81282181-RV DS DataHelpDesk

Kurze Beschreibung

Durch die wachsenden datenschutzrechtlichen Anforderungen ist die Gewährleistung der datenschutzrechtskonformen Ausgestaltung der Vorhaben der GIZ schwieriger geworden.
Neben der Datenschutzbeauftragten des Unternehmens verfügt die GIZ über zwei weitere Anlaufstellen zum Datenschutz. Das Datenschutzmanagement (DSM) ist zuständig für die Umsetzung des Datenschutzes im Unternehmen auf der Grundlage gesetzlicher Regelungen sowie innerbetrieblicher Regelwerke und der durch das Datenschutzkonzept festgelegten GIZ-Datenschutz-Policy.
Das Data Helpdesk des Kompetenzcenters Digitale Gesellschaft ist Ansprechpartner für Vorhaben der GIZ bei datenschutzrechtlichen Fragen in der Leistungserbringung und berät damit die Vorhaben bei der Umsetzung Die GIZ Mitarbeiter, die in Vorhaben tätig sind, haben damit die Möglichkeit im Einzelfall durch Anfragen an das Data Helpdesk erste Antworten zu Fragen rund um das Thema Datenschutz in ihren Vorhaben zu erhalten. Besteht auf Seiten des Mitarbeiters weiterer, tiefgehender Beratungsbedarf, berät das Kompetenzcenter "Digitale Gesellschaft" des Fach- und Methodenbereichs Mitarbeiter der GIZ auch in datenschutzrechtlichen Fragen im Rahmen der Planung und Umsetzung von digitalen Komponenten von Vorhaben und ist damit in die Projektplanung bzw. -durchführung der Vorhaben direkt mit einbezogen.
Aufgrund des weiterhin konstant hohen Beratungsbedarfs sowie der Komplexität der zu beurteilenden Sachverhalte, die beim Data Helpdesk eingehen, soll der Auftragnehmer bei der Beratung durch das Data Helpdesk bzw. des KC Digitale Gesellschaft unterstützend tätig sein.
Gegenstand der Vergabe sind daher Beratungsdienstleistungen zu Datenschutz und Datenverarbeitung im Rahmen der Umsetzung von Vorhaben (der Einheiten Globe, APLAK, Afrika-Bereich, EMZ, InS, FMB und AGE) durch die GIZ. Nicht davon umfasst sind Beratungen bei datenschutzrechtlichen Fragestellungen aus anderen Einheiten (wie z.B. Personalbereich, Finanzbereich, ELVIS und Stabstellen, etc.) der GIZ, die durch das DSM erfolgen. Der AN soll die Vorhaben im Falle von datengetriebenen Projekten bei der Erfüllung der datenschutzrechtlichen Vorgaben in Übereinstimmung mit für Deutschland geltende sowie je nach Einzelfall auch nach nationalem Recht anwendbaren Datenschutzregelungen beraten.
Ziel der, in enger Abstimmung mit der Auftraggeberin GIZ, vertreten durch das KC Digitale Gesellschaft (AG), erfolgten datenschutzrechtlichen Beratung ist zum Einen die Lösung der Einzelfälle, in dessen Rahmen die Mitarbeiter in den jeweiligen Vorhaben der AG in die Lage versetzt werden, die erforderlichen weiteren Schritte selbst in die Wege zu leiten. Zum Anderen soll durch die Beratung ein Wissensaufbau bei den Mitarbeitern in den Vorhaben der AG über den Einzelfall hinaus erreicht werden, und wo möglich durch entsprechende Wissensdokumente, das gewonnene Wissen im Allgemeinen zur Verfügung gestellt werden
Der AN unterstützt die AG bei Anfragen der GIZ Vorhaben in der Leistungserbringung an das Data Helpdesk in den unten aufgeführten Schwerpunktthemen. Die AG beauftragt entsprechend und wählt aus den eingehenden Anfragen diejenigen individuellen Einzelfälle aus, in denen es einer Unterstützung bedarf.

Beschreibung der Beschaffung

Im Zuge der Projektimplementierung von Vorhaben gehen beim Data Helpdesk unregelmäßig Fragen von Mitarbeitern der Außenstruktur ein. Diese Fragen hinsichtlich der Rechte und Pflichten des jeweiligen Vorhabens der GIZ bei der Planung und Umsetzung von digitalen Projekten, gemäß Datenschutz-Grundverordnung (DSGVO), Bundesdatenschutzgesetz (BDSG, TTGSD, n.F.) sowie sonstigen bestehenden und zukünftig in Kraft tretenden Datenschutzvorschriften der Europäischen Union bzw. lokal anwendbarer Gesetze sowie interner Richtlinien sind Gegenstand der Aufgaben des AN.
Als einzelne Beratungsgegenstände sind Aspekte zu Technologien und Infrastruktur, Anwendungssoftware und Plattformen, Datenbanken, Datenanalyse und Datenmining, Datenvisualisierung und strategische Kompetenzentwicklung im Rahmen folgender digitaler Projekte auf nationaler und internationaler Ebene denkbar:
- Erstellen und Unterhalten von Websites,
- Programmieren von Apps,
- Aufbau von Data Warehouses,
- Einsatz von Software,
- Nutzung von Daten zu Monitoring Zwecken.
- Durchführung von Veranstaltungen und Trainings
In allen Fällen können die jeweils zugehörigen vor- und nachgelagerten Abläufe (Erhebung, Verarbeitung und Speicherung; Veröffentlichung von personenbezogenen Daten, Bild- und Tonaufnahmen, Unterschriften, Kurzlebensläufe; Einverständniserklärungen, Data Policys und Nutzungsbedingungen) ebenfalls Beratungsgegenstand sein. Die datenschutzrechtliche Beratung soll folgende Bereiche abdecken:
2.1.1 Beratung Datenschutz Kunden- und Nutzerdatenschutz:
Beratung von Vorhaben zur Erstellung der Meldungen zum GIZ-Verzeichnis der Verarbeitungstätigkeiten (VVT)
a. Prüfung, ob ein Fall der Auftragsverarbeitung (AV- GIZ Begrifflichkeit: AuV), gemeinsamen Verantwortung oder eigenständigen Verarbeitung vorliegt und Aufzeigen der entsprechenden Folgen
b. Beratung der Vorhaben zur Verwendung von Standardvertragsklauseln gemäß Artikel 46 DSGVO
c. Beratung bei der Einhaltung der Konformität von Vorhaben-Webseiten und Web-Applikationen
d. Beratung der Vorhaben zu DSGVO-konformer Durchführung von Veranstaltungen und deren Dokumentationen
e. Unterstützung der Vorhaben bei der Erstellung datenschutzrechtlicher Inhalte wie beispielsweise Einwilligungserklärungen, Datenschutzhinweise nach DSGVO sowie datenschutzrelevante Aspekte der Nutzungsbedingungen
2.1.2 Beratung Kunden- und Nutzerdatenschutz:
a. Handlungsempfehlungen an die Vorhaben zur Beschreibung aller erforderlichen und meldepflichtigen zu tätigenden Schritte, die zur datenschutzkonformen Verarbeitung personenbezogener Daten notwendig sind und zu erfolgen haben, ggf. unter Verwendung von Textbausteinen .
b. Beratung zum Vorgehen bei der Evaluierung der Rechtmäßigkeit sowie Verhältnismäßigkeit (Art, Umfang, Zweck) einer geplanten Verarbeitung (Erhebung, Speicherung, Verwendung etc.) der im Zusammenhang mit dem Vorhaben gesammelten personenbezogenen Daten.
c. Beratung der Vorhaben bei der Beurteilung der Notwendigkeit und Erklärung der Grundprinzipien einer möglichen Durchführung einer Datenschutz-Folgenabschätzung (DSFA) für die Datenverarbeitung gemäß DSGVO / BDSG neu.
d. Beratung der Vorhaben bei der Beurteilung potenzieller Datentransfers und Erläuterungen zu DSGVO-konformen Datentransfer, unter Beachtung und Definition der Rechte externer Partner an den im Rahmen des Vorhabens anfallenden Nutzerdaten.
e. Erstellung der datenschutzrechtlich relevanten Passagen bei allgemeinen Nutzungsbedingungen für die Nutzung der digitalen Produkte in den Vorhaben oder mit Bezug zu Vorhaben.
f. Beurteilung von Sachverhalten in Bezug auf national im Vorhaben jeweils geltende Gesetze und Normen zum Datenschutz und ggf. Erstellung von Kurzgutachten dazu.
g. Erstellung einer schriftlichen Zusammenfassung von umfangreicheren bzw. schwierigen Fällen nach Absprache als Grundlage eines zu erstellenden Wissensdokumentes, das die selbständige Bearbeitung vergleichbarerer Fälle für die MA der AG ermöglichen bzw. vereinfachen soll (Beiträge zum Wissensmanagement ggf. in Form von Kurzgutachten zum konkreten Fall).
h. Kommentierung von, im Rahmen einer IT-Tool Ausschreibung in einem Vorhaben durch die GIZ Mitarbeiter*innen erstellten, ToRs aus datenschutzrechtlicher Sicht. Die kommentierte Fassung ist, soweit nichts anderes vereinbart wird, zur Qualitätskontrolle zunächst an die ständigen Ansprechpartner der AG mit der Bitte um Freigabe zu senden, bevor die Kommentierung an die fachlich zuständige Einheit der AGs gesandt werden kann.
2.1.3 Beratung Datenschutz Technik und Betrieb:
a. Beratung der Vorhaben zur Bestimmung des angemessenen Schutzniveaus für die Daten und zur Datenintegrität gemäß DSGVO bzw. lokaler Richtlinien und Gesetze.
b. Beratung der Vorhaben zur Spezifikation der datenschutzrechtlichen Anforderungen an die technische Umsetzung der IT-Produkte und das ggf. dazugehörige Hosting, sowie an den datenschutzkonformen Betrieb des IT-Systems
c. Erläuterung und Hilfe bei der Anwendung von (GIZ internen) datenschutzrechtlichen Standarddokumenten (wie z.B. Auftragsverarbeitung und VVT) unter direkter oder analoger Anwendung der DSGVO / BDSG neu in Fällen außerhalb des Anwendungsbereichs der DSGVO
d. Erstellung einer schriftlichen Zusammenfassung von umfangreicheren bzw. schwierigen Fällen nach Absprache als Grundlage eines zu erstellenden Wissensdokumentes, das die selbständige Bearbeitung vergleichbarerer Fälle für die MA der AG ermöglichen bzw. vereinfachen soll (Beiträge zum Wissensmanagement ggf. in Form von Kurzgutachten zum konkreten Fall).
2.1.4 Sonderaufträge und Beratung des Data Helpdesk zu spezifischen Fragestellungen außerhalb konkreter Vorhaben:
Beratung bei der Umsetzung und Auslegung von Standards zum Datenschutz für die Anwendung in Vorhaben. Ggf. Erstellung von Rechtsgutachten zu ausgewählten Fragestellungen und / oder Erstellung konzeptioneller datenschutzrechtlicher Unterlagen auf Anfrage.

Liste und kurze Beschreibung der Bedingungen

1. Eigenerklärung zur Eintragung ins Handelsregister oder gleichwertigem Register nach den Rechtsvorschriften des Herkunftslands
2. Eigenerklärung, dass keine Ausschlussgründe nach § 123, § 124 GWB vorliegen
3. Eigenerklärung Nachunternehmer/Bewerbergemeinschaften
4. Erklärung der Bewerbergemeinschaft (falls zutreffend).

Liste und kurze Beschreibung der Auswahlkriterien

1. Durchschnittlicher Jahresumsatz in den letzten drei Geschäftsjahren in EUR (Bei Ausschreibungen, die innerhalb von sechs Monaten nach dem Ende des letzten Geschäftsjahres von der GIZ veröffentlicht werden, kann das viertletzte Geschäftsjahr herangezogen werden.), mindestens: 1,5 Millionen EUR
2. Durchschnittliche Zahl der Beschäftigten und Führungskräfte in den letzten drei Kalenderjahren, mindestens 10 Personen

Liste und kurze Beschreibung der Auswahlkriterien

1. Grundlage der fachlichen Bewertung sind nur Referenzprojekte mit einem Mindestauftragsvolumen von 50.000 EUR
2. Mindestens 6 Referenzprojekte im Fachgebiet datenschutzrechtliche Beratung zum grenzüberschreitenden Datenverkehr zwischen der EU und Afrika und/oder Asien in den letzten 3 Jahren.

Genaue Informationen über Fristen für Überprüfungsverfahren

Ein Nachprüfungsantrag ist gemäß § 160 Abs. 3 GWB unzulässig, soweit
1. der Antragsteller den geltend gemachten Verstoß gegen Vergabevorschriften vor Einreichen des Nachprüfungsantrags erkannt und gegenüber dem Auftraggeber nicht innerhalb einer Frist von zehn Kalendertagen gerügt hat; der Ablauf der Frist nach § 134 Absatz 2 bleibt unberührt,
2. Verstöße gegen Vergabevorschriften, die aufgrund der Bekanntmachung erkennbar sind, nicht spätestens bis zum Ablauf der in der Bekanntmachung benannten Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
3. Verstöße gegen Vergabevorschriften, die erst in den Vergabeunterlagen erkennbar sind, nicht spätestens bis zum Ablauf der Frist zur Bewerbung oder zur Angebotsabgabe gegenüber dem Auftraggeber gerügt werden,
4. mehr als 15 Kalendertage nach Eingang der Mitteilung des Auftraggebers, einer Rüge nicht abhelfen zu wollen, vergangen sind.
Satz 1 gilt nicht bei einem Antrag auf Feststellung der Unwirksamkeit des Vertrags nach § 135 Absatz 1 Nummer 2. § 134 Absatz 1 Satz 2 bleibt unberührt.