Gegenstand dieser Ausschreibung ist der Abschluss einer Rahmenvereinbarung (RV) über die Durchführung von Rechtsberatungsdienstleistungen zu Datenschutz, Datenverarbeitung im Rahmen der Umsetzung von Vorhaben sowie zur rechtskonformen Anwendungen von KI in den GIZ Projekten der operativen Bereiche sowie der Organisationseinheiten im Fach- und Methodenbereich (FMB) und dem Bereich Auftraggeber und Geschäftsentwicklung (AGE) durch qualifizierte Fachkräfte.
Der Auftragnehmer soll die Vorhaben bei der Erfüllung der Vorgaben zum Datenschutz und zu KI in Übereinstimmung mit für Deutschland geltenden sowie je nach Einzelfall auch nach nationalem Recht anwendbaren Regelungen beraten.
Ziel dabei ist es, eine auftragnehmende Partei (AN) unter der RV zu beauftragen. Aus dieser RV werden die Einsätze zur Durchführung der Beratungsdienstleistungen abgerufen.
Der/die AN ist im Rahmen des oben geschilderten Spektrums für die Erbringung folgender Leistungen verantwortlich und wird in regelmäßigen, abzustimmenden Formaten durch die schriftliche Aufbereitung der Lösungen der jeweils konkret angefragten Leistungen zum Wissensaufbau bei der AG beitragen:
1. Beratung Datenschutz Kunden- und Nutzerdatenschutz
a. Beratung der Vorhaben zu komplexeren Meldungen zum GIZ-Verzeichnis der Verarbeitungstätigkeiten (bspw. Verdacht auf TIA, DSFA, Joint Controllership etc.), inklusive Beratung zur Einhaltung der Datenschutzprinzipien nach Art. 5 DSGVO (VVT)
b. Prüfung, ob ein Fall der Auftragsverarbeitung, gemeinsamen Verantwortung oder eigenständigen Verarbeitung vorliegt und Aufzeigen der entsprechenden Folgen
c. Beratung der Vorhaben zur Verwendung von Standardvertragsklauseln gemäß Artikel 46 DSGVO
d. Beratung bei der Einhaltung der Konformität von Vorhaben-Webseiten und Web- Applikationen
e. Beratung der Vorhaben zu DSGVO-konformer Durchführung von Veranstaltungen und deren Dokumentation
f. Unterstützung der Vorhaben bei der Erstellung datenschutzrechtlicher Inhalte wie beispielsweise Einwilligungserklärungen, Datenschutzhinweise nach DSGVO sowie datenschutzrelevante Aspekte der Nutzungsbedingungen
g. Vorbereitungen von Beratungen
2. Beratung Kunden- und Nutzerdatenschutz
a. Handlungsempfehlungen an die Vorhaben zur Beschreibung aller erforderlichen und meldepflichtigen Schritte, die zur datenschutzkonformen Verarbeitung personenbezogener Daten notwendig sind, ggf. unter Verwendung von Textbausteinen .
b. Beratung zur Evaluierung der Rechtmäßigkeit sowie Verhältnismäßigkeit (Art, Umfang, Zweck) einer geplanten Verarbeitung (Erhebung, Speicherung, Verwendung etc.) von personenbezogenen Daten durch die Projekte.
c. Beratung der Vorhaben bei der Beurteilung der Notwendigkeit und Erklärung der Grundprinzipien einer Datenschutz-Folgenabschätzung (DSFA) für die Datenverarbeitung gemäß DSGVO / BDSG neu.
d. Beratung der Vorhaben bei der Beurteilung potenzieller Datentransfers und Erläuterungen zu DSGVO-konformen Datentransfer, unter Beachtung und Definition der Rechte externer Partner an den im Rahmen des Vorhabens anfallenden Nutzerdaten.
e. Erstellung der datenschutzrechtlich relevanten Passagen bei allgemeinen Nutzungs-bedingungen für die Nutzung von digitalen Produkten.
f. Beurteilung von datenschutzbezogenen Sachverhalten in Bezug zum im Projektland geltenden nationalen Recht inklusive des Abgleichs mit dem Europäischen und deutschen Rechtsrahmen und ggf. Erstellung von Kurzgutachten dazu.
g. Schriftliche Aufarbeitung von umfangreicheren bzw. schwierigen Fällen als Beitrag für Wissensprodukten, die die selbständige Bearbeitung vergleichbarerer Fälle für die MA der AG ermöglichen bzw vereinfachen.
h. Datenschutzrechtliche Kommentierung von ToR für IT-Tool Ausschreibung Die kommentierte Fassung ist, soweit nichts anderes vereinbart, zur Qualitätskontrolle/Freigabe zunächst an die ständigen Ansprechpartner der AG zu senden.
3. Beratung Datenschutz Technik und Betrieb
a. Beratung der Vorhaben zur Bestimmung des angemessenen Schutzniveaus für die Daten und zur Datenintegrität gemäß DSGVO bzw. lokaler Richtlinien und Gesetze.
b. Beratung der Vorhaben zur Spezifikation der datenschutzrechtlichen Anforderungen an die technische Umsetzung vonIT-Produkten (und das ggf. dazugehörige Hosting), sowie der Anforderungen an den datenschutzkonformen Betrieb von IT-Systemen.
c. Erläuterung und Hilfe bei der Anwendung von (GIZ-internen) datenschutzrechtlichen Standarddokumenten (wie z.B. Auftragsverarbeitung und VVT) unter direkter oder analoger Anwendung der DSGVO / BDSG neu in Fällen außerhalb des Anwendungsbereichs der DSGVO
d. Schriftliche Aufarbeitung von komplexen Fällen als Beitrag zu Wissensprodukten, die die selbständige Bearbeitung vergleichbarerer Fälle für die MA der AG ermöglichen bzw. vereinfachen
4. Rechtliche Einschätzung bzgl. EU-KI-Verordnung
a. Beratung der Vorhaben bezüglich der Frage, ob das betreffende KI-System in den Anwendungsbereich der EU-KI-Verordnung fällt.
b. Vornahme einer Risikoklassifizierung / Risikoeinordnung des verwendeten KI-Systems und Einschätzung unserer Rolle und damit zusammenhängender Pflichten.
c. Handlungsempfehlungen an die Vorhaben zur Beschreibung erforderlicher Schritte, die zur Einhaltung der EU-KI-Verordnung und damit zusammenhängender Gesetze (DSGVO, Digital Service Act, Data Act, etc.) notwendig sind.
?
5. Sonderaufträge und Beratung des Data Helpdesk zu spezifischen vorgangsunabhängigen Fragestellungen
6. Beratung in rechtlich strittigen oder umfangreichen Fällen