Vergaberechtlicher Rahmen für Notfallbeschaffungen nach einem Cyberangriff

Die IT-Sicherheitslage in Deutschland bleibt alarmierend: Laut dem jüngsten „Bericht zur Lage der IT-Sicherheit in Deutschland 2024“ des Bundesamts für Sicherheit in der Informationstechnik (BSI) nehmen Cyberangriffe kontinuierlich zu, legen digitale Infrastrukturen lahm und verursachen immense Schäden in Wirtschaft, Verwaltung und Gesellschaft. Besonders betroffen sind die öffentliche Verwaltung und Einrichtungen der kritischen Infrastruktur.

Notfallbeschaffungen: Eine vergaberechtliche Herausforderung

Ein Cyberangriff, der zu einem vollständigen Ausfall der IT-Infrastruktur führt, macht umgehende Maßnahmen erforderlich. Dazu zählen die Beauftragung von IT-Beratern zur Schadensbehebung sowie – je nach Ausmaß des Angriffs – der Kauf neuer Hardware und Software. Ein oft übersehener Aspekt in diesem Zusammenhang ist die vergaberechtliche Zulässigkeit sofortiger IT-Beschaffungen. Wie lassen sich solche Notfallbeschaffungen also rechtssicher und effizient umsetzen?

„Dringlichkeitsvergaben“ ausreichend schnell umsetzbar?

Der durch einen Cyberangriff ausgelösten Dringlichkeit sofortiger Notfallbeschaffungen kann nicht mit einem herkömmlichen Vergabeverfahren begegnet werden. Selbst sog. Dringlichkeitsvergaben im Sinne des § 14 Abs. 4 Nr. 3 VgV ermöglichen – anders als die Formulierung „äußerst dringliche, zwingende Gründe“ der Vorschrift dies vermuten lässt – keine sofortigen Beschaffungen; denn auch ein Verfahren nach § 14 Abs. 4 Nr. 3 VgV setzt die Einhaltung des üblichen vergaberechtlichen Rahmens voraus. Dieser setzt sich aus der Angebotsphase, der Wertung der Angebote, der Erstellung und des Versands der Informationsschreiben, der abschließenden Zuschlagsentscheidung und der sich daraus ergebenden verschiedenen Fristenregelungen (Angebotsfrist, Wartefrist usw.) zusammen. Folglich erstreckt er sich über einen längeren Zeitraum.

Vergaberechtliche Lösungsansätze für Notfälle

Das Vergaberecht bietet verschiedene Ansätze, um Notfallbeschaffungen unverzüglich, also ohne ein zeitraubendes Vergabeverfahren, durchführen zu können:

Lassen sich die Notfallbeschaffungen in zeitlicher Hinsicht auf die Überbrückung eines vorübergehenden Ausfalls der IT-Infrastruktur und inhaltlich auf die Aufrechterhaltung der im öffentlichen Interesse unabdingbaren zentralen Aufgaben der betroffenen Einrichtung beschränken, können sie beispielsweise als zulässige Änderung (Erweiterung) bestehender Auftragsverhältnisse nach § 132 Abs. 3 oder Abs. 2 Satz 1 Nr. 2 oder 3 GWB angesehen werden. Sie können dann über die bisherigen Dienstleister und Lieferanten ohne gesondertes Vergabeverfahren abgewickelt werden.

Kann der Ausfall der IT-Infrastruktur aufgrund der Aufgabenstruktur der betroffenen Einrichtung oder Behörde wesentliche Sicherheitsinteressen der Bundesrepublik Deutschland beeinträchtigen, können Notfallbeschaffungen unter bestimmten (engen) Voraussetzungen auch unter die Bereichsausnahme des § 117 Nr. 1 GWB fallen. Sicherheitsinteressen in diesem Sinne können die innere und äußere Sicherheit betreffen und auch solche Belange umfassen, die lediglich mittelbar die innere Sicherheit berühren. Dazu gehören beispielsweise die Versorgungssicherheit, die Gesundheitsvorsorge oder ein funktionierendes Finanzwesen.

Notfallbeschaffungen wären dann den vergaberechtlichen Vorgaben vollständig entzogen und könnten unverzüglich im Wege einer Direktvergabe – allerdings nur in dem zur vorübergehenden Aufrechterhaltung der sicherheitsrelevanten zentralen Funktionen erforderlichen Umfang – auf dem freien Markt beschafft werden. Auch die Einholung von Vergleichsangeboten und ihre Bewertung wäre dann vergaberechtlich nicht erforderlich, blieben aber selbstverständlich – vor allem mit Blick auf haushaltsrechtliche Gesichtspunkte – möglich.

Praktische Empfehlungen zur Vorsorge

Um im Ernstfall handlungsfähig zu bleiben, sollten öffentliche Einrichtungen im Vorfeld organisatorische und vergaberechtliche Vorkehrungen treffen:

• Organisationshandbuch: Ergänzen Sie Hinweise zur Notfallbeschaffung und bewahren Sie diese an verschiedenen sicheren Orten auf.
• Notfallliste: Führen Sie eine Liste mit potenziellen Notfallbeschaffungen (IT-Berater, Hardware, Software) und Kontaktdaten aktueller sowie möglicher Dienstleister.

Diese Maßnahmen sollten sowohl digital als auch in Papierform sicher hinterlegt werden, um auch im Fall eines vollständigen IT-Ausfalls verfügbar zu bleiben.

Zudem empfehlen wir, bereits jetzt vorsorglich Beratungsdienstleistungen speziell für den Fall eines Ausfalls der IT-Struktur infolge eines Cyberangriffs auszuschreiben oder eine solche spezialisierte Beratung bei der nächsten Ausschreibung/Verlängerung bestehender Beratungsaufträge als zusätzliche Option im Sinne von § 132 Abs. 2 Satz 1 Nr. 1 GWB aufzunehmen. Wir raten außerdem dazu, bestehende Lieferaufträge für Hard- und Software, um die Option von begrenzten Nachlieferungen für den geschilderten Notfall zu ergänzen. Die (Rechts-)Frage einer vergaberechtlichen Rechtfertigung des Absehens von einem Vergabeverfahren – ob nach § 117 oder § 132 GWB – würde sich dann von vornherein nicht mehr stellen. 

Fazit: Vorsorge ist entscheidend

Notfallbeschaffungen im Falle eines Cyberangriffs erfordern eine präzise Planung und Vorbereitung. Vorsorgemaßnahmen wie die Aufnahme von Notfalloptionen in bestehende Verträge oder die strategische Ausschreibung spezialisierter Beratungsleistungen können den Handlungsspielraum erheblich erweitern. Dadurch lassen sich rechtliche Risiken minimieren und die Arbeitsfähigkeit im Krisenfall schnell wiederherstellen – ein zentraler Baustein für eine resilientere öffentliche IT-Infrastruktur.

Vielen Dank an Dr. Peter Czermak für seine wertvolle Unterstützung beim Verfassen dieses Beitrags.