Stand: Februar 2024
1. Einleitung
Das internetgestützte e-Vergabe-Portal daisi by BPV (kurz daisi) ist ein Produkt der BPV Consult GmbH (kurz BPV), Löhrstraße 113, 56068 Koblenz und dient zur Unterstützung von Prozessen im Rahmen von Ausschreibungsverfahren. Es ermöglicht eine Kommunikation innerhalb der ausschreibenden Stelle sowie zwischen ausschreibender Stelle und Interessenten / Bietern sowie vom Auftraggeber hinzugezogenen externen Beratern. Die BPV Consult GmbH (nachfolgend „BPV“ oder „wir“ genannt), legt größten Wert auf den Schutz der personenbezogenen und sonstiger vertraulicher Daten der Nutzer ihrer Website und Dienste (nachfolgend gemeinsam „Dienste“ genannt). BPV verpflichtet sich, sämtliche datenschutzrechtliche Bestimmungen, insbesondere die Bestimmungen der EU-Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG), streng zu beachten.
Nachfolgend informieren wir über die Art, den Umfang und Zweck der Erhebung und Verarbeitung von personenbezogenen Daten von Nutzern der Webseite und des online angebotenen Dienstes daisi (www.daisikomm.de) sowie über die Rechte, die dem Nutzer zustehen.
Unter personenbezogenen Daten verstehen wir alle Daten, die sich auf eine natürliche identifizierbare Person beziehen oder beziehen lassen.
2. Verantwortliche Stelle und Datenschutzkontakt
Verantwortlich im Sinne der EU Datenschutz-Grundverordnung (DSGVO) für alle im Rahmen der Nutzung der daisi-Webseite stattfindenden Datenerhebungen und -verarbeitungen ist:
BPV Consult GmbH
Löhrstraße 113
56068 Koblenz
Telefon: 0261/201 650-0
E-Mail: dialog@bpv-consult.de
Unseren Datenschutzbeauftragten erreichen Sie unter:
Sicoda GmbH
Oliver Gönner
Rochusstr. 198
53123 Bonn
Tel: + 49 228 286 140 60
Mail: dsb@sicoda.de
3. Welche Daten aus welchen Quellen verarbeiten wir?
Wir verarbeiten personenbezogene Daten, die Sie uns im Rahmen der Inanspruchnahme unserer Dienste und Webseite mitteilen oder die im Rahmen der Nutzung unserer Dienste anfallen. Weitere Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie im Verlauf der vorliegenden Datenschutzerklärung.
4. Rechtsgrundlagen der Datenverarbeitung
Die Rechtsgrundlage der Datenverarbeitung im Rahmen der EU-Datenschutzgrundverordnung ergibt sich für unsere Datenverarbeitung aus Art. 6 DS-GVO. Im Einzelnen können sich, je nachdem in welcher Situation wir Ihre Daten verarbeiten, unterschiedliche Rechtsgrundlagen ergeben.
Einwilligung
Soweit für Verarbeitungsvorgänge personenbezogener Daten Ihre Einwilligung eingeholt wurde, ist Artikel 6 I a) DS-GVO die Rechtsgrundlage für die Datenverarbeitung. Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
Vertrag
Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei Sie sind, erhoben wurden, ist Artikel 6 I b) DS-GVO die Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.
Gesetzliche Pflicht
Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Artikel 6 I c) DS-GVO als Rechtsgrundlage.
Lebenswichtige Interessen
Für den Fall, dass lebenswichtige Interessen von Ihnen oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, ist Artikel 6 I d) DSGVO die Rechtsgrundlage.
Berechtigtes Interesse
Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Artikel 6 I f) DS-GVO als Rechtsgrundlage für die Verarbeitung. Das berechtigte Interesse unseres Unternehmens liegt in der Durchführung unserer Geschäftstätigkeit.
5. Betroffenenrechte
Im Rahmen unserer Datenverarbeitung werden personenbezogene Daten von Ihnen verarbeitet. Es stehen Ihnen die Rechte aus dem dritten Kapitel der DS-GVO gegenüber unserem Unternehmen zu.
Sie haben
Ihre Betroffenenrechte können Sie unter den unter Punkt 2 angegebenen Kontaktdaten geltend machen.
Sofern Sie von Ihrem Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde Gebrauch machen wollen, wenden Sie sich bitte an:
Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Hintere Bleiche 34
55116 Mainz
Postfach 30 40
55020 Mainz
Tel.: 06131/208-2449
Fax: 06131/208-2497
poststelle@datenschutz.rlp.de
http://www.datenschutz.rlp.de
6. Externe Hostings
Unsere Dienste werden auf dem Server eines Hosting-Providers (derzeit: Sinope GmbH, Domstraße 43, 63067 Offenbach am Main) in der Bundesrepublik Deutschland gehostet. Auf diesem Server liegen die, von uns verarbeiteten und nachstehend im Einzelnen beschriebenen, personenbezogenen Daten.
7. Kontakte via E-Mail
Der Nutzer hat die Möglichkeit, mit BPV über E-Mail in Verbindung zu treten. Dabei werden folgende Daten erhoben und an BPV übermittelt:
Nimmt ein Nutzer diese Möglichkeit wahr, so werden die übermittelten Daten zur Beantwortung der Kontaktanfrage verarbeitet.
Rechtsgrundlage für die Verarbeitung der Daten, die im Zuge einer Kontaktanfrage übermittelt werden, ist Art. 6 Abs. 1 lit. f DSGVO. Das berechtigte Interesse von BPV liegt in der Kundenpflege und darin, an BPV gerichtete Anfragen zu beantworten. Zielt der E-Mail-Kontakt auf den Abschluss eines Vertrages über die Nutzung von daisi ab, so ist zusätzliche Rechtsgrundlage für die Verarbeitung Art. 6 Abs. 1 lit. b DSGVO.
8. Registrierung
Nutzer müssen sich bei daisi registrieren, bevor sie daisi vollumfänglich nutzen können. Bei der Registrierung von Nutzern erhebt BPV die folgenden Bestandsdaten:
Für Vergabestellen:
Für Bewerber-/Bieterunternehmen:
Die Verarbeitung erfolgt gem. Art. 6 Abs. 1 lit. b) DS-GVO zur Durchführung des Vertrages bzw. gem. Art. 6 Abs. 1 lit. f) aufgrund unseres berechtigten Interesses zur Sicherstellung eines sicheren Betriebs unserer Dienste.
9. Nutzername, Passwort und Signatur
BPV ermöglicht registrierten Nutzern die Nutzung der Dienste mittels einer gültigen E-Mail-Adresse des Nutzers und einem Passwort. Für bestimmte Dienste ist eine sog. Elektronische Signatur in Form einer Signaturkarte (qualifizierte Signatur) oder mittels eines Softwarezertifikats (fortgeschrittene Signatur) notwendig.
Um dem Nutzer den Zugang zu den Diensten zu ermöglichen, erhebt und speichert BPV dessen Nutzerkennung/Passwort bzw. dessen Zertifikatsinformationen (Seriennummer, Name des Ausstellers, Organisation des Ausstellers) sowie den öffentlichen Signaturschlüssel.
Die Verarbeitung erfolgt gem. Art. 6 Abs. 1 lit. b) DS-GVO zur Durchführung des Vertrages bzw. gem. Art. 6 Abs. 1 lit. f) aufgrund unseres berechtigten Interesses zur Sicherstellung eines sicheren Betriebs unserer Dienste.
10 Log-In
Im Rahmen des Zugriffs auf das Portal mittels Ihres Log-Ins werden automatisch die folgenden Daten erfasst:
Rechtsgrundlage für die Datenverarbeitung ist gem. Art. 6 Abs. 1 lit. f) DS-GVO unser berechtigtes Interesse an der Sicherheit und Optimierung unserer Dienste.
11. Verarbeitung personenbezogener Daten i Rahmen der Nutzung des
Portals
Im Rahmen der Nutzung des Portals werden ggf. weitere personenbezogene Daten verarbeitet, die Sie uns im Rahmen der Nutzung des Portals zur Verfügung stellen oder im Portal hinterlegen. Diese verarbeiten wir ausschließlich im Rahmen der Bereitstellung unserer Dienste.
Soweit Sie im Rahmen eines Vergabeverfahrens personenbezogene Daten im Portal hinterlegen, übermitteln wir diese im Rahmen des Vergabeverfahrens, wenn Sie Bieter sind an die Vergabestelle, an deren Vergabeverfahren Sie teilnehmen bzw. wenn Sie Vergabestelle sind, an den Bieter, der an Ihrem Vergabeverfahren teilnimmt. Die genannten Stellen verarbeiten die Daten daraufhin in eigener Verantwortung.
12. Webserverlogs
Im Rahmen der Nutzung unseres Dienstes werden die Verbindungsinformationen in den Server-Log-Dateien gespeichert.
Zu diesen Informationen zählen:
Die Webserverprotokolle werden ausschließlich zu Sicherheitszwecken verarbeitet.
Wir verwenden die Protokolldaten nur für statistische Auswertungen zum Zweck des Betriebs, der Sicherheit und der Optimierung des Angebotes. Wir behalten uns jedoch vor, die Protokolldaten nachträglich zu überprüfen, wenn aufgrund konkreter Anhaltspunkte der berechtigte Verdacht einer rechtswidrigen Nutzung besteht
13. Cookies
Auf unseren Diensten verwenden wir Cookies sowie ggf. weitere vergleichbare Tracking-Technologien, wie z.B. Zählpixel oder Local Storage Objekte (LSO).
Cookies sind Textdateien, die auf Ihrem Endgerät gespeichert werden. Cookies können beim Aufruf der Webseite von der Webseite ausgelesen, übertragen und geändert werden.
Die meisten der von uns verwendeten Cookies sind so genannte “Session-Cookies”. Sie werden nach Ende Ihres Besuchs bzw. Ihrer Browser-Sitzung automatisch gelöscht (sog. transiente Cookies). Andere Cookies bleiben auf Ihrem Endgerät für eine vorgegebene Dauer, bzw. bis Sie diese löschen, gespeichert (sog. persistente Cookies). Diese Cookies ermöglichen es uns, Ihren Browser beim nächsten Besuch wiederzuerkennen. Wir nutzen Cookies nur mit zufälligen, pseudonymen Identifikationsnummern. Diese Identifikationsnummern werden genutzt um Ihr Nutzungsverhalten auf unserer Webseite auszuwerten. Zu keinem Zeitpunkt wird das Nutzungsprofil dem Namen einer natürlichen Person zugeordnet. Wenn Sie spezielle Funktionen unserer Webseite nutzen, werden Cookies zusätzlich für diese Funktionen verwendet.
Soweit es sich bei den Cookies und anderen Technologien um solche handelt, die für den Betrieb der Webseite technisch erforderlich sind, ist Rechtsgrundlage für den Einsatz dieser und der damit verbundenen Verarbeitung Ihrer personenbezogenen Daten unser berechtigtes Interesse gem. Art. 6 Abs. 1 lit f) DS-GVO. Unsere berechtigten Interessen liegen hierbei insbesondere darin, Ihnen eine technisch optimierte sowie benutzerfreundlich und bedarfsgerecht gestaltete Website zur Verfügung stellen zu können sowie die Sicherheit unserer Systeme zu gewährleisten.
Der Einsatz von Cookies und anderen Technologien, die für den Betrieb der Webseite technisch nicht erforderlich sind und die vor allem Analyse- und Marketingzwecken dienen, sowie die damit in Zusammenhang stehende Verarbeitung Ihrer personenbezogenen Daten erfolgt gem. Art. 6 Abs. 1 lit a) DS-GVO ausschließlich dann, wenn Sie uns Ihre ausdrückliche Einwilligung erteilt haben.
14. Verschlüsselung
BPV legt größten Wert darauf, dass die Daten von Nutzern, die über daisi versandt werden, absolut sicher und geschützt sind. BPV setzt zu diesem Zweck zur Übertragung von elektronischen Nachrichten über daisi eine SSL-Verschlüsselung nach den jeweils neuesten technologischen Möglichkeiten ein. Die Verbindung zu daisi erfolgt ausschließlich über das gesicherte HTTPS-Protokoll und ist mit 256-Bit verschlüsselt. Die Verbindung verwendet TLS in den Versionen 1.1 und 1.2.
Alle Dokumente (Teilnahmeanträge und Angebote) werden mit PKCS#7 verschlüsselt und ggf. signiert. Die Übermittlung der Dokumente erfolgt über den Internet-Browser unter Verwendung einer Java Web Run Anwendung, welche zur Verschlüsselung und Signatur von Dokumenten eingesetzt wird. Erst der Empfänger der Nachricht kann diese wieder entschlüsseln. Weder BPV noch sonstige unbefugte Dritte erhalten Kenntnis von den Inhalten solcher verschlüsselten Kommunikation.
15. Weitergabe personenbezogerner Daten
Innerhalb des Unternehmens erhalten ausschließlich die Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung ihrer Aufgaben sowie zur Erfüllung vertraglicher und gesetzlicher Pflichten benötigen.
Ggf. geben wir Ihre Daten an Dienstleister weiter, mit denen wir zusammenarbeiten und die auf unsere Weisung hin Ihre personenbezogenen Daten verarbeiten. In diesen Fällen schließen wir mit dem betreffenden Dienstleister eine sogenannte Auftragsverarbeitungsvereinbarung nach Art. 28 DS-GVO.
Sofern Sie ihm Rahmen Teilnahme an einem Vergabeverfahren personenbezogene Daten innerhalb des Portals erfassen, übermitteln wir diese im Rahmen Vergabeverfahrens an die Vergabestelle bzw. an den Bieter.
16. Aufberwahrungsfristen
Wir verarbeiten Ihre personenbezogenen Daten nur so lange, wie es zur Erfüllung des jeweiligen Verarbeitungszwecks erforderlich ist.
Darüber hinaus unterliegen wir verschiedenen Aufbewahrungs- und Dokumentationspflichten, die sich unter anderem aus dem Handelsgesetzbuch (HGB) oder der Abgabenordnung (AO) ergeben. Diese können bis zu 10 Jahre betragen.
Schließlich beurteilt sich die Speicherdauer auch nach den gesetzlichen Verjährungsfristen, die zum Beispiel nach den §§ 195 ff. des Bürgerlichen Gesetzbuches (BGB) bis zu dreißig Jahre betragen können, wobei die regelmäßige Verjährungsfrist drei Jahre beträgt.