Nach Berichten der Süddeutschen Zeitung zur US-Firma Computer Science Corporation (CSC) haben wir uns auch bei Netzpolitik mehrmals mit CSC-Ablegern in Deutschland befasst (1 | 2 | 3). Hintergrund der Berichte war, dass CSC beste Beziehungen zu US-Geheimdiensten pflegt und beispielsweise an Entführungen mit sogenannten „rendition flights“ beteiligt war. Die Firma ist auch in viele große IT-Vorhaben in Deutschland eingebunden, darunter De-Mail, nPa, ePa, Staatstrojaner, Waffenregister, E-Gerichtsakte oder das E-Strafregister.
In der Antwort auf eine Kleine Anfrage der grünen Fraktion hatte die Bundesregierung wenige Wochen später zu Verträgen mit CSC und deren Tochterfirmen Stellung genommen. Zusammengefasst: CSC sei kein Sicherheitsrisiko, man habe volles Vertrauen, von Entführungen habe man nur in der Presse gelesen.
Nach und nach erreicht das Thema auch die Landtage. Die Linksfraktion Hamburg hatte im März eine entsprechende Anfrage gestellt. Laut der Antwort des Senats habe CSC insgesamt 6,9 Millionen Euro für Dienstleistungen und Software erhalten. Das sei unproblematisch, denn CSC habe „keinen Zugang zu Daten, die als sensibel einzustufen sind“, gehabt. Die ebenfalls mitgelieferte Beschwichtigung, der mit CSC geschlossene Vertrag enthalte die „üblichen Pflichten zur Geheimhaltung“, überzeugt aber nicht. Auch der Hinweis des Senats, alles Personal von CSC müsse sicherheitsüberprüft sein, ist kaum geeignet einen Verdacht der Weitergabe von Informationen durch CSC zu zerstreuen: Möglich wäre dies nach dem „Patriot Act“, der amerikanische Unternehmen bei Bedarf zur geheimdienstlichen Zusammenarbeit in Sicherheitsfragen verpflichtet. In Hamburg vertraut man aber auf ein Dementi von CSC:
CSC hat gegenüber Dataport [dem Hamburger Vertragspartner] vor dem Hintergrund der öffentlichen Berichterstattung schriftlich erklärt, dass von dem Unternehmen keine Kundendaten an Dritte weitergegeben wurden und werden, insbesondere auch nicht an ausländische Behörden oder Regierungsstellen.
US-Geheimdienstzusammenarbeit? Macht ja nix
Die FragestellerInnen hatten sich aber auch erkundigt, ob der Senat Anstoß daran nimmt eine Firma zu beauftragen, die ihr Geld mit geheimdienstlichen Entführungen verdient. Die Antwort ist Jein:
Der Senat hat die öffentliche Berichterstattung zur Kenntnis genommen. Dataport und die zuständige Behörde prüfen derzeit, ob und ggf. durch welche zusätzlichen vertraglichen Regelungen möglichen Interessenskonflikten innerhalb komplexer internationaler Konzerne begegnet werden kann.
Doch was ist mit „Interessenskonflikten innerhalb komplexer internationaler Konzerne“ gemeint? Womöglich geht es dabei nicht um die unterschiedlichen Geschäftsfelder Entführungen und Softwareimplementierung. Sondern um die Frage, wie mit einer Firma zu verfahren ist die eine Einhaltung von Geheimschutzauflagen zwar zusichert, aber gleichzeitig in einem „Patriot Act“zur Herausgabe von Informationen verpflichtet werden kann.
Nun liegt auch aus Nordrhein-Westfalen eine entsprechende Antwort auf eine Anfrage der Fraktion der Piraten vor. Zunächst werden die CSC-Ableger aufgeführt, die im Bundesland tätig sind bzw. waren. Zahlen zu Verträgen werden jedoch nur für die letzten fünf Jahre vorgehalten. Diese liegen bei über 5 Millionen Euro und beziehen sich auf das Rechenzentrum der Landesfinanzverwaltung, den Landesbetrieb Information und Technik Nordrhein-Westfalen (IT.NRW) sowie das Oberlandesgericht Köln. Zudem war auch Nordrhein-Westfalen Teil eines Rahmenvertrages der Bundesregierung zur Projektunterstützung des „Elektronischen Gerichts- und Verwaltungspostfachs“.
Wie der Hamburger Senat vertraut die Landesregierung in NRW auf Regelungen zu Datenschutz, Geheimhaltung und Sicherheit, die von CSC unterschrieben wurden. CSC verspricht darin, alle „im Rahmen des Vertragsverhältnisses erlangten vertraulichen Informationen, Geschäfts- und Betriebsgeheimnisse vertraulich zu behandeln“ und diese nicht an Dritte weiterzugeben.
„Potenziell möglich, dass ausländische Nachrichtendienste Erkenntnisse auch mit Hilfe privater Firmen sammeln“
Weil diese für die Auslandsaufklärung zuständig sei, wird von NRW im Übrigen auf eine Antwort der Bundesregierung verwiesen. Auf eine gleichlautenden Anfrage der grünen Fraktion hieß es dort, es gebe keine Anhaltspunkte dass die CSC Deutschland „in irgendeiner Weise gegen Sicherheits- oder Vertraulichkeitsauflagen verstoßen hat”. Allerdings steht auf der gleichen Seite, nämlich in der Antwort auf Frage 9a), auch folgendes:
Es ist potenziell möglich, dass ausländische Nachrichtendienste Erkenntnisse auch mit Hilfe privater Firmen sammeln.
Bisher sei dies laut der Landesregierung aber zu CSC nicht bekanntgeworden. Also lägen die „vertragsrechtlichen Voraussetzungen für eine Kündigung nicht vor“.
Die Piraten hatten auch danach gefragt, inwiefern Nordrhein-Westfalen ein Problem damit hat dass CSC bei Entführungen hilft, bei denen Betroffene vom US-Geheimdienst CIA gefoltert und unrechtmäßig inhaftiert werden. Die Antwort verblüfft: Das Vergaberecht des Landes lege zwar großen Wert auf Mindestlohn, Kernarbeitsnorm, Frauenförderung und „soziale Kriterien“. Dubiose Geheimdienstmissionen interessieren nicht:
Die Prüfung der Eignung im Rahmen eines Vergabeverfahrens betrifft die Fachkunde, die Leistungsfähigkeit sowie die Gesetzestreue und Zuverlässigkeit. Die Anforderungen hierfür sind individuell und auftragsbezogen zu bewerten. Es ist in Bezug auf den konkreten Einzelfall zu betrachten, ob in irgendeiner Weise Zweifel an der persönlichen Kompetenz des Unternehmens für die Durchführung des jeweiligen Auftrages bestehen.
Die gleichzeitigen Anfragen zu CSC in mehreren Landtagen sind ein gutes Beispiel, wie Piraten, LINKE und Grüne zur Überwachung durch Geheimdienste zusammenarbeiten können. Vielleicht folgt ja noch eine weitere Serie zu Booz Allen Hamilton, ebenfalls eine US-Firma die mit US-Geheimdiensten kooperiert und in Europa unter anderem grenzpolizeiliche Kontrollsysteme vertreibt.
Ergänzend sei noch auf diese Anfrage an den Berliner Senat hingewiesen: http://pardok.parlament-berlin.de/starweb/adis/citat/VT/17/KlAnfr/ka17-12871.pdf
Terrororganisationen werden doch vom Innenminister verboten dachte ich? Wahrscheinlich würde das BKA/Verfassungsschutz bei CSC nicht mal ermitteln wen der Chef Kinderpornos besitzen würde, wirklich ermitteln tut das BKA ja auch nicht intern wie man im Fall Edathy gesehen hat.
Wurde von CSC nicht in der Stellungnahme darauf hingewiesen, dass bei Anfragen basierend auf dem Patriot Act die Herausgabe verweigert und zuständige deutsche Stellen um Unterstützung gebeten werden? Wenn das stimmt, was soll ein deutscher Ableger einer US-amerikanischen Firma noch tun, um sich eindeutig zu positionieren?