Entgegennahme und Öffnung elektronischer Angebote

Transkript

1 RPA Heft :RPA :12 Seite FACHBEITRAG Entgegennahme und Öffnung elektronischer Angebote Die BVergG-Novelle 2009 will die elektronische Vergabe fördern und nennt die Verbreitung von -Adressen und Fax-Anschlüssen als hinreichende Voraussetzung. Allerdings gehen die Detailforderungen des BVergG über das bloße Vorhandensein dieser elektronischen Verfahren 1 weit hinaus. Besonders anspruchsvoll sind Entgegennahme und Öffnung elektronischer Angebote. Von Wolfgang Fabics und Gernot Schmied 1. Zulässigkeit elektronischer Angebote Die Festlegung, dass die Abgabe elektronischer Angebote zulässig ist, obliegt nach wie vor dem AG ( 91 bzw ). Wird sie nicht spätestens in den Ausschreibungsunterlagen ( 43 bzw 204 Abs 3) getroffen, so können Angebote nur in Papierform eingereicht werden. Wünscht der AG keine Angebote in Papierform, so hat er diese explizit auszuschließen, widrigenfalls sie neben elektronischen Angeboten zulässig sind. Angebote unterliegen somit nicht dem Vorrang der Übermittlung auf elektronischem Weg bzw durch Telefax gem 43 bzw 204 jeweils Abs 1, sie werden in den dortigen Aufzählungen auch nicht erwähnt. 2. Können Angebote per Telefax übermittelt werden? Die Abgabe von Angeboten per Telefax gilt weder als Abgabe auf elektronischem Weg noch als Abgabe in Papierform und ist generell nicht zulässig: Zum einen findet sie in den 91 und 243 keine Erwähnung; wenngleich die Fax-Übertragung wohl gemeinhin durchaus als elektronisches Kommunikationsverfahren angesehen werden dürfte, so unterscheidet das BVergG sie kategorisch sowohl von der brieflichen als auch von der elektronischen Übermittlung, sie stellt also isd Gesetzes ein gesondertes Übermittlungsverfahren dar. 3 Ein Auslegungsversuch als Abgabe auf elektronischem Weg scheitert zudem bereits an der fehlenden qualifizierten Signierfähigkeit. Zum andern stellt das Gesetz in seiner Unterscheidung zwischen herkömmlichen und fortschrittlichen Methoden des Informationsaustauschs meist auf die Art der Übermittlung (elektronisch, per Telefax oder brieflich) ab, nicht auf die Darreichungsform (Papier, digitale Datei) der Unterlagen selbst. Die 110 bzw 259 legen jedoch eindeutig fest, dass Angebote in Papierform [...] in einem verschlossenen Umschlag [...] einzureichen sind. Da dies bei einer Fax-Übermittlung bereits im Wesen unmöglich ist, scheidet auch ein Verständnis des Telefax als Papierform isd BVergG denknotwendig aus. 3. Stellt der Datenträgeraustausch eine elektronische Übermittlung dar? Die Angebotseinreichung mittels Datenträgers ist in 110 ( Einreichen der Angebote in Papierform ) geregelt und hat demnach besonders gekennzeichnet in einem verschlossenen Umschlag zu erfolgen. Das BVergG sieht also diese Form des Angebots aufgrund des physischen Behältnisses (für zweifelsohne digitale Dateien) und dessen konventioneller Übermittlung als nicht-elektronisch an (vgl dazu auch die Definition in 2 Z 15 1 und die ErlRV zu 106 bis 111: Ein Datenträgeraustausch ist nur bei Abgabe eines Angebotes in Papierform möglich ). Die Notwendigkeit der Verschlüsselung entfällt, weil diese an die elektronische Übermittlung gebunden ist ( 114 Abs 1). Dennoch werden Angebote bzw Angebotshauptteile, wenn sie gem Festlegung des Auftraggebers ausschließlich auf Datenträger also ohne ein begleitendes und rechtsgültig unterfertigtes Angebotsschreiben eingereicht werden können bzw müssen, notwendigerweise elektronisch zu signieren sein, und zwar nicht aufgrund 43 Abs 4, son- 1 Aus 2 Z 15 BVergG: Elektronisch ist ein Verfahren, bei dem elektronische Geräte für die Verarbeitung [..] und Speicherung von Daten zum Einsatz kommen und bei dem Informationen über Kabel, über Funk, mit optischen Verfahren oder mit anderen elektromagnetischen Verfahren übertragen, weitergeleitet und empfangen werden. 2 Die Paragraphenzitate in diesem Artikel beziehen sich so weit nicht anders angegeben auf das BVergG 2006 idf Novelle Dies ist insofern bemerkenswert, als das Telefax vor Inkrafttreten des BVergG 2006 offenbar sehr wohl als elektronisches Übermittlungsverfahren angesehen wurde (vgl zb RS des BVA in , N/0007-BVA/05/ ivm OGH , 1 Ob 525/93 zum Ausscheiden eines Teilnahmeantrags per Telefax wegen mangelnder Schriftlichkeit).

2 RPA Heft :RPA :12 Seite 313 FACHBEITRAG 313 dern wegen des allgemeinen Bedarfs nach einer rechtsgültigen Unterfertigung gem 108 Abs 1 Z 9 bzw 257 Abs 1 Z 8. 4 Die Frage, ob bei Abgabe eines elektronischen Angebots die Übermittlung von Datenträgern als Angebotsbestandteilen in Papierform ex lege zulässig ist oder vom AG (ausnahmsweise) als zulässig festgelegt werden kann, ist nach Ansicht der Autoren eher zu verneinen; die Aufzählungen in 113 und die ErlRV scheinen diesen Fall auszuschließen. Die konkreten Anforderungen des 110 an die Einreichung von Datenträgern werden zwar im entsprechenden Sektoren-Paragraphen 259 nicht erhoben, jedoch ist der Datenträgeraustausch gem 256 Abs 1 (analog zu 107 Abs 1) auch im Sektorenbereich ausdrücklich vorgesehen. 4. Einreichung elektronischer Angebote, Kommunikationswege Gemäß 92 Abs 1 hat der AG festzulegen, über welche Kommunikationswege elektronische Angebote eingereicht werden können. Nach dem dztg Stand der allgemein verfügbaren Technik kommen dafür der Versand via oder das Hochladen der Angebotsdateien auf eine vom AG bestimmte Plattform in Betracht. Zu beachten ist dabei 92 Abs 2, der für den festgelegten Kommunikationsweg den Aufbau einer von Ende zu Ende gesicherten Verbindung fordert. Konkret bedeutet dies lt ErlRV, dass der Datenverkehr vom Absender bis zum tatsächlichen Empfänger (also bis zum Eintritt des Angebots in dessen elektronischen Verfügungsbereich) verschlüsselt wird und dass der Empfänger (und bei einer Kommunikation, die in beide Richtungen Daten übermittelt, z.b. HTTP/Internet der Sender und der Empfänger) identifiziert sind. Im Fall des Hochladens von Angebotsdateien auf einen Server lässt sich dieser Forderung vglw einfach mit üblichen technischen Verfahren (zb SSL/TLS, SFTP, scp) nachkommen, die auch auf Bieterseite in frei verfügbaren Webbrowsern und anderen Programmen implementiert sind; die geforderte Identifikation von Sender und Empfänger erfolgt hier durch die installierten Client- und Server-Zertifikate. Auf den -Verkehr ist diese Bestimmung hingegen nicht so einfach anzuwenden, da hier zu keinem Zeitpunkt eine Verbindung im technischen Sinne zwischen Sender und Empfänger vorliegt. Verfahren wie SSL oder TLS werden zwar häufig zwischen Mail-Client und Mail-Server (seltener auch zwischen den Mail-Servern) eingesetzt, jedoch hat der AG keine Möglichkeit, die lückenlose kryptographische Sicherung des Übertragungsweges sicherzustellen. Betrachtet man als Verbindung den Kommunikationspfad, den ein elektronisches Angebot per vom Absender zum Empfänger nimmt, so könnte man argumentieren, dass der Forderung nach Ende-zu-Ende-Sicherung bereits durch die Verschlüsselung des Angebots (in Form eines verschlüsselten - Anhangs) entsprochen wird, wobei die -Nach - richt selbst unverschlüsselt bleibt. Allerdings ließe sich angesichts der sonst im BVergG als vertraulich eingestuften Informationen (zu denen ua auch die bloße Tatsache der Angebotsabgabe zählt) argumentieren, dass diese Vorgangsweise die unbefugte Kenntnisnahme solcher Informationen durch Dritte ( Kompromittierung des Kommunikationsweges ) nicht verhindert. Folgt man diesem Argument, so ist auch die -Nachricht selbst zu verschlüsseln, wofür aktuell nur zwei Verfahren S/MIME und PGP als verbreitet angesehen werden können. Art, Umfang und Qualität der Implementierung dieser Verfahren in handelsüblichen Software-Produkten variieren allerdings beträchtlich, sodass für die Erarbeitung konkreter Festlegungen jedenfalls die Beiziehung einschlägiger Sachverständiger anzuraten ist. Theoretisch kann auch daran gedacht werden, die geforderte Ende-zu-Ende-Verschlüsselung auf Netzwerkebene mittels IPSec- oder SSH-Tunnel über das öffentliche Internet zu realisieren. Verschlüsselung und Authentifizierung würden hier entweder implizit durch den Austausch voreingestellter Schlüssel erfolgen ( pre-shared keys ) oder aber explizit durch ein System zum automatisierten dynamischen Schlüsselaustausch (PKI). Da hierzu aber nicht nur ein vglw hoher System- und Konfigurationsaufwand, sondern auch die intensive technische und betriebliche Abstimmung zwischen AG und Bietern erforderlich ist, wird ein solcher Ansatz falls überhaupt nur in Konstellationen sinnvoll ins Auge gefasst werden können, in denen ein AG häufig mit einer und derselben Gruppe von Bietern Vergabeprojekte abwickelt. 5. Formvorschriften für elektronische Angebote, Dokumentenformate 93 legt fest: Der AG hat das Dokumentenformat oder die Dokumentenformate, in denen Angebote bzw. Angebotsbestandteile erstellt werden können, nicht diskri- 4 Da es sich beim Datenträgeraustausch wie ausgeführt nicht um eine Abgabe auf elektronischem Weg isd BVergG handelt, wird zwar die Forderung nach Gewährleistung der Vollständigkeit, Echtheit und Unverfälschtheit mit der Qualität der qualifizierten Signatur nicht erhoben; angesichts der (hinsichtlich der SigG-Novelle 2008 nicht aktuellen) Judikatur zum Thema rechtsgültige Unterfertigung dürfte sich aber in diesem konkreten Fall die Verwendung qualifizierter Signaturen sehr empfehlen.

3 RPA Heft :RPA :12 Seite FACHBEITRAG minierend festzulegen und spätestens in den Ausschreibungsunterlagen bekannt zu geben. Für Angebote, die in einem einzigen Dokument erstellt werden, und für Angebotshauptteile dürfen nur Dokumentenformate vorgeschrieben werden, die mit einer qualifizierten elektronischen Signatur versehen werden können. Theoretisch ist dieser Forderung leicht nachzukommen, da aus technischer Sicht jedes beliebige Dokumentenformat qualifiziert signierfähig wäre. Zwei Aspekte schränken hier jedoch die Lösungsmannigfaltigkeit stark ein: Zum einen stellt der Gesetzgeber hier offenbar nur auf Dateiformate ab, die entweder eine qualifizierte Signatur innerhalb ihrer eigenen Struktur beherbergen oder aber selbst in einem qualifizierten Signatur-Container eingebettet werden können; bei anderen Dateiformaten müsste die elektronische Signatur als getrennte Datei ( detached signature ) erstellt und mitgesendet werden. Zum andern bringt die für qualifizierte Signaturen gem SigG und SigV nötige Verwendung von qualifizierten Zertifikaten und sicheren Signaturerstellungseinheiten den Einsatz bestimmter Software-Komponenten mit sich, deren Unterstützung von Datei- und Signaturformaten letztlich die de facto qualifiziert signierfähigen Dokumentenformate bestimmt. Unter Berücksichtigung dieser Einschränkungen kommen dzt vorwiegend PDF- und XML-Formate in Betracht, da diese für die Erstellung und den Austausch von Angebotsunterlagen sowohl strukturell geeignet als auch weit verbreitet sind und von den österreichischen Signatur-Suiten unterstützt werden. Ein Beispiel für ein XML- Format, das auch in den ErlRV genannt wird, ist das Datenträgerformat gem ÖNORM A 2063; als hoch standardisiertes und daher gut unterstütztes PDF-Format ist PDF/A (ggw in der Version PDF/A-1a gem ISO :2005) zu empfehlen. Zu beachten ist sowohl bei der Festlegung von PDF als Dokumentenformat und der zulässigen Signaturverfahren durch den Auftraggeber als auch beim Anbringen der Signatur durch den Bieter, dass für PDF-Dokumente dzt zwei verschiedene technische Standards zum Signieren existieren: die Adobe-PDF-Signatur und der österreichische PDF-AS-Standard; beide kennen zudem mehrere Methoden, die Signatur an das Dokument zu knüpfen 5. Auch hier wird deutlich, wie wichtig es für den AG ist, sich vor der Einleitung eines vollelektronisch abgewickelten Verfahrens der Branchenkenntnis und Sachkunde einschlägiger Experten zu bedienen. 6. Elektronische Übermittlung der Angebote Signatur und Verschlüsselung Elektronische Angebote sind gem 114 bzw 262 vom Bieter mit einer qualifizierten elektronischen Signatur zu versehen und zu verschlüsseln. Das zu verwendende Verschlüsselungsverfahren muss dem Standard einer starken Verschlüsselung nach dem jeweiligen Stand der Technik entsprechen und ist vom AG spätestens in den Ausschreibungsunterlagen bekannt zu geben ( 94). Plattformlösungen, bei denen der Bieter das elektronische Angebot zwar qualifiziert signiert und über einen Ende-zu-Ende gesicherten Kommunikationsweg einreicht, die Verschlüsselung jedoch ausschließlich von der Vergabeplattform selbst (also bereits im Bereich des AG bzw seines Beauftragten) automatisch vorgenommen wird, sind in dieser Hinsicht also streng genommen nicht gesetzeskonform. In diesem Zusammenhang hat der Bieter gem 114 Abs 2 auch sicherzustellen, dass nach der Übermittlung des Angebotes dem AG die Prüfung der Vollständigkeit, Echtheit und Unverfälschtheit des Angebotes möglich ist. Dies geschieht einerseits durch die üblichen redaktionellen Maßnahmen im Dokument selbst (Inhaltsverzeichnis, Seitenzahlen usw), andererseits durch die elektronische Signatur; bei mehrteiligen Angeboten ist hier auch das sichere Verketten gem 115 zu er - wähnen 6. Der AG selbst muss bzw kann diese Prüfung nicht sofort bei Einlangen durchführen. Dies wäre schon deshalb nicht machbar, da er dazu vom Inhalt des Angebots Kenntnis nehmen müsste, was ihm aber gem 119 Abs 3 grundsätzlich erst nach Ablauf der Angebotsfrist gestattet ist. Ausnahmen von diesem Grundsatz bilden zb die Entschlüsselung auf Anordnung der Vergabekontroll - behörde oder eines Gerichts, aber auch die Einsichtnahme in die (vorläufigen) Angebote im Verhandlungsverfahren. Schließlich sei darauf hingewiesen, dass die Bestimmungen des BVergG zu qualifizierten Signaturen deren Funktion als Transportversiegelung in den Vordergrund stellen. Gewissermaßen als Nebeneffekt erfüllen solcherart signierte Angebote automatisch das Schriftformerfordernis des 886 ABGB ( 4 Abs 1 SigG). Zu betrachten ist jedoch auch die Frage, ob das Angebot im unternehmensrechtlichen Sinne korrekt ( firmenmäßig 7 ) oder zumindest zivilrechtlich bindend ( rechtsgültig ) unter- 5 PDF-AS unterscheidet zwischen Binär- und Text-Signatur, Adobe PDF kennt je nach Art des verwendeten Zertifikats unterschiedliche signature handlers. Dies ist besonders für die Signatur - prüfung von Bedeutung. Vgl dazu zb pdf-signatur.de.php. 6 Das sichere Verketten (oder ein gleichwertiges Verfahren) ist übrigens auf alle elektronisch eingereichten Angebotsbestandteile anzuwenden, auch wenn sie qualifiziert signiert wurden also nicht nur auf solche, die in nicht qualifiziert signierfähigen Formaten vorliegen (vgl dazu die ErlRV zu 115). 7 Zur Definition der firmenmäßigen Fertigung im Vergaberegime vgl zb BVA , N-22/99-24.

4 RPA Heft :RPA :12 Seite 315 FACHBEITRAG 315 fertigt ist 8. Dabei ist zu berücksichtigen, dass oft mehrere physische Personen als Organe des Bieter-Unternehmens zur rechtsgültigen Unterfertigung nötig sind und daher die vom AG festgelegten Dokumentenformate (ivm den darauf anwendbaren Signaturverfahren) auch qualifizierte Mehrfach-Signaturen zuverlässig unterstützen sollten 9. Formate bzw Verfahren, die das nicht tun, erscheinen aufgrund ihrer oft zweifelhaften Rechtssicherheit (vgl Judikaturhinweise) wenig attraktiv. 7. Entgegennahme der Angebote, Bestätigung des Erhalts Gemäß 119 Abs 1 ist der Zeitpunkt des Einganges des Angebotes eines Bieters durch einen Zeitstempel zu dokumentieren und dem jeweiligen Bieter unverzüglich zu bestätigen. Entgegen der Rechtslage vor Inkrafttreten des BVergG 2006 ist nicht gefordert, dass es sich um einen sicheren bzw qualifizierten Zeitstempel (dh um einen Zeitstempel, der auf einem qualifizierten Zertifikat basiert) handeln muss; der Zeitstempeldienst kann also auch vom AG selbst oder von einem Beauftragten mit vglw geringem Aufwand betrieben werden. Als Zeitpunkt des Einganges beschreiben die ErlRV den Eingang des Angebotes auf dem in der Bekanntmachung bzw. in den Ausschreibungsunterlagen genannten Server (elektronische Adresse). Diese Definition erscheint nun aus technischer Sicht insbesondere im Zusammenhang mit -Verkehr eher unzureichend und lässt reichlich Spielraum zur Interpretation. Im Zweifel wird daher die Judikatur zum Thema elektronischer Verfügungsbereich des Empfängers heranzuziehen sein; diese Diktion wurde auch in 43 bzw 204 jeweils Abs 6 gewählt. Werden die Angebote via entgegengenommen, so wird die Bestätigung des Einlangens idr so erfolgen, dass nach dem Erstellen des Zeitstempels eine - Bestätigung an den Bieter versandt wird, der die Zeitstempeldatei als Anhang beigefügt ist. Beide Vorgänge sollten automatisiert ablaufen, da so der gesetzlichen Forderung nach Unverzüglichkeit am einfachsten und zuverlässigsten entsprochen werden kann. Unter Verwendung von web-basierten Vergabeplattformen ( interaktiven Verfahrenslösungen ), bei denen der Bieter seine Angebotsdaten unmittelbar auf den Vergabe-Server hochlädt bzw in eine Bildschirmmaske eingibt, fordert 119 Abs 1, dass die Zeit des Zeitstempels interaktiv lesbar gemacht werden muss. Dies kann zb durch eine entsprechende Benachrichtigung in der Benutzermaske erreicht werden; empfehlenswert dürfte es auch sein, über einen Link die Möglichkeit zum Herunterladen der Zeitstempeldatei anzubieten. Zeigt sich erst bei der Angebotsöffnung, dass ein Angebot aus technischen Gründen nicht geöffnet werden kann oder sonst technisch mangelhaft ist, so gibt das BVergG keine in technischem Sinne umsetzbaren Anhaltspunkte dafür, wie damit zu verfahren ist. Wird zb festgestellt, dass ein Angebot mit einem Virus infiziert ist, so könnte der AG sich vermutlich auf die Unzumutbarkeit der weiteren Bearbeitung gem 126 Abs 3 berufen, zweckmäßig ist dies zu diesem Zeitpunkt im Verfahren jedoch wohl kaum. 126 Abs 1 sieht bei mangelhaften Angeboten die Möglichkeit vor, vom Bieter eine verbindliche schriftliche Aufklärung zu verlangen; dies könnte im dargestellten Szenario aber wohl nur damit einher gehen, dass der Bieter entweder seine Originaldateien auf einem Datenträger mit sich führt und sofern er bei der Angebotsöffnung zugegen ist unmittelbar nochmals vorlegt, oder aber dass dem Bieter eine erneute Übermittlung aufgetragen bzw gestattet wird. Die zweifelsfreie Feststellung, ob ein solcherart nochmals vorgelegtes Angebot inhaltlich völlig mit der schadhaften Angebotsdatei übereinstimmt, wird sich jedoch abhängig vom konkreten Mangel in vielen Fällen schwierig bis unmöglich treffen lassen und zudem nur wenig bis keinen verfahrensrelevanten Nutzen entfalten können. Es wird deshalb sinnvoll sein, die eingelangten Angebote bereits vor dem Öffnungstermin einer technischen Prüfung zu unterziehen, um ggf eine rechtssichere Sanierung zu ermöglichen. Die ErlRV sehen explizit die Einschaltung einer vertrauenswürdigen Stelle ( Trust Center ) vor, die elektronische Angebote im Auftrag des AG entgegen nimmt und verwahrt (zb ein entsprechend ausgestattetes Notariat oder ein IT-Ziviltechnikerbüro). Legt der AG eine solche Stelle unter Angabe aller erforder - lichen Einzelheiten in den Ausschreibungsunterlagen fest, so könnte diese sofern sie über die nötige technische Kompetenz und Ausrüstung verfügt mit der technischen Eingangsprüfung der Angebote betraut werden und müsste zu diesem Zweck zur Entschlüsselung der Angebote vor Ablauf der Angebotsfrist befugt sein. In diesem Fall erfolgte die Verschlüsselung der Angebote vor Einreichen nicht mit einem öffentlichen Schlüssel des AG, sondern mit einem des Trust Centers. Dadurch würde nochmals sichergestellt, dass der AG keine vorzeitige Kenntnis vom Inhalt der Angebote erlangen kann ( 119 Abs 3), denn er könnte sie selbst wenn er unbe- 8 Zur Bedeutsamkeit dieses Unterschieds vgl VwGH , 2002/04/0058, zur Behebbarkeit dbzgl Mängel VwGH , 2001/04/0037, zur praktischen Auswirkung BVA , 09N- 49/02-19 ivm OGH , 7 Ob 159/97a. 9 Mehrfach-Signaturen können im Fall der gemeinschaftlichen Vertretung deshalb erforderlich sein, weil qualifizierte Zertifikate gem 2 Z 9 SigG ausschließlich an natürliche Personen gebunden sind.

5 RPA Heft :RPA :12 Seite FACHBEITRAG fugt oder unbeabsichtigt Zugriff auf die Angebotsdateien erlangte nicht entschlüsseln. 8. gesicherte Speicherung der Angebote, Zugriffsdokumentation Die Festlegungen dafür finden sich konzentriert in 120 bzw 266 (vergleichbare Bestimmungen finden sich auch an anderen Stellen, insbesondere in Anhang XVII, dazu unten mehr) und umfassen drei wesentliche Aspekte: Echtheit, Unverfälschtheit und Vertraulichkeit der Angebote müssen gewährleistet sein, bis zur Öffnung der Angebote darf kein unbefugter Zugriff erfolgen können und jeder Zugriff bis zur Öffnung der Angebote ist zu dokumentieren. Der ersten Anforderung wird mit den üblichen informationstechnischen Mitteln ohne weiteres nachzukommen sein, wie sie auch sonst in unternehmenskritischen Bereichen eingesetzt werden (Stand der Technik). Dadurch, dass die Angebote (ggf mehrfach) mit den öffentlichen Schlüsseln ausschließlich befugter Personen verschlüsselt abgelegt werden, dürfte die Vertraulichkeit hinreichend gewährleistet sein. Echtheit und Unverfälschtheit können streng genommen zwar nicht gewährleistet, jedoch anhand der qualifizierten Signatur des Bieters jederzeit zuverlässig überprüft werden. Zur Vermeidung eines unbefugten Zugriffs scheint es ebenfalls ausreichend, vorhandene Sicherheitsmechanismen in üblichen IT-Systemen (Authentifizierung, Autorisierung und Accounting, AAA ) heranzuziehen, zumal die Verschlüsselung der Angebote zusätzlichen Schutz bietet. Die Systemverantwortlichen werden hier aufgrund der potenziellen rechtlichen Außenwirksamkeit allfälliger Unregelmäßigkeiten sinnvollerweise besondere Sorgfalt und Umsicht walten lassen, jedoch erscheint aus technischer Sicht ein weit über das auch sonst in sensiblen Unternehmensbereichen angelegte Maß hinausgehender Aufwand nicht gerechtfertigt. Die Maßnahmen zum Verhindern einer unbefugten Entschlüsselung können auch organisatorisch abgebildet werden (zb aus den ErlRV: Um sicher zu stellen, dass kein Zugriff auf diesen privaten Schlüssel vor Ablauf der Angebotsfrist erfolgt, kann dieser beispielsweise bei einem elektronischen Notar hinterlegt werden. Auch die Verwahrung der entsprechenden Smartcards in einem Safe bis zum Ablauf der Angebotsfrist wäre denkbar. ). Zur Umsetzung der dritten Forderung, der Dokumen - tation eines jeden Zugriffs, dürften die gängigen Mechanismen auf Betriebssystem- und Applikationsebene jedenfalls ausreichen (Logging, Audit-Subsysteme, Datei systeme, Zugriffskontrollen). Hierzu sei auch die Bestimmung des Anhangs XVII lit d erwähnt, die von den verwendeten Geräten und Systemen fordert, dass es bei einem Verstoß gegen [das] Zugangsverbot als sicher gelten kann, dass der Verstoß sich eindeutig aufdecken lässt. Die einfache Auswertbarkeit der von den genannten Systemen geführten Aufzeichnungen hängt zwar stark von Implementierung und Konfiguration ab, ist jedoch im BVergG nicht explizit gefordert. Alleine das Vorhandensein geeigneter Daten unterstützt im Bedarfsfall ( eindeutiges Aufdecken des Verstoßes ) die datenforensische Untersuchung der in Rede stehenden Systeme ungemein. Unabhängig von der automatischen Zugriffsdokumentation dürfte eine parallel dazu manuell geführte Do - kumentation jedes Beteiligten oft sinnvoll sein, da sich wesentliche Informationen nämlich der Grund des Zugriffs und die mit den anlässlich dieses Zugriffs gesetzten Aktivitäten verbundenen Absichten herkömmlichen automatischen Protokollmechanismen üblicherweise entziehen. 9. Angebotsöffnung, Anforderungen an Systeme und Abläufe Die Öffnung elektronischer Angebote ist gem 121 Abs 1 von einer Kommission vorzunehmen, die aus zumindest zwei sachkundigen Vertretern des AG besteht; werden die Bieter im offenen oder nicht offenen Verfahren aus triftigen Gründen von der Angebotsöffnung ausgeschlossen, so sind zumindest drei Vertreter erforderlich. Sie unterscheidet sich im Wesen nicht grundsätzlich von der Öffnung der Angebote in Papierform, jedoch bergen die Anforderungen des Anhangs XVII an die Vorrichtungen für die Entgegennahme von elektronisch übermittelten Datensätzen im Zusammenhang mit einem Vergabeverfahren einige technische und betrieb liche Besonderheiten, zb die folgende: Die Geräte für die elektronische Entgegennahme von Angeboten müssen lt Anh XVII lit f gewährleisten, dass der Zugang zu allen vorgelegten Daten bzw. zu einem Teil dieser Daten nur möglich ist, wenn die ermächtigten Personen gleichzeitig tätig werden. Es empfiehlt sich also, soweit irgend möglich für einen bestimmten Verfahrensschritt jeweils nur eine einzige Person (ggf unter Nennung eines Stellvertreters) zum Zugriff auf die gespeicherten Datensätze zu ermächtigen. Im Falle der Angebotsöffnung ist dies nicht möglich, dennoch sollte die Öffnungskommission aus technischen und betrieb - lichen Gründen mit der minimalen jeweils zulässigen Mitgliederanzahl festgelegt werden. Ihre Zusammensetzung kann sich teilweise oder völlig von der eigentlichen Bewertungskommission unterscheiden. Wird wie im Abschnitt Entgegennahme der Angebote, Bestätigung des Erhalts beschrieben eine vertrauens-

6 RPA Heft :RPA :12 Seite 317 FACHBEITRAG 317 würdige Stelle ( Trust Center ) mit der elektronischen Verwahrung der Angebote beauftragt, so könnte das hier geforderte Raketenschlüsselprinzip wie folgt umgesetzt werden: Das Trust Center verwahrt die Angebote nach Eingangsprüfung in der ursprünglich verschlüsselten Form und erstellt davon je eine Kopie, die ein zweites Mal verschlüsselt wird, diesmal mit einem öffent - lichen Schlüssel des AG selbst. Sind drei Kommis - sionsmitglieder vonnöten, so muss das Trust Center die Angebote ein drittes Mal verschlüsseln. Zum Öffnungszeitpunkt übergibt oder übermittelt das Trust Center die mehrfach verschlüsselten Angebote dem AG. Nun kann ein Vertreter des AG die Angebote mit seinem privaten Schlüssel erst-entschlüsseln. Zur vollständigen Entschlüsselung muss nun auch noch ein Mitarbeiter des Trust Centers (und vor ihm ggf noch ein weiterer Vertreter des AG) mit seinem privaten Schlüssel tätig werden. Mit einer solchen Vorgangsweise wäre dem Willen des Gesetzgebers vermutlich Genüge getan, das Vier-(bzw Sechs-)Augen-Prinzip ist gewahrt. Jedoch wird der ordnungsgemäße Ablauf hier vorwiegend durch prozedurale Festlegungen sichergestellt und nicht wie in Anhang XVII eigentlich gefordert durch technische Eigenschaften der verwendeten Geräte erzwungen. Man könnte zb auch bemängeln, dass im dargestellten Szenario die befugten Personen tatsächlich nicht gleichzeitig, sondern wenngleich zeitnah nacheinander tätig werden. Will man auch dieses Verfahrensrisiko a priori ausschließen, so führt aus heutiger Sicht wohl kein Weg an der Nutzung einer kommerziellen Vergabeplattform (oder der Entwicklung einer eigenen Lösung durch den AG) vorbei, die mit den jeweiligen Funktionen ausgestattet ist. 10. Angebotsmängel hinsichtlich Verschlüsselung und/ oder elektronischer Signatur Zur Verschlüsselung sprechen die ErlRV eine deutliche Sprache: Hat der Bieter das Angebot bzw. die Angebotsbestandteile nicht in einem der vom AG festgelegten Dokumentenformate erstellt und/oder nach einem der bekannt gegebenen Verfahren verschlüsselt und/oder auf einem nicht zugelassenen Kommunikationsweg eingereicht, so handelt es sich um ein den Ausschreibungsbestimmungen widersprechendes und daher gemäß 129 Abs. 1 Z 7 BVergG auszuscheidendes Angebot. Fehlen im Angebotshauptteil eines mehrteiligen Angebots Angaben, die nach 2 Z 5 gefordert sind (zb die Angaben zum sicheren Verketten im Inhaltsverzeichnis), so handelt es sich bei diesem Dokument nicht um einen Angebotshauptteil. Aus den ErlRV dazu: Wird daher ein Angebot ohne einen formgerechten Angebotshauptteil elektronisch eingereicht, so handelt es sich hierbei um ein fehlerhaftes bzw. unvollständiges Angebot gemäß 129 Abs. 1 Z 7 [..]. Da dieser Fehler nicht behebbar ist [..], ist ein solcherart mangelhaftes Angebot auszuscheiden. 10 Der Fall, dass ein Angebot zwar verschlüsselt, aber nicht mit einer qualifizierten elektronischen Signatur versehen wurde, ist in beiden Ausführungen jedoch nicht expliziert (und per se im BVergG auch nicht unter Sanktion gestellt). Aus der Zusammenschau könnte man zwar argumentieren, dass das Fehlen der Angaben zum sicheren Verketten (bei mehrteiligen Angeboten) die Prüfung der Echtheit und Unverfälschtheit mit der Qualität der sicheren Signatur vereitelt und genau dieser Mangel natürlich auch bei einteiligen Angeboten ohne qualifizierte Signatur gegeben wäre. Die Verpflichtung des AG zum Ausscheiden der Angebote wird hier allerdings nur an ausschreibungswidrigen Mängeln aufgehängt. Eine solche Verpflichtung könnte sich zwar bereits aus der in diesem Fall mangelnden Schriftlichkeit gem 886 ABGB ivm 4 Abs 1 SigG herleiten 2, jedoch stellt das BVergG in 2 Z 30 auf eine andere Definition der Schriftlichkeit ab als das ABGB (Darstellung in Schriftform im Gegensatz zur Unterschriftlichkeit ). Einen weiteren Anhaltspunkt liefert das BVA in 16N-91/05-20 zum Ausscheiden wegen fehlender ( sicherer ) Signatur (Auszug): [...] somit [ist] das Fehlen einer sicheren elektronischen Signatur stets als gemäß 174 Abs 1 Z 2 BVergG für den Ausgang des Verfahrens relevant einzustufen, sodass [...] eine Mängelbehebung nicht in Betracht zu ziehen ist. [...] Das Angebot der Antragstellerin wurde demnach wegen fehlender sicherer elektronischer Signatur in rechtskonformer Weise gemäß 98 Z 8 BVergG [...] ausgeschieden. Diese Entscheidung beruht zwar auf dem BVergG 2002 ivm der außer Kraft getretenen E-Procurement-V, die gegenständlichen Regelungen wurden aber weitgehend in das BVergG 2006 übernommen. Inwiefern sie auf die aktuelle Rechtslage angewandt werden kann, bleibt dennoch fraglich, weil ihre Begründung vorwiegend auf zwei rein technische Aspekte abstellt, nämlich zum einen auf die Notwendigkeit eines Secure Viewers beim Anbringen einer sicheren (heute: qualifizierten) Signatur 10 Die dem 129 Abs 1 Z 7 entsprechende Sektoren-Bestimmung findet sich in 296 Abs 1 Z 5, zwingend ist das Ausscheiden hier aber nur im Oberschwellenbereich; im Unterschwellenbereich ist es dem AG freigestellt ( 269 Abs 2).

7 RPA Heft :RPA :12 Seite FACHBEITRAG (die seit der SigG-Novelle aber de iure nicht mehr gegeben ist) und zum andern auf die vermutete Un - möglichkeit, ein bereits mit einer (hier: einfachen) elektronischen Signatur versehenes Dokument mit einer weiteren ( sicheren bzw qualifizierten) Signatur zu unterschreiben und den Mangel so zu beheben; diese ist aus technischer Sicht aber nicht zwangsläufig gegeben. Fraglich ist auch, ob in dieser Begründung nicht ein Widerspruch zu 3 Abs 2 SigG erblickt werden kann, wenngleich die Behörde diesem Argument hier nicht gefolgt ist. 12 Will der AG mangelhaft oder überhaupt nicht elektronisch signierte Angebote sicher ausscheiden, so empfiehlt es sich daher vermutlich, auch die Notwendigkeit der qualifizierten Signatur in den Ausschreibungsunterlagen als Formvorschrift festzulegen. Eine solche Vorgangsweise sehen die ErlRV zu 269 sinngemäß vor: Darüber hinaus steht es dem Sektorenauftraggeber frei, weitere Ausscheidungsgründe in den Ausschreibungsunterlagen zu normieren, bei Vorliegen eines solchen Ausscheidungsgrundes kann mit einer Ausscheidung gemäß 269 Abs. 1 Z 5 [..] vor gegangen werden. Aus keiner Bestimmung des BVergG erschließt sich den Autoren, dass dies nicht auch dem Nicht-Sektoren-AG frei stünde (zumal der in den ErlRV dazu referenzierte 269 Abs 3 wortgleich mit 129 Abs 2 ist). Zusammenfassung und abschließende Empfehlungen Zweifellos kann die vollelektronische Vergabeabwicklung insbesondere aufgrund der Möglichkeiten zur Automatisierung von Verfahrensschritten Vorteile für AG und Bieter bringen. Angesichts der nichttrivialen gesetzlichen Anforderungen an die dbzgl Systeme und Vorkehrungen wird sich jedoch oft die Frage stellen, ob diese Vorteile den erforderlichen technischen, betrieblichen und oft auch finanziellen Aufwand rechtfertigen. Von den elektronischen Fallstricken des BVergG konnten hier nur einige herausgegriffen werden, an denen sich die je nach Ausgangssituation bei AG und Bietern oft erheblichen technischen Herausforderungen besonders deutlich manifestieren. Welcher Weg zur vollelektronischen Vergabe (Kombination bzw Aufrüstung vorhandener Systeme, Eigenentwicklung von Einzel- oder Gesamtlösungen oder aber die Anschaffung bzw Nutzung kommerzieller Vergabeplattformen) den gewünschten Erfolg bringen kann, entscheidet sich nach Überzeugung der Autoren nur im organisationsspezifischen Einzelfall und erfordert die eingehende Analyse nicht nur der technischen und betrieblichen Gegebenheiten, sondern auch des jeweils aktuellen Produktund Branchenumfeldes. Ob das (im Sinne eines kalkulierten Verfahrensrisikos ggf sogar bewusste) Abweichen von einzelnen der diskutierten gesetzlichen Bestimmungen tatsächlich zu einer erfolgreichen Verfahrensanfechtung führen kann, lässt sich von den Autoren nicht zuletzt aufgrund der in concretu spärlichen aktuellen Einzeljudikatur schwer beurteilen. Alleine das Identifizieren und Abwägen dieser Risiken erfordert jedoch zusätzlich zum rechtlichen Vergabe-Know- How erhebliche Sach- und Branchenkenntnis im IKT-Bereich, derer sich der AG durch frühzeitige Beiziehung entsprechender Experten versichern sollte. Vor allem die Einbindung einer technisch und rechtlich vertrauenswürdigen Stelle ( Trust Center ) kann die Rechts - sicherheit und Effizienz eines elektronischen Vergabeverfahrens bedeutend erhöhen. 11 Mit der Neufassung des 18 Abs 5 SigG durch BGBl I 2008/164 entfällt die Notwendigkeit der Bescheinigung der gesamten Signaturumgebung (von welcher der Secure Viewer ein Teil ist) durch die Bestätigungsstelle, sie beschränkt sich seitdem ausschließlich auf die sichere Signaturerstellungseinheit. 12 Aus 3 Abs 2 SigG: Die rechtliche Wirksamkeit einer elektronischen Signatur [kann] nicht allein deshalb ausgeschlossen werden, weil [sie] nur in elektronischer Form vorliegt, weil sie nicht auf einem qualifizierten Zertifikat [..] beruht oder weil sie nicht unter Verwendung von technischen Komponenten und Verfahren im Sinne des 18 erstellt wurde. Das BVA geht in seiner Begründung anscheinend von der Derogation dieser Bestimmung durch 83 Abs 1 Z 8 BVergG 2002 als lex specialis aus. Eine solche wird nach Auffassung der Autoren im BVergG 2006 (insbes aufgrund des im nunmehrigen 108 Abs 1 Z 9 nicht mehr vorhandenen Hinweises auf qualifizierte Signaturen) jedoch nicht postuliert.