Schon vergeben?

Der Vergaberecht-Podcast von HEUKING

Unter dem Titel „Schon vergeben – Der Vergaberecht-Podcast von HEUKING“ erklärt der Podcast alle zwei Wochen praxisnah und auch für Einsteiger verständlich die Grundzüge des Vergaberechts.

20.03.2025

Folge 48: Informationssicherheitsleistungen

Zurück zur Übersicht

In der 48. Folge unseres Vergaberechts-Podcasts besprechen Sebastian Süpple und Jakob Papendell, welche Features das Vergaberecht bereithält, wenn es um Informationssicherheitsleistungen geht.

Herr Süpple und Herr Papendell sprechen in dieser Folge insbesondere über die folgenden Punkte:

Was ist Informationssicherheit?

Informationssicherheit meint insbesondere den Schutz von Informationen und Informationssystemen vor Risiken, die deren Vertraulichkeit, Integrität und Verfügbarkeit beeinträchtigen können. Unter Informationssicherheitsleistungen fallen Verschlüsselungstechnologien, Virensoftware, Analyse von Schwachstellen der öffentlichen Infrastruktur oder auch Schulungen von Mitarbeitern zur Informationssicherheit.

Sind bei der Beschaffung von Informationssicherheitsleistungen Ausnahmen von der Anwendung des Vergaberechts denkbar?

Bei der Beschaffung von Informationssicherheitsleistungen darf der öffentliche Auftraggeber in eng begrenzten Ausnahmefällen auf die Anwendung des Vergaberechts verzichten.

1. Sicherheitsindustrielle Schlüsseltechnologien

Eine Ausnahme ist der in § 107 Abs. 2 GWB normierte Ausnahmetatbestand. Dieser kann einschlägig sein, wenn der öffentliche Auftrag sicherheitsindustrielle Schlüsseltechnologien aus dem nicht-militärischen Bereich betrifft.

 

2. Vergaben, die Verteidigungs- und Sicherheitsaspekte umfassen

§ 117 GWB erlaubt bei öffentlichen Aufträgen, die Verteidigungs- und Sicherheitsaspekte umfassen, unter engen Voraussetzungen den Verzicht auf ein Vergabeverfahren. Die Ausnahmen des § 117 Nr. 1 bis Nr. 3 GWB stellen auf den Schutz der wesentlichen Sicherheitsinteressen der Bundesrepublik Deutschland oder eine Geheimerklärung des Auftraggebers in Hinblick auf die Vergabe und Ausführung des Auftrags ab.

 

3. Vergabeverfahren nach der VSVgV

Wenn keine der Ausnahmevorschriften einschlägig ist und es sich um eine Dienstleistung handelt, die im Rahmen eines Verschlusssachenauftrages vergeben wird, kann sich das Vergabeverfahren nach der VSVgV richten. Diese enthält spezielle Regelungen zum Vertraulichkeitsschutz, insbesondere verschiedene Verfahrenserleichterungen und einen höheren Schwellenwert.

Welche sonstigen Gestaltungsmöglichkeiten bietet das Vergaberecht dem Auftraggeber, um seinen Sicherheitsinteressen gerecht zu werden?

Wenn weder die zuvor genannten Ausnahmen noch eine Verschlusssache vorliegt, findet das übliche Vergaberegime nach §§ 115 ff. GWB sowie die VgV Anwendung. Dem Auftraggeber stehen dann die verschiedenen Verfahrensarten des § 14 VgV zur Verfügung.

 

1. Das offene Verfahren

Das offene Verfahren, das der Auftraggeber immer wählen kann, kommt insbesondere bei Ausschreibungen von standardisierten Waren und Dienstleistungen ohne erhöhte Sicherheitsrelevanz in Betracht, wie bei der Ausschreibung von marktüblicher Virensoftware oder die Schulung von Angestellten zu informationssicherheitsrelevanten Themen.

2. Verhandlungsverfahren ohne Teilnahmewettbewerb

Dieses Verfahren kann unter den Umständen des Einzelfalls zulässig sein, wenn nur ein einziges Produkt auf den Markt den erforderlichen Mindeststandard der IT-Sicherheit gewährleistet und aus technischen Gründen kein Wettbewerb vorhanden ist.

3. Verhandlungsverfahren mit Teilnahmewettbewerb

Das Verhandlungsverfahren mit Teilnahmewettbewerb ist oftmals möglich und zweckmäßig, da der konkrete Beschaffungsgegenstand der Informationssicherheitsleistung im Vorfeld der Ausschreibung für den öffentlichen Auftraggeber häufig noch nicht feststeht und aufgrund seiner Komplexität nicht ohne vorherige Verhandlungen vergeben werden kann.

Als weitere Gestaltungsmöglichkeiten nach der Entscheidung für ein bestimmtes Vergabeverfahren stehen dem Auftraggeber insbesondere im Rahmen der Eignung verschiedene Gestaltungsspielräume zur Verfügung. Nur beispielhaft stellen wir zwei Möglichkeiten vor, wie der Auftraggeber diese Ziele verfolgen kann.

1. Schutz der Vertraulichkeit

Um einen hohen Schutz der Vertraulichkeit zu erreichen, kann der Auftraggeber unter bestimmten Voraussetzungen die Vergabeunterlagen nur den im Teilnahmewettbewerb ausgewählten geeigneten Unternehmen zukommen lassen.

2. Sicherstellung der technischen Leistungsfähigkeit des beauftragten Unternehmens

Informationssicherheitsleistungen stellen häufig komplexe IT-Dienstleistungen dar, die nicht von jeder IT-Fachkraft ordnungsgemäß erbracht werden können. In diesem Zusammenhang kommt insbesondere in Betracht, dass der Auftraggeber hinsichtlich des erforderlichen Fachpersonals auch die notwendigen Qualifikationsnachweise, die Angabe persönlicher Referenzen oder sonstige Angaben und Belege der Qualifikation und Berufserfahrung verlangt.

Was sollte bei allen Besonderheiten und Möglichkeiten nicht vergessen werden?

Insbesondere wenn sich der öffentliche Auftraggeber auf einen Ausnahmetatbestand beruft, muss er die Gründe und den Grundsatz der Wahrung der Verhältnismäßigkeit genau dokumentieren. Er muss im Einzelfall zwischen den öffentlichen Sicherheitsbelangen und den vergaberechtlichen Grundsätzen, insbesondere der Transparenz, abwägen.

Abonnieren Sie unseren Podcast gern in Ihrem Podcastfeed, um auf dem Laufenden zu bleiben. Bei Lob, Kritik, Anmerkungen oder Anregungen zum Podcast freuen wir uns über Ihre Email an schonvergeben(at)heuking.de. Auch Themenwünsche sind uns immer herzlich willkommen!

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.