Die Bundesregierung will öffentliche Aufträge nicht mehr an Firmen vergeben, die zur Weitergabe von Informationen an Dritte verpflichtet sind. Das geht aus Vertragsbestimmungen hervor, die das Innenministerium gegenüber netzpolitik.org erläuterte. Das trifft Firmen wie CSC, die trotz Geheimdienst-Nähe in viele große IT-Vorhaben des Bundes eingebunden ist.
Schon öfters haben wir über die Firma Computer Science Corporation (CSC) berichtet, bereits 2012 zum US-Zugriff auf Cloud-Daten und ab Januar 2013 als Prüferin des Staatstrojaners FinFisher, den das Bundeskriminalamt erworben hat. Größere Aufmerksamkeit erhielt die Firma aber erst, als nach den Geheimdienst-Enthüllungen des letzten Jahres das Buch Geheimer Krieg die enge Kooperation mit der NSA offenbarte. Seitdem haben wir nachgelegt, dass CSC in alle großen IT-Vorhaben eingebunden ist, die Bundesregierung der Firma aber trotzdem blind vertraut.
Gesten haben NDR, WDR und Süddeutsche berichtet, dass die Bundesregierung doch endlich etwas gegen Firmen, die eng mit anderen Geheimdiensten zusammen arbeiten, unternehmen will:
Nach Recherchen von NDR, WDR und Süddeutscher Zeitung hat die schwarz-rote Koalition nun die Vergaberegeln für sensible IT-Aufträge verschärft. Im Zweifel sollen verdächtige Firmen künftig von offiziellen Aufträgen ausgeschlossen werden. So müssen Unternehmen fortan unterschreiben, dass sie nicht durch Verträge oder Gesetze verpflichtet sind oder gezwungen werden, vertrauliche Daten an ausländische Geheimdienste und Sicherheitsbehörden weiterzugeben.
Wir haben dazu mal beim Innenministerium nach weiteren Informationen angefragt. Ein Sprecher des Ministeriums führte gegenüber netzpolitik.org aus:
Die vorgesehene Eigenerklärung und die vorgesehene Vertragsklausel bezwecken eine Beweiserleichterung zugunsten der Bundesrepublik Deutschland. Für die Ablehnung eines Bieters bei der Zuverlässigkeitsprüfung bzw. für eine Kündigung des Vertrages soll es künftig ausreichen, dass nachgewiesen wird, dass der Bieter einer rechtlichen (also vertraglichen oder gesetzlichen) Verpflichtung zur Weitergabe von vertraulichen Informationen, Geschäfts- und Betriebsgeheimnisse an Dritte unterliegt, die im Rahmen des Vertragsverhältnisses erlangt werden. Ggfs. müssen entsprechende Weitergabeverpflichtungen im Vergabeverfahren offengelegt werden.
Sinn dieser Beweiserleichterung ist es, dass auch Fälle erfasst werden sollen, in denen die Bundesrepublik Deutschland konkrete Datenabflüsse nicht nachweisen kann, etwa, weil entsprechende Auskünfte nach ausländischem Recht geheim zu halten sind. Dem Bund offen zu legen sind auch nachträgliche Veränderungen der Situation nach Abgabe der Eigenerklärung bzw. Vertragsschluss.
Bewusst vom Bereich der Eigenerklärung und der Vertragsklausel ausgenommen sind Offenlegungspflichten gegenüber ausländischen Stellen, die keine Sicherheitsbehörden sind, also etwa Behörden, die Aufgaben der Börsenaufsicht, von Regulierungsbehörden oder der Finanzverwaltung ausüben. Die Klausel soll Vereinbarungen zum Schutz von Verschlusssachen ergänzen und nicht ersetzen.
Ob die Verwendung der Eigenerklärung und der Klausel erforderlich ist, wird jeweils im Einzelfall bei jedem Vergabeverfahren entschieden.
Der konkrete Wortlaut der Klausel ist jeweils Gegenstand der Vertragsausgestaltungen.
Auf Nachfrage erklärte der Sprecher noch einmal detailliert, dass diese Vertragsklauseln seit Mitte April gelten und auch schon angewendet worden sind. Sie gelten als Vorgabe für das Beschaffungsamt, die zentrale Einkaufsbehörde des Innenministeriums. Die Bestimmungen richten sich nicht gegen einzelne Staaten oder Firmen, sondern gelten allgemein für alle Vergabeverfahren, bei denen potentiell vertrauliche Informationen weiter gegeben werden könnten. Ausnahmen soll es nur geben, wenn Verfahren keine „vertraulichen Informationen, Geschäfts- und Betriebsgeheimnisse“ verarbeiten.
Leider gilt das wohl nur für Neuverträge. Wie berichtet, führt die CSC Deutschland Solutions GmbH auch eine Quellcodeprüfung des potentiellen neuen Bundestrojaners FinFisher durch. Diese sollte ursprünglich bereits im Dezember 2012 abgeschlossen sein, dauert aber nach unseren Informationen noch immer an. Ob sich durch die Neuregelung etwas an dieser Überprüfung ändern wird, konnten auf Anhieb weder Bundeskriminalamt noch Innenministerium beantworten.