Gesetze des Bundes und der Kantone über die Informationssicherheit und den Datenschutz bilden die Rechtsgrundlagen. Die Informationssicherheit hat die Sicherstellung, Vertraulichkeit, Verfügbarkeit, Integrität und Nachvollziehbarkeit der Personen- und Sachdaten zu gewährleisten. Schutzobjekte der Informationssicherheit sind die Mittel und Systeme der Informations- und Kommunikationstechnik sowie Datensammlungen. Die Datenschutzgesetze regeln den Schutz der Persönlichkeit und der Grundrechte der Personen, deren Daten bearbeitet werden.

Anforderungen im Beschaffungsverfahren

Folgende Voraussetzungen hinsichtlich der Informationssicherheit müssen erfüllt sein:

• Festlegen der Anforderungen an die Integrität der Leistungserbringerin: Die Ausschreibungsbedingungen schreiben die Mussanforderungen im Bereich der Personensicherheit vor. Strafregisterauszüge und Sonderprivatauszüge mit Urteilen u.a. über Berufs- oder Tätigkeitsverbote bilden die Grundlagen für eine Personensicherheitsprüfung. Diese Mussanforderungen stellen Eignungskriterien dar und müssen erfüllt sein, damit ein gültiges Angebot vorliegt.

• Technische Spezifikationen: Die technischen Spezifikationen umschreiben die Anforderungen an den Informationssicherheits-Grundschutz. Sie beruhen auf standardisierten Vorgaben. Diese dürfen nicht zu Wettbewerbsbeschränkungen führen und keine Anbieterin bevorzugen bzw. benachteiligen.

  Die gesetzlichen Datenschutzbestimmungen gewährleisten einen ausreichenden Schutz vor einer rechtswidrigen Bearbeitung. Wenn Daten im Ausland bearbeitet werden, sind die Standortvorschriften zu beachten. Personendaten dürfen nicht in Länder ohne angemessenen Datenschutz übermittelt werden. Wird die Datenbearbeitung Dritten übertragen, müssen vertragliche Kontrollmassnahmen verbunden mit Konventionalstrafen vereinbart werden.

• Weitere Nachweise und Massnahmen: Zertifizierungen, Referenzen und die Bestätigungen über Qualifikationen dienen als Nachweise im Prüfverfahren und werden regelmässig eingefordert. Die betrieblichen, technischen und organisatorischen Massnahmen müssen im Einklang mit den Vorgaben der Informationssicherheit stehen. Die Unterzeichnung von Geheimhaltungserklärungen gehört zur Standardmassnahme, wenn vertrauliche oder geheime Informationen eingesehen und bearbeitet werden. Die Pflicht zur Amtsverschwiegenheit und Wahrung der Berufsgeheimnisse ist gesetzlich vorgeschrieben und muss nicht zusätzlich geregelt werden.

Ausschluss aus dem Vergabeverfahren

Erfüllt eine Anbieterin die Anforderungen an die Informationssicherheit nicht, ist ihr Angebot aus dem Submissionsverfahren auszuschliessen. Nach dem Abschluss des Verfahrens ist der Zuschlag zu widerrufen und vom bereits abgeschlossenen Vertrag ist zurückzutreten. Voraussetzung für eine solche Massnahme ist eine Verletzung von Sicherheits-, Geheimhaltungs- oder Datenschutzvorschriften, die vom Auftraggeber zu beweisen ist. Die formellen Verfahrensvorschriften müssen eingehalten werden, damit ein Ausschluss rechtsgültig ist.

Vertragliche Massnahmen

Die Anforderungen an die Informationssicherheit und den Datenschutz sind als vertragliche Pflichten festzuhalten. Ihre Verletzung wird in der Regel mit Konventionalstrafen sanktioniert und berechtigt zudem den Auftraggeber, den Vertrag aus einem wichtigen Grund zu beenden.

Die Verantwortung für die Festlegung, Durchsetzung und Kontrolle der Vorgaben der Informationssicherheit und des Datenschutzes verbleibt beim Auftraggeber. Er muss die Anforderungen vorgeben, vertraglich regeln und konsequent durchsetzen.