Deutsche Behörden haben Aufträge an Firmen vergeben, deren Mutterhäuser in den USA mit Geheimdiensten zusammenarbeiten. Hierzu gehören beispielsweise CSC Solutions und Booz Allen Hamilton, für die auch der Whistleblower Edward Snowden gearbeitet hatte. CSC Deutschland ist an der Entwicklung des Bundestrojaners beteiligt, die „elektronische Patientenakte, das „Nationale Waffenregister“, IT-Anlagen der Bundespolizei und ein Backup-Konzept für das Bundesverwaltungsamt gehören zum Portfolio.
Die Bundesregierung hatte die Angelegenheit zunächst ausgesessen und sich darauf verlassen, dass die Firmen keine Geheimnisse an US-Geheimdienste verraten. Nach weiteren Presseberichten gab das Bundesinnenministerium (bzw. das ihm unterstellte Beschaffungsamt) schließlich im April einen „No-Spy-Erlass“ heraus und machte diesen wegen des „öffentlichen Interesses“ auch publik.
Darin wird ihr mehr Handlungsspielraum eingeräumt: Bieter müssen schon im Vergabeverfahren Erklärungen abgeben, die „heimliche Abflüsse schützenswerter Informationen“ an ausländische Nachrichtendienste ausschließen sollen.
Die Klauseln wurden so formuliert, dass die Ablehnung eines Bieters bzw. die Kündigung eines Vertrages erleichtert wird. Es soll ausreichen, „dass nachgewiesen wird, dass der Bieter einer rechtlichen Verpflichtung zur Weitergabe von vertraulichen Informationen, Geschäfts- oder Betriebsgeheimnissen an Dritte unterliegt“. Er muss also unterschreiben,
[…] dass er rechtlich und tatsächlich in der Lage ist, im Falle eines Zuschlages die dann im Vertrag enthaltene Verpflichtung einzuhalten, alle im Rahmen des Vertragsverhältnisses erlangten vertraulichen Informationen, Geschäfts- und Betriebsgeheimnisse vertraulich zu behandeln, insbesondere nicht an Dritte weiterzugeben oder anders als zu vertraglichen Zwecken zu verwerten. Insbesondere bestehen zum Zeitpunkt der Abgabe des Angebotes keine Verpflichtungen, Dritten solche Informationen zu offenbaren oder in anderer Weise zugänglich zu machen. Dies gilt nicht, soweit hierfür gesetzliche Offenlegungspflichten bestehen (etwa gegenüber Stellen der Börsenaufsicht, Regulierungsbehörden oder der Finanzverwaltung), es sei denn, solche Offenlegungspflichten bestehen gegenüber ausländischen Sicherheitsbehörden. In Zweifelsfällen hat der Bieter die Vergabestelle auf die gesetzliche(n) Offenlegungspflicht(en) im Rahmen der Abgabe der vorstehenden Erklärungen hinzuweisen.
Entsprechende Weitergabeverpflichtungen, etwa nach dem FISA-Act in den USA, müssen im Vergabeverfahren offen gelegt werden. Weitere Bestimmungen sind in einer „Handreichung“ erläutert. Inzwischen haben auch Vergabestellen in den meisten Bundesländern ihre Vergaberichtlinien entsprechend geändert.
Der Erlass war vielfach mit Erleichterung aufgenommen worden: Endlich schien die Bundesregierung in der NSA-Affäre eine andere Gangart anzuschlagen. Vielleicht zu früh gefreut: Denn im Juni hatte die Vergabekammer des Bundes, die vergaberechtliche Angelegenheiten der Bundesbehörden beaufsichtigt, Bedenken angemeldet. Darauf weist jetzt das Blog „Polygon“ hin.
Polygon bezeichnet seine Software als „Informationssystem mit einem generischen Datenmodell“, das unter anderem von der Polizei in Brandenburg eingesetzt wird. Früher hatte Polygon mit der Firma rola Security Solutions aus Oberhausen konkurriert, die Software zur polizeilichen Fallbearbeitung und Analyse vertreibt. Das Blog wird von Annette Brückner gemacht, die ebenfalls zu Polygon gehört und seit letztem Jahr viele Details zur Beschaffung und Finanzierung von IT für Polizeien und Geheimdienste öffentlich macht.
Die Vergabekammer des Bundes war in einem Vergabeverfahren des Bundesinnenministeriums angerufen worden, nachdem ein Bieter aufgrund des neuen Erlasses abgelehnt worden war. In einer Entscheidung vom 24. Juni 2014 kam die Kammer zu dem Urteil, dass dies rechtswidrig sei. Kriterien für die Vergabe bzw. zur Eignung eines Bieters könnten demnach nicht „durch den Auftraggeber beliebig erweitert werden“. Die zulässigen Eignungsanforderungen und Ausschlussgründe seien überdies in europäischen Richtlinien festgelegt.
Laut Brückner sei der „No-Spy-Erlass“ also vergaberechtswidrig. Bieter könnten nicht für die allgemein geltende Rechtsordnung, der sie wie in den USA unterworfen seien, haftbar gemacht werden.
Update: Auch der „Behördenspiegel“ bespricht den „No-Spy-Erlass“ in ihrer Septemberausgabe. Die Zeitung sieht den Erlass ebenso kritisch.
Ich hoffe, das war nicht der Plan und ich hoffe, das macht nicht Schule. Gut klingende Lösungen veröffentlichen (garniert durch eine Priese „geleakte Information“), sich feiern lassen und das Ablaufdatum schon geplant haben.
Hahahahaha „Souveränitätsprinzip, Territorialprinzip, Legalitätsprinzip“ hahahahahaha.
*Grübel*
Sagt mal, die Franzosen haben doch generell etwas mehr „Eier in der Hose“ was ihre Souveränität angeht, nicht war? Das könnte man sich zu Nutze machen.
Wenn ähnliches in Frankreich passieren würde, dann gäbe es zumindest mal einen starken Fürsprecher dafür, dass die europäischen Vergaberichtlinien geändert werden. Ich glaube nämlich nicht, dass die Franzosen „Trojanisches Pferd via Vergabebürokratie“ auf sich sitzen ließen…
Irgendwie habe ich so das Gefühl, dass wir jetzt an einem Punkt angekommen sind, wo man für spinnert erklärt wird, wenn man versucht, normalen Leuten die Sachlage zu erklären.
Netzpolitik-Leser: „Amerikanische Firmen, die Aufträge vom Staat bekommen, werden von den Geheimdiensten genutzt um die Datenbestände der Europäischen Staaten auszuplündern“
Durchschnittsbürger: „Uh huh. Ich muss dann mal weg…“
Wenn das Vergabegesetz die völkerrechtswidrige Datensammelei nach dem Patriot Act der USA unterstützt, so muss dies vom Bundestag möglichst schnell geändert werden. Die Formulierung “durch den Auftraggeber beliebig erweitert werden” deutet daruf hin, dass das betreffende Vergabeverfahren vor dem Inkrafttreten des No-Spy-Erlasses begonnen wurde. Für alle zeitlich folgenden Vergabeverfahren trifft eine Gesetzeswidrigkeit dann nicht zu. Außerdem kann das Vergaberecht niemals oberhalb von Artikel 10 des Grundgesetzes stehen. Der Staat hat danach die Aufgabe, das Fernmeldegeheimnis seiner Bürger und der inländischen Unternehmen zu schützen. Dies gilt insbesondere gegenüber ausländischen Spionageorganisationen. Des weiteren sind europäische Richtlinien niemals direkt gültig. Ich gehe nicht davon aus, dass der No-Spy-Erlass dem europäischen Vergaberecht widerspricht.
Der Erlass ist nur deshalb für im konkreten Fall nicht anwendbar erklärt worden, weil er bei Veröffentlichung der Vergabebedingungen (Ausschreibung) nicht erwähnt worden war. Das kann zukünftig verhindert werden, indem er erwähnt wird.