Der Beitrag befasst sich mit der künftigen Ausgestaltung der kommunalen Vergabe im Unterschwellenbereich in NRW. Der Verfasser erläutert, dass die bisherigen landesrechtlichen Vorgaben zur Anwendung der UVgO und der VOB/A aufgegeben werden. Die Neuregelung in § 75a GO NRW verlange zukünftig lediglich die Berücksichtigung der allgemeinen vergaberechtlichen Grundsätze wie Wirtschaftlichkeit, Effizienz, Sparsamkeit, Transparenz und Gleichbehandlung. Sodann zeigt er auf, dass Kommunen in NRW eine weitergehende Bindung an Vergabeverfahrensvorgaben nur noch durch den Erlass eigener Satzungen schaffen können. Anschließend skizziert er die von den kommunalen Spitzenverbänden entwickelten Mustersatzungen, die die Strukturen der bisherigen Regelwerke aufgreifen. Er weist dauert hin, dass diesen Mustersatzungen eine Orientierungsfunktion zukommt. In seinem abschließenden Fazit sieht er die vollständige Freigabe der Unterschwellenvergabe in NRW als mutiger Schritt, ob die Regelung des § 75a GO NRW ein Erfolgsmodell werde, sei jedoch offen.

Der Verfasser untersucht in seinem Beitrag, ausgehend von einem Beschluss der Vergabekammer Südbayern vom 28.05.2025 -3194.Z3-3_01-25-15, die Anforderungen an Referenzen und die Prüfung der Vergleichbarkeit von Referenzen. Zunächst wird der Umgang der Vergabestelle mit der unspezifizierten Forderung nach „vergleichbaren Referenzen“ dargestellt. Sodann erläutert er, dass Vergleichbarkeit nicht mit Gleichheit oder Identität gleichzusetzen sei, sondern lediglich einen ausreichenden Ähnlichkeitsgrad verlangt werden könne. Referenzen seien nur eine Prognosegrundlage für die Beurteilung der fachlichen und technischen Leistungsfähigkeit. Bei unpräzisen Eignungsanforderungen sei ein bieter- und wettbewerbsfreundlicher Auslegungsmaßstab anzulegen. Abschließend zeigt er auf, dass im zugrundeliegende Vergabeverfahren darüber hinaus eine unzulässige losübergreifende Wertung und Eignungsprüfung erfolgt sei, sodass das Verfahren unheilbar vergaberechtswidrig war.

Der Beitrag arbeitet die drei Dringlichkeitsstufen des Vergaberechts - hinreichende, besondere und äußerste Dringlichkeit - entlang von Wortlaut, Systematik und Zweck methodisch heraus und zeigt die jeweiligen Rechtsfolgen auf.

Der Artikel befasst sich mit den Chancen und Risiken des Einsatzes von Open Source Software (OSS) und Künstlicher Intelligenz (KI) bei öffentlichen Vergaben im Sicherheits- und Verteidigungssektor (S&V-Sektor). Der Verfasser stellt dabei das Spannungsfeld zwischen der auf Offenheit und Transparenz ausgerichteten Digitalen Souveränität durch OSS einerseits und den besonderen Anforderungen an Verschlossenheit und Geheimschutz im S&V-Sektor andererseits heraus. Eingangs zeigt der Autor die digitale Souveränität durch Open Source als strategisches Leitbild auf. In der Folge analysiert er die spezifischen Risikokategorien, die sich beim Einsatz von OSS und KI im S&V-Sektor ergeben. Neben den Risiken bei der informationstechnischen Sicherheit stehen vor allem lizenzrechtliche Risiken sowie Fragen der Haftung und Gewährleistung im Fokus. Wie mit diesen Risiken umzugehen ist, erläutert der Verfasser in seinem nächsten Abschnitt und setzt insbesondere bei dem öffentlichen Auftraggeber an, der das Vergabeverfahren nicht nur als reiner Besteller gestalten, sondern die Vergabe als aktiver Risikomanager weiterentwickeln soll. Instrumente hierfür seien insbesondere die verpflichtende Einführung von Software Bills of Materials zur Schaffung von Transparenz, gezielte vertragliche Regelungen zur Minimierung von Haftungsrisiken sowie die stärkere Ausrichtung der Eignungs- und Zuschlagskriterien auf die Qualität. Hierfür könne sich der öffentliche Auftraggeber der Innovationspartnerschaft als maßgeschneidertes und hochflexibles Instrument bedienen. In seinem Fazit betont der Autor, dass die strategische Neuausrichtung zur digitalen Souveränität durch vermehrten Einsatz von OSS und KI im S&V-Sektor große Chancen, aber auch erhebliche Herausforderungen birgt und durch die Umsetzung des EU Cyber Resilience Act künftig noch weiter an Bedeutung gewinnen wird.

Der Aufsatz behandelt die datenschutzrechtlichen Anforderungen beim Einsatz von Künstlicher Intelligenz (KI), insbesondere die Zusammenhänge zwischen der Datenschutz‑Grundverordnung (DSGVO) und der europäischen KI‑Verordnung (KI‑VO), im Kontext der öffentlichen Vergabe. Es wird dargelegt, dass KI und andere IT-Produkte zunehmend in Verwaltungsprozessen Anwendung finden und damit regelmäßig personenbezogene Daten verarbeitet werden. Zur Gewährleistung einer gesetzeskonformen Verwaltung sei die Berücksichtigung datenschutzrechtlicher Vorgaben daher bereits im Beschaffungsprozess erforderlich. Vor diesem Hintergrund beschreibt die Autorin die Grundsätze und zentralen Vorschriften von DSGVO und KI-VO, angefangen mit deren Anwendungsbereichen: Während die DSGVO immer dann gilt, wenn personenbezogene Daten verarbeitet werden, ist die KI‑VO unabhängig vom Personenbezug anwendbar, wenn KI-Systeme Daten verarbeiten. Es folgt eine Darstellung der Rollen von Anbietern, Betreibern, Verantwortlichen und Auftragsverarbeitern. Diese Rollen und die daran anknüpfenden Pflichten können je nach Phase im Lebenszyklus eines KI Systems variieren und seien stets im Einzelfall zu bestimmen. Ausführlich dargestellt werden die Datenschutzgrundsätze sowie die konkreten Rechtsgrundlagen für die Datenverarbeitung (Art. 6 Abs. 1 DSGVO), darunter Einwilligung, Vertragserfüllung, rechtliche Verpflichtungen und berechtigte Interessen. In diesem Kontext werden auch die Prinzipien der Transparenz, Zweckbindung, Datenminimierung, Richtigkeit und Speicherbegrenzung erläutert. Ergänzend werden auch die Rechte betroffener Personen, der Begriff der Datenschutzverletzung, sowie die zur Risikobewertung vorgesehene Grundrechte‑Folgenabschätzung (FRIA) und die Datenschutz‑Folgenabschätzung (DSFA) beschrieben. Abschließend zeigt der Beitrag, wie Datenschutz als Kriterium im Vergabeverfahren ausgestaltet werden kann. Öffentliche Auftraggeber seien dazu angehalten, konkrete datenschutzrechtliche Anforderungen in Vergabeunterlagen aufzunehmen, Auftragnehmer sorgfältig auszuwählen und technische sowie organisatorische Schutzmaßnahmen einschließlich „Privacy by Design“ und „Privacy by Default“ sicherzustellen.

Der Beitrag analysiert, ausgehend von der Entscheidung des EuGH vom 09.01.2025, C-578/23, die vergaberechtlichen Auswirkungen von Systembindungen und deren Bedeutung für Folgevergaben proprietärer Systeme. Der Verfasser zeigt auf, dass Vergaben ohne Wettbewerb nach § 14 Abs. 4 Nr. 2 VgV nur unter den zusätzlichen Voraussetzungen des § 14 Abs. 4 VgV zulässig sind und zudem im Lichte des unionsrechtlichen Wettbewerbsgrundsatzes auszulegen sind. Zunächst erläutert er die Grundlagen der Beschaffungsautonomie, der Produktneutralität und die Problematik von Vendor Lock-in bei der Erst- und den Folgebeschaffungen. Sodann arbeitet er heraus, dass Auftraggeber verpflichtet sind, alternative Gesamtsysteme zu prüfen und eine europaweite Markterkundung durchzuführen und die Prüfung umfassend zu dokumentieren. Anschließend konkretisiert er die Anforderungen an die Vernünftigkeit eines Systemwechsels unter technischen, tatsächlichen und wirtschaftlichen Gesichtspunkten. Sodann ordnet er die EuGH-Rechtsprechung zur Zurechnung einer Ausschließlichkeitslage ein, wonach eine selbst herbeigeführte oder fortgeschriebene Lock-ins eine weitere Direktvergabe ausschließe. Abschließend arbeitet er heraus, dass Auftraggeber bereits bei der Erstvergabe Vorkehrungen zur Sicherung künftigen Wettbewerbs treffen sollten und ein fortlaufendes Vertragsmonitoring gewährleisten müssen, um Folgevergaben auch wettbewerbsoffen gestalten zu können

In ihrem Beitrag beleuchten die Verfasser vor dem Hintergrund der EuGH Entscheidung vom 13.03.2025 – C-266/22 die aktuelle Rechtslage hinsichtlich drittstaatlicher Bieterkonsortien.
In der zugrunde liegenden Entscheidung ging es um den Ausschluss eines Bieterkonsortiums unter chinesischer Federführung mit der Begründung, dass dieses Konsortium nicht unter den Begriff des „Wirtschaftsteilnehmers“ im Sinne des rumänischen nationalen Rechts falle. In seiner Entscheidung verweist der EuGH auf seine im „Kolin-Urteil“ vom 22.10.2024 – C-652/22 aufgestellten Grundsätze und betont, dass sich Bieter aus nicht-abkommensgebundenen Drittstaaten nicht in den Anwendungsbereich der Richtlinien fallen und daher insbesondere auch kein Recht auf eine nicht ungünstigere Behandlung hätten. Es stehe dem Auftraggeber somit frei, Behandlungsmodalitäten bezüglich jener Bieter festzulegen und diese jederzeit vom Verfahren auszuschließen.
In ihrer rechtlichen Einordnung werfen die Autoren zunächst die Frage auf, inwiefern die federführende oder untergeordnete Position des drittstaatlichen Bieters innerhalb des Konsortiums Auswirkungen auf die Rechtsposition der Bietergemeinschaft hat. Sodann werten die Verfasser das von der Kommission zum Thema Marktzugang von Unternehmen aus Drittstaaten veröffentlichte Non-Paper aus. Hinsichtlich des Umgangs mit Bietergemeinschaften gehe die Kommission wohl davon aus, dass eine untergeordnete Rolle drittstaatlicher Unter-nehmen nicht zu einem Ausschluss oder Bewertungsanpassung führe. Gleiches gelte im Ergebnis wohl für den bloßen Bezug von Leistungen aus nicht umfassten Drittstaaten. Des Weiteren kritisieren die Verfasser das uneingeschränkte Ermessen der öffentlichen Auftraggeber hinsichtlich des Umgangs mit Bietern aus Drittstaaten. Probleme würden sich hier ins-besondere mit Blick auf die Transparenzpflichten ggü. EU-Bietern und den Vertrauensschutz von drittstaatlichen Unternehmen ergeben.
In ihrem Fazit kommen die Verfasser zu dem Schluss, dass die Auslegungshinweise der Kommission zwar eine Orientierung bieten, jedoch weiterhin viele Fragen offen lassen. Auch die gesetzgeberischen Änderungen auf nationaler Ebene berücksichtigen die aktuelle Rechtsprechung zwar, Restunsicherheiten blieben dennoch bestehen.

Der Beitrag befasst sich mit den Auswirkungen des Lieferkettensorgfaltspflichtengesetzes (LkSG) auf das Vergabeverfahren. Nach einer kurzen Darstellung der Entstehung des Gesetzes werden dessen Anwendungsbereich und die wichtigsten Sorgfaltspflichten erläutert. Im Fokus steht hierbei im ersten Teil der Paragraf § 22 LkSG, der als spezialgesetzlicher Ausschlusstatbestand einen Ausschluss von Unternehmen nach einem schweren, sanktionierten Verstoß gegen das LkSG vorsieht.

Im zweiten Teil des Artikels analysieren die Autorinnen die Einordnung der LkSG-Anforderungen im Vergabeverfahren. Während deren Berücksichtigung als Eignungskriterium, insbesondere des Nachhaltigkeitsaspekts, nicht einheitlich beurteilt wird, können die Sorgfalts- und Nachhaltigkeitspflichten des LkSG bei Zuschlagskriterien, in der Leistungsbeschreibung und innerhalb der Ausführungsbedingungen vergaberechtskonform integriert werden, sofern ein ausreichender Auftragsbezug gegeben ist. Abschließend gehen die Verfasserinnen auf die Möglichkeiten der Nachweisführung zur Einhaltung der LkSG-Pflichten ein sowie auf etwaige Rechtsfolgen und den Umfang des Rechtsschutzes.

In dem letzten Abschnitt des Artikels geben die Autorinnen sodann einen Ausblick auf europäische und nationale Entwicklungen. Im Mittelpunkt steht hierbei insbesondere die stufenweise Umsetzung der Corporate Sustainability Due Diligence Directive (CSDDD). In diesem Zusammenhang könnten auch die umfassenden Dokumentations- und Berichtspflichten des § 10 LkSG gestrichen werden.

Der Beitrag zeigt, dass die sichere Beschaffung von Cloud-Diensten im öffentlichen Sektor inzwischen durch ein klar strukturiertes rechtliches Rahmenwerk geprägt ist. Zentrale Grundlage ist § 8 BSIG, der das BSI ermächtigt, verbindliche Mindeststandards für die IT-Sicherheit des Bundes festzulegen. Der Mindeststandard zur Nutzung externer Cloud-Dienste konkretisiert diese Vorgaben entlang des gesamten Lebenszyklus eines Cloud-Dienstes. Behörden müssen eine Cloud-Strategie und Sicherheitsrichtlinie erstellen, Risiken nach IT-Grundschutz analysieren, vertragliche Sicherheitsanforderungen definieren, Unterauftragnehmer transparent steuern, Meldepflichten für Sicherheitsvorfälle vereinbaren und durch Exit-Regelungen Datenrückgabe und -löschung absichern. Von juristischer Bedeutung ist der C5-Katalog des BSI, dessen Basiskriterien der Mindeststandard verpflichtend macht. Anbieter müssen dessen Umsetzung nachweisen. Die Berichte enthalten neben der Prüfung der internen Kontrollen auch Kundenkontrollen und Subservice-Kontrollen, die für die Zuweisung von Verantwortlichkeiten und die Bewertung der Lieferkettensicherheit maßgeblich sind. C5-Berichte ermöglichen zudem eine strukturierte, rechtssichere Risikobewertung, die auch begründete Abweichungen von Mindeststandards trägt. Der EVB-IT-Cloud-Vertrag bildet das zentrale vergaberechtliche und zivilrechtliche Instrument zur Beschaffung marktgängiger Cloud-Leistungen. Er übersetzt die Anforderungen aus BSIG, Mindeststandard, IT-Grundschutz und Datenschutzrecht in durchsetzbare Vertragsmechanismen. Sein modularer Aufbau – Hauptvertrag, Cloud-AGB, Kriterienkatalog und eine Anlage zur kontrollierten Einbeziehung von Anbieter-AGB – schafft einen normativen Ordnungsrahmen, der sowohl Sicherheit als Hauptleistungspflicht als auch dynamische C5-Anpassungen vorsieht. Das Auditregime ist gestuft: zunächst Nachweise, dann ergänzende Unterlagen, schließlich Vor-Ort-Prüfungen bei fortbestehenden Zweifeln. Unterauftragnehmerregelungen sichern Transparenz-, Widerspruchs- und Kündigungsrechte bei sicherheitsrelevanten Leistungen. Im Datenschutz betont der Beitrag die Pflicht des Auftraggebers zur substantiierten Zuverlässigkeitsprüfung nach Art. 28 DSGVO. Die Entscheidung des OLG Karlsruhe (Beschl. v. 07.06.2023 – 15 Verg 1/23 –) bestätigt, dass pauschale DSGVO-Zusicherungen nicht genügen. Der Beschluss der Datenschutzkonferenz vom 31.01.2023 präzisiert die Bewertung von Anbietern, die drittstaatlichen Zugriffspflichten wie dem US CLOUD Act unterliegen. Er stellt klar, dass allein abstrakte Zugriffsmöglichkeiten keine Drittlandübermittlung darstellen, aber die Zuverlässigkeitsprüfung beeinflussen und häufig den Einsatz konsequenter Verschlüsselung mit kundenseitig verwalteten Schlüsseln erfordern. Insgesamt ergibt sich ein kohärentes juristisches System: BSIG und Mindeststandard setzen verbindliche Sicherheitsvorgaben, der C5 liefert prüfbare Nachweise, und der EVB-IT-Cloud macht diese Anforderungen vertraglich durchsetzbar. Dadurch wird die Cloud-Beschaffung im öffentlichen Sektor rechtssicher, steuerbar und mit klaren Verantwortlichkeiten ausgestattet