Robert Schippel - Gewährleistung von Datensicherheit und Datenschutz im eVergabe-Verfahren

Zur Umsetzung der europäischen Richtlinien hat der deutsche Gesetzgeber auf Basis der vorgenannten Ermächtigung des § 113 GWB vier Vergabeverordnungen erlassen. Dabei handelt es sich um

• die Verordnung über die Vergabe öffentlicher Aufträge (Vergabeverordnung – VgV);

• die Verordnung über die Vergabe von öffentlichen Aufträgen im Bereich des Verkehrs, der Trinkwasserversorgung und der Energieversorgung (Sektorenverordnung – SektVO);

• die Verordnung über die Vergabe von Konzessionen (Konzessionsvergabeverordnung – KonzVgV);

• die Verordnung zur Statistik über die Vergabe öffentlicher Aufträge und Konzessionen (Vergabestatistikverordnung – VergStatVO).

Die Vergabeverordnung für Verteidigung und Sicherheit (VSVgV) bestand bereits vorher und wurde lediglich in Teilbereichen überarbeitet.

Relevant für die Vergabe öffentlicher Aufträge sind alle Vergabeverordnungen mit Ausnahme der Vergabestatistikverordnung, deren Hauptzweck nichtsdestotrotz nicht unterschätzt werden sollte. Da bislang europaweit keine Angaben darüber vorhanden waren, welche Auftragssummen durch die öffentliche Hand vergeben werden, führte der europäische Gesetzgeber flächendeckend Statistikverpflichtungen ein.

Diese vier Vergabeverordnungen – der zweiten Ebene – geltend für alle Aufträge, die den europäischen Schwellenwert übersteigen, d.h. die rein vom Umfang des Auftrages im gemeinsamen Wirtschaftsraum für Wirtschaftsteilnehmer im gesamten EU-Raum interessant sind. Diese Wertschwelle überschreiten seit dem 1. Januar 2020 u.a. Aufträge für Liefer- und Dienstleistungen eines klassischen öffentlichen Auftraggebers, bei denen der Beschaffungswert mehr als 214.000 Euro zzgl. USt. beträgt.

Alle Vergabeverordnungen sind mit den gleichen grundsätzlichen Vorgaben zur elektronischen Kommunikation ausgestattet. Daher genügt bereits die beispielhafte Darstellung einer Verordnung, da das Verfahren für alle Verordnungen ansonsten vergleichbar ist. Allerdings wurde bereits in der europäischen Normierung eine mehrstufige Einführung der verpflichtenden elektronischen Kommunikation vorgesehen.94

Die Umsetzung der eVergabe im nationalen Rahmen sollte mehrstufig unter Berücksichtigung verschiedener Übergangsfristen erfolgen:95

• Mit Umsetzung der nationalen Reform zum 18. April 2016 sind alle Bekanntmachungen in EU-weiten Verfahren zwingend elektronisch vorzunehmen und die Vergabeunterlagen müssen mithilfe elektronischer Mittel abrufbar sein.96

• Seit dem 18. April 2017 sind zentrale Vergabestellen öffentlicher Auftraggeber dazu verpflichtet, das gesamte Vergabeverfahren im vorgeschriebenen gesetzlichen Umfang mithilfe elektronischer Mittel durchzuführen.97

• Letzter Umsetzungstermin für die verbliebenen öffentlichen Auftraggeber, welche noch nicht seit 2017 verpflichtet sind, war der 18. Oktober 2018, nach dem die Verfahrensabwicklung mithilfe elektronischer Mittel nur noch elektronisch zulässig ist.98

Teil der effizienzsteigernden Wirkung der elektronischen Kommunikation ist auch die damit verbundene Fristverkürzung in Vergabeverfahren, welche eine schnellere Abwicklung der streng-formalisierten Vorgaben ermöglichen soll.99 Ergänzend soll die elektronische Kommunikation auch zu einer Vereinfachung der Vergabeverfahren führen.100

Die Einstiegsnorm zur eVergabe wurde in § 9 VgV niedergelegt. Dieser wiederholt, dass in der Regel für das Senden, Empfangen, Weiterleiten und Speichern von Daten in einem Vergabeverfahren elektronische Mittel (d.h. entsprechende elektronische Geräte oder Programme) zu nutzen sind.101 Insgesamt bildet § 9 VgV den Rahmen für die verpflichtende elektronische Kommunikation.102 Ausgenommen von dieser grundsätzlichen Regel ist die mündliche Kommunikation, die zum einen dokumentiert werden muss und zum anderen keine Vergabeunterlagen (d.h. Vergabeunterlagen, Angebote) betreffen darf.103 Dabei muss der Zugang zu den elektronisch bereitgestellten Unterlagen (d.h. Auftragsbekanntmachung und den Vergabeunterlagen) unbeschränkt möglich sein.104

Nach § 9 VgV darf der öffentliche Auftraggeber zudem von Unternehmen eine eindeutige Bezeichnung sowie eine Registrierung auf freiwilliger Basis verlangen.105

Vorrangig setzt § 10 VgV in seinem Abs. 1 die Vorgaben des Anhang IV zur RL 2014/24/EU um.106 Dazu wiederholt dieser den Richtlinientext, indem die zu gewährleistenden Vorgaben (wie: genau zu bestimmende Uhrzeit und Tag des Angebotseingangs, Ausschluss des vorfristigen Zugriffs, Bestimmungen für den erstmaligen Zugriff sowie dazu in Beziehung stehende Berechtigungen, aber auch die Möglichkeit, Verstöße aufdecken zu können) aufgezählt werden.107 Entsprechend § 10 VgV obliegt es allein dem öffentlichen Auftraggeber, für die elektronischen Kommunikationsmittel ein entsprechendes Sicherheitsniveau festzulegen.

Gleichfalls steht der § 10 VgV in Verbindung mit dem ErwG. 57, der wiederum in Wechselwirkung zu Art. 22 Abs. 6 lit. b) RL 2014/24/EU steht.108

Allerdings geht § 10 VgV an dieser Stelle auch weiter als der Richtlinientext, indem § 10 Abs. 2 VgV eine einheitliche Datenaustauschschnittstelle der elektronischen Kommunikationsmittel unter Berücksichtigung geltender Interoperabilitäts- und Sicherheitsstandards fordert. Hierzu verweist § 10 Abs. 2 VgV auf die Interoperabilitäts- und Sicherheitsstandards des IT-Planungsrats.109 Dies wiederum ist als Vorbereitung für die xVergabe – ein Projekt, das eine Standardisierung einer plattformunabhängigen elektronischen Kommunikation anstrebt – gedacht.110 Aufgrund der Vielzahl von Kommunikationslösungen hinsichtlich der eVergabe, die im Regelfall nicht interoperabel sind, bedarf es aus Sicht von Gesetzgeber und Fachliteratur eines Ansatzpunkts für eine kompatible Lösung.111 Ziel der xVergabe ist es, Unternehmen einen einheitlichen Zugang mittels eines XML formulierten Standards zu verschiedenen elektronischen Plattformen zu ermöglichen.112 Allerdings gestaltete sich die Umsetzung der xVergabe seit Jahren schwieriger als gedacht.113

Der nachfolgende § 11 VgV nimmt die Vorgaben des Art. 22 RL 2014/24/EU wieder auf, indem er bestimmt, dass die zu nutzenden elektronischen Mittel allgemein verfügbar, nichtdiskriminierend und mit allgemein verbreiteten Geräten und Programmen der Informations- und Kommunikationstechnologie kompatibel sein müssen,114 aber auch den Zugang von Wirtschaftsteilnehmern zum Vergabeverfahren nicht einschränken dürfen.

Hier wird kurz ein regelungstechnischer Ausflug zum Bereich der Datensicherheit unternommen, der sich auf die eingesetzten elektronischen Mittel bezieht. Nach § 11 Abs. 2 VgV müssen die eingesetzten elektronischen Mittel die Unversehrtheit, die Vertraulichkeit und die Echtheit der Daten gewährleisten.

§ 11 Abs. 3 VGV wiederum wiederholt die Vorgabe des Art. 22 Abs. 6 RL 2014/24/EU bzgl. der Informationspflichten eines öffentlichen Auftraggebers an die öffentlichen Auftragnehmer.

§ 12 VgV wiederum kommt in der Umsetzung der Verpflichtungen zur Nutzung elektronischer Kommunikationsmittel den Vorgaben des Art. 22 Abs. 4 und 5 RL 2014/24/EU nach, indem er die dortige Öffnungsklausel bzgl. alternativer elektronischen Lösungen wiederholt.