Das OLG Düsseldorf befasste sich in seiner Entscheidung vom 21. Oktober 2015, VII-Verg 28/14, unter anderem mit der so genannten No-Spy-Klausel

I. Hintergrund

Im April 2014 hat das Beschaffungsamt des Bundesministeriums des Inneren den so genannten „No-Spy-Erlass“ veröffentlicht. In diesem Erlass wird angeregt, dass Auftraggeber von Bietern bei sicherheitsrelevanten IT-Vergaben eine Erklärung im Rahmen der Zuverlässigkeitsprüfung abfordern, in welcher der Bieter erklärt, dass vertrauliche Informationen nicht an Dritte weitergegeben werden. Insbesondere muss der Bieter erklären, dass er auch keinen (gesetzlichen) Verpflichtungen im Ausland unterliegt, die eben dies fordern. Der „No-Spy-Erlass“ sieht zudem vor, dass die Eigenerklärung durch eine korrespondierende Vertragsklausel flankiert wird. Nachdem die Vergabekammer des Bundes in einer Entscheidung gegen diese Anforderung Bedenken angemeldet hatte und die „No-Spy-Erklärung“ als unzulässige Eignungsanforderung angesehen hat, hat das Bundesinneninisterium im August 2014 eine konkretisierende Handreichung veröffentlicht.

II. Sachverhalt

Mit unionsweiter Bekanntmachung hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im September 2013 den Abschluss einer Rahmenvereinbarung über die Beschaffung einer Virenschutzsoftware für die Bundesverwaltung ausgeschrieben. Nach der Durchführung mehrerer Verhandlungsrunden sollte letztendlich die Beigeladene den Zuschlag bekommen. Hiergegen wehrte sich die Antragstellerin, ein deutsches Unternehmen, das Software von einem amerikanischen Hersteller verwendet, mit einem Nachprüfungsantrag. Dieser hatte vor der Vergabekammer des Bundes keinen Erfolg. Gegen den Beschluss der Vergabekammer des Bundes hat die Antragstellerin sofortige Beschwerde zum OLG Düsseldorf eingelegt.

III. Entscheidung

Die sofortige Beschwerde der Antragstellerin hatte Erfolg. Der Beschluss der Vergabekammer des Bundes wurde aufgehoben und das Vergabeverfahren in den Stand vor Versendung der Vergabeunterlagen zurückversetzt. In der ausführlich und umfangreich begründeten Entscheidung stellt das OLG Düsseldorf dar, dass das Verfahren teilweise intransparent geführt wurde und deswegen der Antragstellerin ein Nachteil entstanden ist.

Besonders bedeutsam ist aber ein obiter dictum in der Entscheidung, in dem der Vergabesenat seine Einschätzung zur „No-Spy-Klausel“ erkennbar werden lässt. Als Eignungsanforderung sei die „No-Spy-Erklärung“ unzulässig, allerdings sei die „No-Spy-Klausel“ als besondere Anforderung an die Auftragsausführung zulässig. Nach Ansicht desOLG Düsseldorf hat der öffentliche Auftraggeber für die Forderung der Datensicherheit einen anerkennenswerten und durch den Auftragsgegenstand gerechtfertigten sachlichen Grund: den Schutz sensibler, für den Schutz des Staates relevanter Daten.

Durch die „No-Spy-Klausel“ würden alle auftragsinteressierten Unternehmen diskriminierungsfrei mit derselben Anforderung belegt werden. Im Einklang mit seiner bisherigen Rechtsprechung stellt der Vergabesenat erneut fest, dass öffentliche Auftraggeber nicht verpflichtet seien, Ausschreibungen so zuzuschneiden, dass sie zum Unternehmens- und Geschäftskonzept jedes potentiellen Bieters passen.

Ferner merkt das OLG Düsseldorf an, dass deutsche Unternehmen, die Software eines amerikanischen Herstellers anbieten, darstellen könnten, dass eine Kommunikation mit Nachrichtendiensten nicht stattfinde. Dies gelte selbst dann, wenn der Software-Hersteller einer Informationsabschöpfung und Auskunftsverpflichtung beispielsweise gegenüber US-Nachrichtendiensten unterliege. Der Software-Hersteller sei in diesem Fall nicht Nachunternehmer sondern lediglich Vorlieferant. Der Auftraggeber sei aber berechtigt, die Behauptung des Bieters, dass die geforderte Datensicherheit tatsächlich bestehe, zu überprüfen. Im vorliegenden Fall habe das BSI festgestellt, dass es keine Anhaltspunkte für „Backdoors“ bei der Software der Antragstellerin gebe, durch die sich Nachrichtendienste Zugang zur Software verschaffen können. Dies reiche aus, um die „No-Spy-Klausel“ zu erfüllen. Allerdings stellt das OLG Düsseldorf verhältnismäßig apodiktisch fest, dass eine „völlige Datensicherheit […] gar nicht zu erlangen ist“.

IV. Praxishinweis 

Die Entscheidung des OLG Düsseldorf betont nicht nur die Notwendigkeit eines transparent geführten Vergabeverfahrens, sondern bringt auch Rechtssicherheit für öffentliche Auftraggeber und Bieter bei der Verwendung der „No-Spy-Klausel“. Erstere können nunmehr die „No-Spy-Klausel“ als besondere Anforderung an die Auftragsausführung verwenden und letztere müssen – falls sie selbst aus dem Ausland stammen oder auf Produkte von Herstellern aus dem Ausland zurückgreifen – entweder die von ihnen angebotenen Produkte oder ihr Unternehmens- und Geschäftskonzept anpassen, indem beispielsweise nationale Tochterunternehmen gegründet werden sowie die Software auf „Backdoors“ überprüft wird.

Freilich bleibt abzuwarten, wie der Gesetzgeber in der bis zum Frühjahr 2016 anstehenden Modernisierung des Vergaberechts diese Problematik regelt.