Digitale Signatur auf Tastatur

Qualifizierte elektronische Signatur, fortgeschrittene elektronische Signatur, Mantelbogen oder doch lieber postalisch? Die unterschiedlichen Möglichkeiten sind für Vergabestellen und Bieter zum Teil verwirrend und bergen – wie jüngste Entscheidungen einiger Vergabekammern zeigen – auch unterschiedliche rechtliche Herausforderungen.

Nachdem wir uns im Laufe diesen Jahres in vielen Beiträgen mit einzelnen Aspekten und Beschlüssen von Vergabekammern zu den unterschiedlichen Formen der Angebotsabgabe und der elektronischen Signatur auseinandergesetzt haben, möchten wir mit dem vorliegenden Beitrag vor dem Jahresende noch einen Überblick über die Thematik aus Sicht eines E-Vergabeanbieters sowie einen Ausblick auf die anstehende Vergaberechtsreform auf Basis des aktuell vorliegenden Referentenentwurfes geben.

Überblick über die „Signaturarten“ und deren Anforderungen

Das aktuelle Vergaberecht erlaubt Vergabestellen, die Form in der die Angebote einzureichen sind, selbst festzulegen. Neben der postalischen Entgegennahme sind (auch rein) elektronisch übermittelte Angebote zulässig, wenn diese mit einer qualifizierten elektronischen oder fortgeschrittenen Signatur nach dem Signaturgesetz versehen werden. Wesentliche E-Vergabelösungen bieten (ggf. abhängig von landesrechtlichen Vorgaben) zudem über ein sog. Mantelbogenverfahren die Möglichkeit, Angebote elektronisch zu übermitteln und über die postalische Übersendung eines unterschriebenen Mantelbogens die eigenhändige Unterschrift mit einer elektronischen Übermittlung zu kombinieren. Da es sich beim Mantelbogenverfahren im Kern um ein schriftliches Verfahren handelt, soll an dieser Stelle auf den entsprechenden Beitrag in diesem Blog zum Mantelbogenverfahren aus März diesen Jahres verwiesen werden.

Die verschiedenen Formen der elektronischen Signaturen stehen für unterschiedlich strenge Anforderungen insbesondere im Hinblick auf Authentizität, Integrität sowie Verbindlichkeit. In diesem Zusammenhang wird missverständlicher Weise häufig gleichfalls die Verschlüsselung von Angeboten genannt. Dabei sollte die Verwendung der fortgeschrittenen oder auch qualifizierten elektronischen Signaturen für die Verschlüsselung, jedenfalls im Anwendungsfall der E-Vergabe, von der Signatur getrennt betrachtet und umgesetzt werden.

Zum besseren Verständnis lohnt ein kurzer Exkurs in das Thema „Informationssicherheit“, dem die oben genannten Anforderungen entstammen. Die Informationssicherheit kennt drei Grundwerte, also allgemeine Schutzziele, die im Fall der E-Vergabe um weitere Schutzziele erweitert werden müssen. Dabei stehen aber nicht alle auch im Kontext der elektronischen Signatur.

Allgemeine Schutzziele im Bereich der Informationssicherheit

Vertraulichkeit

Der Begriff der Vertraulichkeit meint im Kontext der Schutzziele, dass Informationen lediglich von entsprechend autorisierten Benutzern gelesen (und auch geändert) werden dürfen. Dies gilt sowohl für den Zugriff auf gespeicherte Daten, als auch im Hinblick auf die Datenübermittlung. Dieses allgemeine Schutzziel gilt unter anderem aus datenschutzrechtlichen Erwägungen für eine Reihe von Informationen im Rahmen von Vergabeverfahren umfassend, im Besonderen aber natürlich für Angebote vor Angebotsöffnung mit einem entsprechend hohen Schutzbedarf. E-Vergabeplattformen sollten diese Anforderungen über entsprechende PKI-Infrastrukturen und eine hochsichere Verschlüsselung gewährleisten. Diese Anforderung sollte allerdings unabhängig von einem Einsatz der elektronischen Signatur umgesetzt werden.

Keinen Beitrag mehr verpassen? Jetzt für unseren Newsletter anmelden und Themen auswählen

Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich.

Integrität

Unter Integrität wird in diesem Zusammenhang die Sicherstellung der „Korrektheit“, d.h. Unversehrtheit, verstanden. Dies betrifft zum einen das unveränderte Vorliegen der Daten, als auch deren Vollständigkeit. Etwaige Änderungen dürfen nicht unbemerkt erfolgen können und müssen nachvollziehbar sein. Auch dieser Anforderung, die eng im Zusammenhang mit einer „revisionssicheren Dokumentation“ zu sehen ist, kommt im Rahmen von Vergabeverfahren eine besondere Bedeutung zu; angefangen bei der Vergabedokumentation bis hin zur (elektronischen) Angebotsabgabe. Diese Anforderung wird im Hinblick auf elektronische Angebote von der Signatur bzw. durch den Einsatz einer entsprechenden PKI-Infrastruktur erfüllt.

Verfügbarkeit

Mit der Verfügbarkeit soll eine Verhinderung von Systemausfällen und der Zugriff auf Daten innerhalb vereinbarter Zeiträume beschrieben werden. Zwar kommt der Verfügbarkeit im Rahmen der E-Vergabe gerade im Hinblick auf die (fristgemäße) Abgabe von Angeboten eine hohe Bedeutung zu, aber keine, die im Zusammenhang mit der elektronischen Signatur zu sehen ist. Vielmehr sind hierunter Maßnahmen zu verstehen, die für eine ausreichend hohe Erreichbarkeit der E-Vergabeplattform durch die Software selbst und insbesondere durch die Betriebsumgebung zu ergreifen sind.

Weitere für die E-Vergabe relevante Schutzziele der Informationssicherheit sind:

Authentizität

Die Authentizität beschreibt, dass ein Kommunikationspartner auch derjenige ist, der er vorgibt, zu sein. Die Sicherstellung der „Identität“ ist im Hinblick auf elektronische Angebote dabei eine der zentralen Aufgaben der elektronischen Signatur im Vergabeverfahren.

Verbindlichkeit/Nichtabstreitbarkeit

Mit diesem Schutzziel soll insbesondere sichergestellt werden, dass es dem Absender einer Nachricht nicht möglich ist, die Versendung nachträglich zu bestreiten. Gerade durch den Einsatz einer qualifizierten elektronischen Signatur wird dies nicht nur technisch sichergestellt, sondern zudem rechtlich privilegiert (insb. durch § 371a ZPO).

Von allen oben beschriebenen und für die E-Vergabe bedeutenden Schutzzielen sind bezogen auf den Einsatz der elektronischen Signatur bei Angeboten (bzw. Teilnahmeanträgen) die folgenden drei bedeutsam: die Authentizität (hier: Identität), die Integrität der Daten sowie die Verbindlichkeit (Nichtabstreitbarkeit).

Rechtlich geregelt sind für die elektronische Signatur aktuell drei Arten: Die „einfache“ elektronische Signatur nach § 2 Nr. 1 SigG, die fortgeschrittene elektronische Signatur nach § 2 Nr. 2 SigG sowie die qualifizierte elektronische Signatur nach § 2 Nr. 3 SigG.

Legt man nun die oben genannten Schutzziele an die drei Signaturarten an, ergibt sich unter Berücksichtigung der aktuellen Rechtslage sowie der anstehenden Vergaberechtsreform auf Basis des Referentenentwurfes vom 09. November diesen Jahres folgendes Bild.

Signaturen
Quelle: Eigene Darstellung in Anlehnung an eine Übersicht von Herrn Prof. Dr. Christopher Zeiss

Besonderheiten bei der Zulässigkeit der Signaturniveaus

Aus der oben dargestellten Übersicht ergibt sich auch die Zulässigkeit der einzelnen Signaturarten: Während die (einfache) elektronische Signatur aktuell etwa in der VOL/A nur bei freihändigen Vergaben unterhalb der hierfür festgesetzten Wertgrenzen zulässig ist (§ 3 Abs. 5 lit. i VOL/A), können fortgeschrittene und qualifizierte elektronische Signaturen – jedenfalls vergaberechtlich – gleichrangig zugelassen werden.

E-Vergabeplattformen sollten der Vergabestelle auch je Ausschreibung die Wahl lassen, ob elektronische Angebote zugelassen werden und wenn ja, mit welchem Signaturniveau diese zu versehen sind. Hierbei gibt es allerdings eine Besonderheit, die aufgrund des „Stufencharakters“ der Signaturarten zu beachten ist: Eine qualifizierte elektronische Signatur ist nach dem deutschen Signaturgesetz eine fortgeschrittene elektronische Signatur, die auf einem (zum Zeitpunkt ihrer Erzeugung gültigen) qualifizierten Zertifikat beruht und mit einer sicheren Signaturerstellungseinheit generiert wurde.

Neben sicherheitstechnischen Aspekten bedeutet dies, dass eine qualifizierte elektronische Signatur im Vergleich zur fortgeschrittenen Signatur im rechtlichen Sinne nicht „etwas völlig anderes“ (Aliud) darstellt, sondern ein „mehr“. Diese rechtliche Feinheit hat praktisch zur Folge, dass im Rahmen einer Ausschreibung von einer Vergabestelle zwar eine qualifizierte elektronische Signatur verlangt und fortgeschrittene elektronische Signaturen ausgeschlossen werden können, aber nicht umgekehrt.

Da die Signaturniveaus technisch unterschiedlich behandelt werden, kann in der Software Vergabemarktplatz je Ausschreibung ausgewählt werden, ob postalische und/oder elektronische Angebote zugelassen werden sollen und ggf. mit welchem Signaturniveau; je nach Konfiguration des Systems ergänzt um das Mantelbogenverfahren. Wer hier eine fortgeschrittene elektronische Signatur auswählt, muss zudem immer die qualifizierte elektronische Signatur zulassen.

Der praktische Vorteil ist auch, dass je nach erwartetem Bieterkreis bzw. zu beschaffendem Gewerk entschieden werden kann, ob auch oder nur elektronische Angebote zugelassen werden und wenn ja, mit welchem Signaturniveau. So kann etwa eine kommunale Vergabestelle bei erwarteten Angeboten örtlicher Handwerker die elektronische Angebotsabgabe sukzessive einführen bzw. berücksichtigen und gleichzeitig bei Lieferleistungen wie im Bereich der Schulbücher, bei denen elektronische Angebote spürbare Vorteile für eine schnellere Auswertung bieten, ausschließlich elektronische Angebote zulassen.

Herausforderungen bei der Prüfung der Signatur

Während qualifizierte elektronische Signaturen deutscher „Herausgeber“ wie z.B. DATEV oder die Bundesdruckerei (D-Trust) bei Einsatz geeigneter Lösungen wie dem cosinex Vergabemarktplatz bei der Angebotsabholung automatisiert auf Gültigkeit geprüft werden können, ist dies – jedenfalls automatisiert – bei fortgeschrittenen elektronischen Signaturen aus technischen Gründen nur eingeschränkt der Fall.

Ob eine Prüfpflicht auf Seiten der Vergabestellen besteht, wird differenziert beurteilt. Ein Beschluss der Vergabekammer Südbayern (VK Südbayern v. 21.05.2015 – Z3-3-3194-1-08-02/15) legt dies aber nahe.

Eine solche Prüfpflicht unterstellt, wäre diese bei fortgeschrittenen elektronischen Signaturen für Vergabestellen kaum leistbar, da die Prüfung der Gültigkeit einer bloßen fortgeschrittenen elektronischen Signatur automatisiert nur eingeschränkt realisierbar ist. Die Herausforderungen der Prüfung einer fortgeschrittenen elektronischen Signatur belegt ein Beschluss der VK Nordbayern aus 2013. Hier wurde im Rahmen des Nachprüfungsverfahrens ein von der Vergabestelle als nicht gültig geprüftes Angebot über Prüfung nach dem sog. „Kettenmodell“ (in Abgrenzung zum sog. Schalen- oder Hybridmodell) dann doch als gültig anerkannt. Solche Prüfungen von einer Vergabestelle im Rahmen eines Vergabeverfahrens nicht nur im Falle des Ausschlusses (wie 2013 entschieden), sondern auch für (vermeintlich) gültige fortgeschrittene Signaturen zu verlangen, muss als praxisfern bezeichnet werden. Naheliegend wäre es, anzunehmen, dass die Vergabestelle zunächst auf die Gültigkeit einer elektronischen Signatur vertrauen darf, wenn hiergegen keine offenkundigen Anhaltspunkte sprechen.

Umgang mit ausländischen Signaturen

Dass es in der Praxis fast nicht anders geht, zeigt eine u.U. noch zu wenig diskutierte Frage: Der Umgang mit ausländischen Signaturen.

Grundlage des heutigen Signaturgesetzes ist die Europäischen Signaturrichtlinie (1999/93/EG), die zu einer Harmonisierung der Signaturen in der Europäischen Gemeinschaft beitragen sollte. Erreicht wurde damit bis heute zwar eine Angleichung der rechtlichen Grundlagen in den Mitgliedstaaten, aber keine technische Interoperabilität. Dies ist wohl einer der Gründe, warum mit der sog. eIDAS-Verordnung (EU-Verordnung 910/2014) ab dem 01. Juli 2016 nicht nur ein Nachfolger für die Richtlinie in den Startlöchern steht, sondern über den Weg der EU-Verordnung auch ein Rechtsrahmen gewählt wurde, der keiner nationalen Umsetzung mehr bedarf. D.h. diese Verordnung gilt ohne Umsetzung in nationales Recht unmittelbar.

Auch wenn die Genese zu den signaturrechtlichen Grundlagen erhellend sein kann, hilft sie jenen Vergabestellen wenig weiter, die im konkreten Fall (wenngleich dieser nur äußerst selten vorkommt) vor der Herausforderung stehen, mit ausländischen Signaturen umgehen zu müssen.

Signaturen ausländischer Anbieter zugelassen?

Vereinzelt wird angenommen, dass nur bestimmte (deutsche) Signaturen zugelassen und ausländische (auch innereuropäische) Signaturen nicht angenommen bzw. unterstützt werden müssen. Dies erscheint nicht nur vor dem Hintergrund des Grundgedankens des EU-Binnenmarktes europarechtlich diskussionswürdig, sondern könnte unter dem Gesichtspunkt des vergaberechtlichen Diskriminierungsverbots unzulässig sein.

Ein gegen solche Bedenken vorgebrachtes Argument derjenigen, die eine Beschränkung auf bestimmte Anbieter für zulässig halten, lautet: Jeder Vertreter eines (europäischen) Unternehmens ist frei darin, sich (ganz diskriminierungsfrei!) eine deutsche Signatur zu besorgen!?

Wenn man sich nun in der Praxis vorstellt, wie der Vertreter eines griechischen Unternehmens innerhalb der Bewerbungsfrist an einem deutschen PostIdent-Verfahren teilnehmen soll, um sich eine Signatur eines deutschen Anbieters zu besorgen oder ein estländischer Unternehmer am Schalter einer deutschen Sparkasse „aufschlägt“, um mit seinem estländischen Ausweis eine deutsche Signatur zu beantragen, wird klar, dass dies in vielen Fällen eine theoretische Möglichkeit bleiben wird.

Darüber hinaus steht eine solche Praxis möglicherweise auch im Widerspruch zum Signaturgesetz (hier § 23 Abs. 1 SigG):

Elektronische Signaturen, für die ein ausländisches qualifiziertes Zertifikat aus einem anderen Mitgliedstaat der Europäischen Union oder aus einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum vorliegt, sind, (….,) qualifizierten elektronischen Signaturen gleichgestellt.

Es bleibt die grundsätzliche Frage, ob eine Vergabestelle durch Einsatz einer bestimmten E-Vergabeplattform – insbesondere bei einer ausschließlich elektronischen Angebotsabgabe – die einsetzbaren Signaturen überhaupt auf bestimmte Anbieter reduzieren darf.

Als E-Vergabeanbieter stellen wir mit dem cosinex Vergabemarktplatz die technische Basis für den Aufbau und Betrieb von E-Vergabeplattformen zur Verfügung, die sich in vielen Installationen seit Jahren im intensiven Praxiseinsatz bewährt. Durch den Einsatz des OSCI-Standards und der PKI-Infrastruktur Governikus wird heute nicht nur der Einsatz aller gängigen deutschen Signaturen unterstützt, sondern inzwischen auch die Überprüfung einer Vielzahl europäischer Signaturen. Eine Beschränkung auf „bestimmte“ Signaturen ist nicht vorgesehen. Damit gehören E-Vergabeplattformen auf Basis unserer Lösung bezüglich des Einsatzes der elektronischen Signatur sicher zu den Vorreitern in Sachen Interoperabilität. Gleichwohl kommt es noch vereinzelt vor, dass Angebote ausländischer Bewerber mit Signaturen versehen werden sollen, die von der eingesetzten PKI-Infrastruktur nicht unterstützt bzw. geprüft werden können.

Die Risiken, die sich aus dem Ausschluss eines Angebotes mit einer u.U. gültigen europäischen Signatur ergeben können, sind im Einzelfall nicht unerheblich. Umgekehrt ist die Prüfung aller ausländischen Signaturen (eine Prüfpflicht unterstellt) nicht nur technisch, sondern je nach Anbieter aufgrund sprachlicher Barrieren kaum leistbar: Wenn beispielsweise die Anleitung zur Überprüfung einer fortgeschrittenen Signatur auf einer griechischsprachigen Homepage steht.

Im Zweifel sollte bis zum Inkrafttreten der neuen Regelungen und zur Vermeidung von Rechtsstreitigkeiten im Einzelfall geprüft werden, ob (z.B. über eine Fristverlängerung sowie eine ausnahmsweise Entgegennahme postalischer Angebote) für ein Verfahren eine streitige Klärung von Zweifelsfällen vermieden werden kann; jedenfalls in den Fällen, in denen ausschließlich elektronische Angebote zugelassen sind.

Aber, Besserung ist in Sicht: Damit Vergabestellen in anderen EU-Ländern ausgestellte elektronische Signaturen einfacher prüfen können, sehen die neuen EU-Vergaberichtlinien die obligatorische gegenseitige Anerkennung der auf einer Vertrauensliste registrierten Zertifikate vor. Jedes Land in der EU veröffentlicht eine Aufstellung der von ihm als vertrauenswürdig eingestuften Signaturanbieter auf einer Vertrauensliste. Alle EU-Länder müssen die von den anderen als vertrauenswürdig betrachteten elektronischen Signaturen anerkennen. Im Ergebnis bedeutet dies, dass zukünftig nur noch geprüft wird, ob der Anbieter der Signatur auf einer der Vertrauenslisten steht.

Womit sich Juristen u.U. noch werden befassen müssen, ist die Frage der möglichen Inländerdiskriminierung jedenfalls dann, wenn bei einer deutschen Signatur von einer der (Detail-)Prüfung (ggf. mit der Folge des Ausschlusses, wenn diese nicht (mehr) gültig ist, wie jüngst entschiedenen Fall der VK Südbayern), bei ausländischen Signaturen aber von einer Gültigkeitsfiktion ausgegangen werden muss, wenn der Anbieter auf der Vertrauensliste steht.

Ausblick Vergaberechtsreform

Die oben genannten Herausforderungen bei Einsatz ausländischer Signaturen einerseits und andererseits das Ziel der EU, den Binnenmarkt auch im Hinblick auf die Öffentliche Auftragsvergabe weiter zu stärken, waren sicher ein Anlass dafür, auf Seiten der EU-Vergaberichtlinie das vorgegebene „Signaturniveau“ abzusenken.

Dementsprechend sehen auch die aktuellen (Referenten-)Entwürfe zur VgV (und analog auch der SektVO sowie der neuen Konzessionsverordnung (KonzVgV)) vor, dass Unternehmen ihre Angebote (bzw. Teilnahmeanträge, Interessenbekundungen oder Interessenbestätigungen) in Textform nach § 126b BGB mithilfe elektronischer Mittel übermitteln.

Der öffentliche Auftraggeber prüft im Einzelfall, ob an die zu übermittelnden Daten erhöhte Anforderungen an die Sicherheit zu stellen sind und kann (soweit erforderlich) verlangen, dass die Angebote (bzw. Teilnahmeanträge, Interessensbekundungen und Interessensbestätigungen) mit einer fortgeschrittenen oder qualifizierten elektronischen Signatur zu versehen sind.

Kurz gesagt: Die (elektronische) Textform nach § 126b BGB wird zum Regelfall, in Ausnahmen darf auch die fortgeschrittene sowie qualifizierte elektronische Signatur verlangt werden.

Wann bzw. nach welchen Maßstäben die erhöhten Anforderungen an die Sicherheit der zu übermittelnden Daten bejaht angenommen werden dürfen, wird sicher die ein oder andere Vergabekammer in Zukunft beschäftigen. Zumal – wie oben dargestellt – der qualitative Unterschied zwischen der (einfachen) elektronischen und der fortgeschrittenen sowie qualifizierten elektronischen Signatur nicht im Bereich der Verschlüsselung, sondern insbesondere im Bereich der Authentizität („Sicherstellung der „Identität“) und Verbindlichkeit („Nichtabstreibarkeit“) liegt.