Kein Angebotsausschluss trotz ungültiger elektronischer Signatur? (VK Südbayern, Beschluss v. 17.04.2013 – Z3-3-3194-1-07-03/13)

EntscheidungZur Angebotsabgabe mit elektronischer Signatur gibt es bislang kaum Entscheidungen, obwohl die elektronische Vergabe als Zukunftsmodell in aller Munde ist. Dementsprechend groß ist oft die Verunsicherung der Vergabestellen. Nun hatte die Vergabekammer Südbayern einen Fall zu entscheiden, in dem es um die Gültigkeit einer fortgeschrittenen elektronischen Signatur ging. In den Entscheidungsgründen erörterte sie eingehend technische Details und die rechtlichen Unterschiede gegenüber der qualifizierten elektronischen Signatur. Vergabestellen sah sie ausdrücklich in der Pflicht, in jedem Problemfall den Sachverhalt genau zu untersuchen und eine eigene wertende Entscheidung zur Signatur zu treffen und diese zu dokumentieren (VK Südbayern, Beschluss vom 17.04.2013, Az.: Z3-3-3194-1-07-03/13).

Der Fall

Bei einer Bauauftragsvergabe hatte der Auftraggeber die elektronische Angebotsabgabe erlaubt und dabei sowohl die fortgeschrittene als auch die qualifizierte elektronische Signatur zugelassen. Ein Bieter hatte die technische Möglichkeit, beide Signaturarten zu erstellen. Der Auftraggeber schloss sein fristgemäß eingegangenes Angebot wegen ungültiger fortgeschrittener Signatur aus. Bereits bei Angebotsabgabe lag dem verwendeten Anwenderzertifikat ein nicht mehr gültiges Zertifikat eines Zertifizierungsdienstanbieters (ZDA oder CA-Zertifikat) zugrunde. Die Vergabekammer Südbayern verwarf den Ausschluss jedoch und entschied, dass das Angebot weder gem. § 16 Abs. 1 Nr. 1 b) i.V.m. § 13 Abs. 1 Nr. 1 VOB/A zwingend auszuschließen noch formnichtig gem. § 125 BGB sei, sondern bei der erneuten Prüfung und Bewertung der abgegebenen Angebote zu berücksichtigen sei.

„Signaturirrtum“? Risiko des Bieters!

Dabei sah es die Vergabekammer zunächst einmal als erwiesen an, dass das Angebot nur mit fortgeschrittener und nicht mit qualifizierter Signatur erstellt worden war. Nur der Zugang beim Auftraggeber sei entscheidend, auf die genauen Umstände des Signiervorgangs selbst kam es ihr zufolge nicht an, da diese in der Risikosphäre des Bieters lägen. Er konnte sich darum nicht auf eine Fehlbedienung der Bietersoftware oder andere Umstände berufen, die dazu geführt haben könnten, dass er unbeabsichtigt lediglich eine fortgeschrittene elektronische Signatur erstellt hatte. Genauso wenig war von Bedeutung, ob der Bieter irrig davon ausging, eine qualifizierte Signatur abgegeben zu haben.

Zertifikate und Prüfmethoden – wichtige Unterschiede

Dennoch aber wendete die Vergabekammer im entschiedenen Fall bei der Prüfung der Gültigkeit der Signatur die Anforderungen nach dem so genannten „Kettenmodell“ an, die das Signaturgesetz nur in Bezug auf qualifizierte elektronische Signaturen regele. Sie stützte sich dabei im Wesentlichen darauf, dass die im konkreten Fall erstellte Signatur der qualifizierten elektronischen Signatur nahe komme und die Antragstellerin auch eine qualifizierte Signatur hätte erstellen können, zudem verwies die Vergabekammer auf die Schwere der vergaberechtlichen Sanktion des Ausschlusses.

Hätte die Vergabekammer die betroffene Signatur hingegen streng am Maßstab für fortgeschrittene elektronische Signaturen geprüft, so wäre die Signatur möglicherweise als ungültig zu qualifizieren gewesen.

Die Vergabekammer erläuterte dazu, dass sowohl die qualifizierte elektronische Signatur, als auch die fortgeschrittene elektronische Signatur auf Zertifikaten basieren, die in drei hierarchischen Ebenen wirken: nämlich dem Wurzelzertifikat (Root-Zertifikat), dem Zertifikat des Zertifizierungsdienstanbieters (ZDA oder CA-Zertifikat) und dem Inhaber- bzw. Anwenderzertifikat.

Die Vergabekammer erklärte drei verschiedene Prüfmodelle für die Gültigkeit von Zertifikaten:

· Beim Kettenmodell wird demnach geprüft, ob zum Zeitpunkt der Erstellung der Signatur oder aber der Erstellung des jeweils untergeordneten Zertifikats das unmittelbar übergeordnete Zertifikat noch gültig war. Wenn also – wie im entschiedenen Fall – zum Zeitpunkt der Ausstellung eines Anwenderzertifikats das übergeordnete ZDA- oder CA-Zertifikat noch gültig war, ist auch das Anwenderzertifikat gültig.

· Demgegenüber ist beim Schalenmodell entscheidend, ob im Zeitpunkt der Prüfung ein beliebiges übergeordnetes Zertifikat ungültig ist.

· Das dritte Modell, dem Hybridmodell stellt auf den Zeitpunkt der Erstellung der Signatur ab, entspricht aber ansonsten dem Schalenmodell: entscheidend ist damit, ob ein beliebiges, übergeordnetes Zertifikat – zum Zeitpunkt der Signaturerstellung ungültig ist.

Im entschiedenen Fall wäre damit nach dem Schalen- und nach dem Hybridmodell die fortgeschrittene elektronische Signatur ungültig gewesen, da das Anwenderzertifikat auf einem zum Zeitpunkt der Signaturerstellung und zum Zeitpunkt der Prüfung ungültigen ZDA-oder CA-Zertifikat beruhte.

Anwendbarkeit des Kettenmodells auch auf fortgeschrittene elektronische Signatur?

Entscheidend war daher, welches Prüfungsmodell vorliegend auf die fortgeschrittene elektronische Signatur anzuwenden war.Diese Frage war aus Sicht der Vergabekammer nicht eindeutig zu beantworten, denn das deutsche Signaturgesetz sehe nur in Bezug auf die qualifizierte elektronische Signatur das „Kettenmodell“ vor. Zur fortgeschrittenen elektronischen Signatur enthalte es keine Bestimmung.

Für eine Anwendung des Schalenmodells sprach den Ausführungen der Vergabekammer zufolge, dass zahlreiche gängige Prüfprogramme in Bezug auf nicht qualifizierte Signaturen nach dem Schalenmodell vorgehen und dies wohl auf einem Standard der ITU („International Telecommunication Union“), einer Sonderorganisation der Vereinten Nationen, beruht. Man könnte darum annehmen, dass dieser internationale Standard subsidiär gilt, das heisst: immer dann, wenn deutsches Recht keine davon abweichende Sonderregelung vorsieht.

Gegen eine solche Anwendung spreche andererseits, dass dies schwer vereinbar wäre mit dem Ziel, die elektronische Angebotsabgabe für Bieter zu erleichtern und auch mit der im Rechtsverkehr erkennbaren Tendenz, die fortgeschrittene Signatur für die Abgabe von Angeboten generell ausreichen zu lassen. Die Bieter und auch die Vergabestellen müssten bei Angebotsabgabe/Wertung der Angebote anderenfalls immer wieder prüfen (im Gegensatz zur Abgabe eines Angebots mit qualifizierter Signatur), ob nicht eines der übergeordneten Zertifikate abgelaufen sei.

Lösung der Vergabekammer nur für den Einzelfall

Letztlich ließ die Vergabekammer diese Frage offen und umging das aus ihrer Sicht nicht sachgerechte Ergebnis eines Angebotsausschlusses, indem sie annahm, dass jedenfalls die konkret erstellte fortgeschrittene Signatur unter den Gesichtspunkten der Fälschungssicherheit, Datenintegrität und Personalisierung einer qualifizierten Signatur sehr nahe käme und dass darum eine Prüfung nach dem Schalenmodell nicht zwingend geboten sei. Insbesondere stützte sie diese Einordnung darauf, dass die fortgeschrittene Signatur mit Hilfe einer persönlichen Signaturkarte und eines Kartenlesegerätes, also einer sicheren Signaturerstellungseinheit, erzeugt worden sei und die Antragstellerin damit auch eine qualifizierte Signatur hätte erstellen können.

Zugleich erklärte sie aber, dass es sich hierbei um ein punktuelles Abweichen von der bisher eingeübten, wenn auch nicht gesetzlich begründeten, Regel handele, fortgeschrittene Signaturen nach dem Schalenmodell und qualifizierte, wie im Signaturgesetz angeordnet, nach dem Kettenmodell zu prüfen. Sie erkannte an, dass dies unter dem Gesichtspunkt der Rechtssicherheit und Rechtsklarheit nachteilig sei und erklärte deswegen, dass die in diesem Einzelfall gefundene Lösung nicht zwingend auch in anderen Fallkonstellationen vertretbar sei, insbesondere wenn die fortgeschrittene Signatur nicht mit einer sicheren Signaturerstellungseinheit i.S.d. § 2 Nr. 3 b) SigG erzeugt wurde.

Deutsches VergabenetzwerkFazit

Die Detailtiefe, in der sich die Kammer mit technischen Fragen rund um die elektronische Signatur auseinandersetzt, ist bemerkenswert. Zweifelhaft bleibt aber, ob diese technischen Einzelheiten die durchschnittliche Vergabestelle nicht eher überfordern. Es fragt sich zudem, ob sich die Prüfung nicht generell eher an vergaberechtlichen Zielen orientieren müsste. Letztlich soll die elektronische Signatur bei Angebotsabgabe vor allem die Datenintegrität gewährleisten und Manipulationen ausschließen, das ergibt sich schon aus dem Wortlaut des § 13 Abs. 1 Nr. 2 EG VOB/A. Sie wird insoweit auch als der „virtuelle Umschlag“ eines Angebots bezeichnet (vgl. Planker in: Kapellmann/Messerschmidt, VOB, 2013, § 13 VOB/A, Rn. 10). Es scheint im vergaberechtlichen Kontext daher sachgerecht, allein danach zu fragen, ob diese Funktionen auch bei einem abgelaufenen, übergeordneten Zertifikat noch erfüllt werden können. Dazu ist der Entscheidung nichts zu entnehmen. Andere Funktionen der elektronischen Signatur, wie etwa derjenige der Personalisierung, treten dagegen im vergaberechtlichen Zusammenhang in den Hintergrund. Schließlich besteht die Möglichkeit der Stellvertretung, die bei Formkaufleuten in der Regel auch ohne Nachweis entsprechender Bevollmächtigung bei Angebotsabgabe möglich ist (vgl. BGH, Urteil vom 20.11.2012, Az.: X ZR 108/10).

Zumindest wäre vor einem Ausschluss die Möglichkeit einer Nachforderung zu prüfen, die auch in Bezug auf nicht ordnungsgemäß unterschriebene oder signierte Angebote als möglich angesehen wird (vgl. OLG Düsseldorf, Beschluss vom 09.05.2011, Az.: Verg 40/11 in Bezug auf § 19 Abs. 2 EG VOL/A, ähnlich in Beschluss vom 17.03.2011, Az.: VII-Verg 56/10 zu § 16 Abs. 1 Nr. 3 VOB/A).