korrigiert werden. Die Zahl der eingesetzten Verarbeitungen kann jedoch nur anhand von Erfahrungswerten ganz ungefähr geraten werden.
  • Die gesamte Datensicherheit soll beurteilt und gegebenenfalls auf Stand gebracht werden. Auch in diesem Zusammenhang fehlen regelmäßig Details, die es erlauben, den Aufwand einzuschätzen.

In fast jeder Ausschreibung finden sich solche oder andere Punkte, bei denen nicht klar ist, was überhaupt konkret bestellt wird. Wie soll auf dieser Basis ein wirtschaftlich sinnvoller Festpreis kalkuliert werden?

Natürlich haben die meisten seriösen Berater eine gewisse Erfahrung, womit in einem bestimmten Umfeld zu rechnen ist und was typischerweise an Aufgaben anfällt. Hieran jedoch einen möglichst günstigen Festpreis zu knüpfen, mit dem festen Versprechen, alles zu erbringen, ist am Ende dennoch immer noch riskant. Besonders günstige Angebote werden irgendwann zwingend auf Kosten der Qualität gehen müssen.

Juristische Fehler in Ausschreibungen zum Datenschutz

Zudem werden immer wieder Leistungen gefordert, die der Datenschutzbeauftragte gar nicht erbringen darf:

    • Die „eigenverantwortliche Umsetzung“ der Leistungen ist hier an allererster Stelle zu nennen. Der Datenschutzbeauftragte darf keine Aufgaben verantwortlich übernehmen, die er am Ende selbst kontrollieren und beurteilen soll. Dies bringt einen unvermeidlichen Interessenskonflikt mit sich und stellt die Objektivität des Beauftragten infrage. Damit ist ein gesetzlich zwingendes Kriterium für die Bestellung eines Beauftragten nicht erfüllt (Art. 38 Abs. 6 DSGVO)! Die Person, die eine eigenverantwortliche Erledigung verspricht, darf nicht bestellt werden.
    • An der Verhandlung notwendiger Verträge kann sich der Datenschutzbeauftragte sicherlich beteiligen. Abschließen darf er diese jedoch nicht! Der Datenschutzbeauftragte hat keinerlei Vertretungsbefugnis für die betreute Stelle und eine solche darf ihm auch nicht eingeräumt werden.

Auch hier gibt es trotzdem genug Berater, die eben solche Leistungen versprechen.

Folgeprobleme ungenügender Ausschreibungen

Insgesamt ist anhand einer solchen Leistungsbeschreibung nicht sichergestellt, dass die ausschreibende Stelle am Ende tatsächlich die Leistungen erhält, die sie braucht. Zudem setzt sich die Unsicherheit, die bereits aus der Ausschreibung erkennbar wird, vorhersehbar auch bei der Abnahme der Leistung fort. Dass die tatsächlich erhaltenen Leistungen möglicherweise ebenso pauschal und wenig qualifiziert sind, wie ursprünglich der Leistungskatalog, bleibt der verantwortlichen Stelle verborgen. Wie leider oft in der Praxis zu bemerken, glaubt sich der Auftraggeber häufig wesentlich besser beraten, als er es tatsächlich ist. Vielleicht trägt die verführerische aber falsche Hoffnung, den Datenschutz endlich abgegeben zu haben, dazu bei.

Sicher besteht im Rahmen jeder Ausschreibung die Möglichkeit für Rückfragen. Typischerweise werden diese allerdings nur dann ausreichend beantwortet, wenn die Frage bereits sämtliche relevanten Einzelpunkte enthält. Die Klärung von Unwägbarkeiten ist also mit einem sehr hohen Aufwand verbunden. Diesen Aufwand zu betreiben, ist für Anbieter wiederum riskant, da es immer Anbieter gibt, die recht schnell ein vermeintlich passendes und günstiges Angebot abgeben und den Zuschlag erhalten.

Das sich anschließende Spielchen kennen wir alle zur Genüge, dass völlig unvorhersehbar und zum großen Erstaunen und noch größeren Bedauern aller Beteiligten das Geld am Ende doch bei weitem nicht ausreicht und alles auch länger dauert. Ob Konzertgebäude, Großflughafen, Bahnhof oder Erweiterung der S-Bahn – es gibt viel zu viele bekannte und austauschbare Beispiele. In der Datenschutzberatung läuft es dann oft auch nichts anders.

Fazit: Expertise ist schon bei der Ausschreibung gefragt

Bereits die Abfassung der Leistungsbeschreibung bei Ausschreibungen erfordert eine gewisse Sachkunde. Sie sollte daher wenigstens mit Unterstützung von Experten erstellt werden, die wissen, auf welche Details es ankommt und welche Angaben ein potentieller Dienstleister braucht, um ein faires und seriöses Angebot erstellen.

Auch bei der Beurteilung abgegebener Angebote sollte dringend jemand beigezogen werden, der in der Lage ist, inhaltlich (juristisch und organisatorisch) sowie wirtschaftlich zu beurteilen. Die extreme Gewichtung des Preises versperrt ansonsten die Sicht auf die tatsächliche Tauglichkeit eines Angebots.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.