Tastatur und Kennzeichnung einer Taste mit Signatur

Die Einführung bzw. Weiterentwicklung der E-Vergabe war (jedenfalls bislang) eng mit der Anwendung der elektronischen Signaturen verknüpft. Das bisherige Signaturgesetz (SigG) hatte auf Grundlage einer EU-Richtlinie (1999/93/EG vom 13. Dezember 1999) den Zweck, Rahmenbedingungen für elektronische Signaturen zu schaffen.

Die EU hat den europäischen Rechtsrahmen weiterentwickelt und im letzten Jahr die „Verordnung für elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“ (eIDAS-Verordnung der EU) erlassen. Daraufhin ist am 29. Juli 2017 das deutsche eIDAS-Durchführungsgesetz als Nachfolgeregelung zum bisherigen SigG in Kraft getreten (veröffentlicht am 18.07.2017, BGBl I, 2745).

Mit dem nachfolgenden Beitrag möchten wir Ihnen, als Leser unseres Blogs, einen kurzen Überblick zur neuen eIDAS-Verordnung mit Schwerpunkt auf vergaberechtlichen Fragen geben und hierbei auf die (noch) fehlerhaften Verweise in der VOL sowie der VOB/A eingehen, die sich noch auf das SigG beziehen.

Keinen Beitrag mehr verpassen? Jetzt für unseren Newsletter anmelden und Themen auswählen

Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich.

Bislang fehlende (EU-weite) Interoperabilität

Ein wesentliches Defizit der Umsetzung der EU-Signaturrichtlinie in den Mitgliedstaaten war (auch oder vielleicht insbesondere für den Bereich der E-Vergabe), dass die Interoperabilität der europäischen Signatur technisch nur verhältnismäßig eingeschränkt gegeben war.

So wäre die von Vergabekammern zum Teil als zwingend angenommene Prüfung der Gültigkeit der Signaturen auf elektronischen Angeboten bei einer Berücksichtigung aller europäischen Signaturen in der Praxis bislang kaum leistbar gewesen. So wurde in einzelnen Beschlüssen ein Angebotsausschluss deutscher Bieter mangels gültiger Signatur als Rechtsfolge festgelegt (vgl. etwa VK Südbayern, Beschluss vom 21.05.2015), während de facto etwa litauische Signaturen bereits aufgrund der Sprachbarriere und mangels Standards von keiner Vergabestelle auf Gültigkeit hätten mit vertretbarem Aufwand überprüft werden können. Zum Teil wurden von einzelnen E-Vergabeplattformen (bzw. -anbietern) sogar nur ausgewählte und vorgegebene qualifizierte elektronische Signaturen als zulässig akzeptiert. Ein Umstand, der im Hinblick auf die Grundziele des EU-Binnenmarkts aus Sicht der EU(-Kommission) sicher nicht nur ordnungspolitisch unerwünscht, sondern ggf. auch rechtlich diskussionsfähig war.

EU-Verordnung statt Richtlinie

Die EU hat hieraus wohl ihre Schlüsse gezogen und ist mit der eIDAS-Verordnung von dem Instrument der (in nationales Recht umzuwandelnden) EU-Richtlinie abgewichen und regelte die überarbeiteten Vorgaben nunmehr im Rahmen einer (unmittelbar in den Mitgliedstaaten geltenden) EU-Verordnung. In diesem Sinne lesen sich auch die die Erwägungsgründe für die Verordnung (auszugsweise):

(3) Die Richtlinie 1999/93/EG des Europäischen Parlaments und des Rates hat Regelungen zu elektronischen Signaturen festgelegt, ohne einen umfassenden grenz- und sektorenübergreifenden Rahmen für sichere, vertrauenswürdige und einfach zu nutzende elektronische Transaktionen zu schaffen. Die vorliegende Verordnung stärkt und erweitert die Rechtsvorschriften jener Richtlinie.

(4) In der Mitteilung der Kommission vom 26. August 2010 „Eine Digitale Agenda für Europa“ wurden die Fragmentierung des Binnenmarkts, der Mangel an Interoperabilität und die Zunahme der Cyberkriminalität als große Hemmnisse für den Erfolgszyklus der digitalen Wirtschaft benannt…

(5) In seinen Schlussfolgerungen vom 4. Februar 2011 und vom 23. Oktober 2011 forderte der Europäische Rat die Kommission zur Schaffung eines digitalen Binnenmarkts bis 2015 auf, um durch die Erleichterung der grenzüberschreitenden Nutzung von Online-Diensten und insbesondere der sicheren elektronischen Identifizierung und Authentifizierung rasch Fortschritte in Schlüsselbereichen der digitalen Wirtschaft zu erzielen und einen vollständig integrierten digitalen Binnenmarkt zu fördern.

(6) In seinen Schlussfolgerungen vom 27. Mai 2011 forderte der Rat die Kommission auf, zum digitalen Binnenmarkt beizutragen, indem geeignete Bedingungen für die grenzüberschreitende gegenseitige Anerkennung der Grundvoraussetzungen wie die elektronische Identifizierung, elektronische Dokumente, elektronische Signaturen und elektronische Zustelldienste sowie für interoperable elektronische Behördendienste in der gesamten Europäischen Union geschaffen werden.

eIDAS-Verordnung und Vertrauensdienstegesetz als Nachfolger des SigG

Mit Inkrafttreten der sog. eIDAS-Verordnung wurde auch in Deutschland die Signaturrichtlinie aufgehoben und das seit 2001 gültige SigG sowie die dazugehörige Signaturverordnung (SigV) wurden von ihr abgelöst. Als EU-Verordnung gilt sie – wie oben bereits erwähnt – unmittelbar und muss nicht in deutsches Recht umgesetzt werden. Seit ihrem Inkrafttreten am 01.07.2016 genießt eIDAS Anwendungsvorrang vor dem deutschen Signaturgesetz; Anforderungen aus SigG und SigV, die im Widerspruch zur eIDAS-Verordnung stehen, dürfen seitdem nicht mehr angewendet werden.

Die eIDAS-Verordnung stellt eine umfassende Erweiterung der EU-Richtlinie 1999/93/EG über gemeinschaftliche Rahmenbedingungen für elektronische Signaturen dar. Seit dem 1. Juli 2016 findet die Verordnung Anwendung, ersetzt die bisherigen nationalen Gesetze und ist verbindlich für alle 28 EU-Mitgliedstaaten. Sie bildet so die gemeinsame Grundlage für eine sichere elektronische Interaktion zwischen Bürgern, Unternehmen und öffentlichen Verwaltungen in der EU.

Das SigG war als eigenständiges Gesetz in Umsetzung der o.g. EU-Richtlinie ausgeführt. Der Nachfolger, das sog. Vertrauensdienstegesetz (kurz VDG) hingegen beschränkt sich als Durchführungsgesetz der Verordnung (EU) Nr. 910/2014 (eIDAS) entsprechend auf die nationalen Festlegungen für elektronische Vertrauensdienste. So sind im VDG anders als im SigG auch keine Begriffsbestimmungen, etwa zur fortgeschrittenen oder qualifizierten elektronischen Signatur, mehr enthalten, da diese bereits in der eIDAS-Verordnung geregelt sind. Im Wesentlichen reduziert sich das VDG auf die Aktualisierung des Rechtsrahmens für die qualifizierte elektronische Signatur, u.a. im Hinblick auf die Zuständigkeiten etwa der Bundesnetzagentur als Aufsichtsstelle nach Art. 17 der eIDAS-Verordnung.

Neu: Elektronisches Siegel

Durch die eIDAS-Verordnung neu eingeführt wird das sog. elektronische Siegel, das neben der elektronischen Signatur Anwendung findet. Funktional sichern beide die Echtheit des Absenders und die Integrität der übertragenen Daten. Dabei stützen sie sich auf ganz ähnliche technische Abläufe. Außerdem setzen beide Verfahren auf geprüfte Vertrauensdiensteanbieter als Beglaubigungsinstanzen, welche die vertrauenswürdigen Zertifikate für Siegel bzw. Signaturersteller ausstellen. Ihr wesentlicher Unterschied liegt in ihrer Zuordnung zu einer juristischen statt einer natürlichen Person:

  • Die elektronische Signatur ersetzt die handschriftliche Unterschrift eines Menschen. Das elektronische Siegel bildet das Pendant zum Behördensiegel oder zum Firmenstempel.
  • Die elektronische Signatur beruht immer auf einem Zertifikat, das einen Menschen identifiziert. Beim elektronischen Siegel verweist das Zertifikat dagegen auf eine Organisation.
  • Die elektronische Signatur macht elektronische Daten zu einer persönlichen Willenserklärung. Man weiß genau, wer dahinter steckt, man hat einen persönlichen Ansprechpartner. Dementsprechend eignet sich die Signatur für individuelle Erklärungen, Anträge oder Formulare.
  • Elektronische Siegel stellen hingegen sicher, dass die Daten von einer bestimmten Institution stammen (oder aber sie belegen einfach die Echtheit eines Dokuments, das eine Informationsfunktion erfüllt (s. hierzu auch die Broschüre „Sichere (elektronische) Dokumente“ des DIHK)).

Änderung des Oberschwellenvergaberechts

Die Umsetzung der eIDAS-Verordnung erfolgte im Rahmen eines Artikelgesetzes, durch welches – neben der Einführung des VDG – auch die Änderung zahlreicher Gesetze und Verordnungen vorgesehen war, in denen auf das Signaturgesetz verwiesen wurde. Hierzu gehören auch die Verordnungen zur Regelung der Oberschwellenvergaben (VgV, SektVO, KonzVgV und VSVgV).

Die (wesentliche) Änderung hier am Beispiel des § 53 VgV:

VgV a.F. (alte Fassung)
in der bis zum 29.07.2017 geltenden Fassung
VgV n.F. (neue Fassung)
in der ab dem 29.07.2017 geltenden Fassung
§ 53 Form und Übermittlung der Interessensbekundungen, Interessensbestätigungen, Teilnahmeanträge und Angebote

(1) Die Unternehmen übermitteln ihre Interessensbekundungen, Interessensbestätigungen, Teilnahmeanträge und Angebote in Textform nach § 126b des Bürgerlichen Gesetzbuchs mithilfe elektronischer Mittel gemäß § 10.
(2) Der öffentliche Auftraggeber ist nicht verpflichtet, die Einreichung von Angeboten mithilfe elektronischer Mittel zu verlangen, wenn auf die zur Einreichung erforderlichen elektronischen Mittel einer der in § 41 Absatz 2 Nummer 1 bis 3 genannten Gründe zutrifft oder wenn zugleich physische oder maßstabsgetreue Modelle einzureichen sind, die nicht elektronisch übermittelt werden können. In diesen Fällen erfolgt die Kommunikation auf dem Postweg oder auf einem anderen geeigneten Weg oder in Kombination von postalischem oder einem anderen geeigneten Weg und Verwendung elektronischer Mittel. Der öffentliche Auftraggeber gibt im Vergabevermerk die Gründe an, warum die Angebote mithilfe anderer als elektronischer Mittel eingereicht werden können.

(3) Der öffentliche Auftraggeber prüft, ob zu übermittelnde Daten erhöhte Anforderungen an die Sicherheit stellen. Soweit es erforderlich ist, kann der öffentliche Auftraggeber verlangen, dass Interessensbekundungen, Interessensbestätigungen, Teilnahmeanträge und Angebote mit einer fortgeschrittenen elektronischen Signatur gemäß § 2 Nummer 2 des Signaturgesetzes vom 16. Mai 2001 (BGBl. I S. 876), das zuletzt durch Artikel 4 Absatz 111 des Gesetzes vom 7. August 2013 (BGBl. I S. 3154) geändert worden ist, oder mit einer qualifizierten elektronischen Signatur gemäß § 2 Nummer 3 des Signaturgesetzes vom 16. Mai 2001 (BGBl. I S. 876), das zuletzt durch Artikel 4 Absatz 111 des Gesetzes vom 7. August 2013 (BGBl. I S. 3154) geändert worden ist, zu versehen sind.(3) Der öffentliche Auftraggeber prüft, ob zu übermittelnde Daten erhöhte Anforderungen an die Sicherheit stellen. Soweit es erforderlich ist, kann der öffentliche Auftraggeber verlangen, dass Interessensbekundungen, Interessensbestätigungen, Teilnahmeanträge und Angebote zu versehen sind mit

1. einer fortgeschrittenen elektronischen Signatur,

2. einer qualifizierten elektronischen Signatur,

3. einem fortgeschrittenen elektronischen Siegel oder

4. einem qualifizierten elektronischen Siegel.

(4) Der öffentliche Auftraggeber kann festlegen, dass Angebote mithilfe anderer als elektronischer Mittel einzureichen sind, wenn sie besonders schutzwürdige Daten enthalten, die bei Verwendung allgemein verfügbarer oder alternativer elektronischer Mittel nicht angemessen geschützt werden können, oder wenn die Sicherheit der elektronischen Mittel nicht gewährleistet werden kann. Der öffentliche Auftraggeber gibt im Vergabevermerk die Gründe an, warum er die Einreichung der Angebote mithilfe anderer als elektronischer Mittel für erforderlich hält.

(5) …

Fehlerhafte Verweise in VOL/A und VOB/A

Diese Änderungen schlagen natürlich auch auf die Vorgaben für die Unterschwellenvergabe durch. Während die UVgO für die Signatur bereits einen entsprechenden Verweis auf die eIDAS-Verordnung (§ 38 Abs. 6 UVgO) vorsieht, verweisen die VOL/A sowie die VOB/A unverändert auf das SigG, das aber mittlerweile außer Kraft ist.

Während in der VOB/A mit einer Korrektur der Verweise im Zuge der nächsten Revision zu rechnen ist, dürfte eine Anpassung der VOL/A nicht mehr zu erwarten sein, da mit der UVgO der Nachfolger nicht nur den Startlöchern steht, sondern beim Bund und auch in Hamburg bereits in Kraft getreten ist.

Fraglich ist, wie in der Praxis mit den fehlerhaften Verweisen umgegangen werden soll. Dabei ist zwischen der elektronischen Signatur und dem elektronischen Siegel zu unterscheiden:

  • Im Hinblick auf die elektronische Signatur dürfte das Außer-Kraft-Treten des SigG unerheblich sein, zumal sowohl die fortgeschrittene als auch die qualifizierte elektronische Signatur im SigG und der eIDAS-Verordnung identisch definiert werden.
  • Schwieriger ist die Rechtsfolge im Hinblick auf das elektronische Siegel zu beantworten. Im Unterschwellenbereich hat die EU mangels Binnenmarktrelevanz grundsätzlich keine Regelungszuständigkeit. Dies spricht gegen die Annahme, dass nunmehr automatisch auch elektronische Siegel im Unterschwellenbereich (VOB/A und VOL/A, außerhalb der UVgO) zugelassen sind. Zur Sicherheit sollten Bieter und Bewerber darauf verzichten, ohne Rücksprache mit der Vergabestelle ausschließlich elektronische Siegel zu verwenden. Anders wäre der Fall zu beurteilen, wenn eine Vergabestelle abweichend von den Vorgaben der VOB/A oder der VOL/A elektronische Siegel ausdrücklich zulässt.
  • Ein Sonderfall stellt das Zulassen der elektronischen Textform dar. Hier spricht vieles dafür, dass ein elektronisches Siegel im Vergleich zur elektronischen Textform ein „Mehr“ darstellt, sodass ein elektronisches Siegel im Sinne der eIDAS-Verordnung auch den Anforderungen an die (elektronische) Textform genügt.

Bildquelle: cirquedesprit – Fotolia.com