Der in den vergangenen Wochen heiß diskutierte „No-Spy-Erlass“ des Bundesministeriums des Innern hat seine erste Feuerprobe nicht überstanden (zum Inhalt des No-Spy-Erlasses siehe Blogbeitrag vom 01.07.2014). Die Vergabekammer des Bundes hält die Abfrage einer Eigenerklärung, wonach ein Bewerber hinsichtlich vertraulicher Informationen keinen gesetzlichen Offenlegungspflichten gegenüber ausländischen Sicherheitsbehörden unterliegt, für unzulässig. Das Problem der Datenweitergabe aufgrund ausländischer Gesetze, seit dem letzten Jahr u.a. am Beispiel des US-amerikanischen Partiot Acts diskutiert, lässt sich jedenfalls nicht mittels entsprechender Eignungsanforderungen lösen.
§ 97 Abs. 4 GWB, § 7 Abs. 5 S. 1 VOL/A-EG
Sachverhalt
Das Beschaffungsamt des BMI schrieb Anfang 2013 in einem nicht offenen Verfahren umfangreiche IT-Dienstleistungen aus. Neben mehreren im Teilnahmewettbewerb abgeforderten Angaben zu Sicherheitsaspekten (u.a. Zustimmung zur Sicherheitsüberprüfung von Personen vor Auftragserteilung) enthielt der Vertragsentwurf die Pflicht zur Wahrung des Datengeheimnisses nach dem Datenschutzgesetz (DSG) sowie das Verbot zur Weitergabe von Informationen aus dem Vertragsverhältnis an Dritte.
Ein Wettbewerber wandte sich im Mai 2014 gegen die geplante Vergabe an den Bestbieter u.a. mit dem Argument, die Vergabestelle müsse aufgrund der neueren Erlasslage des Bundesministeriums des Innern (BMI) trotz Abschluss des Teilnahmewettbewerbs in eine erneute Eignungsprüfung eintreten. Seit April 2014 bestünde bei Auftragsvergaben des Bundes die Pflicht, von IT-Unternehmen eine Eigenerklärung abzufordern, wonach sie keiner vertraglichen oder gesetzlichen Verpflichtung zur Weitergabe von Daten an Geheimdienste oder andere ausländische Behörden unterlägen (sog. „No-Spy-Erklärung“). Angesichts der Verbindung des Bestbieters zu seinem US-amerikanischen Mutterunternehmen könne dieser eine solche Erklärung nicht (oder jedenfalls nicht wahrheitsgemäß) abgeben, da nach der US-amerikanischen Rechtslage den dortigen Behörden weitreichende Befugnisse zum Eingriff in die von privaten Unternehmen gespeicherten Daten zur Verfügung stünden. Der Wettbewerber bezieht sich insoweit insbesondere auf den sog. Patriot Act aus dem Jahr 2001, der es auch erlaube, auf Daten ausländischer Tochterunternehmen zuzugreifen.
Die Entscheidung
Die VK Bund gab dem Auftraggeber Recht. Ein Widereintritt in die Eignungsprüfung und die Pflicht zur Vorlage der „No-Spy-Erklärung“ komme sowohl aus formalen als auch aus materiellen (inhaltlichen) Gründen nicht in Betracht. Das Abverlangen einer Eigenerklärung sei in diesem Verfahrensstadium nicht mehr möglich. Da die „No-Spy-Erklärung“ in dem Erlass als Eignungsnachweis behandelt werde, hätte diese gemäß § 7 Abs. 5 S. 1 VOL/A-EG bereits in der Bekanntmachung gefordert werden müssen.
Auch auf materieller Ebene erteilt die Vergabekammer dem Ansinnen des Wettbewerbers eine Absage und findet hierfür deutliche Worte: der Sachverhalt der Datenweitergabe sei ein sachlich nicht zulässiges Eignungskriterium.
Zwar hält die Vergabekammer eine Datenweitergabe jeglicher Art für höchst problematisch. Die Weitergabe insbesondere personenbezogener Daten, um die es sich hier handele, an Stellen außerhalb der EU sei datenschutzrechtlich nicht gestattet.
Allerdings könne diese Problematik nicht im Rahmen der Eignungsprüfung über eine Zuverlässigkeitsanforderung gelöst werden. Eignungsanforderungen seien bieterbezogen und müssten dem Bieter in irgendeiner Form zurechenbar, d. h. von ihm beeinflussbar sein. Als Beispiel nennt die VK Bund schwere Verfehlungen oder in der Vergangenheit begangene Verstöße gegen Datenschutzbestimmungen. Die Pflicht zur Datenweitergabe (bzw. Zugriffsrechte auf Server) beruhe hingegen auf zwingendem US-amerikanischen Recht, dem US-Unternehmen und ihre Tochterfirmen zwangsläufig unterworfen seinen. Das Verbot der Datenweitergabe sei vor diesem Hintergrund kein vom Bieter beeinflussbarer Sachverhalt und komme daher als Eignungsanforderung nicht in Betracht. Außerdem sei der Katalog der zulässigen Eignungsanforderungen abschließend; das Unterlassen einer Datenweitergabe sei in diesem Katalog nicht vorgesehen.
Aus alledem schließt die VK Bund:
„Ergeben sich dagegen aus der Rechtsordnung eines Landes, der er unterworfen ist, bestimmte Verpflichtungen, denen er sich nicht entziehen kann, so ist es unzulässig, diese dem Bieter als ein die Zuverlässigkeit ausschließendes oder in Frage stellendes Fehlverhalten zuzurechnen, und zwar auch dann, wenn er infolge dessen zwangsläufig gegen die Vorgaben einer anderen Rechtsordnung – hier der Datenschutz – verstoßen muss. […]
Die Bieter können nicht für die allgemein geltende Rechtsordnung, der sie unterworfen sind, haftbar gemacht werden, ansonsten stünde die Eignungsprüfung nicht in Einklang mit rechtsstaatlichen Grundsätzen.“
Daher sei die Vergabestelle nicht befugt gewesen, aufgrund der Datenweitergabeproblematik die Eignungsfrage (erneut) zu stellen.
Die VK Bund deutet allerdings an, Raum für die Berücksichtigung des Aspekts der Datenweitergabe bei den besonderen Anforderungen an die Auftragsausführung (§ 97 Abs. 4 S. 2 GWB) zu sehen. Sie zieht dabei eine Parallele zu den ILO-Kernarbeitsnormen, die vom OLG Düsseldorf ebenfalls nicht der Eignungsebene, sondern den besonderen Ausführungsanforderungen zugeordnet werden (vgl. Beschluss vom 29.01.2013, Az. VII-Verg 28/13, Beitrag von Dr. Alexander Fandrey). Letztlich belässt es die VK Bund allerdings bei dieser Andeutung. Die Vergabestelle habe den Aspekt der Datensicherheit als vertragliche Regelung aufgenommen. Eine vergaberechtliche Pflicht, eine diesbezügliche Anforderung gemäß § 97 Abs. 4 S. 2 GWB zu etablieren, sei weder erkennbar noch im Nachprüfungsverfahren vom Antragsteller gefordert worden.
Rechtliche Würdigung
Die Entscheidung ist bemerkenswert. Die VK Bund erklärt den Erlass des Bundesministeriums des Innern (BMI) vom 30.04.2014 faktisch für unanwendbar. Die Begründung ist vergaberechtlich korrekt, die Zuverlässigkeit bezieht sich nun einmal auf das Verhalten des Bieters in der Vergangenheit, das Ausschluss auf künftiges Verhalten während der Auftragsausführung geben soll. Denkbar ist insoweit ein Ausschluss wegen vergangener Gesetzesverstöße, wenn auch in Zukunft nicht mit Besserung zu rechnen ist. Eine pauschale Absage an eine Gruppe von ausländischen Unternehmen, die möglicherweise (!) in Zukunft gegen inländische Gesetze verstoßen werden, ist hingegen nicht Sinn und Zweck der Eignungsprüfung.
Damit erschöpfen sich allerdings bereits die Aussagen der VK Bund. Ob und wenn ja in welcher Form ein ausdrückliches Verbot der Datenweitergabe vergaberechtlich möglich wäre, war nicht Gegenstand dieses Rechtsstreits.
„No-Spy“ als zusätzliche Ausführungsanforderung?
Immerhin deutet die Vergabekammer die Verortung der Datenschutzproblematik als zusätzliche Anforderung an Auftragnehmer für die Auftragsausführung als Lösungsweg an. Diese zusätzlichen Anforderungen sind weder Eignungs- noch Zuschlagskriterien, sondern werden als Bestandteil der Leistungsbeschreibung mit Zuschlag zum Vertragsbestandteil. Sie beziehen sich auf den Prozess der Leistungserbringung und betreffen damit nicht die eigentliche Leistung.
Insofern ist der Vorschlag der VK Bund nachvollziehbar: Bei dem Verbot der Datenweitergabe geht es nicht um die Leistung – z. B. Softwareentwicklung – selbst, sondern um den Umgang mit den während der Auftragsausführung für den Auftragnehmer zugänglichen Daten des Auftraggebers.
Voraussetzung für die Zulässigkeit solcher zusätzlichen Ausführungsanforderungen ist ein sachlicher Zusammenhang mit dem Leistungsgegenstand, der bei sicherheitsrelevanten Vergaben gegeben sein dürfte. Auftraggeber könnten demnach in ihrer Leistungsbeschreibung konkrete Anforderungen an die Datensicherheit während der Auftragsausführung stellen.
Allerdings gilt für Ausführungsanforderungen außerdem die von der EU-Kommission aufgestellte Regel, wonach grundsätzlich jeder Bieter in der Lage sein muss, diese Klauseln zu erfüllen; außerdem dürfen die Ausführungsklauseln nicht diskriminierend wirken (vgl. Europäische Kommission, Umweltorientierte Beschaffung, Ein Handbuch für umweltorientiertes Beschaffungswesen, 2005, S.38).
Hier beißt sich die Katze in den Schwanz. Im Grunde lassen sich nämlich die Argumente, die aus Sicht der VK Bund gegen die „No-Spy-Erklärung“ sprechen, auf die vertragliche Ebene übertragen. Wie kann ein Unternehmen mit Wurzeln in einer Rechtsordnung, die weitreichende, gesetzlich zwingende Datenweitergabepflichten enthält, einen Vertrag mit einer diametral entgegen stehenden Ausführungsklausel unterschreiben? Die Übernahme der „No-Spy-Erklärung“ in inhaltlich unveränderter Form in die Leistungsbeschreibung ist daher ebenso problematisch wie die Forderung der Erklärung auf Eignungsebene.
„No-Spy“-Klausel AGB-konform?
Letztlich bleibt ohnehin fraglich, ob der „No-Spy-Erlass“, der dem Vernehmen nach überarbeitet werden soll, seinen Hauptzweck – nämlich eine Beweiserleichterung zu Gunsten des Auftraggebers – wird erfüllen können. Die Beweiserleichterung sollte darin bestehen, dass der Nachweis einer rechtlichen Verpflichtung zur Datenweitergabe als Kündigungsgrund ausreichend sein sollte. Eine derartige Regelung dürfte gegen das Recht der allgemeinen Geschäftsbedingungen verstoßen (bzw. in den Worten der VK Bund: mit rechtsstaatlichen Grundsätzen unvereinbar sein). Ein Kündigungsrecht ohne den konkreten Nachweis einer Pflichtverletzung weicht derart weit von dem gesetzlichen Leitbild einer rechtmäßigen (Verdachts-)Kündigung ab, dass der Auftragnehmer unangemessen benachteiligt werden würde (vgl. § 307 BGB). Es bleibt das Verbot der Weitergabe insbesondere von personenbezogenen Daten, das sich allerdings bereits im deutschen Recht findet und insofern keinen Bedarf nach Ausführungsklauseln begründet.
Das Dilemma bleibt also vorerst ungelöst. Betroffene Unternehmen können zwischen einem (potentiellen) Verstoß gegen ihre eigene (ausländische) Rechtsordnung und einem Verstoß gegen das deutsche Datenschutzrecht wählen. Zugleich haben Auftraggeber kaum eine praktikable Möglichkeit, potentiellen Rechtsverstößen zu begegnen und ihre berechtigten Sicherheitsinteressen durchzusetzen. Es bleibt zu hoffen, dass die Datenweitergabeproblematik auf politischer Ebene eine Lösung finden wird.
Praxistipp
Angesichts der klaren Worte der VK Bund zum „No-Spy-Erlass“ des BMI vom 30.04.2014 sollten Auftraggeber vorerst (bis zu der erwarteten Neufassung) auf dessen Einsatz verzichten. Sofern er doch Verwendung finden sollte, können Bieter die Forderung der „No-Spy-Erklärung“ rügen.
Berechtigte Sicherheitsinteressen insbesondere bei IT-Leistungen können mittels entsprechender Leistungsanforderungen durchgesetzt werden, die sich nicht in pauschalen Ausführungsanforderungen im Sinne des Verbots von Datenweitergabe erschöpfen, sondern konkrete (erfüllbare) Vorgaben für den Umgang mit den sensiblen Daten des Auftraggebers schaffen. Derartige Ausführungsanforderungen sind in der EU-Bekanntmachung unter Ziff. III.1.4) „Sonstige besondere Bedingungen“ aufzuführen, andernfalls ist die spätere Forderung unzulässig (vgl. Beitrag Dr. Valeska Pfarr, OLG Düsseldorf, Beschluss vom 17.01.2013, Az. VII-Verg 35/12). Eine letzte Sicherheit hinsichtlich potentieller Datenweitergaben lässt sich damit zwar nicht erreichen; angesichts der widerstreitenden Rechtslagen ist dies jedoch derzeit auch nicht möglich.
Die Autorin Sonja Stenzel ist Rechtsanwältin in Berlin und bei der BG Kliniken - Klinikverbund der gesetzlichen Unfallversicherung gGmbH tätig.
Es ist schwer zu verstehen, warum die Forderung nach Einhaltung der Gesetze diskriminierend sein soll. Gemäß § 97 Abs. 4 S. 1 GWB werden Aufträge nur an gesetzestreue Unternehmen vergeben. Gemeint können doch nur die Gesetze des Auftraggeber-Landes sein. Wenn also bekannt ist, dass objektive rechtliche Verpflichtungen aus dem Heimatland des Auftragnehmers dieser Gesetzestreue entgegenstehen, kann ein Auftrag nicht erteilt werden.