Jusletter IT

«Die Beschaffungswelt im Wandel» – der Titel der diesjährigen IT-Beschaffungskonferenz fasst die Herausforderungen zusammen, denen sich die IT-Beschaffungsverantwortlichen der öffentlichen Hand sowie die IT-Branche gegenüberstehen. Der Wandel ist sowohl rechtlicher wie auch technischer und wirtschaftlicher Natur:

Zum einen sind die Kantone mitten im Prozess der Einführung des total revidierten öffentlichen Beschaffungsrechts, das sie in der IVöB 2019 kodifiziert haben. Dies tun sie im gewohnt gemächlichen föderalistischen Tempo. Am 1. Oktober 2023 war die IVöB 2019 erst in vierzehn Kantonen in Kraft (AG, BL, BS, AI, BE, FR, GR, LU, SG, SO, SH, SZ, TG, UR, VD, ZH), während sich sechs im Beitrittsverfahren befanden (NE, GL, JU, NW, VS, ZG). Vier Kantone (AR, GE, OW, TI) hatten das Beitrittsverfahren noch nicht gestartet, womit sie weiterhin die bisherige IVöB 1994/2001 anwenden.¹ Rund vier Jahre nach dem Beschluss des revidierten Konkordats und fast drei Jahre nach dem Inkrafttreten des neuen Rechts für den Bund wenden damit immer noch fast die Hälfte der Kantone das alte Recht an.

Dies ist eine Herausforderung vor allem für die landesweit tätigen Anbieter von IT-Leistungen: Sie müssen sich nicht nur weiterhin mit den (auch im neuen Recht teils fortbestehenden) Eigenheiten des kantonalen öffentlichen Beschaffungsrechts auseinandersetzen,² sondern müssen auf absehbare Zeit je nach Kanton sowohl das neue wie auch das alte Recht berücksichtigen. Das verstärkt einen in der Praxis noch wenig diskutierter Trend: Angesichts der Kleinräumigkeit der Schweiz und der entsprechend geringen Grösse der einzelnen kantonalen und kommunalen IT-Beschaffungsaufträge führt die langsame Harmonisierung dazu, dass führende nationale und internationale IT-Anbieter sich noch häufiger als bisher dafür entscheiden werden, an öffentlichen Beschaffungsverfahren nicht teilzunehmen. Für sie rechtfertigt das relativ geringe Auftragsvolumen den Aufwand für das Ausarbeiten eines Angebots und die Auseinandersetzung mit den Besonderheiten des kantonalen Beschaffungsrechts und der Beschaffungspraxis oftmals nicht. Dies schränkt den Markt in wettbewerblichen Verfahren ein und kann IT-Auftraggeber dazu verleiten, noch häufiger auf das freihändige Verfahren zurückzugreifen, um marktführende Lösungen berücksichtigen zu können, als sie dies ohnehin schon tun.³ Die föderale Fragmentierung des öffentlichen Beschaffungsrechts in der Schweiz wird damit immer deutlicher zum Risiko für den funktionierenden Binnenmarkt.⁴

Dabei wäre bereits der technische und wirtschaftliche Wandel Herausforderung genug. Zu den Metatrends, die die IT-Branche bereits in den letzten Jahren im Atem hielten – Nachhaltigkeit, Lieferengpässe, Cybersicherheit, Fachkräftemangel, Cloud Computing – gesellte sich 2023 erstmals in vollem Umfang die künstliche Intelligenz (KI), nachdem der durchschlagende Erfolg von generativen KI-Systemen wie ChatGPT zu einem Wettrüsten der grossen Technologiekonzerne und zur raschen Integration von KI-Modellen in Endbenutzerprodukte wie Suchmaschinen und Office-Anwendungen führte. Vor diesem Hintergrund erstaunt es nicht, dass sich am 22. August 2023 an der ausgebuchten IT-Beschaffungskonferenz 2023 über 400 Fachleute aus dem öffentlichen Beschaffungswesen und der Informatikbranche im Von-Roll-Areal in Bern versammelten, um sich über diese Herausforderungen auszutauschen, und um sich über neue Grundlagen und Trends in der öffentlichen Beschaffung und bei IT-Ausschreibungen zu informieren.

Einleitend zeigte Benedikt Würth, Ständerat des Kantons St. Gallen (Die Mitte) die «Druckstellen zwischen dem Beschaffungsrecht und der Politik» auf. Er stellte die Erwartungen der Politik an eine neue Vergabekultur vor, wie den verstärkten Fokus auf die Qualität statt nur den Preis sowie die Berücksichtigung der Nachhaltigkeit. Diese Forderungen, so Ständerat Würth, fordern die Auftraggeber heraus: Halten sie sich weiterhin an «harte», einfach zu bewertende Kriterien wie den Preis, oder nutzen sie den erweiterten Werkzeugkasten des neuen Rechts, zu dem verstärkt auch «weiche», nichtpreisliche Kriterien gehören, die aber mit mehr Aufwand und vermutet höheren Beschwerderisiken verbunden sind? Die angestrebte neue Vergabekultur verlangt laut Ständerat Würth nach mehr Professionalität im Vergabeverfahren. Er führte aus, wie der Kanton St. Gallen das neue Beschaffungsrecht umsetzt und mit einem E-Government-Gesetz die staatsebenenübergreifende Zusammenarbeit und die Nutzung von Skaleneffekten bei der Digitalisierung verbessern will.

Den Blick aus der Praxis auf diese Fragestellungen vermittelte anschliessend Marco Fetz (Leiter Projektbeschaffung Tiefbau der SBB), und forderte: «Es muss anders werden, wenn es gut werden soll». Er wies darauf hin, dass die methodischen Neuerungen des neuen Rechts wie Rahmenverträge oder Digitalisierung weitgehend Forderungen und Ansätze der Praxis aufgreifen und legitimieren. Seiner Meinung nach verlangt der disruptive Wandel im IT-Beschaffungswesen nach Mut der Beschaffenden, den vom Gesetzgeber geschaffenen Spielraum auszunutzen und Beschaffungen neu zu gestalten, um den Herausforderungen zu begegnen. In der anschliessenden Diskussionsrunde waren sich Marco Fetz und Bundesverwaltungsrichter Marc Steiner einig, dass das Gesetz weniger wichtig ist als die Ausnützung seiner Ermessensspielräume durch die Beschaffenden. Dr. Daniel Markwalder, Delegierter des Bundesrates für digitale Transformation und IKT-Lenkung, hielt dem die Risikowahrnehmung der Projektverantwortlichen entgegen: «Das grösste Risiko ist das Beschaffungsrecht. Einfach keine Beschwerde, dann sind wir tot», höre er oft. Er unterstrich, dass es für einen Vergabekulturwandel beide Seiten brauche.

In der ersten Fachsession, «Beschaffung von Cloud-Leistungen», beschrieb Martin Strässler (Head of Sourcing Advisory, rete AG), die «Vergleichbarkeit von Cloud und On-Premise Angeboten in einer Submission»: Die Herausforderung, unterschiedliche Bereitstellungsmodelle von IT-Leistungen (Cloud oder on premise) vergleichbar zu machen, kann seiner Meinung nach mit verschiedenen Ansätzen gelöst werden: man fällt den Modellentscheid vorab, oder schreibt lösungsneutral aus – mit oder ohne modellspezifische Rangliste. Einen Dialog oder bei fehlendem Wettbewerb auch eine freihändige Vergabe hielt er ebenfalls für prüfenswert. Anschliessend ging David Rosenthal (Partner, VISCHER AG) auf die «datenschutzrechtliche[n] Anforderungen an eine Cloud-Ausschreibung – und die resultierenden Knacknüsse für das Beschaffungsrecht» ein. Er beschrieb Methoden, wie das von ihm erarbeitete Hilfsmittel CCRA-PS, mit denen die vielfältigen Cloud-Datenschutzrisiken bewertet und behandelt werden können. Seiner Meinung nach sind Erfolgsfaktoren bei Cloud-Beschaffungen eine Standardisierung der Vertragsbedingungen v.a. der Hyperscaler auf einem für öffentliche Organe akzeptablen Niveau, und mehr Erfahrungsaustausch unter den Beschaffenden, weil sich die Projekte und Lösungen oft stark ähneln.

In der Fachsession «Agilität in der Beschaffung» fragte Sebastian Strzelczyk (ti&m) zuerst: «HERMES 2022 und Agilität – Was ändert in der Beschaffung?». Er beschrieb die in der neuesten HERMES-Fassung vorgesehenen agilen Projektmanagementmethoden und hob die organisatorischen und kulturellen Voraussetzungen hervor, die agile Projekte erfolgreich machen. «Der agile Festpreis mit Scrum» war anschliessend das Thema von Michael Kaufmann (CEO Xebia/Xpirit Germany). Er zeigte auf, wie man mit Kooperationsverträgen, welche die Interessen beider Seiten ausgleichen, mit agilem Anforderungsmanagement und agilen Schätzmethoden das toxische Feilschen über die Mehrkosten von Changes vermeiden kann. Und Max Reichen (Legal, Procurement Specialist, Liip AG) stellte unter dem Titel «Agile Beschaffung – Ja, aber...» vor, wie im Rahmen des öffentlichen Beschaffungsrechts möglichst gute Voraussetzungen für agile Projekte geschaffen werden können. Dazu gehören seiner Meinung nach z.B. ein entschädigtes Vorprojekt im Rahmen eines Dialogs, oder die Durchführung von Wettbewerben.

«Beschaffung und Open Source Software» war das Thema der dritten Fachsession. Simon Schlauri (Partner, Ronzani Schlauri Anwälte) stellte zunächst den Stellenwert von «Open Source Software [OSS] im neuen Bundesgesetz über den Einsatz elektronischer Mittel zur Erfüllung von Behördenaufgaben (EMBAG)» dar. Wie er zeigte, sieht das EMBAG grundsätzlich die Freigabe von Bundes-Software als OSS vor.⁵ Chantal Lutz und Cédric Miehle (beide Senior Associate, Domenig & Partner Rechtsanwälte AG) ging es anschliessend darum, wie man die «Abhängigkeiten von ICT-Herstellern reduzieren» kann. Sie beschrieben den Einsatz von OSS als Ansatz dazu und hoben hervor, dass der Auftraggeber verpflichtet sei, wettbewerbsausschliessende Situationen, die zu Folge-Freihandvergaben zwingen, zu vermeiden. Abschliessend stellte Clarisse Schröder (Consultant, APP Unternehmensberatung AG) «OSS-Beispiele aus der öffentlichen IT in Deutschland» vor. Dort koordiniere etwa das nationale «Zentrum digitale Souveranität» auf der Basis von OSS die Erarbeitung eines «souveränen Arbeitsplatzes», der bis Ende 2023 verfügbar sein soll.

Die Fachsession «Supply Chain Management und Nachhaltigkeit» eröffnete Lara Biehl (wissenschaftliche Assistentin, IPST) mit dem Thema «Soziale Verantwortung beim Einkauf von IKT-Produkten: Herausforderungen und Möglichkeiten bei der Überprüfung der ILO-Kernarbeitsnormen». Sie empfahl, auf der Basis einer länderspezifischen Risikoanalyse Nachweise unabhängiger Dritter einzuverlangen, wie die Mitgliedschaft in einer Standard-Initiative mit Auditbericht (z.B. amfori, BSCI oder RBA), ein Produktzertifikat (z.B. TCO-Certified), ein Fabrikzertifikat (z.B. SA-8000), oder die Überprüfung durch «Electronics Watch». Andrea Fimian (CEO und Gründerin, fips consulting) fragte anschliessend nach «Diversität und Inklusion in der Lieferkette?». Sie beschrieb, wie Unternehmen unter dem Titel «Supply Chain Diversity & Inclusion» unterrepräsentierte Gruppen wie Frauen, ethnische Minderheiten, LGBTIQ+-Personen und Menschen mit Beeinträchtigungen in ihrer Lieferkette berücksichtigen, und wie das Schweizer, EU-, US- und UK-Beschaffungsrecht diese Themen adressieren. Und Paula Zimmermann (Rechtsanwältin, Laux Lawyers AG) zeigte auf, wie «ESG in Lieferantenverträgen» berücksichtigt werden kann. Sie stellte die gesetzlichen Vorschriften zur «environmental and social governance» und zur Berichterstattung darüber in der EU und der Schweiz vor. Sie empfahl, die Anbieter auf der Basis einer Analyse der spezifischen Lieferkette vertraglich zur Berichterstattung und auf KPIs für ESG-Aspekte zu verpflichten, sowie auf Standards oder Zertifizierungen.

Während der Mittagspause hatten die Teilnehmenden die Gelegenheit, unter dem Titel «Ask a lawyer» drei auf öffentliche Beschaffungen spezialisierten Anwältinnen und Anwälten – Dr. Wolfgang Straub (Krneta Avokatur Notariat), Julia Bhend (Probst Partner) und Dr. Christoph Jäger (Kellerhals Carrard) – Fragen aus ihrer Praxis zu stellen. Unter dem Titel «Ask a Consultant» stellten sich die Berater Roland Füllemann (IT-Beschaffungsberater, example consulting gmbh) und Josef Schreiber (Inhaber, Schreiber IT-Consulting) am Ende der Konferenz ebenfalls zur Beantwortung von Fragen zur Verfügung.

In der Fachsession «KI und Informationssicherheit» behandelte Sven Kohlmeier (Partner, Wicki Partners AG Rechtsanwälte) anhand der Frage «Ich bin jung und muss noch lernen?» rechtliche und ethische Themen in der Beschaffung von KI im öffentlichen Sektor. Ihm zufolge darf der Staat zwar grundsätzlich KI-Software beschaffen und einsetzen, muss aber Grundrechte beachten und sein Handeln auf gesetzliche Grundlagen stützen. Der Staat müsse namentlich Fragen des Datenschutzes, der Haftung, des geistigen Eigentums und des Berufsgeheimnisses klären, und bei der Vorbereitung von Entscheiden mit KI auch solche des rechtlichen Gehörs und der Ermessensausübung. Vor dem Hintergrund dieser und ethischer Fragen des KI-Einsatzes empfahl Sven Kohlmeier Transparenzregeln und eine einheitliche Verwaltungspraxis für die KI-Beschaffung. Nicole Beranek Zanon (Partnerin, HÄRTING Rechtsanwälte AG) stellte anschliessend die «Datensicherheit und Meldepflichten nach DSG und ISG im Beschaffungsprozess» vor. Sie zeigte die Vorschriften des neuen Datenschutzgesetzes und des Informationssicherheitsgesetzes des Bundes auf, insbesondere die sich daraus für Private und Bundesorgane ergebenden Meldepflichten. Als «Revolution in der Beschaffung! GovTechs und der Public Sector» beschrieben Jana Janze (Geschäftsführerin, GovMarket GmbH) und Sebastian Singler (Senior Manager, PwC Switzerland) ihren Ansatz, um GovTechs (innovative Start-ups, die Behörden Digitalisierungstechnologien anbieten) bei Beschaffungen zu berücksichtigen. Diese könnten der Verwaltung einen Innovationsschub bringen, vor allem in Bereich von KI und Big Data, was das öffentliche Beschaffungsrecht aber oft verkompliziere.

«Nachhaltigkeit ist Verhandlungssache», hiess es in der nächsten Fachsession. Ivette Djonova (Head of Legal & Public Affairs, Swico) beschrieb den «ICT-Beschaffungsdialog», den der Branchenverband Swico mit der Bundesverwaltung führt. Dort werde etwa besprochen, was ICT-KMU brauchen, um vermehrt an Ausschreibungen teilzunehmen, oder wie Beschaffungsverfahren digitalisiert werden können. Dank Fallbesprechungen könnten Erkenntnisse aus früheren Ausschreibungen in spätere einfliessen. Felix Elschner (Leitung Fachbereich öffentliche Auftraggeber, Epson Deutschland GmbH) und Ilse Beneke (Kompetenzstelle für Nachhaltige Beschaffung, Beschaffungsamt des Bundesministeriums des Inneren) stellten anschliessend die «Soziale Nachhaltigkeit in der öffentlichen ITK-Beschaffung in Deutschland – die Verpflichtungserklärung zur Einhaltung von Arbeits- und Sozialstandards» vor. Diese Verpflichtungserklärung hätten die deutschen Behörden und der Branchenverband Bitkom gemeinsam erarbeitet, um eine praxistaugliche Umsetzung der gesetzlichen Vorschriften auf der Basis anerkannter Zertifikate (SA8000, RBA, Amfori, TCOcertified) zu ermöglichen. Sie werde Vertragsbestandteil und sehe Auditmöglichkeiten und Konventionalstrafen vor.

Die Fachsession «Ausschreibungen im Wettbewerb um Anbieter» begann mit einem Perspektivenwechsel: Unter dem Titel «Das Lesen und Bewerten von Zuschlagskriterien auf Anbieterseite» ermöglichten Kathrin Kölbl (Mitglied der Geschäftsleitung, Abraxas Informatik AG) und Levis Pereira (CTO, Abraxas Informatik AG) einen Schulterblick in die «Bid Calls» eines Anbieters. Sie zeigten auf, wie ein ICT-Unternehmen Ausschreibungen prüft und sich für oder gegen eine Teilnahme entscheidet. Letzteres werde umso wahrscheinlicher, je kürzer die Unterlagen sind, je höher die Qualität gewichtet wird, je mehr Zeit für das Angebot zur Verfügung steht und je transparenter und interaktiver das Verfahren ist. «Nachhaltigkeit aus Lieferantensicht – ein Erfahrungsbericht» wurde sodann von Christian Möller (Head of Legal, Risk & Compliance, Adnovum) und Julian Osborne (Gründer und CEO, Pelt8) erstattet. Anhand der Erfahrungen des Softwareherstellers Adnovum sollten Auftraggeber beurteilen können, welche Nachhaltigkeitsanforderungen sich eignen und vor welche Herausforderungen sie die Anbieter stellen. Und die «Herausforderungen und Chancen aus Anbietersicht» stellte Magdalena Koj (Head eGovernment, ti&m) vor. Sie beschrieb, was es für Anbieter bedeutet, bei jeder Ausschreibung aufs Neue auf die immer gleichen Kriterien eingehen zu müssen (wie Referenzen, Lösungskonzept, Präsentation), und machte Vorschläge für ihre anbieterfreundliche Ausgestaltung.

In der letzten Fachsession, «Gemeinsame Beschaffungen und Rahmenverträge», blickten die Teilnehmenden noch einmal über die Grenze: Sirko Hunnius (Leiter Public Sector Consulting, ]init[) stellte «Flächendeckende Online-Services im Föderalstaat: Das EfA-Umsetzungsmodell in Deutschland» vor. Er beschrieb, wie die die deutschen Bundes- und Landesbehörden unter dem Titel «Einer für alle» digitale Services, die von einer Behörde entwickelt und betrieben werden, allen anderen Behörden zur Verfügung stellen. Zum Thema «Gemeinsame Beschaffungen – Chancen und Stolpersteine» führte Martin Zobl (Partner, Walder Wyss) aus Schweizer Sicht aus, in welchen Situationen sich gemeinsame Beschaffungen anbieten und wie sie erfolgreich und rechtlich korrekt durchgeführt werden. Dabei ging er auf organisatorische Aspekte, die Wahl des anwendbaren Rechts und kartellrechtliche Schranken der Zusammenarbeit ein. Und die «Rahmenverträge in der IT-Beschaffung: das ‘neue’ Vergabeinstrument und seine Grenzen» stellten Simon Oeschger und Benjamin Hundius (Partner bzw. Associate, Suffert Neuenschwander & Partner) vor. Sie beschrieben die Spielarten, Mindestinhalte und Rahmenbedingungen von Rahmenverträgen im öffentlichen Beschaffungsrecht, und empfahlen den Auftraggebern namentlich, das Abrufverfahren transparent, sachlich und unter Berücksichtigung der Vergabegrundsätze auszugestalten.

Ihren Abschluss fand die IT-Beschaffungskonferenz mit dem Vortrag von Dr. Dominika Blonski, der die Frage aufwarf: «Cloud und Datenschutz – Was ist zu beachten?». Die Datenschutzbeauftragte des Kantons Zürich beschrieb, welche Datenschutzrisiken typischerweise mit einer Cloud-Auftragsdatenbearbeitung verbunden sind, und unter welchen Voraussetzungen Behörden Daten in die Cloud auslagern können: wenn dies nicht gesetzlich oder vertraglich verboten ist, und wenn die Behörden ihre datenschutzrechtliche Verantwortung wahrnehmen können, insbesondere durch risikoangemessene Massnahmen des Datenschutzes und der Informationssicherheit (ISDS). Die anschliessende Podiumsdiskussion zeigte unterschiedliche Einschätzungen David Rosenthals und Dominika Blonskis zur Tragweite des US-CLOUD-Acts und gesetzlicher Geheimhaltungspflichten auf. Rika Koch (BFH IPST) erwähnte die Herausforderung, ISDS mit dem Beschaffungsprozess in Einklang zu bringen. Auch Dominika Blonski stellte fest, dass ISDS-Vorschriften in Beschaffungsvorhaben oft ungenügend berücksichtigt würden. Sie unterstrich die grosse Verantwortung des Staates für die Daten der Bevölkerung. Simon Graber (Projektleiter, educa) beschrieb, wie die Fachagentur für den digitalen Bildungsraum Schweiz mit der Unterstützung des Verbands der Datenschutzbeauftragten (privatim) einen Vertrag mit Microsoft zur Nutzung der Cloudlösung M365 aushandelte, der einen Mindeststandard darstelle. David Rosenthal beschrieb das sorgfältige Abarbeiten der vielen Risiken bzw. Prüfpunkte als zentrale Herausforderung. Seiner Erfahrung zufolge sei das Aushandeln von mit dem Schweizer Recht konformen Verträgen mit grossen US-Anbietern zwar sehr aufwändig und zeitraubend, aber möglich – wobei es illusorisch sei, Schweizer AGB vorgeben zu wollen.

Die oben zusammengefassten Konferenzbeiträge sind fast vollständig als Präsentationen und teilweise als Videos auf der Webseite der IT-Beschaffungskonferenz verfügbar.⁶ Erstmals erscheint als Ergänzung zur Konferenz der vorliegende Tagungsband. Er ermöglicht es den Vortragenden, die dies wünschen, ihre Beiträge in einem wissenschaftlichen Format zu veröffentlichen, und ihre Erkenntnisse damit einem breiteren Publikum aus der Beschaffungs- und Rechtspraxis zugänglich zu machen.

Organisiert wurde die Konferenz vom Institut Public Sector Transformation (IPST) der Berner Fachhochschule (BFH) und vom Institut für Wirtschaftsinformatik (IWI) der Universität Bern. Die Konferenzleitung stellte Matthias Stürmer (IPST) sicher, und die Organisation Lara Biehl. Dem Programmkomitee gehörten Thomas M. Fischer (Amt für Informatik und Organisation des Kantons Bern, KAIO), Matthias Günter (CH Open), Greg Hernan (Digitale Verwaltung Schweiz, DVS), Rika Koch (IPST), Reto Maduz (Xebia), Daniel Markwalder (Bundeskanzlei), Mario Marti (suisse.ing), Thomas Myrach (IWI), Stephan Sutter (ti&m), Marc Steiner (IPST), Andrea Sägesser (APP Unternehmensberatung) und Wolfgang Straub (Krneta Advokatur Notariat) an.

Daneben profitierte die Konferenz von Praxis-Partnerschaften aus der öffentlichen Verwaltung und der Wirtschaft, ohne die die Konferenz nicht möglich gewesen wäre. Dazu gehören neben den Mitgliedern des Programmkomitees der Schweizerische Verband der Telekommunikation (asut), das Digital Impact Network, die Information Security Society Switzerland (ISSS), procure.ch, Swico und suisse.ing.

Thomas M. Fischer ist Rechtsanwalt, stellvertretender Leiter des Amts für Informatik und Organisation des Kantons Bern (KAIO) sowie Vorsitzender der kantonalen Beschaffungskonferenz.