VERIS - Entscheidungen  Vergabekammern  Bund  VK Bund  2019 

VK Bund, Beschluss vom 19.07.2019, VK 1 - 39 / 19

(Bieter unterliegt)
Stichworte:Angabe von Höchstmengen bei Rahmenvertragen, Datenschutz, Auftragsbezug, Eignungsnachweis einer Bietergemeinschaft

Leitsatz (redaktionell):

  1. Erfordert die Erfüllung des ausgeschriebenen Auftrags die Bearbeitung von Sozialdaten der Versicherten des Auftraggebers, hängt die Anforderung, ein Zertifikat vorzulegen, das Erfahrungen und entsprechende betriebliche Organisation für einen sicheren und gesetzeskonformen Umgang mit solchen Daten betrifft, mit dem Auftragsgegenstand zusammen.
  2. Trotz der Formulierung in § 46 Abs. 3 VgV („ausschließlich … folgende Unterlagen“) ist die Forderung weitergehender Nachweise nach § 49 VgV nicht ausgeschlossen.
  3. Der Anwendungsbereich des § 49 Abs. 1 VgV erschöpft sich nicht auf Zertifikate der Normenreihe DIN EN ISO 9000.
  4. Da sich die Mitglieder einer Bietergemeinschaft bei der Auftragsausführung gegenseitig ergänzen, muss – wenn nicht sogar jedes Mitglied – jedenfalls dasjenige Mitglied die Eignungsanforderungen des Auftraggebers erfüllen, das die betreffende Leistung erbringt, für die diese Eignung erforderlich ist.
  5. Soll nach dem Angebot einer Bietergemeinschaft ein bestimmtes Gemeinschaftsmitglied die Leistung erbringen, so ist die spätere Ankündigung, ein anderes Mitglied werde sie erbringen, eine unzulässige Änderung des Ursprungsangebotes.
  6. Wenn bei einem Rahmenvertrag der tatsächliche Auftragsumfang von Ereignissen abhängt, die der Auftraggeber nicht sicher vorhersehen und nicht beeinflussen kann, genügt es, wenn der Auftraggeber für das voraussichtliche Abrufvolumen so valide wie möglich Erfahrungswerte zugänglich macht.
  7. Das Urteil des EuGH vom 19.12.2018, C-216/17, ist hinsichtlich der Angabe der abzurufenden Höchstmenge wegen der entscheidenden Änderung gegenüber der im Urteil betroffenen alten Rechtslage nicht auf die derzeitige Rechtslage zu übertragen.

Entscheidungstext:

In dem Nachprüfungsverfahren

pp.

wegen der Vergabe „Erbringung von Unterstützungsdienstleistungen Fallbearbeitung“, EU-Bekanntmachungs-Nr. XXX, hat die 1. Vergabekammer des Bundes durch den Vorsitzenden Direktor beim Bundeskartellamt Behrens, die hauptamtliche Beisitzerin Leitende Regierungsdirektorin Dr. Dittmann und die ehrenamtliche Beisitzerin Watermann auf die mündliche Verhandlung vom 1. Juli 2019 am 19. Juli 2019 beschlossen:

1. Der Nachprüfungsantrag sowie der Antrag der Antragstellerin auf weitergehende Akteneinsicht werden zurückgewiesen.

2. Die Antragstellerin trägt die Kosten (Gebühren und Auslagen) des Verfahrens sowie die zur zweckentsprechenden Rechtsverteidigung notwendigen Aufwendungen der Antragsgegnerin sowie der Beigeladenen.

3. Die Hinzuziehung eines Verfahrensbevollmächtigten durch die Antragsgegnerin war notwendig.

Gründe:

I.

1. Die Antragsgegnerin (Ag) führt derzeit ein europaweites offenes Verfahren zur Vergabe eines Rahmenvertrags zur Erbringung von Unterstützungsdienstleistungen im Rahmen der Fallbearbeitung durch. Der Dienstleister soll gemäß § 197b SGB V, § 97 SGB X mit der Erledigung eines Teils der der Ag als gesetzlicher Kranken- und Pflegeversicherung obliegenden Aufgaben betraut werden, um saisonale Spitzen auszugleichen. Hierbei geht es vor allem um die Prüfung von Anträgen der Versicherten der Ag auf Erstattung von Rechnungen für ärztliche und pflegerische Leistungen (s. Nr. 2 des Leistungsverzeichnisses (im Folgenden: LV), S. 2). Der Auftragnehmer muss bei der Leistungserbringung über die IT-Systeme der Ag auf die Versicherungsdaten der Ag zugreifen. Hierbei sind von ihm besondere Datenschutzauflagen nach der DS-GVO, dem BDSG, dem SGB I, IV, X und XI sowie nach dem TKG und einer besonderen Datenschutzerklärung i.S.d. Art. 28 DS-GVO einzuhalten (Nr. 13 LV, S. 27).

Der Auftragnehmer soll für eine Vertragslaufzeit von 12 Monaten beauftragt werden. Die Vertragslaufzeit kann gemäß Ziffer II.2.4, II.2.7 der EU-Bekanntmachung bis zu dreimal um jeweils ein Jahr verlängert werden (bis maximal insgesamt 4 Jahre). Der Auftrag ist nicht in Lose aufgeteilt.

Unter „Geschätzter Gesamtwert“ in Ziffer II.1.5 der EU-Bekanntmachung hat die Ag keine Angaben gemacht, aber unter Ziffer II.2.4 „Beschreibung der Beschaffung“ hinsichtlich der Menge der vom Auftragnehmer zu erbringenden „Bearbeitungsprozesse“ und die entsprechenden Abrufzeiträume auf das Leistungsverzeichnis und eine Anlage hierzu verwiesen. Anlage L1 zum LV „Mengengerüst“ enthält eine Tabelle, in der für jeden der ausgeschriebenen Bearbeitungsprozesse Fallzahlen je Monat aufgeführt sind. Zwischen den einzelnen Monaten schwanken diese Mengen stark, bei einigen Bearbeitungsprozessen fallen für mehrere Monate überhaupt keine Fälle an. Laut Angaben der Ag im LV handelt es sich hierbei um eigene Erfahrungswerte aus den letzten Jahren, die „lediglich als Kalkulationsgrundlage“ dienen sollen, absolute Fallmengen könnten nicht zugesichert werden (Nr. 3 LV, S. 3).

Zum Beleg der technischen und beruflichen Leistungsfähigkeit hatte die Ag unter Ziffer III.1.3 der EU-Bekanntmachung gefordert, dass die Bieter „mit dem Angebot einen aktuellen Nachweis zum Informationssicherheitsmanagementsystem nach DIN EN ISO 27001 oder gleichwertig“ einreichen. Gemäß Ziffer 9, 10 der Bewerbungsbedingungen (BWB) ist dieser Nachweis bei Bietergemeinschaften von jedem Mitglied vorzulegen. Außerdem sollten die Bieter mit dem Angebot (falls zutreffend) u.a. ein „Drittunternehmensverzeichnis“ sowie ggf. Verpflichtungserklärungen anderer Unternehmen vorlegen (s. Ziffer III.1.1 der EU-Bekanntmachung, vgl. auch Ziffer 11, 12 der BWB).

Neben weiteren Bietern gaben die Antragstellerin (ASt) und die Beigeladene (Bg) ein Angebot ab. Dem Angebot der ASt, einer Bietergemeinschaft mit zwei Mitgliedern, liegt ein Zertifikat nach DIN EN ISO 27001 des Mitglieds XXX bei (im Folgenden: A) sowie zwei Berichte über Prüfungen nach § 80 SGB X bezüglich des weiteren Bietergemeinschaftsmitglieds, der XXX (im Folgenden: B). Diese Prüfberichte wurden im Jahr 2014 bzw. 2016 erstellt. In dem „Fragebogen zur Eignungsprüfung“ hatte die ASt zum Drittunternehmensverzeichnis sowie zu ggf. vorzulegenden Verpflichtungserklärungen anderer Unternehmen eingetragen: „nicht zutreffend“. Keines der Formblätter „Drittunternehmensverzeichnis“ und „Verpflichtungserklärung anderer Unternehmen“ lag dem Angebot der ASt bei. Das der Datenschutzvereinbarung (Anlage D1) anliegende Formblatt „Übersicht der eingesetzten Unterauftragnehmer“ (Anhang 3 zur Anlage D1) enthielt keine Eintragungen und wurde von der B unterschrieben. Anhang 2 zur Datenschutzvereinbarung D1 „Verzeichnis zu Standorten der Geschäftsräume des Auftragnehmers“ (ebenfalls unterschrieben von der B), in dem „alle Standorte“ anzugeben waren, „welche für die Erhebung, Verarbeitung und Nutzung der Sozialdaten [der Ag] im Rahmen des vereinbarten Auftragsverhältnisses genutzt werden“, war die Postanschrift der B in XXX angegeben worden.

Da in zahlreichen Angebotsunterlagen nur das Bietergemeinschaftsmitglied B erwähnt wurde, fragte die Ag die ASt am 29. März 2019, durch wen und in welchem Umfang die ausgeschriebenen Leistungen ausgeführt werden sollten. Darauf antwortete die ASt, die A und die B „kooperieren strategisch und arbeiten verbindlich in mehreren Dienstleistungsbereichen – wie im Gebiet der Fallbearbeitungen – eng zusammen. Damit geben sich beide Unternehmen im Notfall in den gemeinsamen Kooperationsbereichen gegenseitigen fachlichen, technischen und personellen Backup und mehr Flexibilität (...).“

Im Rahmen der verfahrensgegenständlichen Ausschreibung hätten beide Unternehmen vereinbart, dass „die B an ihrem Firmensitz in XXX im vollen Umfang die Ausführung der in den Vergabeunterlagen bezeichneten Leistungen erbringt, da die B sämtliche notwendigen Ressourcen bereits alleine besitzt. (...)“ (s. Anlage 22 zum Vergabevermerk).

Daraufhin forderte die Ag von der ASt am 10. April 2019 ein Zertifikat über ein Informationssicherheitsmanagementsystem nach DIN EN ISO 27001 oder gleichwertig für das Bietergemeinschaftsmitglied B nach. Die B antwortete, dass ihr IT-Dienstleister, die XXX (im Folgenden: C), „sämtliche IT-Dienstleistungen für die [B] am Standort des C in XXX erbringt“.

Diesem Antwortschreiben lag außerdem ein Zertifikat nach DIN EN ISO 27001 für die C bei (s. Anlage 25 zum Vergabevermerk).

Am 21. Mai 2019 informierte die Ag die ASt darüber, dass ihr Angebot nicht berücksichtigt werden könne, da sie nicht für jedes Mitglied ihrer Bietergemeinschaft einen Zertifizierungsnachweis nach DIN EN ISO 27001 (oder gleichwertig) vorgelegt habe. Der Rüge der ASt vom 28. Mai 2019 half die Ag nicht ab.

2. Mit Schreiben vom 31. Mai 2019 beantragte die ASt über ihre Verfahrensbevollmächtigten bei der Vergabekammer des Bundes die Einleitung eines Nachprüfungsverfahrens. Die Vergabekammer hat den Nachprüfungsantrag am selben Tag an die Ag übermittelt.

a) Die ASt meint, ihr Nachprüfungsantrag sei zulässig. Vor der Beratung durch ihren Verfahrensbevollmächtigten, den sie nach dem Informationsschreiben der Ag vom 21. Mai 2019 mandatiert habe, habe die ASt noch keinen der geltend gemachten Vergaberechtsverstöße erkannt und daher auch nicht rügen können.

Zur Zulässigkeit ihrer Bietergemeinschaft trägt die ASt vor, dass ihr Mitglied B zwar im Regelfall die ausgeschriebenen Leistungen allein ausführen wolle. Da die B ein kleines Unternehmen sei, habe diese jedoch keine ausreichenden Reserven, bei Personalausfällen die geforderte Vertretung rechtzeitig bereitzustellen. Hierzu sowie für einige Eignungsanforderungen (z.B. an den Mindestumsatz) benötige die B ihren stärkeren Partner A.

Zur Begründetheit ihres Nachprüfungsantrags trägt die ASt vor, das Vergabeverfahren sei aus mehreren Gründen fehlerhaft. So sei ihr Angebot zu Unrecht wegen des angeblich fehlenden Zertifikats DIN EN ISO 27001 ausgeschlossen worden. Bereits die Forderung der Ag, einen solchen Nachweis vorzulegen, sei vergaberechtswidrig. Hier fehle bereits die erforderliche Ermächtigungsgrundlage, da der Kriterienkatalog des § 46 Abs. 3 VgV abschließend sei. Auch § 49 VgV gelte nur für allgemeine Maßnahmen der Qualitätssicherung wie ISO 9001. Außerdem ergebe sich aus der EU-Bekanntmachung nicht, dass dieses Zertifikat für jedes Mitglied einer Bietergemeinschaft vorzulegen sei. Es sei auch nicht erforderlich, dass jedes Mitglied einer Bietergemeinschaft über ein solches Zertifikat verfügen müsse. Keine Krankenkasse, auch nicht die Ag selbst, habe eine solche Zertifizierung, sondern nur deren Rechenzentrumsdienstleister. So verhalte es sich auch bei der ASt: Ihr Rechenzentrumsdienstleister, der ihre gesamte IT erledige, aber keine Fallbearbeitung durchführe solle, wäre im Zuschlagsfall die C, die ihrerseits nach DIN EN ISO 27001 zertifiziert sei. Die IT-Ausstattung der B selbst unterscheide sich nicht von der der Mitarbeiter der Ag. Bei der Fallbearbeitung müsse die ASt über die Datenleitungen der C auf dasselbe Rechenzentrum zugreifen wie die Ag, weil nur dort die Programme und Daten der Versicherten der Ag lägen. Dies zeige, dass die Anforderung, für jedes Mitglied einer Bietergemeinschaft ein Zertifikat nach DIN EN ISO 27001 vorlegen zu müssen, nicht mit dem Auftragsgegenstand in Verbindung stehe und unverhältnismäßig sei.

Darüber hinaus meint die ASt, dass die von ihr mit dem Angebot eingereichten Prüfergebnisse von dafür zuständigen Prüfeinrichtungen in Umfang und Inhalt mit dem Zertifikat DIN EN ISO 27001 vergleichbar seien, auch wenn alles, was die Leistungen von Rechenzentren oder firewalls betreffe, hier nicht mitgeprüft worden sei. In der mündlichen Verhandlung trägt die ASt ergänzend vor, sie sei von der Forderung der Ag, dieses Zertifikat vorlegen zu müssen, überrascht worden. Nach der Bekanntmachung dieses Auftrags habe die B ein Zertifizierungsverfahren nach DIN EN ISO 27001 eingeleitet; Mitte Juli 2019 werde sie selbst über dieses Zertifikat verfügen.

Ein weiterer Vergabefehler besteht nach Auffassung der ASt darin, dass die Ag entgegen der Entscheidung des EuGH vom 19. Dezember 2018 (Rs. C-216/17) nicht das maximale Abrufvolumen, den maximalen Auftragswert und die Höchstmengen der Rahmenvereinbarung angegeben habe. Die Erfahrungswerte, die die Ag den Bietern mit den Vergabeunterlagen mitgeteilt habe, zeigten, dass die Ag jedenfalls gewisse Erkenntnisse über den zu erwartenden Auftragswert habe. Auch diese Werte hätten in der EU-Bekanntmachung angegeben werden müssen, ggf. mit Hilfe eines links auf die betreffenden Unterlagen. Hätte die Ag diese Angaben ordnungsgemäß gemacht, hätte die ASt die „zweite Chance“, doch noch den Zuschlag zu erhalten.

Ein weiterer Vergaberechtsverstoß liege in der bis zu dreimaligen Verlängerungsoption des Vertrags um jeweils zwölf Monate. Eine solche Klausel benachteilige den Bieter und späteren Auftragnehmer unangemessen und verstoße gegen den Leitgedanken des § 309 Nr. 9 BGB i.V.m. § 307 BGB. Zudem seien hier die Anforderungen des § 132 Abs. 2 S. 1 Nr. 1 GWB nicht erfüllt, weil die Ag keine objektiven Bedingungen für den Abruf der Verlängerungsoption, also der Nichtausübung der einseitigen ordentlichen Kündigung, genannt habe – die Ag könne willkürlich entscheiden, ob sie den Vertrag verlängere. Weitere Grenzen für solche Klauseln ergäben sich aus § 132 Abs. 3 S. 1 GWB; bei einer optionalen Verlängerungslaufzeit in Höhe von 36 Monaten sei der EU-Schwellenwert schon überschritten. Die ausgeschriebene Verlängerungsoption halte zudem kleine Unternehmen von diesem Vergabeverfahren fern; große Unternehmen könnten es verkraften, wenn die Ag den Vertrag nicht verlängere, kleine Unternehmen demgegenüber nicht. Die ASt meint weiter, diese Verlängerungsklausel sei aufgrund ihrer Auswirkungen auf die voraussichtliche planbare Vertragslaufzeit kalkulationsrelevant, zudem hätte die ASt bei einer ordnungsgemäßen Klausel die „zweite Chance“, den Zuschlag doch noch zu erhalten.

Nach der Akteneinsicht macht die ASt mehrere Dokumentationsfehler der Ag geltend. Diesen Vortrag lässt die ASt nach entsprechenden Hinweisen der Vergabekammer, dass die Rechtsverletzung der ASt diesbezüglich weitestgehend fraglich sei und die beanstandeten Fehler ausweislich der Vergabeakte tatsächlich nicht vorlägen, in der mündlichen Verhandlung fallen.

Im Übrigen meint die ASt, ihr sei noch keine ausreichende Akteneinsicht gewährt worden. Sie will die Argumentation der Ag gegen eine Fachlosvergabe einsehen, um beurteilen zu können, ob hierin ein weiterer Vergaberechtsverstoß liege.

Die ASt beantragt über ihre Verfahrensbevollmächtigten,

1. den Nachprüfungsantrag gemäß § 163 Abs. 2 S. 3 GWB an die Ag zu übermitteln;

2. gemäß § 168 Abs. 1 GWB geeignete Maßnahmen zu treffen, um die Rechtsverletzung zu beseitigen und eine Schädigung der betroffenen Interessen zu verhindern;

3. hilfsweise andere geeignete Maßnahmen anzuordnen, um die Rechtmäßigkeit des Vergabeverfahrens herzustellen;

4. der ASt Einsicht in die Vergabeakte zu gewähren;

5. der Ag die Kosten des Nachprüfungsverfahrens einschließlich der notwendigen Auslagen der ASt aufzuerlegen;

6. die Hinzuziehung der Verfahrensbevollmächtigten durch die ASt für notwendig zu erklären.

b) Die Ag beantragt über ihre Verfahrensbevollmächtigten,

den Antrag der ASt zurückzuweisen.

Der Nachprüfungsantrag ist nach Auffassung der Ag bereits mangels rechtzeitiger Rüge unzulässig, da sämtliche der geltend gemachten Verstöße bereits aus der Bekanntmachung erkennbar gewesen seien.

Unabhängig davon sei der Nachprüfungsantrag unbegründet, weil das Angebot der ASt zwingend auszuschließen sei. Die ASt habe nicht den Eignungsnachweis erbracht, über ein Zertifikat nach DIN EN ISO 27001 zu verfügen. Die Ag meint, dass sie berechtigt gewesen sei, sich eine solche oder eine gleichwertige Zertifizierung von den Bietern vorlegen zu lassen. Die Ermächtigungsgrundlage hierfür liege in § 46 Abs. 3 i.V.m. § 49 VgV, weil es sich auch bei einem Informationssicherheitsmanagementsystem um eine Maßnahme zur Qualitätssicherung handele, mit der die für die Informationssicherheit einer Organisation relevanten Prozesse erfasst, geprüft und regelmäßig evaluiert werden, um Schadensereignisse im Bereich der Informationssicherheit zu verhindern bzw. solche Ereignisse schnell zu erkennen und zu behandeln. Darüber hinaus sei die Forderung dieses Nachweises nicht unverhältnismäßig gewesen, unabhängig davon, ob die Ag selbst eine solche Zertifizierung besitze. Denn die Ag sei rechtlich verpflichtet, die Verfügbarkeit, Vertraulichkeit und Integrität der Informationen und die Informationssicherheit hinsichtlich der hochsensiblen Daten ihrer Versicherten einzuhalten und zu gewährleisten. Da es keine einheitliche Rechtsverordnung oder branchenspezifische Mindestanforderungen zur Datensicherheit im Gesundheitswesen gebe und solche Zertifizierungen im relevanten Bietermarkt zudem weit verbreitet seien, sei die Forderung einer Zertifizierung nach DIN EN ISO 27001 auch angemessen.

Die von der ASt vorgelegte Zertifizierung des Bietergemeinschaftsmitglieds A bzw. die Zertifizierung der C reichten nicht zur Bejahung der Eignung der ASt aus. Es sei schon fraglich, ob die ASt erst im Rahmen der Nachforderung einen neuen Drittunternehmer benennen und sich auf dessen Eignung berufen durfte. Doch selbst wenn man das Zertifikat der C berücksichtigen dürfte, wäre die Eignung des Bietergemeinschaftsmitglieds B hierdurch nicht nachgewiesen. Denn die B führe auch bei Einbeziehung der C jedenfalls einige der nach der Norm DIN EN ISO 27001 zertifizierten Leistungen alleinverantwortlich selbst aus. Die mit dem Angebot vorgelegten Prüfberichte könnten ebenfalls nicht die geforderte Zertifizierung der B ersetzen, da sie nicht gleichwertig seien. Diese Nachweise seien bereits nicht wie gefordert aktuell, sondern drei bzw. fünf Jahre alt. Einer dieser Prüfberichte sei zudem ausdrücklich als vertraulich gekennzeichnet worden, was weitere begründete Zweifel an der Eignung der ASt hinsichtlich des Umgangs mit sensiblen Informationen aufwerfe. Der zweite Prüfbericht orientiere sich zwar ausdrücklich an der DIN EN ISO 27001, ganz erhebliche Teile dieser Norm seien jedoch nicht geprüft worden.

Hinsichtlich der Festlegung von Mindest- oder Maximalabgabemengen der ausgeschriebenen Rahmenvereinbarung sei die Ag bei der Vorbereitung des Vergabeverfahrens zu dem Schluss gekommen, dass eine dezidierte Festlegung nicht abschließend möglich sei. Der Bedarf an Unterstützungsleistungen bei der Fallbearbeitung sei von externen Faktoren abhängig, die die Ag nicht beeinflussen könne (Anzahl der eingehenden Fälle der Versicherten, die sowohl jährlichen als auch saisonalen Schwankungen unterlägen). Zudem könne die Ag bei einer exakten Festlegung von Mindest- und Maximalabnahmemengen nicht wie beabsichtigt flexibel auf saisonale Spitzen bei der Fallbearbeitung reagieren. Die Ag habe daher in den Vergabeunterlagen bisherige Erfahrungswerte aus einem Referenzzeitraum angegeben, um den Bietern möglichst präzise Daten als Kalkulationsgrundlage zur Verfügung zu stellen. Die von der ASt zitierte Entscheidung des EuGH sei auf den vorliegenden Fall nicht übertragbar.

Hinsichtlich der Vorgaben der Ag zur Vertragslaufzeit sei bereits fraglich, ob §§ 305 ff. BGB, also Regelungen über Allgemeine Geschäftsbedingungen, auf ein Vergabeverfahren anwendbar seien. Abgesehen davon seien die Voraussetzungen der §§ 307, 309 BGB vorliegend nicht erfüllt. Die Ag habe eine Vertragslaufzeit von zunächst zwölf Monaten mit einer bis zu dreimaligen Verlängerung für den Fall der Nichtkündigung festgelegt, um flexibel auf die künftige Entwicklung der Fallbearbeitungszahlen sowie auf Gesetzesänderungen im Sozialrecht reagieren zu können. Dieser Auftrag sei für die Bieter zudem nicht mit nennenswerten Einrichtungs- oder Anlaufkosten verbunden, die technische Anbindung der Bieter erfolge durch bloßes Aufschalten auf die Systeme der Ag. Nachträgliche Preisänderungen durch verändernde Lizenzkosten seien ausdrücklich zugelassen gewesen, so dass die Bieter ihre Preise auch bei einer ungewissen Vertragslaufzeit so hätten kalkulieren können, dass ihnen die Amortisation ihrer Einstandskosten selbst bei einer nur zwölfmonatigen Laufzeit möglich war. Ferner seien solche Verlängerungsoptionen allgemein üblich und auch in der Vergaberechtsprechung anerkannt. Des Weiteren stehe § 132 Abs. 2 S. 1 Nr. 1 GWB der Vertragsverlängerungsklausel nicht entgegen, da der Zeitraum der Verlängerungen und die Anzahl der Verlängerungsoptionen festgelegt worden sei. Auf die Wertgrenze des § 132 Abs. 3 S. 1 GWB käme es bei Verlängerungsoptionen i.S.d. § 132 Abs. 2 Nr. 1 GWB nicht an.

c) Durch Beschluss vom 4. Juni 2019 hat die Vergabekammer die Bg zum Verfahren hinzugezogen.

Die Bg trägt vor, die ASt hätte vor Ablauf der Angebotsfrist rügen müssen, dass jedes Mitglied einer Bietergemeinschaft einen Zertifizierungsnachweis nach DIN EN ISO 27001 erbringen musste, weil diese Anforderung in Ziffer 9 der BWB eindeutig so gefordert worden sei.

Die Vorgabe, ein solches Zertifikat vorzulegen, sei auch nicht unverhältnismäßig, sondern hinsichtlich der rasanten technologischen Entwicklung und den ebenso rasant zunehmenden Bedrohungsszenarien und sich dabei stetig verändernden Angriffspraktiken gängige Marktpraxis beim Outsourcing solcher Leistungen. In den letzten zwei Jahren hätten vier gesetzliche Krankenkassen in ihren Vergabeverfahren so ein Informationssicherheitsmanagement gefordert. Es treffe auch nicht zu, dass eine solche Zertifizierung allenfalls für den Rechenzentrumsbetrieb (das sog. „Backend“) notwendig sei.

Vielmehr müsse über den gesamten Vertragszeitraum am Ort der Leistungserbringung die Einhaltung geeigneter technischer und organisatorischer Maßnahmen zum Schutz vor einem unberechtigten Zugriff auf die Informationssysteme und Daten der Ag sichergestellt sein.

Die Vergabekammer hat der ASt Einsicht in die Vergabeakten gewährt, soweit keine geheimhaltungsbedürftigen Aktenbestandteile betroffen waren.

In der mündlichen Verhandlung am 1. Juli 2019 hatten die Beteiligten Gelegenheit, ihre Standpunkte darzulegen und mit der Vergabekammer umfassend zu erörtern.

Durch Verfügung des Vorsitzenden vom 1. Juli 2019 wurde die Entscheidungsfrist bis zum 19. Juli 2019 einschließlich verlängert.

Auf die ausgetauschten Schriftsätze, die Verfahrensakte der Vergabekammer sowie auf die Vergabeakten, soweit sie der Vergabekammer vorgelegt wurden, wird ergänzend Bezug genommen.

II.

Der Nachprüfungsantrag ist zulässig, aber unbegründet.

1. Der Nachprüfungsantrag ist zulässig, insbesondere hat die ASt die geltend gemachten Vergaberechtsverstöße rechtzeitig i.S.d. § 160 Abs. 3 S. 1 Nr. 1 GWB gerügt, nämlich innerhalb von 10 Kalendertagen nach der Mitteilung der Ag nach § 134 GWB, dass ihr Angebot nicht berücksichtigt werden könne. Zwar ergab sich schon aus Ziffer 9, 10 der BWB, dass für jedes Mitglied einer Bietergemeinschaft ein Zertifikat nach DIN EN ISO 27001 (oder gleichwertig) vorzulegen war. Bis zur Mitteilung der Ag nach § 134 GWB sah die ASt hierin jedoch keinen (bis zum Ablauf der Angebotsfrist zu rügenden) Vergaberechtsverstoß, sondern ging davon aus, diese Anforderung erfüllen zu können; zunächst in Gestalt des Zertifikats der A und der beiden Prüfberichte nach § 80 SGB X für die B, die die ASt mit ihrem Angebot eingereicht hatte, nach den ersten Zweifeln der Ag in Gestalt des Zertifikats der C, das sie auf das Nachforderungsverlangen der Ag vom 10. April 2019 hin vorlegte. Dass diese Einschätzung falsch war und die Anforderungen der Ag – aus Sicht der ASt zu Unrecht – anders zu verstehen waren, ergab sich für die ASt erst aus der Information, dass ihr Angebot ausgeschlossen worden sei. Dass die Ag das maximale Abrufvolumen, den maximalen Auftragswert und die Höchstmengen der ausgeschriebenen Rahmenvereinbarung hätte bekannt machen müssen und dass das Optionsrecht i.S.d. Ziffer II.2.7 der EU-Bekanntmachung vergaberechtswidrig sein könnte, kann ein Bieter wie die ASt ohne vorherige anwaltliche Beratung nicht erkennen. Auch diese vermeintlichen Vergaberechtsverstöße brauchte die ASt daher nicht früher als hier geschehen zu rügen (vgl. dazu, dass die Rügeobliegenheit erst entsteht, wenn der Antragsteller auch die Rechtswidrigkeit eines Umstands erkannt hat, nur: BGH, Beschluss vom 26. September 2006, X ZB 14/06).

2. Der Nachprüfungsantrag ist unbegründet. Denn die Ag hat die ASt zu Recht mangels Eignung ausgeschlossen (dazu unter a)) und die ASt erhält auch keine „zweite Chance“, erneut ein Angebot abzugeben, weil die Ag keine weiteren Angaben im Zusammenhang mit der Rahmenvereinbarung hätte bekannt machen müssen (z.B. zum maximalen Auftragswert) (dazu unter b)) und weil die ausgeschriebene Verlängerungsoption ebenfalls nicht vergaberechtswidrig ist (dazu unter c)).

Es kann dahinstehen, ob die Ag auch einen fakultativen Ausschluss der ASt nach § 124 Abs. 1 Nr. 4 GWB i.V.m. § 1 GWB (wettbewerbswidrige Bildung einer Bietergemeinschaft) in Betracht ziehen musste, weil die B im Vergabeverfahren angegeben hatte, über alle für die Leistungserbringung notwendigen Ressourcen zu verfügen und daher die Leistung allein erbringen wolle. Hierauf kommt es nicht an, denn die ASt ist aus einem anderen Grund zwingend vom Vergabeverfahren auszuschließen (s. hierzu im folgenden a)).

a) Die ASt ist nicht geeignet, weil sie nicht in erforderlichem Umfang über das Zertifikat nach DIN EN ISO 27001 oder gleichwertig verfügt. Die Ag hat zu Recht einen solchen Nachweis gefordert (dazu unter aa)) und die von der ASt vorgelegten Nachweise genügen den aufgestellten Anforderungen nicht (dazu unter bb)).

aa) Die Eignungsanforderung, dass die Bieter ein Zertifikat nach DIN EN ISO 27001 oder gleichwertig vorlegen müssen, ist vergaberechtskonform. Denn dieses Kriterium ergibt sich wie in § 122 Abs. 4 S. 2 GWB vorgeschrieben aus der Bekanntmachung, steht mit dem Auftragsgegenstand in Verbindung und ist angemessen i.S.d. § 122 Abs. 4 S. 2 GWB. Eine Ermächtigungsgrundlage, den betreffenden Nachweis hierzu zu verlangen, liegt mit § 49 VgV ebenfalls vor.

(1) Dass die Bieter ein Zertifikat zum Informationssicherheitsmanagement nach DIN EN ISO 27001 oder gleichwertig vorlegen müssen, wurde in der EU-Bekanntmachung dieses Vergabeverfahrens unter Ziffer III.1.3 bekannt gemacht.

(2) Bei der Erfüllung des ausgeschriebenen Auftrags (Prüfung der Anträge der Versicherten der Ag auf die Erstattungsfähigkeit bestimmter Rechnungen) sind Sozialdaten der Versicherten zu bearbeiten. Die Anforderung der Ag, ein Zertifikat vorzulegen, das belegt, dass Erfahrungen und die entsprechende betriebliche Organisation für einen sicheren und gesetzeskonformen Umgang mit solchen Daten beim Bieter bereits vorhanden sind, hängt daher mit dem Auftragsgegenstand zusammen (vgl. auch OLG München, Beschluss vom 21. April 2017, Verg 2/17).

(3) Die von diesem Auftrag betroffenen Versichertendaten werden vom Sozialgesetzgeber als sehr sensibel eingestuft und zahlreichen besonderen und vergleichsweise strengen Schutzvorschriften unterworfen (s. beispielsweise nur §§ 35 SGB I i.V.m. §§ 67 ff., 78 ff. SGB X sowie Art. 5, 28, 32 DS-GVO). Angesichts dieses außergewöhnlichen Schutzniveaus ist es angemessen, an die Bieter besonders hohe Anforderungen an den sicheren Umgang mit diesen Daten zu stellen und dazu den Nachweis des Bestehens eines solchen Zertifikats bereits im Rahmen der Eignungsprüfung zu verlangen, das sich gerade auf die Informationssicherheit bezieht wie die Norm DIN EN ISO 27001, nach der – wie die hier vorliegenden Zertifikate zeigen – Zertifizierungen sogar speziell für die Bereiche „Gesundheitswesen“ oder „gesetzliche Krankenversicherung“ möglich sind.

Dass die Ag – so die ASt – selbst angeblich nicht über ein Zertifikat nach DIN EN ISO 27001 verfügt, ist für die Frage, ob sie dies vom zukünftigen Auftragnehmer verlangen darf, unerheblich, insbesondere führt dies nicht dazu, dass diese Anforderung unangemessen wäre, etwa weil sie beim Schutz der betroffenen Daten „mit zweierlei Maß misst“. Denn dass sie selbst nicht über dieses Zertifikat verfügt, heißt nicht, dass die Ag bei der Verarbeitung dieser Sozialdaten weniger sorgfältig umgeht als ein nach DIN EN ISO 27001 zertifiziertes Unternehmen. Welchen Schutzstandard sie selbst bei der Verarbeitung schutzbedürftiger Daten einhält, kann die Ag selbst beurteilen. Anders verhält es sich jedoch bei externen Dritten, in deren Arbeitsorganisation und -abläufe die Ag regelmäßig keinen Einblick hat. Es ist daher nicht unangemessen, dass die Ag zur Gewährleistung des (nicht nur von ihr, sondern auch sozialrechtlich) gewünschten hohen Schutzniveaus von Sozialdaten von den Bietern einen Nachweis verlangt, der aufgrund des förmlichen Zertifizierungsverfahrens einer gewissen objektiven Kontrolle unterliegt. Immerhin hat die Ag auch nicht allein auf das Vorliegen eines Zertifikats nach DIN EN ISO 27001 abgestellt, sondern zugelassen, dass die Bieter ggf. einen Nachweis erbringen, der ein hiermit gleichwertiges Niveau bescheinigt. Abgesehen davon ist die Ag als für die Daten ihrer Versicherten Verantwortliche gemäß Art. 28 DS-GVO sogar rechtlich verpflichtet, bei der Weitergabe der Datenverarbeitung an dritte „Auftragsverarbeiter“ weitergehende Maßnahmen zum Schutz dieser Daten zu ergreifen. Dabei ist die Forderung eines Zertifizierungsverfahrens datenschutzrechtlich ausdrücklich als ein „Faktor“ anerkannt, um dem Verantwortlichen (hier der Ag) „hinreichende Garantien“ dafür zu geben, dass der Auftragsverarbeiter seine datenschutzrechtlichen Pflichten einhält (s. Art. 28 Abs. 5 i.V.m. Art. 42 DS-GVO).

(4) Diese Eignungsanforderung der Ag scheitert auch nicht an der erforderlichen Ermächtigungsgrundlage.

Zwar weist die ASt zu Recht darauf hin, dass sich die Eignungsnachweise zum Beleg der technischen und beruflichen Leistungsfähigkeit eines Bieters aus einem Katalog ergeben müssen, der in der VgV abschließend niedergelegt ist. Dieser Katalog ergibt sich jedoch trotz der Formulierung in § 46 Abs. 3 VgV „ausschließlich (...) folgende Unterlagen“ nicht nur aus § 46 VgV. Denn wie der höherrangigen Vorschrift des Art. 60 Abs. 1 UAbs. 2 RL 2014/24/EU ausdrücklich zu entnehmen ist, dürfen öffentliche Auftraggeber nicht nur Eignungsnachweise i.S.d. Art. 60 Abs. 4 dieser Richtlinie fordern (der in § 46 Abs. 3 VgV umgesetzt wurde), sondern auch i.S.d. Art. 62 RL 2014/24/EU. Letztgenannte EU-Norm wurde in § 49 VgV umgesetzt. Aus einer Gesamtschau der vorgenannten Normen – § 46 Abs. 3 und § 49 VgV einerseits sowie Art. 60 Abs. 4 und Art. 62 der RL 2014/24/EU andererseits – ergibt sich somit zwanglos, dass zum Beleg der technischen und beruflichen Leistungsfähigkeit eines Bieters auch Qualitätssicherungsnormen i.S.d. § 49 VgV zu erfüllen sind.

Auch wenn das verfahrensgegenständliche Zertifikat nicht unter § 46 Abs. 3 Nr. 3 VgV fallen sollte (da hiernach möglicherweise nur die „Beschreibung“ von Maßnahmen zur Qualitätssicherung verlangt werden darf), ist die Anforderung der Ag, ein Zertifikat nach DIN EN ISO 27001 vorlegen zu müssen, jedenfalls von § 49 Abs. 1 VgV gedeckt. Anders als die ASt meint, erschöpft sich der Anwendungsbereich dieser Norm nämlich nicht auf Zertifikate der Normenreihe DIN EN ISO 9000, die allgemeine Standards zur Organisation, Betriebsführung, Dienstleistungserbringung, Kommunikation mit den Kunden und Leistungsbewertung aufstellen. Diese Zertifikate dürften zwar die in der Praxis bekanntesten und üblichsten Qualitätsmanagementsysteme abbilden, die in Vergabeverfahren gefordert werden. Abgesehen davon, dass eine Beschränkung des § 49 VgV auf die Systeme der Normenreihe DIN EN ISO 9000 angesichts der zahlreichen weiteren Qualitätsmanagementsysteme, die standardisierte und kontrollierte und damit weiträumig anerkannte Regelungen enthalten, nicht den berechtigten Anforderungen der Praxis nach solchen objektiven Qualitätsnachweisen entsprechen dürfte, ergibt sich ein derart eingeschränkter Anwendungsbereich schon nicht aus dem Wortlaut dieser Vorschrift. § 49 VgV umfasst vielmehr alle auf europäischer Ebene allgemein festgelegte, objektive Standards für Arbeitsabläufe und organisatorische Prozesse (u.a.) bei der Erbringung von Dienstleistungen, deren Einhaltung von einer unabhängigen Stelle zertifiziert werden und die dazu dienen, die Qualität bestimmter Arbeitsabläufe bei der Ausführung des Auftrags – hier die Einhaltung von Sicherheitsstandards beim Umgang mit persönlichen Daten – sicherzustellen. Auch solche sicherheitstechnischen Anforderungen (s. Begründung zum Entwurf des § 46 VgV, BT-Drs. 18/7318, S. 184) sind nichts anderes als Mindestanforderungen an betriebliche Prozesse und deren Kontrolle bei der Verarbeitung von Daten, deren Einhaltung hier nach der DIN EN ISO 27001 zertifiziert werden soll.

bb) Die ASt hat den geforderten Nachweis „Zertifikat nach DIN EN ISO 27001 oder gleichwertig“ nicht vorgelegt. Denn das Zertifikat nach DIN EN ISO 27001 für das Bietergemeinschafsmitglied A reicht ebenso wenig aus wie die für das zweite Bietergemeinschaftsmitglied vorgelegten Prüfberichte und das Zertifikat nach DIN EN ISO 27001 für die C, das die ASt im Rahmen der Angebotsaufklärung durch die Ag nachgereicht hat.

(1) Unabhängig davon, ob die Ag zu Recht nicht schon in der EU-Bekanntmachung, sondern erst in den Vergabeunterlagen (Ziffer 9, 10 der BWB) ausdrücklich die Anforderung aufgestellt hatte, dass bei Bietergemeinschaften alle Mitglieder das Zertifikat nach DIN EN ISO 9001 vorlegen müssen, ergibt sich bereits aus allgemeinen vergaberechtlichen Erwägungen, dass hier jedenfalls das Bietergemeinschaftsmitglied B über ein solches Zertifikat verfügen muss.

Denn da sich die Mitglieder einer Bietergemeinschaft bei der Auftragsausführung gegenseitig ergänzen, muss – wenn nicht sogar jedes Mitglied – jedenfalls dasjenige Mitglied die Eignungsanforderungen des Auftraggebers erfüllen, das die betreffende Leistung erbringt, für die diese Eignung erforderlich ist (vgl. nur OLG München, Beschluss vom 15. März 2012, Verg 2/12). So wie ein Einzelbieter, der die ausgeschriebene Leistung allein durchführt, alle Eignungsnachweise grundsätzlich für sich selbst vorlegen muss, machen Eignungskriterien bei Bietergemeinschaften, die sich die Auftragserledigung mehr oder weniger teilen, nur dann Sinn, wenn dasjenige Mitglied (durch die entsprechenden Eignungsnachweise belegt) über die geforderte Eignung verfügt, das den Auftragsteil, für den diese bestimmte Eignung erforderlich ist, tatsächlich ausführt. Dies wird bestätigt durch § 47 Abs. 1 S. 3 VgV, wonach auch im Fall der Eignungsleihe, in dem ein Bieter auf die Fähigkeiten eines Dritten zurückgreifen muss, die Eignungsanforderungen nur dann hinreichend erfüllt sind, wenn dieser Dritte den betreffenden Auftragsteil auch erbringt.

Im Fall der ASt wird die ausgeschriebene Leistung nach der Aufgabenverteilung innerhalb dieser Bietergemeinschaft vom Mitglied B erbracht; die A soll allenfalls im Notfall (z.B. wenn Mitarbeiter der B wegen Urlaubs oder Krankheit ausfallen) „einspringen“. Das mit dem Angebot vorgelegte Zertifikat der A belegt die Eignung dieser Bietergemeinschaft daher insoweit nicht.

(2) Die Prüfberichte für die B, die dem Angebot der Bietergemeinschaft ebenfalls beilagen, genügen den Anforderungen der Ag ebenfalls nicht.

Denn abgesehen davon, dass die ASt selbst zugegeben hat, das diese Prüfungen nicht vollumfänglich den Prüfkriterien der DIN EN ISO 27001 entsprechen, sind diese Berichte nicht wie in Ziffer III.1.3 der EU-Bekanntmachung gefordert „aktuell“, sondern mehr als drei bzw. fünf Jahre alt.

(3) Das im Rahmen der Aufklärung im April 2019 von der ASt vorgelegte Zertifikat nach DIN EN ISO 27001 für die C darf bei der Eignungsprüfung nicht berücksichtigt werden, weil die ASt hiermit unzulässigerweise nach Angebotsabgabeschluss den Inhalt ihres Angebots abgeändert hat. Denn in ihrem Angebot selbst hat die ASt ausdrücklich ausgeführt, dass das Bietergemeinschaftsmitglied B selbst und ausschließlich an ihrem Standort in XXX die Sozialdaten der Ag erhebt, verarbeitet und nutzt und keine Nachunternehmer einsetzt (s. insbesondere den „Fragebogen zur Eignungsprüfung“ sowie Anhänge 2 und 3 zur Datenschutzvereinbarung D1). Hieran ist sie mit Ablauf der Angebotsfrist gebunden. Die Ausführung dieser Leistungen durch einen Nachunternehmer an einem anderen Standort ist ein neues Angebot mit einem anderen Angebotsinhalt, das allein schon deshalb nicht gewertet werden darf, weil es nicht innerhalb der Angebotsfrist bei der Ag eingegangen ist (s. zur unzulässigen nachträglichen Benennung von Nachunternehmern: vgl. auch OLG München, Beschluss vom 21. April 2017, Verg 2/17; OLG Düsseldorf, Beschlüsse vom 17. Dezember 2012, VII-Verg 47/12, und vom 12. September 2012, VII-Verg 108/11).

Eine weitere Frage, die sich in diesem Zusammenhang stellt, ist, ob die B als beabsichtigter alleiniger Leistungserbringer überhaupt den Auftrag ausführen kann, da die B offensichtlich nicht über ein eigenes Rechenzentrum verfügt und eine Nachbenennung eines insoweit vorgesehenen Nachunternehmers aus den o.g. vergaberechtlichen Gründen ausscheidet. Soweit dieses Rechenzentrum aber unverzichtbare Voraussetzung für die Leistungserbringung ist, wäre der ASt die mit dem Angebot zugesagte Leistungserbringung unmöglich, was einen weiteren Ausschlussgrund darstellen könnte. Letztlich braucht dem aber nicht weiter nachgegangen zu werden, da das Angebot der ASt bereits aus einem anderen Grund auszuschließen ist.

b) Auch wenn das Angebot der ASt auszuschließen ist, wäre ihr Nachprüfungsantrag möglicherweise dennoch erfolgreich, wenn das Vergabeverfahren in das Stadium vor Angebotsabgabe zurückversetzt werden müsste – die ASt könnte in diesem Fall ein neues Angebot einreichen und möglicherweise doch noch erfolgreich an diesem Vergabeverfahren teilnehmen. Diese „zweite Chance“ erscheint für die ASt nicht von vornherein aussichtslos, denn da ihr Bietergemeinschaftsmitglied B nach eigenem Bekunden demnächst selbst über das geforderte Zertifikat DIN EN ISO 27001 verfügt, könnte sie die Eignungsprüfung der Ag dann erfolgreich bestehen.

Ein Vergaberechtsverstoß, der dazu führen würde, dass die Ag das Vergabeverfahren zurückversetzen müsste, liegt jedoch nicht vor. So ist die Ag nicht verpflichtet, bei dieser Rahmenvereinbarung das maximale Abrufvolumen, den maximalen Auftragswert und die abzurufenden Höchstmengen anzugeben. Denn gemäß § 21 Abs. 1 S. 2 VgV muss ein öffentlicher Auftraggeber bei Rahmenvereinbarungen das in Aussicht genommene Auftragsvolumen nur so genau wie möglich ermitteln und bekannt geben, braucht dies aber nicht abschließend vorab festzulegen. Wenn wie in diesem Fall der tatsächliche Auftragsumfang einer Rahmenvereinbarung von Ereignissen abhängt, die der Auftraggeber nicht sicher vorhersehen und nicht beeinflussen kann (weil sie jedenfalls nicht vollständig in seiner Sphäre liegen, sondern wie hier von der Inanspruchnahme der Versicherungsleistungen der Ag durch ihre Versicherten abhängen) genügt es, wenn der Auftraggeber so valide wie mögliche Erfahrungswerte zugänglich macht, die ihm bekannt sind und die er mit zumutbarem Aufwand ermitteln kann (vgl. OLG Düsseldorf, Beschlüsse vom 21. Oktober 2015, VII-Verg 28/14; und vom 7. Dezember 2011, VII-Verg 96/11). Dies hat die Ag hier getan, indem sie den Bietern eine Liste zur Verfügung gestellt hat, aus der diese basierend auf den Erfahrungswerten der Ag der letzten Jahre die monatlichen Fallzahlen der einzelnen Bearbeitungsprozesse und die hierbei auftretenden Schwankungen ersehen konnten. Über weitere valide Daten verfügt die Ag nicht. Auch wenn weiterhin hinsichtlich des Auftragsumfangs erhebliche Kalkulationsrisiken bei den Bietern verbleiben, war die Vorgehensweise der Ag vergaberechtskonform (vgl. OLG Düsseldorf, Beschlüsse vom 18. April 2012, VII-Verg 93/11; und vom 20. Februar 2013, VII-Verg 44/12).

Dem steht auch nicht die von der ASt zitierte Entscheidung des EuGH vom 19. Dezember 2018 (Rs. C-216/17) entgegen. Art. 33 Abs. 1 Abs. 2 der RL 2014/24/EU, der durch § 21 VgV in deutsches Recht umgesetzt wurde, verlangt ebenfalls nur, dass die in Aussicht genommene Menge vom Auftraggeber „gegebenenfalls“ im Vorhinein festgelegt werden muss. Das o.g. Urteil des EuGH ist bereits deshalb nicht auf dieses Verfahren übertragbar, weil es ausdrücklich zur alten Rechtslage nach der RL 2004/18/EG erging (s. Rz. 47 dieser Entscheidung), die sich gerade in dem hier relevanten Punkt entscheidend geändert hat. So mussten Bekanntmachungen bei Rahmenvereinbarungen über Dienstleistungen nach dem früheren Recht u.a. die Angabe „des für die gesamte Laufzeit der Rahmenvereinbarung veranschlagten Gesamtwerts der Dienstleistungen“ enthalten (s. Art. 36 Abs. 1 i.V.m. Anhang VII Teil A der RL 2004/18/EG). Demgegenüber verlangt das aktuelle Recht nur noch, dass der Wert oder die Größenordnung der zu vergebenden Rahmenvereinbarung „soweit möglich“ angegeben wird (Art. 49 i.V.m. Anhang V Teil C Nr. 10a) der RL 2014/24/EU).

Unabhängig davon, dass die Bekanntmachungsregelungen in Anhang VII Teil A der RL 2004/18/EG auch schon nach früherem Recht nicht nur der schon damals gültigen Legaldefinition der Rahmenvereinbarung (vgl. Art. 1 Abs. 5 der RL 2004/18/EG) widersprach, sondern auch dem typischen Charakter einer Rahmenvereinbarung, bei der die abzurufende Menge regelmäßig noch nicht bei der Auftragsvergabe feststeht (sonst könnte der Auftraggeber ohnehin bereits einen „normalen“ Dienstleistungsauftrag mit entsprechender Laufzeit ausschreiben), entspricht die Vorgehensweise der Ag jedenfalls der aktuellen EU-Rechtslage.

Ob die aktuellen EU-Bekanntmachungsregeln verlangen, dass die Erfahrungswerte, die die Ag den Bietern erst in den Vergabeunterlagen mitgeteilt hat, bereits in der EU-Bekanntmachung anzugeben sind (laut ASt hätte hierzu ggf. ein link in der EU-Bekanntmachung gereicht, jedoch nicht der Verweis der Ag in Ziffer II.2.4 der EU-Bekanntmachung auf das „Mengengerüst“ als Anlage zum LV), ist hier nicht zu entscheiden. Selbst wenn dies zutreffen sollte, wäre die ASt durch diesen Vergaberechtsverstoß nicht in ihren Rechten verletzt, weil sie sich auch ohne die Bekanntmachung dieser Erfahrungswerte am Vergabeverfahren beteiligt hat. Auch sie selbst hat nichts dazu dargetan, inwiefern die vorherige Bekanntmachung des „Mengengerüsts“ ihre Zuschlagsaussichten verbessert hätte.

c) Die ASt hat auch nicht wegen der ausgeschriebenen Verlängerungsoption die „zweite Chance“, ein neues, wertbares Angebot abzugeben.

Denn die in Ziffer II.2.4, II.2.7 der EU-Bekanntmachung genannte Verlängerungsoption, wonach die Ag den Vertrag durch einseitige Erklärung bis zu drei Mal um jeweils ein Jahr verlängern kann, ist nicht vergaberechtswidrig. Hier ist bereits die Zuständigkeit der Vergabekammer fraglich, weil die Zulässigkeit dieser Klausel sich nicht auf die Rechtsstellung der ASt als Bieter in einem Vergabeverfahren (vgl. § 97 Abs. 6, § 156 Abs. 2 GWB) auswirkt, sondern sie allenfalls in ihrer späteren Rechtsstellung als Auftragnehmer beeinflusst (vgl. zur eingeschränkten Zuständigkeit der Vergabekammern auf das „Verfahren, in dem eine Zuschlagsentscheidung zustande kommt“: OLG Düsseldorf, Beschlüsse vom 27. Juni 2018, VII-Verg 59/17; und vom 6. September 2017, VII-Verg 9/17).

Was die Rechtsposition der ASt als Bieter, also im Vergabeverfahren zwischen Angebotserstellung und Zuschlagserteilung betrifft, ist festzustellen, dass die Laufzeit des ausgeschriebenen Vertrags sicherlich kalkulationsrelevant ist. Nach dem Wegfall des Verbots ungewöhnlicher Wagnisse wäre dies in einem Nachprüfungsverfahren jedoch nur dann entscheidungserheblich, wenn für den betreffenden Bieter eine kaufmännisch vernünftige Kalkulation unzumutbar wäre (vgl. nur OLG Düsseldorf, Beschluss vom 6. September 2017, VII-Verg 9/17 m.w.N.). Dies macht die ASt selbst nicht geltend und erscheint angesichts der Üblichkeit dieser Klausel und mangels hoher Anlaufinvestitionen des Auftragnehmers auch sonst ausgeschlossen. Ggf. wären die Risikoaufschläge einzukalkulieren. Darüber hinaus betrifft diese Klausel alle Bieter und deren Angebotskalkulation gleichermaßen, eine diskriminierende Wirkung gerade zu Lasten der ASt ist nicht ersichtlich. Der Inhalt dieser Klausel ist zudem klar und eindeutig (der Vertrag gilt zunächst für ein Jahr und wird ggf. auf bestimmte weitere Zeit verlängert); die Grundsätze der Bestimmtheit (§ 121 GWB) und Transparenz (§ 97 Abs. 1 GWB) sind vorliegend daher ebenfalls nicht beeinträchtigt. Soweit sich die ASt darauf beruft, dass kleine Unternehmen durch diese Klausel von einer Teilnahme am Vergabeverfahren abgeschreckt werden, fehlt ihr bereits die Antragsbefugnis, da sie als Bietergemeinschaft mit jedenfalls einem größeren Unternehmen als Mitglied von dieser Frage nicht selbst betroffen ist.

Dass eine solche Verlängerungsoption möglicherweise gegen § 132 Abs. 2, 3 GWB verstößt, kann die ASt erst dann vor der Vergabekammer geltend machen, wenn die Ag den Vertrag unter Berufung auf diese Klausel nach Ablauf der „Grundlaufzeit“ von einem Jahr fortführt, obwohl sie den Auftrag neu hätte ausschreiben müssen. Im Nachprüfungsverfahren wird kein vorbeugender Rechtsschutz gewährt (vgl. nur OLG Düsseldorf, Beschluss vom 20. Oktober 2008, VII-Verg 46/08 m.w.N.).

3. Der Antrag der ASt auf weitergehende Akteneinsicht ist abzulehnen. Denn diese ist nur in dem Umfang zu gewähren wie sie zur Durchsetzung der subjektiven Rechte des Verfahrensbeteiligten erforderlich ist (vgl. Dicks in: Ziekow/Völlink, zu § 165 GWB, Rz. 4 m.z.N.). Dies ist hier hinsichtlich der unterlassenen Fachlosbildung nicht der Fall und auch sonst nicht ersichtlich, da die ASt als Bietergemeinschaft in der Lage war, auch ohne die Aufteilung des Auftrags in Lose ein Angebot abzugeben. Möglicherweise könnte für das Bietergemeinschaftsmitglied B etwas anderes gelten. Dieses Einzelunternehmen ist hier jedoch nicht der Antragsteller, der antragstellenden Bietergemeinschaft fehlt insoweit die Antragsbefugnis.

III.

Die Kostenentscheidung beruht auf § 182 Abs. 1, Abs. 3 S. 1, Abs. 4 S. 1, 2, 4 GWB i.V.m. § 80 Abs. 2, 3 S. 2 VwVfG.

Da sich die Bg schriftsätzlich und im Verlauf der mündlichen Verhandlung aktiv am Nachprüfungsverfahren beteiligt und damit ein Kostenrisiko auf sich genommen hat, entspricht es der Billigkeit i.S.d. § 182 Abs. 4 S. 2 GWB, der unterliegenden ASt die zur zweckentsprechenden Rechtsverteidigung notwendigen Auslagen der Bg aufzuerlegen (vgl. nur OLG Düsseldorf, Beschluss vom 23. Juni 2014, VII-Verg 41/13).

Die Hinzuziehung eines Bevollmächtigten durch die Ag war notwendig. In dem Nachprüfungsverfahren stellten sich umfangreiche und komplexe Rechtsfragen, die Kenntnisse des EU-Vergaberechts und der aktuellen Rechtsprechung des EuGH erforderten, so dass eine anwaltliche Vertretung notwendig gewesen ist (vgl. BGH, Beschluss vom 26. September 2006, X ZB 14/06).

IV.

Gegen die Entscheidung der Vergabekammer ist die sofortige Beschwerde zulässig. Sie ist schriftlich innerhalb einer Frist von zwei Wochen, die mit der Zustellung der Entscheidung beginnt, beim Oberlandesgericht Düsseldorf - Vergabesenat -, Cecilienallee 3, 40474 Düsseldorf, einzulegen.

Die sofortige Beschwerde ist zugleich mit ihrer Einlegung zu begründen. Die Beschwerdebegründung muss die Erklärung enthalten, inwieweit die Entscheidung der Vergabekammer angefochten und eine abweichende Entscheidung beantragt wird, und die Tatsachen und Beweismittel angeben, auf die sich die Beschwerde stützt.

Die Beschwerdeschrift muss durch einen Rechtsanwalt unterzeichnet sein. Dies gilt nicht für Beschwerden von juristischen Personen des öffentlichen Rechts.

Die sofortige Beschwerde hat aufschiebende Wirkung gegenüber der Entscheidung der Vergabekammer. Die aufschiebende Wirkung entfällt zwei Wochen nach Ablauf der Beschwerdefrist. Hat die Vergabekammer den Antrag auf Nachprüfung abgelehnt, so kann das Beschwerdegericht auf Antrag des Beschwerdeführers die aufschiebende Wirkung bis zur Entscheidung über die Beschwerde verlängern.

Behrens

Dr. Dittmann

Zitierung:
VK Bund, 19.07.2019, VK 1 - 39 / 19
Bundesland:
Bund
Fundstelle:
VergabeR 1/2020, S. 71