IT-Sicherheit in Deutschland durch sog. „No-Spy-Garantien“
Mit Beschluss vom 21. Oktober 2015 (Az.: Verg 28/14) bestätigte und ergänzte der Vergabesenat des OLG Düsseldorf die bisher einzige rechtskräftige Rechtsprechung der Vergabekammer des Bundes, wonach öffentliche Auftraggeber in sachlich gerechtfertigten Fällen zum Schutz der IT-Sicherheit in Deutschland sog. „No-Spy-Garantien“ in vergaberechtlich zulässiger Weise durch besondere Anforderungen an die Auftragsausführung gemäß § 97 Abs. 4 Satz 2 GWB verlangen können.
„No-Spy-Garantie“ – Worum geht es dabei im Vergaberecht?
Im Zusammenhang mit der, insbesondere durch die „Snowden“-Enthüllungen angestoßenen und weiterhin aktuellen Diskussion zur IT-Sicherheit in Deutschland, verlangen öffentliche Auftraggeber bei der Vergabe öffentlicher Aufträge im Bereich Telekommunikation und IT zunehmend sog. „No-Spy“-Garantien, mit denen die beteiligten Unternehmen versichern, dass sie nicht rechtlich zur Weitergabe von vertraulichen Daten an ausländische Geheimdienste und Sicherheitsbehörden verpflichtet sind.
Eine derartige Verpflichtung zur Datenweitergabe kann beispielsweise aufgrund nationaler gesetzlicher Regelungen bestehen. Dies ist in erster Linie für Unternehmen relevant, die dem US-amerikanischen Recht unterfallen. Denn US-amerikanische Unternehmen und deren ausländische Tochtergesellschaften waren bzw. sind unter Geltung des USA PATRIOT Act bzw. der inzwischen verabschiedeten Nachfolgeregelung im USA Freedom Act gesetzlich verpflichtet, Informationen an US-Sicherheitsbehörden (FBI u.a.) weiterzugeben.
Aktuell: Keine gesetzliche Grundlage
Das Bundesministerium des Innern (BMI) reagierte auf die öffentliche Diskussion im vergangenen Jahr mit einem an das Beschaffungsamt des BMI gerichteten Erlass zur „Verwendung einer Eigenerklärung und einer Vertragsklausel in Vergabeverfahren im Hinblick auf Risiken durch nicht offengelegte Informationsabflüsse an ausländische Sicherheitsbehörden“ vom 30. April 2014 (sog. „No-Spy-Erlass“). Bei „Vergabeverfahren mit möglicher Sicherheitsrelevanz von Bietern“ ist danach die Verwendung einer Eigenerklärung der Bieter „im Rahmen der Zuverlässigkeitsprüfung“ sowie entsprechender Vertragsklauseln zur Einhaltung der Vertraulichkeit vorgesehen. Im Nachgang zu der daraufhin ergangenen Rechtsprechung der Vergabekammer des Bundes im Juni 2014 (Az.: VK 2-39/14), wonach die Forderung einer „No-Spy-Erklärung“ als Eignungskriterium unzulässig und nach Ansicht der Vergabekammer des Bundes vielmehr als sog. Ausführungsbedingung nach § 97 Abs. 4 Satz 2 GWB zu qualifizieren sei, veröffentlichte das BMI am 19. August 2014 zusätzlich eine daran angepasste ergänzende Handreichung zur Reichweite und Auslegung des sog. „No-Spy-Erlasses“.
Der „No-Spy-Erlass“ des BMI sowie die ergänzende Handreichung vom 19. August 2014 richten sich zwar nur intern an das Beschaffungsamt des BMI, wurden jedoch aufgrund der breiten öffentlichen Diskussion durch das BMI veröffentlicht. Eine allgemeine gesetzliche Grundlage für die Forderung von „No-Spy-Garantien“ durch die öffentlichen Auftraggeber besteht dagegen im deutschen und europäischen Vergaberecht bisher nicht. Das Erfordernis einer rechtssicheren Lösung wird jedoch – auch mit Blick auf die in letzter Zeit gehäuft zutage tretenden Meldungen über Cyberangriffe, wie der Cyberattacke auf den Bundestag zu Beginn dieses Sommers oder die NSA-Spähangriffe u.a. auf Mitglieder der Bundesregierung und andere Behörden – in der Praxis immer deutlicher.
Rechtsprechung: Kein Ausschluss wegen Unzuverlässigkeit, sondern sog. Ausführungsbedingung
Die zweite Vergabekammer des Bundes hat im Juni 2014 in ihrer viel beachteten und für lange Zeit einzigen rechtskräftigen Entscheidung zum Thema „No-Spy-Garantie“ (vgl. VK Bund, Beschluss vom 24. Juni 2014, VK 2-39/14) die Forderung zur Abgabe einer „No-Spy-Erklärung“ durch die Bieter zum Nachweis ihrer Zuverlässigkeit als vergaberechtlich unzulässig beurteilt.
Zwar sei die auf dem US-PATRIOT Act beruhende Pflicht US-amerikanischer Unternehmen und ihrer Tochtergesellschaften zur Datenweitergabe an US-Sicherheitsbehörden auch ohne eine richterliche Anordnung „höchst problematisch“, dennoch dürfe dies nicht im Rahmen der Zuverlässigkeitsprüfung (Eignung) berücksichtigt werden. Denn Eignungsanforderungen seien bieterbezogen, sodass im Rahmen der Eignungsprüfung „ausschließlich Sachverhalte“ berücksichtigt werden dürften, „die dem Bieter in irgendeiner Form zurechenbar“ und insofern durch den Bieter beeinflussbar seien. Dies sei bei gesetzlichen Verpflichtungen, denen ein Bieter unterworfen ist, hingegen nicht der Fall. Unter Hinweis auf die Rechtsprechung des OLG Düsseldorf zur Frage der Zulässigkeit von Verpflichtungserklärungen zu den ILO-Kernarbeitsnormen (vgl. Beschluss vom 29. Januar 2014, Verg 28/13) sei eine Abfrage der „No-Spy-Garantie“ allerdings als „besondere Anforderung an die Auftragsausführung“ gemäß § 97 Abs. 4 Satz 2 GWB nach Ansicht der Vergabekammer als zulässig anzusehen.
Diese Rechtsprechung der VK Bund wurde nunmehr durch die aktuelle Entscheidung des OLG Düsseldorf vom 21. Oktober 2015 (Az.: Verg 28/14) insoweit bestätigt, als die Forderung von „No-Spy-Garantien“ durch öffentliche Auftraggeber keine rechtlich zulässigen Anforderungen an die Eignung der Bewerber oder Bieter darstelle. Diese Forderungen von „No-Spy-Garantien“ seien nur als besondere Anforderungen an die Auftragsausführung i.S.d. § 97 Abs. 4 Satz 2 GWB zugelassen und als solche statthaft, wenn die Forderung der Datensicherheit aufgrund eines anerkennenswerten und durch den Auftragsgegenstand gerechtfertigten sachlichen Grundes erfolge und sämtliche auftragsinteressierten Unternehmen – unabhängig von ihrem Sitz – diskriminierungsfrei mit denselben Anforderung belegt würden.
Erfordernis einer klarstellenden gesetzlichen Regelung
Um in der Praxis mehr Rechtssicherheit bei der Verwendung von „No-Spy-Garantien“ zu schaffen, ist dennoch eine gesetzliche Regelung zu befürworten. Es deutet sich derzeit an, dass auch der deutsche Gesetzgeber eine Klarstellung im Rahmen der anstehenden Vergaberechtsreform (vgl. hierzu auch den GvW-Newsletter aus Mai 2015) anstrebt. Der Regierungsentwurf zum Vergaberechtsmodernisierungsgesetz sieht in der aktuellen lektorierten Fassung vom 08.10.2015 (BT-Drs. 18/6281) eine Normierung der durch die Rechtsprechung präferierten Lösung vor, die Forderung von „No-Spy-Garantien“ als zulässige besondere Bedingung der Auftragsausführung (Ausführungsbedingung) zu ermöglichen. Der Wortlaut des § 128 Abs. 2 GWB-E geht insoweit über die Vorgaben des Art. 70 der Richtlinie 24/2014/EU hinaus, indem er die Festlegung von individuellen Ausführungsbedingungen insbesondere auch zum „Schutz der Vertraulichkeit von Informationen“ vorsieht, sofern sie mit dem Auftragsgegenstand in Verbindung stehen und sich „aus der Auftragsbekanntmachung oder den Vergabeunterlagen ergeben“. Die Umsetzungsfrist für die neuen EU-Vergaberichtlinien endet am 18. April kommenden Jahres, sodass spätestens zu diesem Zeitpunkt feststehen sollte, ob das neue Vergaberecht mehr Rechtssicherheit im Zusammenhang mit der Forderung von „No-Spy-Garantien“ schafft.
Praxishinweis
Bis zum Erlass einer klarstellenden gesetzlichen Regelung ist – auch vor dem Hintergrund des Regierungsentwurfs – der von der Rechtsprechung befürwortete Weg, die „No-Spy-Garantie“ als besondere Anforderung an die Auftragsausführung zu fordern, als vergaberechtlich zulässige Lösung zu empfehlen.
Rechtsanwältinnen Dr. Ingrid Reichling und Nina Kristin Scheumann
München