Die Einbindung externer Berater, Projektsteuerer, technischer Sachverständiger oder IT-Dienstleister ist in Vergabeverfahren gelebte Praxis. Genau hier kann aber ein sensibles Risiko mit erheblicher praktischer Bedeutung entstehen: Sobald Dritte Zugang zu Unterlagen der Ausschreibung, Angebotsinhalten oder internen Bewertungsprozessen erhalten, steht die Vertraulichkeit des Vergabeverfahrens unter Umständen auf dem Spiel.
Für öffentliche Auftraggeber kommt es deshalb darauf an, externe Unterstützung so zu organisieren, dass Bietergeheimnisse, Wettbewerbsgleichheit und Verfahrensintegrität jederzeit gewahrt bleiben.
Das Wichtigste in Kürze
Lesezeit: ca. 5 Minuten
- § 5 VgV verpflichtet öffentliche Auftraggeber, vertraulich gekennzeichnete Informationen, insbesondere Betriebs- und Geschäftsgeheimnisse sowie sensible Angebotsinhalte, nicht unbefugt weiterzugeben.
- Die Einschaltung Dritter ist zulässig, entlastet den Auftraggeber aber nicht von seiner eigenen Verantwortung. Die Pflicht zur Wahrung der Vertraulichkeit bleibt vollständig beim öffentlichen Auftraggeber.
- Erforderlich sind organisatorische, vertragliche und technische Schutzmaßnahmen, damit die Vertraulichkeit auch bei externer Unterstützung lückenlos gesichert ist.
- Vertraulichkeit ist nicht grenzenlos. Sie muss mit Transparenz- und Auskunftspflichten im Vergabeverfahren in Einklang gebracht werden.
- Verstöße können Rügen, Nachprüfungsverfahren, Schadensersatzforderungen, Verfahrensverzögerungen und im Einzelfall eine Rückversetzung des Vergabeverfahrens auslösen.
- Gelangen vertrauliche Informationen über einen Dritten an Unternehmen, drohen zusätzlich wettbewerbsverzerrende Vorteile und vergaberechtliche Folgefragen bis hin zu Ausschlussrisiken nach § 124 Abs. 1 Nr. 9 GWB.
Rechtliche Ausgangslage: Vertraulichkeit ist keine bloße Formalie
Die Wahrung der Vertraulichkeit ist im Oberschwellenbereich ausdrücklich in § 5 VgV geregelt. Danach dürfen öffentliche Auftraggeber vertraulich gekennzeichnete Informationen grundsätzlich nicht an Dritte weitergeben, soweit keine besonderen Rechtsvorschriften oder zwingende Offenlegungspflicht eingreift. Geschützt sind vor allem Betriebs- und Geschäftsgeheimnisse, aber auch solche Angebotsinhalte, deren Offenlegung die Wettbewerbsposition eines Unternehmens beeinträchtigen kann.
Für die Praxis besonders wichtig ist dies vor allem im Hinblick auf externe Unterstützung: Vertraulichkeit endet nicht dort, wo der Auftraggeber externe Unterstützung einschaltet.
Wer Dritte im Rahmen der Vorbereitung, Durchführung, Auswertung, technische Abwicklung oder spätere Ausführung eines Vergabeverfahrens einbindet, erweitert den Kreis der Wissenden und damit zugleich die Angriffsfläche für Pflichtverletzungen. Rechtlich entscheidend ist deshalb nicht, ob ein externer Dritter beteiligt ist, sondern ob der Auftraggeber den Schutz der Informationen durchgehend beherrscht und absichert.
Inhaltsverzeichnis
Rechtliche Ausgangslage: Vertraulichkeit ist keine bloße Formalie
Rechtssichere Einbindung: Der Auftraggeber bleibt „Herr des Verfahrens“
Diese Informationen sind im Vergabeverfahren besonders schutzbedürftig
Öffentliche Auftraggeber müssen Vertraulichkeit organisieren, vertraglich und technisch absichern
Transparenz und Vertraulichkeit: Warum pauschale Lösungen riskant sind
Typische Fehlerquellen bei der Einschaltung externer Dritter
Rechtsfolgen bei Verstößen: Das Risiko ist konkret
Praxis-Check: Diese 6 Punkte sollten öffentliche Auftraggeber vor Einschaltung Dritter abarbeiten
Beispiel aus der Praxis: Wo das Risiko typischerweise entsteht
Rechtssichere Einbindung: Der Auftraggeber bleibt „Herr des Verfahrens“
Als Ausgangspunkt gilt: Die Einschaltung externer Berater, Fachplaner, Projektsteuerer, Rechtsanwälte oder technischer Dienstleister ist vergaberechtlich grundsätzlich zulässig. In vielen Verfahren ist sie sogar praktisch notwendig, etwa wegen technischer Komplexität, personeller Engpässe oder besonderer Fachkenntnisse.
Die Hinzuziehung von externen spezialisierten Unternehmen kann beispielsweise dort sinnvoll sein, wo technische Vorgaben zu berücksichtigen sind, die in die Leistungsbeschreibung mit aufgenommen werden müssen.
Besipielsweise für Leistungsbeschreibungen im Bereich der IT-Beschaffung kann daher ein IT-Dienstleister oder ein hinzugezogenes IT-Systemhaus wertvolle Informationen für die Leistungsbeschereibung ides Vergabeprojekts zuliefern.
Die zulässige Einschaltung Dritter hat aber eine klare Grenze: Der öffentliche Auftraggeber muss Herr des Verfahrens bleiben. Er darf die Verantwortung nicht faktisch aus der Hand geben und muss sicherstellen, dass externe Beteiligte nur in dem Umfang eingebunden werden, der für die konkrete Aufgabenerfüllung erforderlich ist. Je weiter der Informationszugang eines Dritten reicht, desto höher sind die Anforderungen an Kontrolle, Dokumentation und Absicherung.
Diese Informationen sind im Vergabeverfahren besonders schutzbedürftig
In der Praxis betrifft die Vertraulichkeit vor allem Angebotsinhalte, Kalkulationsbestandteile, technische Konzepte, Referenzen, Preisblätter, unternehmensinterne Abläufe, Nachunternehmerstrukturen und sonstige Betriebs- und Geschäftsgeheimnisse. Schutzbedürftig können außerdem interne Vermerke des Auftraggebers, Bewertungsmatrizen, Bietervergleiche und Protokolle sein, wenn ihre vorzeitige Offenlegung vor dem Zuschlag den Wettbewerb beeinflussen oder einzelnen Marktteilnehmern unzulässige Vorteile verschaffen würde.
Besondere Vorsicht ist geboten, wenn Dritte gleichzeitig in anderen Marktrollen auftreten oder später auftreten könnten, etwa als Berater in verwandten Projekten, als IT-Anbieter, als Branchenakteure oder als Dienstleister mit Nähe zu potenziellen Bietern oder selbst als Bieter in der späteren Ausschreibung, für sie z.B. technische Informationen zuliefern. Dann geht es nicht nur um Vertraulichkeit, sondern es kann regelmäßig auch um Interessenkonflikte und die Vermeidung bzw. den Ausgleich wettbewerbsverzerrender Informationsvorsprünge gehen.
Öffentliche Auftraggeber müssen Vertraulichkeit organisieren, vertraglich und technisch absichern
Organisatorische Maßnahmen: Zugriff nur nach dem Need-to-know-Prinzip
Öffentliche Auftraggeber sollten vor der Einbindung eines Dritten klar festlegen, wer auf welche Informationen zu welchem Zweck zugreifen darf.
Das erfordert ein belastbares Berechtigungskonzept.
Nicht jeder externe Projektbeteiligte benötigt vollständigen Zugriff auf sämtliche Unterlagen.
Wer nur technische Spezifikationen prüfen soll, braucht in der Regel keine Kenntnis sämtlicher Preis- oder Bewertungsinformationen.
Ebenso wichtig sind klare Zuständigkeiten, definierte Kommunikationswege, eine Protokollierung von Zugriffen und eine saubere Aktenführung.
Da insbesondere die Vorschrift des § 8 VgV eine Dokumentation des Vergabeverfahrens verlangt, sollten auch die Einbindung des Dritten, dessen Aufgabenbereich, dessen Zugriffsrechte und die getroffenen Schutzmaßnahmen im Vergabevermerk nachvollziehbar festgehalten werden.
Vertragliche Maßnahmen: Verschwiegenheit muss konkret und durchsetzbar sein
Ein häufiger Praxisfehler kann auch darin bestehen, sich auf allgemeine Dienstleistungsverträge oder formelhafte Geheimhaltungsklauseln zu verlassen. Das reicht regelmäßig nicht aus.
Wer Dritte in ein Vergabeverfahren einbindet, sollte eine konkrete, vergabeverfahrensbezogene und sanktionierbare Vertraulichkeitsregelung treffen.
Dazu gehören insbesondere:
- eine klare Beschreibung, welche Informationen vertraulich sind
- eine strikte Zweckbindung für die Nutzung der Unterlagen
- ein Weitergabeverbot an nicht autorisierte Personen
- eine persönliche Verpflichtung der eingesetzten Mitarbeiter des Dritten
- Regelungen zu Unterauftragnehmern
- Rückgabe-, Lösch- oder Vernichtungspflichten nach Verfahrensende
- Die Berücksichtigung von Datenschutzregeln nach der Datenschutzgrundverordnung (DSGVO)
- Der Abschluss eines Non-Disclosure-Agreements (NDA), also eine Verschwiegenheitserklärung im Einzelfall
Das kann insbesondere bei IT-Projekten bzw. der Beschaffung im IT-Bereich wichtig werden zur Vermeidung von Cyberangriffen, insbesondere wenn sensible Informationen über die beim öffentlichen Auftraggeber bestehende IT-Infrastruktur preisgegeben werden. Eine Möglichkeit zur Absicherung des öffentlichen Auftraggebers kann hier im Einzelfall auch sein, für ein Verhandlungsverfahren oder eine Verhandlungsvergabe einen NDA mit potentiellen Bietern bereits im Rahmen einer Markterkundung abzuschließen.
Sinnvoll sind außerdem Sanktionsmechanismen, etwa Vertragsstrafen, außerordentliche Kündigungsrechte oder Schadensersatzregelungen. Nur so wird aus einer abstrakten Verschwiegenheitspflicht eine praktisch belastbare Schutzarchitektur.
Technische Maßnahmen: Vertraulichkeit scheitert oft an der IT-Praxis
Oftmals liegt das Hauptrisiko nicht im Rechtstext, sondern im Alltag: unverschlüsselte E-Mails, offene Dateiablagen oder falsch adressierte Nachrichten mit sensiblen Anlagen, fehlende Rollenkonzepte, private Cloud-Lösungen, zu weit gefasste Zugriffsrechte oder ungeklärte Löschprozesse. Wer Dritte einschaltet, muss deshalb auch deren technische und organisatorische Maßnahmen prüfen. Das ist auch für von Dritten eingeschaltete Unternauftragnehmer bzw. Subunternehmer zu berücksichtigen.
Erforderlich sind regelmäßig sichere Kommunikationskanäle, differenzierte Zugriffsrechte, Protokollierung, sichere Authentifizierung, eine datensparsame Bereitstellung von Unterlagen und klare Vorgaben zur Speicherung, Archivierung und Löschung.
Besonders kritisch können Konstellationen sein, in denen mehrere externe Stellen parallel Zugriff auf dieselben Vergabeunterlagen haben oder Plattformbetreiber weitere Subdienstleister einsetzen. Dann sollte der Auftraggeber genau wissen, wo Informationen verarbeitet werden, wer Zugriff hat und wie Missbrauch verhindert wird.
Transparenz und Vertraulichkeit: Warum pauschale Lösungen riskant sind
Vergabeverfahren stehen regelmäßig im Spannungsfeld zwischen Geheimhaltung, Transparenz und den berechtigten Interesse der Beteiligten.
Einerseits schützt das Vergaberecht sensible Informationen der Bieter. Andererseits bestehen Informations- und Begründungspflichten gegenüber Verfahrensbeteiligten. Deshalb ist der Begriff der Vertraulichkeit keine absolute Sperre, sondern Gegenstand der konkreten Umstände des Einzelfalls.
Für öffentliche Auftraggeber bedeutet das: Auch wenn ein Auskunftsersuchen, ein Akteneinsichtsverlangen oder ein Nachprüfungsverfahren vor der Vergabekammer anhängig ist, dürfen vertrauliche Informationen nicht schematisch offengelegt werden. Es ist vielmehr im Einzelfall genau zu prüfen, was genau und in welchem Umfang offengelegt und zur Verfügung gestellt wird.
Ebenso riskant ist es aber auch, sämtliche Angebotsbestandteile pauschal als vertraulich zu behandeln. Maßgeblich ist, ob die konkrete Information tatsächlich schutzwürdig ist, ob ihre Offenlegung für Transparenz oder Rechtsschutz erforderlich ist und ob der Zweck auch gegenüber Beigeladenen mit milderen Mitteln erreicht werden kann, etwa durch Schwärzungen oder abstrahierte Darstellungen. Dies muss im Einzelfall vom öffentlichen Auftraggeber, also z.B. Behörden, Städte und Kommunen, Organisationen und Unternehmen oder Vereinigungen, die dem Vergaberecht als Auftraggeber für Beschaffungen unterliegen genau überprüft werden.
Typische Fehlerquellen bei der Einschaltung externer Dritter
In der Praxis scheitert Vertraulichkeit selten an fehlenden Normen, sondern meist an unpräziser Umsetzung. Besonders häufig sind folgende Konstellationen:
- zu weit gefasste Zugriffsrechte für externe Berater oder IT-Dienstleister
- fehlende oder zu allgemeine Verschwiegenheitsvereinbarungen
- unklare Zuständigkeiten zwischen Vergabestelle, Fachamt und externem Dienstleister
- unsichere Kommunikations- und Speicherwege
- fehlende Dokumentation der Einbindung und Kontrolle des Dritten
- keine Prüfung möglicher Interessenkonflikte oder Marktbeziehungen des Dritten
Gerade bei komplexen Beschaffungsvorhaben ist die Versuchung groß, externe Unterstützung pragmatisch einzubinden. Ohne ein konkretes und detailliertes Schutzkonzept entsteht daraus jedoch schnell ein vergaberechtliches Risiko mit erheblicher Außenwirkung.
Rechtsfolgen bei Verstößen: Das Risiko ist konkret
Wird die Vertraulichkeit verletzt, drohen zunächst die klassischen vergaberechtlichen Folgen:
Rügen, Nachprüfungsanträge, Verfahrensverzögerungen, zusätzliche Dokumentationslasten und im Einzelfall die Wiederholung einzelner Verfahrensschritte.
Offenlegungen können außerdem Schadensersatzansprüche auslösen, wenn Unternehmen durch die Pflichtverletzung einen nachweisbaren Schaden erleiden.
Besonders heikel kann es werden, wenn vertrauliche Informationen mittelbar oder unmittelbar an ein Unternehmen gelangen und dadurch ein unzulässiger Wettbewerbsvorteil entsteht.
Dann kommt zusätzlich der Ausschlussgrund des § 124 Abs. 1 Nr. 9 GWB in den Blick. Danach droht im Einzelfall auch der Ausschluss des Unternehmens, wenn es versucht hat, vertrauliche Informationen zu erhalten, durch die es unzulässige Vorteile im Vergabeverfahren erlangen könnte. Ausschlussgründe sollten aber im Einzelfall immer genau geprüft werden, um Vergabeverstöße des öffentlichen Auftraggebers und evtl. Bieterfragen, Rügen, Nachprüfungsverfahren oder sonstige gerichtliche Auseinandersetzungen möglichst zu vermeiden.
Klassische vergaberechtliche Bußgelder stehen zwar meist nicht im Vordergrund. Anders kann es aber unter Umständen aussehen, wenn mit den Vergabeunterlagen zugleich personenbezogene Daten offengelegt werden, etwa Lebensläufe, Referenzpersonen, Kontaktdaten oder Eignungsnachweise. Dann können neben dem Vergaberecht und daraus folgenden etwaigen Rechtsverstößen zusätzlich datenschutzrechtliche Prüf- und Reaktionspflichten ausgelöst werden.
Praxis-Check: Diese 6 Punkte sollten öffentliche Auftraggeber vor Einschaltung Dritter abarbeiten
| [ ] | Aufgaben sauber abgrenzen: Welche konkrete Unterstützungsleistung soll der Dritte erbringen und welche Informationen braucht er dafür wirklich? |
| [ ] | Zugriffsrechte begrenzen: Geben Sie nur die Unterlagen frei, die tatsächlich erforderlich sind, und dokumentieren Sie das Berechtigungskonzept. |
| [ ] | Vertraulichkeit vertraglich absichern: Vereinbaren Sie individuelle Verschwiegenheits-, Nutzungs-, Lösch- und Sanktionsregelungen. |
| [ ] | Technische Schutzmaßnahmen prüfen: Kontrollieren Sie Kommunikationswege, Zugriffsschutz, Logging und Speicherorte. |
| [ ] | Interessenkonflikte bewerten: Prüfen Sie Marktbeziehungen, Vorbefassungen und sonstige Näheverhältnisse des Dritten. |
| [ ] | Alles dokumentieren: Halten Sie Einbindung, Prüfungen, Freigaben, Kontrollen und Auffälligkeiten in der Vergabeakte fest. |
Wichtig: Diese Checkliste ersetzt keine Einzelfallprüfung. Sie zeigt aber, worauf es in der Praxis ankommt, um Vertraulichkeit nicht nur formal zu adressieren, sondern tatsächlich wirksam zu sichern.
Beispiel aus der Praxis: Wo das Risiko typischerweise entsteht
Ein öffentlicher Auftraggeber beauftragt ein externes Planungsbüro (z.B. für einen Serverraum) mit der fachlichen Prüfung eingegangener Angebote. Das Büro erhält vollständige Angebotsunterlagen einschließlich Preisblättern, Referenzen und technischen Konzepten.
Die Auswertung erfolgt teilweise über eine allgemein zugängliche Projektablage, auf die auch weitere Projektbeteiligte Zugriff haben. Zusätzlich versendet ein Mitarbeiter des Büros Bewertungsstände per unverschlüsselter E-Mail an mehrere Empfänger.
In einem solchen Fall liegt das Problem nicht nur in der einzelnen E-Mail oder der offenen Ablage. Das eigentliche Risiko besteht auch darin, dass kein belastbares Vertraulichkeitskonzept vorhanden ist.
Der Auftraggeber hätte vorab festlegen müssen, welche Unterlagen überhaupt extern übermittelt werden, zu welchem Zeitpunkt ein Zugriff zulässig ist, wie der Zugriff technisch abgesichert wird, wer beim Dienstleister Zugang erhält, wie die Verschwiegenheit abgesichert ist und wie die Nutzung der Informationen kontrolliert wird.
Genau an dieser Schnittstelle entscheidet sich, ob externe Unterstützung rechtssicher oder vergaberechtlich riskant ist.
Fazit
Die Einschaltung Dritter im Vergabeverfahren ist weder ungewöhnlich noch per se problematisch. Rechtlich kritisch wird es dort, wo externe Unterstützung ohne belastbares Schutzkonzept bzw. weitergehende Schutzmaßnahmen erfolgt.
Öffentliche Auftraggeber müssen Vertraulichkeit nicht nur abstrakt beachten, sondern organisatorisch steuern, vertraglich absichern, technisch durchsetzen und dokumentieren.
Für Ihre Praxis bedeutet das:
Prüfen Sie als öffentlicher Auftraggeber die Einbindung externer Berater, Projektsteuerer, Plattformbetreiber oder IT-Dienstleister nicht nur unter Effizienzgesichtspunkten, sondern als Teil Ihres Compliance- und Vergaberisikomanagements.
Gerade vor der Vergabe des Auftrags empfiehlt sich bei komplexen Beschaffungen, sensiblen Angebotsinhalten oder mehreren externen Beteiligten und auch bei einer der Ausschreibung vorgelagerten Markterkundung bereis eine frühzeitige rechtliche Strukturierung und Absicherung.
Unsere Kanzlei unterstützt öffentliche Auftraggeber bei der rechtssicheren Gestaltung von Vertraulichkeitskonzepten, Verschwiegenheitsklauseln, Rollen- und Berechtigungskonzepten sowie bei der Begleitung von Vergabeverfahren mit sensiblen Daten und auch in Nachprüfungsverfahren.
Gerade im IT-Bereich ist insbesondere im Bereich der Mitteilung von Informationen zur IT-Infrastuktur beim öffentlichen Auftraggeber schon aus Gründen der IT- und Cybersicherheit ein besonderes Augenmerk darauf zu legen, wer welche Informationen in welchem Umfang erhält und wie die Informationsweitergabe gegenüber Dritten rechtlich abgesichert werden kann.
Wenn Sie externe Dritte in ein Vergabeverfahren einbinden oder einen Vertraulichkeitsvorfall rechtlich bewerten müssen, sprechen Sie uns an.
Häufig gestellte Fragen (FAQ)
Darf ein öffentlicher Auftraggeber externe Berater in einem Vergabeverfahren einsetzen?
Ja. Die Einbindung externer Dritter ist grundsätzlich zulässig. Der öffentliche Auftraggeber bleibt jedoch voll verantwortlich dafür, dass Vertraulichkeit, Gleichbehandlung und Verfahrensintegrität gewahrt bleiben.
Reicht eine allgemeine Verschwiegenheitsklausel im Dienstleistungsvertrag aus?
Regelmäßig nein. Erforderlich sind konkrete, vergabeverfahrensbezogene Regelungen, etwa zu Zugriffsrechten, Zweckbindung, Unterauftragnehmern, Löschung, Rückgabe und Sanktionen.
Welche Informationen sind typischerweise vertraulich?
Vor allem Betriebs- und Geschäftsgeheimnisse, Kalkulationen, technische Konzepte, Angebotsinhalte, Referenzen und sonstige Informationen, deren Offenlegung die Wettbewerbsposition eines Bieters beeinträchtigen kann.
Muss die Einbindung eines Dritten dokumentiert werden?
Ja. Die Organisation des Verfahrens und die hierfür relevanten Entscheidungen sollten in der Vergabeakte nachvollziehbar festgehalten werden. Dazu gehören auch Aufgabenbereich, Zugriffsrechte und Schutzmaßnahmen des Dritten.
Was gilt bei Auskunftsersuchen oder Akteneinsicht?
Jedenfalls kann § 124 Abs. 1 Nr. 9 GWB relevant werden, wenn ein Unternehmen versucht hat, vertrauliche Informationen zu erhalten, durch die es unzulässige Vorteile im Vergabeverfahren erlangen könnte.
Ist das Thema nur vergaberechtlich relevant oder auch datenschutzrechtlich?
Beides kann betroffen sein. Sobald Vergabeunterlagen auch personenbezogene Daten enthalten, kann ein Vertraulichkeitsvorfall zusätzlich datenschutzrechtliche Prüf- und Reaktionspflichten auslösen.
Genügt es, wenn nur der externe Dienstleister technisch abgesichert arbeitet?
Nein. Vertraulichkeit ist eine Gesamtverantwortung des Auftraggebers. Er muss die Schutzmaßnahmen des Dritten vorgeben, prüfen und in sein eigenes Verfahrens- und Dokumentationskonzept einbinden.