IT-Sicherheit im Vergabeverfahren

In der Verordnung über die Vergabe öffentlicher Aufträge (Vergabeverordnung – VgV) in der Fassung der Bekanntmachung vom 12. April 2016 (Bundesgesetzblatt I Seite 624) werden Regelungen für die Kommunikation im Vergabeverfahren festgelegt.

Häufig wird dabei sehr schnell auf die neuen Anforderungen an eine elektronische Vergabe (eVergabe) geschaut. Die Regelungen in § 9 VgV und den nachfolgenden Vorschriften gehen aber erheblich weiter. § 9 VgV stellt Grundsätze der Kommunikation für jegliche Art des Datenaustausches und des Informationsaustausches über die elektronische Datenübermittlung auf. Es wird definiert, was unter elektronische Mittel im Sinne der Vergabeverordnung zu verstehen ist. Dazu gehört das Senden, Empfangen, Weiterleiten und Speichern von Daten in einem Vergabeverfahren. Mit anderen Worten, die Beteiligten eines Vergabeverfahrens, beispielsweise Bieter und Auftraggeber, kommunizieren mit elektronischen Mitteln, insbesondere per E-Mail. Dann sind die in der Vergabeverordnung festgelegten Grundsätze der Kommunikation zu beachten.

Zunächst wird in § 10 VgV festgelegt, welche Anforderungen an die verwendeten elektronischen iIttel zu stellen sind. Es wird erwartet, dass der öffentliche Auftraggeber das erforderliche Sicherheitsniveau für die elektronischen Mittel festlegt. Dies muss gesondert dokumentiert werden und sollte einheitlich für alle Vergabeverfahren beim Auftraggeber gelten. Die entsprechende Dokumentation des festgelegten Sicherheitsniveaus gehört mit in die Vergabeakte.

Hier stellt sich die Frage, ob beispielsweise eine Zertifizierung nach ISO 27001 oder nach BSI-Grundschutz notwendig ist oder ob auch ein anderes Sicherheitsniveau festgelegt werden kann. Letztendlich muss das erforderliche Sicherheitsniveau aber auch überprüfbar sein. Weiterhin wird verlangt, dass insbesondere für den Empfang von Angeboten, Teilnahmeanträgen und Interessensbestätigungen verschiedene zusätzliche Anforderungen aus § 10 Absatz 1 VgV zu beachten sind. Beispielsweise dürfen nur Berechtigte Zugriff auf die empfangenen Daten nehmen. Empfangene Daten dürfen nicht an Unberechtigte übermittelt werden. Verstöße oder auch – dies überrascht –versuchte Verstöße gegen die Anforderungen in § 10 Absatz 1 Nr. 1 – 6 VgV müssen eindeutig festgestellt werden können. Hier werden besondere Anforderungen an die IT-Sicherheit und die Dokumentation von Hackerangriffen oder sonstigen Angriffen auf die IT-Infrastruktur gestellt. Bereits versuchte Verstöße, beispielsweise ein versuchter unberechtigter Zugriff, muss eindeutig festgestellt werden. Dies sind äußerst hohe Erwartungen, deren Einhaltung im Rahmen des Vergabeverfahrens ebenfalls dokumentiert werden muss.

Anderenfalls haben Bieter und potenzielle Auftragnehmer die Möglichkeit, die fehlende Einhaltung der gesetzlichen Regelungen im Rahmen von Nachprüfungsverfahren oder auch gerichtlichen Überprüfungen zu rügen.

Weiterhin wird erwartet, dass die gemeinsamen IT-Sicherheitsstandards, die auf Basis des § 3 Absatz 1 des Vertrages über die Errichtung des IT-Planungsrates und über die Grundlagen der Zusammenarbeit beim Einsatz der Informationstechnologie in den Verwaltungen von Bund und Ländern festgelegt sind, ebenfalls beachtet werden. Auch hier bedarf es einer entsprechenden Dokumentation in der Vergabeakte.

Neben den Anforderungen an die verwendeten elektronischen Mittel gibt es zusätzliche Anforderungen an den Einsatz elektronischer Mittel im Vergabeverfahren gemäß § 11 VgV. Insbesondere geht es dem Gesetzgeber darum, dass die elektronischen Mittel nicht diskriminierend sind und den Zugang von Unternehmen zum Vergabeverfahren nicht einschränken. Allerdings sind in § 11 Absatz 2 VgV weitere zusätzliche Anforderungen an die IT-Sicherheit definiert. Der öffentliche Auftraggeber soll nur elektronische Mittel verwenden, die die Unversehrtheit, Vertraulichkeit und die Echtheit von Daten gewährleisten. Auch dies muss in der Vergabeakte ausreichend dokumentiert werden.

In § 11 Absatz 3 VgV ist eine weitere deutliche Aufforderung an die öffentlichen Auftraggeber definiert. Öffentliche Auftraggeber müssen Unternehmen alle notwendigen Informationen zur IT-Sicherheit zur Verfügung stellen, unter anderem die verwendeten Verschlüsselungs- und Zeiterfassungsverfahren. Hier besteht in einigen Vergabeverfahren noch Nachholbedarf.

Gern unterstützen wir Sie bei den Themen IT-Sicherheit und Datenschutz im Rahmen von Vergabeverfahren, nicht nur im Rahmen von elektronischen Vergabeverfahren. Nach unserer Einschätzung sind über die Regelungen in §§ 9 – 11 VgV hinaus zusätzliche Anforderungen an die IT-Sicherheit und an den Datenschutz zu beachten. Insbesondere die am 25.05.2018 wirksam werdende EU-Datenschutzgrundverordnung sollte im Vorfeld bei Ausschreibungen bereits beachtet werden.

 
1 Star2 Stars3 Stars4 Stars5 Stars 5 Bewertung(en), durchschnittlich: 4,80 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*