Er ist zwar nun bald ein dreiviertel Jahr alt, wurde aber erst jetzt bei juris eingestellt: der bereits von der Bundesregierung im Evaluierungsbericht erwähnte Beschluss des Vergabesenates des OLG Düsseldorf vom 25. Juni 2014 im Verfahren VII-Verg 47/13 der Deutschen Post gegen das BMI um dessen Ausschreibung von De-Mail-Dienstleistungen für die Bundesverwaltung. Er lässt sich verkürzend dahin zusammenfassen, dass es nicht zu beanstanden sei, wenn das BMI De-Mail-Dienstleistungen ausschreibt, wenn es De-Mail-Dienstleistungen beschaffen will, und nicht allgemein elektronische Postleistungen. Entsprechend habe sich die Vergabe auf akkreditierte bzw. zu akkreditierende Anbieter beschränken dürfen. Unerheblich sei, dass die Änderung des De-Mail-Gesetzes durch das E-Government-Gesetz nicht bei der Europäischen Kommission notifiziert worden sei. Es sei schon fraglich, ob dies erforderlich gewesen sei. Jedenfalls könne die Post aus einem etwaigen Verstoß keine Rechte für sich herleiten.

Der Beschluss ist interessant, weil er die Auseinandersetzung der Post mit dem BMI um den E-Postbrief und die Anforderungen des De-Mail-Gesetzes öffentlich macht, einschließlich der Argumente der Deutschen Post. Daneben sind natürlich die Ausführungen des OLG Düsseldorf von großem Interesse, vor allem zur Notifizierungspflicht der Änderungen des De-Mail-Gesetzes durch das E-Government-Gesetz.

Zum Sachverhalt: Das E-Government-Gesetz vom 25. Juli 2013 öffnet den elektronischen Rechtsverkehr mit der Verwaltung. Seit dem 1. Juli sind alle Bundesbehörden verpflichtet, den bislang fakultativen (§ 3a Abs. 1 VwVfg) elektronischen Zugang zu eröffnen; gleiches gilt für Landesbehörden, soweit sie Bundesrecht ausführen. Darüber hinaus sind künftig alle Bundesbehörden verpflichtet, den elektronischen Zugang zusätzlich über eine De-Mail-Adresse zu eröffnen. Der entsprechende § 2 Abs. 2 EGovG tritt allerdings erst in Kraft „ein Kalenderjahr nach Aufnahme des Betriebes des zentral für die Bundesverwaltung angebotenen IT-Verfahrens, über das De-Mail-Dienste für Bundesbehörden angeboten werden“. Voraussetzung ist also die erfolgreiche Einrichtung und der sichere Betrieb des „De-Mail-Gateways“ der Bundesverwaltung. Dieses soll nach der Vorstellung des BMI „als IT-Verfahren zentral durch ein Dienstleistungszentrum IT (DLZ-IT) angeboten werden“, und zwar realisiert „über ein Netz, über das die Bundesbehörden sicher und hochverfügbar miteinander verbunden sind (zukünftig ‚Netze des Bundes‘, zurzeit IVBB, IVBV/BVN sowie das Verbindungsnetz gemäß IT-NetzG)“, BT-Drs. 17/11473 S. 34.

Entsprechend veranlasste das BMI unmittelbar nach der Veröffentlichung des E-Government-Gesetzes die Ausschreibung eines Rahmenvertrags über die Erbringung von Postfach- und Versand- sowie Verzeichnisdiensten gemäß der Technischen Richtlinie des Bundesamts für Sicherheit in der Informationstechnik (BSI) TR-01201 De-Mail im nicht offenen Verfahren mit Teilnahmewettbewerb. In der ursprünglichen Bekanntmachung vom August 2013 sah die Ausschreibung zunächst als wesentliches Eignungskriterium vor, dass die Bieter akkreditierte De-Mail-Anbieter sind. Dies wurde im Folgenden dahin geändert, dass es genüge, die Stellung eines entsprechenden Antrags auf Akkreditierung zuzusichern.

Die Post als Antragstellerin im Nachprüfungsverfahren, die bereits die erste Fassung der Eignungskriterien beanstandet hatte, rügte auch die abgeschwächte Forderung nach einem Akkreditierungsantrag als rechtswidrig. Zum einen verletze die Akkreditierungspflicht Europarecht deswegen, weil sie die Niederlassungs- und Dienstleistungsfreiheit ausländischer Unternehmen beschränke. Zum anderen aber hätte die Festlegung des § 2 Abs. 2 EGovG auf die De-Mail und damit die Beschränkung auf die Leistungen akkreditierter Anbieter, die eine Bevorzugung ihrer Leistungen sei, nach der so genannten Informationsrichtlinie 98/34/EG bei der EU-Kommission notifiziert werden müssen. Der Verstoß führe zur Unanwendbarkeit auch von § 17 De-Mail-G, der die Akkreditierungspflicht begründe. Das BMI wies die Rüge zurück, woraufhin die Post, die sich an der Ausschreibung nicht beteiligt hatte, sogleich einen Nachprüfungsantrag bei der Vergabekammer des Bundes stellte.

Diese wies den Antrag mit der Begründung zurück, die Rüge der Europarechtswidrigkeit sei schon unzulässig, nachdem die Post ein hiervon nicht betroffenes inländisches Unternehmen sei und keine eventuelle Rechtsverletzung Dritter rügen könne. Im Übrigen sei der Antrag unbegründet. Es könne dahin stehen, ob das E-Government-Gesetz habe akkreditiert werden müssen, denn die hier in Rede stehende Akkreditierungspflicht für das Anbieten von De-Mail-Dienstleistungen beruhe auf § 17 De-Mail-Gesetz, der bereits in der Erstfassung des Gesetzes enthalten gewesen sei, die notifiziert worden sei. Es liege in der unternehmerischen Entscheidung der Post, die Akkreditierung nicht anzustreben, wobei unstreitig sei, dass der von ihr angebotene E-Postbrief die datenschutzrechtlichen Vorgaben des De-Mail-Standards und insbesondere das Gebot der Datensparsamkeit nicht einhalte.

Das sodann angerufene OLG Düsseldorf folgte dem und wies die sofortige Beschwerde der Post zurück.

Aus den Gründen: Die Post sei antragsbefugt, obgleich sie sich an der Ausschreibung nicht beteiligt habe. Denn ein Antragsteller müsse sein Interesse am Auftrag nicht durch die Abgabe eines Angebotes dokumentieren, wenn er einen gewichtigen Vergabeverstoß rügt, der bereits – wie hier – die grundlegenden Rahmenbedingungen der Ausschreibung betrifft. Die Einreichung von Angeboten auf der Grundlage rechtswidriger Vergabebedingungen zum Zwecke der Erlangung der für ein späteres Nachprüfungsverfahren erforderlichen Antragsbefugnis stelle eine unzulässige Bedingung dar, wenn Ziel des begehrten Rechtsschutzes die rechtliche Überprüfung eben dieser Vergabebedingung sei. Die Antragsbefugnis erfasse freilich nicht die Frage der Europarechtswidrigkeit mit der Begründung, es versage ausländischen Unternehmen den Marktzutritt zur Erbringung von De-Mail-Diensten und diskriminiere sie damit. Insoweit könne sie erkennbar nicht in eigenen Rechten verletzt sein.

Im Übrigen sei die Beschwerde unbegründet. Es sei nicht zu beanstanden, dass das BMI für die Erbringung von De-Mail-Diensten einen Antrag auf Akkreditierung als De-Mail-Anbieter verlange. Der öffentliche Auftraggeber bestimme den Auftragsgegenstand. Bei der Beschaffungsentscheidung für ein bestimmtes Produkt, eine Herkunft, ein Verfahren oder dergleichen sei der öffentliche Auftraggeber im rechtlichen Ansatz ungebunden. Die Entscheidung werde erfahrungsgemäß von zahlreichen Faktoren beeinflusst, unter anderem von technischen, wirtschaftlichen, gestalterischen oder solchen der (sozialen, ökologischen oder ökonomischen) Nachhaltigkeit. Die Wahl unterliege der Bestimmungsfreiheit des Auftraggebers, deren Ausübung dem Vergabeverfahren vorgelagert sei. Sie müsse zunächst einmal getroffen werden, um eine Nachfrage zu bewirken. Entsprechend sei nicht zu beanstanden, dass das BMI sich entschieden habe, gerade De-Mail-Dienstleistungen auszuschreiben. Dann aber sei es auch unbedenklich, dass es hierfür eine Akkreditierung bzw. zumindest einen Antrag auf Akkreditierung und damit die Eigenerklärung verlangt, nach der sich das Unternehmen in der Lage sieht, das in §§ 17, 18 De-Mail-Gesetz eingeführte Akkreditierungsverfahren erfolgreich zu durchlaufen und das dafür eingeführte Gütezeichen zu erlangen. Ein öffentlicher Auftraggeber müsse sich bei der Vergabe von Aufträgen, für deren Ausführung nur darauf spezialisierte und dafür amtlich qualifizierte Unternehmen in Betracht kommen, nicht darauf einlassen, mit Unternehmen zu verhandeln, die die zwingend erforderliche Qualifizierung nicht zu erlangen vermögen.

Das Fehlen der Notifizierung ändere hieran nichts:

„Es bestehen schon erhebliche Zweifel daran, ob die durch Art. 2 Nr. 3 EGovG erfolgte Änderung von § 5 Abs. 5 De-Mail-Gesetz eine wesentliche Änderung technischer Vorschriften im Sinn von Art. 8 Abs. 1 der Informationsrichtlinie darstellt. § 5 Abs. 5 De-Mail-Gesetz betrifft technische Vorschriften, die qualifizierte elektronische Signaturen, die bereits Gegenstand des De-Mail-Gesetzes 2011 waren und das unstreitig ordnungsgemäß notifiziert worden ist, dauerhaft überprüfbar machen sollen. Nach § 18 Abs. 2 De-Mail-Gesetz wird vermutet, dass die durch §§ 3 bis 13, 16 De-Mail-Gesetz festgelegten technischen und organisatorischen Anforderungen (De-Mail-Standard) erfüllt werden, wenn die TR-01201 De-Mail BSI eingehalten wird. Es spricht Vieles dafür, dass es sich bei den technischen Änderungen, die erforderlich sind, um die bereits eingeführte qualifizierte elektronische Signatur dauerhaft überprüfbar und rechtssicher zu machen, nicht um wesentliche Änderungen von Vorschriften im Sinn der Informationsrichtlinie handelt. Denn unabhängig von dem für eine Umsetzung erforderlichen organisatorischen und technischen Aufwand beinhalten sie Änderungen, die zum einen nationalrechtlichen Anforderungen an den Datenschutz und zum anderen der Rechtssicherheit elektronischer Datenübermittlung im behördlichen Rechtsverkehr durch zusätzliche Datenverschlüsselungen einer bereits in zulässiger Weise eingeführten elektronischen Signatur dienen sollen.“

Das aber könne dahinstehen. Denn jedenfalls sei die Post nicht in ihren Aussichten beeinträchtigt, erfolgreich an dem ausgeschriebenen Wettbewerb teilzunehmen:

„Denn Rechtsfolge einer Verletzung von Notifizierungspflichten nach Art. 8 der Informationsrichtlinie ist, anders als die Antragstellerin meint, nicht die Unanwendbarkeit des De-Mail-Gesetzes und der in § 17 vorgeschriebenen Pflicht zur Akkreditierung für die Erbringung von De-Mail-Diensten. Ein Verstoß gegen Mitteilungspflichten nach der Informationsrichtlinie führt vielmehr dazu, dass die betreffenden technischen Vorschriften nur insoweit unanwendbar sind, als sie Einzelnen nicht entgegengehalten werden können (EuGH, Urteil vom 30.04.1996, C-194/94; BGH, Urteil vom 28.09.2011, I ZR 30/10). Ein Akkreditierungsantrag der Antragstellerin dürfte also – eine Verletzung der Notifizierungspflicht unterstellt – nicht deshalb von der amtlichen Stelle zurückgewiesen werden, weil sie die durch Art. 2 EGovG, §§ 5 Abs. 5, 17, 18 De-Mail-Gesetz neu eingeführten technischen Vorschriften für das angebotene Produkt nicht erfüllt. Mit Blick auf den von der Antragstellerin vermarkteten E-Postbriefs, den sie in den strittigen Wettbewerb stellen will, ist dies aber ohne Belang, weil er unstreitig die datenschutzrechtlichen Bedingungen nach § 18 Abs. 1 Nr. 4 De-Mail-Gesetz 2011, die ordnungsgemäß notifiziert worden sind und durch Art. 2 EGovG nicht abgeändert worden sind, nicht erfüllt und vom zuständigen Datenschutzbeauftragte als bisher nicht akkreditierungsfähig zurückgewiesen worden ist. Der E-Postbrief genügt nach der Auffassung des Datenschutzbeauftragten nicht hinreichend dem Grundsatz der Datensparsamkeit.“

Die Post bezwecke letztlich nichts anderes als eine Änderung der Anforderungen des Auftraggebers. Sie wolle, dass dieser keine De-Mail-Leistungen fordere, sondern allgemein elektronische Postdienstleistungen, zu denen auch ihr Produkt gehöre. Das sei eine nach §§ 16 Abs. 4, 19 Abs. 3 lit. d VOL/A EG unzulässige Abänderung der Vergabeunterlagen.

* * *

So sehr dem Senat in seiner vergaberechtlichen Bewertung zuzustimmen ist – wenn der Auftraggeber Äpfel will, kann man ihn nicht zwingen, Birnen zu nehmen –, so wenig kann ich seine technischen Ausführungen nachvollziehen.

Der Satz etwa,

§ 5 Abs. 5 De-Mail-Gesetz betrifft technische Vorschriften, die qualifizierte elektronische Signaturen, die bereits Gegenstand des De-Mail-Gesetzes 2011 waren und das unstreitig ordnungsgemäß notifiziert worden ist, dauerhaft überprüfbar machen sollen.

ergibt für mich keinen Sinn.

§ 5 Abs. 5 des De-Mail-Gesetzes in der im Oktober 2010 notifizierten Fassung lautete:

§ 5 De-Mail-G
Postfach- und Versanddienst

(5) Der akkreditierte Diensteanbieter muss dem Nutzer ermöglichen, seine sichere Anmeldung im Sinne von § 4 in der Nachricht so bestätigen zu lassen, dass die Unverfälschtheit der Bestätigung jederzeit nachprüfbar ist. Um dieses dem Empfänger der Nachricht kenntlich zu machen, bestätigt der akkreditierte Diensteanbieter des Senders die Verwendung der sicheren Anmeldung nach § 4 durch eine qualifizierte elektronische Signatur.

Das entspricht der Gesetzesfassung im Jahr 2011.

Das E-Government-Gesetz änderte die Vorschrift wie folgt:

a) In Satz 2 werden die Wörter „durch eine qualifizierte elektronische Signatur“ gestrichen.

b) Die folgenden Sätze werden angefügt:

„Hierzu versieht er im Auftrag des Senders die Nachricht mit einer qualifizierten elektronischen Signatur; sind der Nachricht eine oder mehrere Dateien beigefügt, bezieht sich die qualifizierte elektronische Signatur auch auf diese. Die Bestätigung enthält bei natürlichen Personen den Namen und die Vornamen, bei juristischen Personen, Personengesellschaften oder öffentlichen Stellen die Firma, den Namen oder die Bezeichnung des Senders in der Form, in der diese nach § 3 Absatz 2 hinterlegt sind. Verwaltet eine öffentliche Stelle für andere öffentliche Stellen ein oder mehrere De-Mail-Konten und sind lediglich die Daten der verwaltenden öffentliche Stelle nach § 3 Absatz 2 hinterlegt, so hat der akkreditierte Diensteanbieter dafür Sorge zu tragen, dass anstelle der Bezeichnung nach § 3 Absatz 2 die Bezeichnung der absendenden öffentlichen Stelle verwendet wird. Die Tatsache, dass der Absender diese Versandart genutzt hat, muss sich aus der Nachricht in der Form, wie sie beim Empfänger ankommt, ergeben. Die Bestätigung nach Satz 1 ist nicht zulässig bei Verwendung einer pseudonymen De-Mail-Adresse nach Absatz 2.“

Oder, im Überblick:

§ 5 De-Mail-G
Postfach- und Versanddienst

(5) Der akkreditierte Diensteanbieter muss dem Nutzer ermöglichen, seine sichere Anmeldung im Sinne von § 4 in der Nachricht so bestätigen zu lassen, dass die Unverfälschtheit der Bestätigung jederzeit nachprüfbar ist. Um dieses dem Empfänger der Nachricht kenntlich zu machen, bestätigt der akkreditierte Diensteanbieter des Senders die Verwendung der sicheren Anmeldung nach § 4 durch eine qualifizierte elektronische Signatur. Hierzu versieht er im Auftrag des Senders die Nachricht mit einer qualifizierten elektronischen Signatur; sind der Nachricht eine oder mehrere Dateien beigefügt, bezieht sich die qualifizierte elektronische Signatur auch auf diese. Die Bestätigung enthält bei natürlichen Personen den Namen und die Vornamen, bei juristischen Personen, Personengesellschaften oder öffentlichen Stellen die Firma, den Namen oder die Bezeichnung des Senders in der Form, in der diese nach § 3 Absatz 2 hinterlegt sind. Verwaltet eine öffentliche Stelle für andere öffentliche Stellen ein oder mehrere De-Mail-Konten und sind lediglich die Daten der verwaltenden öffentliche Stelle nach § 3 Absatz 2 hinterlegt, so hat der akkreditierte Diensteanbieter dafür Sorge zu tragen, dass anstelle der Bezeichnung nach § 3 Absatz 2 die Bezeichnung der absendenden öffentlichen Stelle verwendet wird. Die Tatsache, dass der Absender diese Versandart genutzt hat, muss sich aus der Nachricht in der Form, wie sie beim Empfänger ankommt, ergeben. Die Bestätigung nach Satz 1 ist nicht zulässig bei Verwendung einer pseudonymen De-Mail-Adresse nach Absatz 2.

Die Änderung hat auch mitnichten das Ziel, „qualifizierte elektronische Signaturen … dauerhaft überprüfbar [zu] machen“. Der Gesetzgeber verspricht sich von der Ergänzung vielmehr, dem Bericht der Bundesregierung zur Funktionsäquivalenz von Signaturen und der De-Mail folgend, „ dass hierdurch alle Funktionen der Schriftform des materiellen Verwaltungsverfahrensrechts sowie des gesamten Prozessrechts abgebildet werden“ (BT-Drs. 17/11473, 47). Das erfordert die Namenshinzufügung nicht des Signierenden, sondern die Benennung dessen, in dessen Namen der Anbieter signiert.

In gleicher Weise unverständlich sind die folgenden Ausführungen,

Es spricht Vieles dafür, dass es sich bei den technischen Änderungen, die erforderlich sind, um die bereits eingeführte qualifizierte elektronische Signatur dauerhaft überprüfbar und rechtssicher zu machen, nicht um wesentliche Änderungen von Vorschriften im Sinn der Informationsrichtlinie handelt. Denn unabhängig von dem für eine Umsetzung erforderlichen organisatorischen und technischen Aufwand beinhalten sie Änderungen, die zum einen nationalrechtlichen Anforderungen an den Datenschutz und zum anderen der Rechtssicherheit elektronischer Datenübermittlung im behördlichen Rechtsverkehr durch zusätzliche Datenverschlüsselungen einer bereits in zulässiger Weise eingeführten elektronischen Signatur dienen sollen.

Verständlicher und deshalb überzeugender sind dagegen die Erwägungen von Habammer und Denkhaus zum Fehlen einer Notifizierungspflicht: Das E-Government-Gesetz habe das De-Mail-Gesetz nicht „wesentlich“ geändert, da es

keine wesentliche Änderung bzw. „Verschärfung” des bereits notifizierten, technischen De-Mail-Standards [mit sich gebracht habe]. Die letztlich nur klarstellenden Änderungen durch die §§?5 Abs.?5 und 7 Abs.?3 De-Mail-G sind für sich gesehen für die am Markt befindlichen in- und ausländischen Unternehmen ohne weiteres und ohne großen Aufwand erfüllbar. Sie schaffen daher keine nennenswerten über die bisherigen Anforderungen des De-Mail-G hinausgehenden neuen technisch-organisatorischen Marktzugangsschranken. Sie dienen zudem allein dazu, den De-Mail-Standard auch als Zugangsmedium und sicheren Schriftformersatz einsetzen zu können.

Die eigentliche rechtlich bedeutsame Änderung durch das EGovG liegt denn auch noch nicht in den Änderungen des technischen Standards im De-Mail-G selbst, sondern in deren Kopplung mit den Regelungen zum Behördenzugang in §?2 Abs.?2 EGovG und zum Schriftformersatz in §?3a Abs.?2 Satz?4 VwVfG. Durch §?2 Abs.?2 EGovG und §?3a Abs.?2 Satz?4 VwVfG wird über den De-Mail-Standard nicht mehr nur der Zugang zu den Märkten für elektronische Verwaltungszustellungen, sondern auch für den bedeutsameren Markt für den elektronischen Zugang zu Bundesbehörden und für die schriftformersetzende elektronische Verwaltungskommunikation eröffnet.

Das aber erweitere den Marktzugang nur und beschränke ihn nicht.

Habammer/Denkhaus, Verhindert das Unionsrecht die Digitalisierung der Verwaltung? – Binnenmarktkonformität und Notifizierungspflicht des De-Mail-Standards des EGovG, MultiMedia und Recht (MMR) 2014, S. 14.