Jedem, der mit dem öffentlichen Vergaberecht zu tun hatte, ist bestens bekannt, dass das öffentliche Vergaberecht von Auftraggebern einzuhalten ist, die öffentliche Aufträge schließen. Dieses ist bei Beschaffungen für Auftraggeber schon kosten- und zeitintensiv genug. Unter Umständen können sich aufgrund bestimmter Geschäftsbereiche, in denen der öffentliche Auftraggeber tätig ist, weitere rechtliche Anforderungen ergeben, die den Einkauf erschweren. Die Natur der öffentlichen Banken als öffentlich-rechtliche Kreditinstitute hat zur Folge, dass das Kreditinstitut neben dem öffentlichen Vergaberecht zusätzlich teilweise oder vollständig an das Bankenaufsichtsrecht gebunden ist. Welche Folgen sich für das Vergabeverfahren in der Praxis ergeben, wird im Folgenden dargestellt.
I. Vergaberecht
Grundsätzlich bestimmt § 97 Abs. 1 GWB, dass öffentliche Aufträge im Wettbewerb und im Wege transparenter Verfahren zu vergeben sind. § 103 Abs. 1 GWB regelt, was unter dem Begriff das öffentlichen Auftrags zu verstehen ist. Danach sind öffentliche Aufträge entgeltliche Verträge zwischen öffentlichen Auftraggebern und Unternehmen über die Beschaffung von Leistungen, die die Lieferung von Waren, die Ausführung von Bauleistungen oder die Erbringung von Dienstleistungen zum Gegenstand haben. Für das Vorliegen eines öffentlichen Auftrags ist daher notwendig, dass der Auftraggeber ein öffentlicher Auftraggeber ist. Dieser wird begrifflich in § 99 GWB geregelt.
Öffentliche Banken fallen grundsätzlich unter § 99 Nr. 2 GWB. Danach sind öffentliche Auftraggeber andere juristische Personen des öffentlichen Rechts oder des privaten Rechts, die zu dem besonderen Zweck gegründet wurden, im Allgemeininteresse liegende Aufgaben nichtgewerbliche Art zu erfüllen, sofern sie überwiegend von öffentlichen Auftraggebern finanziert werden, ihre Leitung der Aufsicht öffentlicher Aufraggeber unterliegt oder mehr als die Hälfte ihrer Mitglieder eines zur Geschäftsführung oder Aufsicht berufenen Organs durch öffentliche Auftraggeber bestimmt worden ist.
Die Investitions-, Förder- oder Aufbaubanken der einzelnen Bundesländer sind regelmäßig als Anstalten des öffentlichen Rechts ausgestaltet. Sie erfüllen durch die Bundesländer übertragene Aufgaben unter anderem in den Bereichen des Wirtschaftsmarkts, des Arbeitsmarkts, der Infrastruktur- sowie der Wohnraumförderung, die im Landes- und damit Allgemeininteresse liegen. Gleichzeitig sind sie grundsätzlich nicht gewerblich tätig und nicht auf Gewinnerzielung gerichtet. Zudem unterstehen sie der Leitung der entsprechenden Bundesländer in Form der zuständigen Ministerien und sind zum überwiegenden Teil in der öffentlichen Hand.
Folge ist, dass öffentliche Banken dem öffentlichen Vergaberecht unterworfen sind und die Verpflichtung haben, eigene Beschaffungen im Rahmen vergaberechtskonformer Vergabeverfahren durchzuführen.
II. Datenschutzrecht
Grundsätzlich findet auch auf öffentliche beschaffende Stellen die 2018 in Kraft getretene DSGVO Anwendung. Die öffentliche Bank als Auftraggeber ist in diesem Fall verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DSGVO. Die Verordnung erhält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Hier sind unterschiedliche datenschutzrechtliche Vorgaben zu beachten, insbesondere zur Einwilligung nach Art. 7 DSGVO, zur Rechtmäßigkeit der Verarbeitung nach Art. 6 DSGVO, zu den Informationspflichten aus Art. 13, 14 DSGVO sowie zur Auftragsverarbeitung nach Art. 28 DSGVO.
Ist keine gesetzliche Grundlage für die Datenverarbeitung in bestimmten Bereichen vorhanden, so muss eine dokumentierte Einwilligung vorliegen.
Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so darf dieser nur mit Auftragsverarbeitern arbeiten, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
Werden im Ergebnis tatsächlich personenbezogene Daten verarbeitet, entstehen zu dokumentierende Informationspflichten seitens des Auftraggebers.
III. Bankenaufsichtsrecht
Neben dem öffentlichen Vergaberecht und dem Datenschutzrecht trifft öffentliche Banken die Verpflichtung, sich an die Mindestanforderungen des Risikomanagements (MaRisk) und seit Kurzem an die bankaufsichtlichen Anforderungen an die IT (BAIT) zu halten. Insbesondere im Abschnitt AT 9 sind für Banken, unabhängig davon, ob sie privat oder öffentlich sind, Vorgaben für die Inanspruchnahme externer Dienstleister aufgestellt worden.
Danach werden drei bankaufsichtliche Kategorien von Dienstleistungsverträgen unterschieden, an die wiederum verschiedene Folgen im Hinblick auf entstehende Risiken und deren Beurteilung geknüpft werden. Verträge an externe Dienstleister sind danach als Auslagerung, sonstige Fremdbezug von IT-Dienstleistungen oder sonstiger Fremdbezug zu qualifizieren.
Gemäß AT 9 Nr. 1 MaRisk liegt eine Auslagerung vor, wenn ein anderes Unternehmen mit der Wahrnehmung solcher Aktivitäten und Prozessen im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen und sonstigen institutstypischen Dienstleistungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden. In diesem Fall verlangen die Mindestanforderung an das Risikomanagement, dass eine Risikoanalyse im Hinblick auf die ausgelagerte Dienstleistung durchgeführt wird, die im Ergebnis aufzeigt, ob das mit der Auslagerung einhergehende Risiko als wesentlich oder unwesentlich eingestuft wird. Beim Vorliegen einer wesentlichen Auslagerung werden an den zu schließenden Vertrag erhöhte Anforderungen gestellt.
Dies hat zum einen zur Folge, dass ein Auslagerungs- und Notfallkonzept erstellt wird. Für den Fall der Beendigung des auszulagernden Vertrags durch Widerruf, Anfechtung, Aufhebungsvertag, Rücktritt, Kündigung müssen entsprechende Vorkehrungen getroffen und festgelegt werden, um weiterhin die ordnungsgemäße Durchführung der ausgelagerten Aktivität oder des Prozesses sicherzustellen. Der Bankbetrieb darf nicht gefährdet oder sogar beeinträchtigt sein. In diesem Zuge sind außerdem Exit-Strategien und Notfallszenarien zu entwickeln und zu verankern.
Zum anderen ist ein Auslagerungsvertrag zu erstellen. Insbesondere muss dieser aufgrund der mit der Auslagerung einhergehenden Risiken entsprechende Informations- sowie Prüfrechte für interne, externe Prüfer und BaFin, Kontrollrechte sowie Weisungsrechte enthalten. Darüber hinaus müssen entsprechende Kündigungsrechte mit angemessen Kündigungsfristen in den Vertrag aufgenommen werden. Zudem müssen Regelungen zur Weiterverlagerung der ausgelagerten Aktivitäten und Prozesse in Form von Zustimmungsvorbehalten getroffen werden.
Liegt keine Auslagerung vor, wird jedoch eine Dienstleistung im Zusammenhang mit der Bereitstellung von IT-Systemen, IT-Prozessen, IT-Aktivitäten, IT-Projekten, TI-Gewerken oder IT-Personalstellungen erbracht, dann liegt ein so genannter sonstiger Fremdbezug von IT-Dienstleistungen entsprechend den BAIT vor. In diesem Fall ist zwar keine Risikoanalyse in dem Umfang durchzuführen, in dem sie beim Vorliegen einer Auslagerung zu erfolgen hat. Jedoch ist wegen der enormen Bedeutung von IT für das Institut eine Risikobewertung vorzunehmen, die im Vergleich zur Risikoanalyse allerdings keinen derart hohen Detaillierungsgrad aufweist.
Unterfällt die an den externen Dienstleister zu vergebende Leistung weder dem Begriff der Auslagerung noch demjenigen eines sonstigen Fremdbezug von IT-Dienstleistungen, dann wird sie als „reiner“ sonstiger Fremdbezug klassifiziert. In diesem Fall sind lediglich die Anforderung an die ordnungsgemäße Geschäftsorganisation nach § 25a KWG ohne besondere Vorgaben zu gewährleisten.
IV. Praktische Konsequenzen für das Vergabeverfahren
Diese rechtlichen Vorgaben an eine Bank als öffentlichen Aufraggeber, die sogar das Erfordernis von Auslagerungsverträgen mit speziellen Rechten und Pflichten, Auslagerungs- sowie Notfallkonzepten aufstellen, führen in der Konsequenz dazu, dass sich der Auftraggeber in der Vorbereitung des Vergabeverfahrens, sogar im Rahmen der Markterkundung, bereits Gedanken über diese Aspekte machen und sie in den nach Bekanntmachung oder Angebotsaufforderung grundsätzlich nicht mehr abänderbaren Vergabeunterlagen verankern muss.
Bereits im Vorfeld der Einleitung des Vergabeverfahrens muss als Teil des Vergabeverfahrens die Prüfung in der Vergabeakte dokumentiert werden, ob es sich bei der zu vergebenden Leistung um eine Auslagerung, einen sonstigen Fremdbezug von IT-Dienstleistungen oder um einen „reinen“ sonstigen Fremdbezug handelt. Denn das Ergebnis hat Einfluss auf die Erstellung und Gestaltung der Vergabeunterlagen, die sodann zur Einleitung des Vergabeverfahrens bekanntgegeben werden.
Insbesondere der Auslagerungsvertrag mit den Informations-, Prüf-, Kontroll- sowie Weisungsrechten ist mithin als Vertragsmuster den Interessenten bzw. Bietern zur Verfügung zu stellen. Soweit die Auslagerungs- und Notfallkonzepte die Rechte und Pflichten des potentiellen Dienstleisters berühren und teilweise oder vollständig Gegenstand des Vergabeverfahrens werden sollen, sind diese ebenfalls zur den bekanntzumachenden Vergabeunterlagen aufzunehmen.
Werden personenbezogene Daten verarbeitet, werden Erklärungen zum Datenschutz erforderlich, die zum Gegenstand der Vergabeunterlagen zu machen sind. Sollte es sich um zu beschaffende Leistungen handeln, bei denen im Auftrag des Auftraggebers solche personenbezogenen Daten verarbeitet werden, so müssen zudem das Muster eines Auftragsverarbeitungsvertrags sowie eine Anlage zur Festlegung der technisch-organisatorischen Maßnahmen im Hinblick auf den Datenschutz beim Dienstleister fixiert werden.
V. Fazit
Ungeachtet des ohnehin von öffentlichen Auftraggebern anzuwendenden zeit- und kostenintensiven Vergabe- und Datenschutzrechts, trifft öffentliche Banken zudem das „gesetzliche Schicksal“, das Bankenaufsichtsrecht einzuhalten und sich Prüfungen der Aufsichten wie der Bundesanstalt für Finanzen zu unterwerfen. Dies ist eine weitere Komponente, die Vergabeverfahren noch langwieriger macht.
Nichtsdestotrotz ist neben dem Vergabe- und Datenschutzrecht auch auf die bankaufsichtlichen Aspekte präzise zu achten, da fehlende bankaufsichtliche Vorgaben bei Versäumnis der Aufnahme in die bekanntzumachenden Vergabeunterlagen wegen des strengen Vergaberechts nicht mehr nachträglich zum Gegenstand der Ausschreibung gemacht werden können und die öffentliche Bank sich damit gegenüber Aufsichten angreifbar macht.
Der Autor Michael Pilarski ist als Volljurist bei der Investitions- und Förderbank des Landes Niedersachsen – NBank – in Hannover tätig. Als Prüfer, insbesondere der Vergaberechtsstelle, lag sein Schwerpunkt mehrere Jahre in den Bereichen Zuwendungs- und Vergaberecht. Er hat die Einhaltung des Zuwendungs- und Vergaberechts durch private und öffentliche Auftraggeber, die Förderungen aus öffentlichen Mitteln erhalten, geprüft und Zuwendungsempfänger bei zuwendungs- und vergaberechtlichen Fragestellungen begleitet. Nunmehr ist er in der Rechtsabteilung der NBank in den Bereichen Vergabe-, Vertrags- sowie Auslagerungsmanagement beschäftigt. Darüber hinaus sitzt er der Vergabekammer Niedersachsen beim Niedersächsischen Ministerium für Wirtschaft, Arbeit und Verkehr in Lüneburg bei, ist zugelassener Rechtsanwalt und übernimmt Referententätigkeiten sowie Schulungen im Zuwendungs- und Vergaberecht.
0 Kommentare