Neue Vertragsklausel: Bundesregierung will Firmen kündigen können, die Daten weitergeben müssen

Die Bundesregierung will öffentliche Aufträge nicht mehr an Firmen vergeben, die zur Weitergabe von Informationen an Dritte verpflichtet sind. Das geht aus Vertragsbestimmungen hervor, die das Innenministerium gegenüber netzpolitik.org erläuterte. Das trifft Firmen wie CSC, die trotz Geheimdienst-Nähe in viele große IT-Vorhaben des Bundes eingebunden ist.

Schon öfters haben wir über die Firma Computer Science Corporation (CSC) berichtet, bereits 2012 zum US-Zugriff auf Cloud-Daten und ab Januar 2013 als Prüferin des Staatstrojaners FinFisher, den das Bundeskriminalamt erworben hat. Größere Aufmerksamkeit erhielt die Firma aber erst, als nach den Geheimdienst-Enthüllungen des letzten Jahres das Buch Geheimer Krieg die enge Kooperation mit der NSA offenbarte. Seitdem haben wir nachgelegt, dass CSC in alle großen IT-Vorhaben eingebunden ist, die Bundesregierung der Firma aber trotzdem blind vertraut.

Gesten haben NDR, WDR und Süddeutsche berichtet, dass die Bundesregierung doch endlich etwas gegen Firmen, die eng mit anderen Geheimdiensten zusammen arbeiten, unternehmen will:

Nach Recherchen von NDR, WDR und Süddeutscher Zeitung hat die schwarz-rote Koalition nun die Vergaberegeln für sensible IT-Aufträge verschärft. Im Zweifel sollen verdächtige Firmen künftig von offiziellen Aufträgen ausgeschlossen werden. So müssen Unternehmen fortan unterschreiben, dass sie nicht durch Verträge oder Gesetze verpflichtet sind oder gezwungen werden, vertrauliche Daten an ausländische Geheimdienste und Sicherheitsbehörden weiterzugeben.

Wir haben dazu mal beim Innenministerium nach weiteren Informationen angefragt. Ein Sprecher des Ministeriums führte gegenüber netzpolitik.org aus:

Die vorgesehene Eigenerklärung und die vorgesehene Vertragsklausel bezwecken eine Beweiserleichterung zugunsten der Bundesrepublik Deutschland. Für die Ablehnung eines Bieters bei der Zuverlässigkeitsprüfung bzw. für eine Kündigung des Vertrages soll es künftig ausreichen, dass nachgewiesen wird, dass der Bieter einer rechtlichen (also vertraglichen oder gesetzlichen) Verpflichtung zur Weitergabe von vertraulichen Informationen, Geschäfts- und Betriebsgeheimnisse an Dritte unterliegt, die im Rahmen des Vertragsverhältnisses erlangt werden. Ggfs. müssen entsprechende Weitergabeverpflichtungen im Vergabeverfahren offengelegt werden.

Sinn dieser Beweiserleichterung ist es, dass auch Fälle erfasst werden sollen, in denen die Bundesrepublik Deutschland konkrete Datenabflüsse nicht nachweisen kann, etwa, weil entsprechende Auskünfte nach ausländischem Recht geheim zu halten sind. Dem Bund offen zu legen sind auch nachträgliche Veränderungen der Situation nach Abgabe der Eigenerklärung bzw. Vertragsschluss.

Bewusst vom Bereich der Eigenerklärung und der Vertragsklausel ausgenommen sind Offenlegungspflichten gegenüber ausländischen Stellen, die keine Sicherheitsbehörden sind, also etwa Behörden, die Aufgaben der Börsenaufsicht, von Regulierungsbehörden oder der Finanzverwaltung ausüben. Die Klausel soll Vereinbarungen zum Schutz von Verschlusssachen ergänzen und nicht ersetzen.

Ob die Verwendung der Eigenerklärung und der Klausel erforderlich ist, wird jeweils im Einzelfall bei jedem Vergabeverfahren entschieden.

Der konkrete Wortlaut der Klausel ist jeweils Gegenstand der Vertragsausgestaltungen.

Auf Nachfrage erklärte der Sprecher noch einmal detailliert, dass diese Vertragsklauseln seit Mitte April gelten und auch schon angewendet worden sind. Sie gelten als Vorgabe für das Beschaffungsamt, die zentrale Einkaufsbehörde des Innenministeriums. Die Bestimmungen richten sich nicht gegen einzelne Staaten oder Firmen, sondern gelten allgemein für alle Vergabeverfahren, bei denen potentiell vertrauliche Informationen weiter gegeben werden könnten. Ausnahmen soll es nur geben, wenn Verfahren keine „vertraulichen Informationen, Geschäfts- und Betriebsgeheimnisse“ verarbeiten.

Leider gilt das wohl nur für Neuverträge. Wie berichtet, führt die CSC Deutschland Solutions GmbH auch eine Quellcodeprüfung des potentiellen neuen Bundestrojaners FinFisher durch. Diese sollte ursprünglich bereits im Dezember 2012 abgeschlossen sein, dauert aber nach unseren Informationen noch immer an. Ob sich durch die Neuregelung etwas an dieser Überprüfung ändern wird, konnten auf Anhieb weder Bundeskriminalamt noch Innenministerium beantworten.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

6 Ergänzungen

  1. Hmmm, das hört sich ja schwer nach einem Handelshemnis an. Spätestens mit TTIP ist das dann wohl hinfällig. Aber unsere Regierung hat es ja immerhin versucht, aber leider, leider…. Internationale Verträge, wissen’s schon….

  2. Wären damit nicht auch so Unternehmen wie die Telekom betroffen, weil laut aus Recht ist jede Firma die auch nur eine Geschäftsstelle in den USA hat, zur Auskunft verpflichtet. Also streng genommen sind damit circa alle Firmen raus.

  3. Alle Firmen mit US-Niederlassungen haben doch den Ermittlungsbehörden ggf. (Voll-)Zugriffe auf alle Firmendaten zu gwähren.

    Wären dann nicht auch alle Geschäfte mit Firmen der Telekom-Gruppe tabu?

    Eigentlich käme es damit auch nie zur Ausnahmeklausel – die ja auch drollig ist: Im Grunde besagt sie nichts anderes, als dass die NSA dann halt im Amtshilfeverfahren z.B. über die Börsenaufsicht alle Daten abschnorcheln wird.

  4. Kann mich den Vorkommentatoren nur anschließen.

    Praktisch bedeutet dies nur, dass entweder so ziemlich alle größeren IT-Dienstleister ausgeschlossen werden müss(t)en, da es wohl keinen gibt, der nicht mindestens eine US-Dependance besitzt.

    Auf CSC direkt hat das keinerlei speziellen Einfluss, da es wohl weder Verträge noch spezielle Gesetze gibt, die aus einer möglichen Tätigkeit des Mutterkonzerns für die NSA (die ja noch nicht mal bestätigt wird) eine „Datensammelverpflichtung“ für die deutsche Tochter herleiten, die über die o.g. Gesetzeslage hinausgeht.

    Im übrigen finde ich die Wertung: „Leider gilt das nur …“ für eine objektive Berichterstattung unpassend.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.