CSC verliert Vergabeverfahren, aber ist wirklich eine No-Spy-Klausel der Grund? [Update: CSC-Statement]

Deutschland-Zentrale der CSC, Wiesbaden.

Für vier Bundesländer – Bremen, Hamburg, Schleswig-Holstein und Sachsen-Anhalt – wird CSC Deutschland derzeit keine neuen Dienstleistungen übernehmen. Das berichten SZ und NDR unter Berufung auf Dataport, der gemeinsamen IT-Plattform der vier Länder, zum aktuellen Vergabefahren für IT-Projekte. Das Unternehmen habe keinen Zuschlag für eine Ausschreibung bekommen, als möglicher Grund wird über verschärfte Bedingungen im Zuge eines No-Spy-Erlasses spekuliert.

CSC Deutschland ist ein alter Bekannter, wenn es um Regierungssoftware geht. So trat man als Sponsor des Europäischen Polizeikongresses in Erscheinung, arbeitet am Staatstrojaner mit sowie an De-Mail, dem elektronischen Personalausweis und vielen anderen wichtigen IT-Vorhaben der Bundesregierung.

Besonders kritisch ist die Beziehung von CSC Deutschland und seiner amerikanischen Mutter, da deren enge Zusammenarbeit und Partnerschaft mit NSA und CIA in der Vergangenheit immer wieder sichtbar wurde. Besonders im Licht der NSA-Affäre wurde deshalb in Deutschland die Diskussion um eine No-Spy-Klausel angestoßen, die IT-Dienstleister nur dann zulassen würde, wenn diese sich der Geheimhaltung von Informationen gegenüber Dritten und damit auch ausländischen Geheimdiensten gegenüber verwehrten.

Da dies amerikanischer Rechtspraxis widerspricht, sollte es für Unternehmen wie CSC quasi unmöglich sein, deutsche IT-Vergabeverfahren zu gewinnen. Auch wenn von deren Seite immer wieder einer Datenweitergabe in die USA widersprochen wird. In der Realität sah dies jedoch anders aus und CSC gewann neue Verträge mit deutschen Behörden dazu.

Bremen, Hamburg, Schleswig-Holstein und Sachsen-Anhalt haben eigene Richtlinien erlassen, die festlegen, dass ein Auftragnehmer sensible Daten nicht an ausländische Sicherheitsbehörden oder an verbundene Unternehmensteile weitergeben darf. Ausgeschlossen ist auch eine Zusammenarbeit mit Dritten, bei denen der Verdacht naheliegt, sie würden die Vertraulichkeit und Sicherheit von Daten gefährden. Ob wirklich dieser Faktor, wie von SZ und NDR lanciert, ausschlaggebend für die Entscheidung gegen CSC und für ein französisches Unternehmen namens Capgemini war, ist nicht bekannt, auch Dataport äußerte sich nicht. Aber in der Vergangenheit ist das Unternehmen auch trotz bundesweiter No-Spy-Klausel problemlos an eine Vielzahl anderer Aufträge gekommen.

[Update netzpolitik.org gegenüber kommentierte CSC:

Da sich die CSC Deutschland GmbH strikt an deutsches Recht und Gesetz hält, können wir Ihnen aufgrund der uns vertraglich obliegenden Vertraulichkeitsverpflichtungen keine Informationen darüber zukommen lassen, in welchen Bereichen wir andere öffentliche Aufträge in Deutschland erhalten haben. Wir können Ihnen allerdings bestätigen, dass uns in den vergangenen 12 Monaten eine Vielzahl an anderen öffentlichen Aufträgen in Deutschland erteilt wurde.

Warum könnte der Auftrag dann an eine andere Firma gegangen sein? Der erste Gedanke: Wirtschaftlichkeit. So behauptet auch CSC, dass es keine Beanstandungen hinsichtlich Datenweitergabe gegeben haben könne:

Dataport hat in der Ausschreibung ein Umsetzungskonzept bzgl. Datenschutz und Vertraulichkeit gefordert. Diesen Teil der Ausschreibung war ein Muss-Kriterium im Angebot und wäre im Zuschlagsfall Vertragsbestandteil geworden. Offene Fragen wurden in einem eigens für diesen Punkt anberaumten Verhandlungstermin geklärt.

Der Zuschlag ging an einen anderen Bieter, weil wir nicht das wirtschaftlichste Angebot abgegeben haben. Details werden durch die ausschreibende Stelle nicht veröffentlicht und auch den Bietern nicht.]

Dennoch scheint es Erleichterung, besonders unter den Datenschutzbeauftragten der Länder, zu geben. Ob die nicht nur auf einen einmaligen Zufall gestützt ist, wird sich aber erst noch zeigen müssen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

8 Ergänzungen

  1. Bei der Bewertung, ob ein Angebot das „wirtschaftlichste“ ist, fließt nicht nur der Preis ein, sondern eine Reihe von Fragen und Anforderungen, die in der Ausschreibung gefordert werden. Bei jeder Frage kann man Punkte sammeln und die Punktzahl wird dann mit dem Preis verrechnet. Von daher ist möglich, dass CSC an der einen oder anderen Stelle nicht die volle Punktzahl erreicht hat und deswegen aus dem Raster gefallen ist.

    Und es kommt ganz genau auf die einzelnen Fragen in der Ausschreibung an, wie viele Punkte jeweils maximal möglich sind und wie die dann bewertet werden. Dabei hat die ausschreibende Stelle einen gewissen Spielraum, kann die Anforderungen festlegen und ist daher in der Lage, einiges zu steuern.

    Das Unternehmen namens Capgemini ist übrigens eine der größten Unternehmensberatungsgesellschaften weltweit und die größte mit europäischem Ursprung, vgl. http://de.wikipedia.org/wiki/Capgemini

  2. Amazon AWS baut die CIA Cloud fuer 600 Mio USD. IBM oder HP Berater und Produkte sind seit Jahrzehnten für Sicherheitsbehörden (Verteidigung, Geheimdienste, Grenzschutz, Polizei) aus aller Welt im Einsatz. CGI, Bearingpoint, Steria/Sopra ebenso. Natürlich arbeitet auch Capgemini/Sogeti für Public Sector Kunden in dieser Kundengruppe in aller Welt und dies vielfach seit Jahrzehnten. Es ist davon auszugehen, dass Capgemini insbes. durch die Firmenhistorie/-wurzeln in UK, Frankreich und den Niederlanden für GCHQ, DGSE bzw. AVID/NSO arbeiten oder gearbeitet haben. Capgemini hat erst kürzlich Bernhard Barbier, Leiter der NSA ähnlichen Abteilung innerhalb des DGSE von 2006-2014, als speziellen Berater für Cybersecurity und Cyberdefense eingestellt. Nicht ohne Grund gibt es alleine bei Capgemini UK aktuell 32 Stellen, die eine UK DV clearance benötigen. Capgemini US hat u.a. den DHS Eagle II IDIQ. Capgemini arbeitet auch mit Palantir zusammen, die gerne im Sicherheitsumfeld verwendet werden.

    Egal ob CSC, IBM, Bearinpoint oder Capgemini, alle Sicherheitsbehörden fehlt es heute an den geeigneten IT Fachkräften, Outsourcing und Einbinden von entsprechenden Firmen ist also unausweichbar. In UK oder den USA lagern Sicherheitsbehörden traditionell mehr Aufgaben aus. Das mag bei einigen Aufgaben/Projekten nicht deutschen Vorstellung oder Gepflogenheiten entsprechen, ist aber Fakt. In jedem Fall erfüllen die lokalen Geschäftseinheiten und Mitarbeiter dann alle lokalen Vorgaben für den Geheimschutz—in Deutschland, in UK, in Frankreich oder eben in den USA. Vielfach ist es ausgeschlossen, dass Firmenlaptops oder Mobiltelefone bei Projekten in Sicherheitsbehörden eingesetzt werden dürfen. Bei Entwicklungsprojekten wird z.B. nur vor Ort beim Kunden z.T. in speziellen Räumlichkeiten gearbeitet. Spezifikationen gibt es nur an einem gesondert gesicherten Ort. Kopien sind ausgeschlossen, selbst vor Ort beim Kunden. An dem Projekt auf dem Firmenlaptop/netz weiter zu arbeiten ist verboten und daran halten sich auch alle Personen. Ausländer dürften sowieso nicht eingesetzt werden und würden auch keine clearance erhalten. Im Geheimdienstumfeld bevorzugt man Staatsbürger mit entsprechender Secret bzw. TS (u2/3) clearance des jeweiligen Landes. Die „no-spy“ Debatte erscheint mir etwas realitätsfern und stattdessen werden dann z.B. alle Mitarbeiter einer deutschen Gesellschaft eines ausländischen IT Konzerns unter Generalverdacht gestellt. Vielleicht zeigt sich aber auch wieder der schleichende Antiamerikanismus in Deutschland. Ein europäischer IT Konzern a la Capgemini mit int. Geheimdienstaufträgen ist das politisch vertretbarer Übel im Vergleich zu einem US Konzern? Fakt ist, dass wir in Europa oder gar Deutschland kaum oder keine globalen/grossen IT Dienstleister mit umfangreichen Kompetenzen/Ressourcen besitzen. Auch die Behörden in Deutschland oder auf EU leisten ihren Beitrag indem sie bevorzugen, kritische/große IT Projekte nur an bereits bestehende IT Konzerne zu vergeben, die dann kleinere (lokale) Firmen oder Spezialisten als Sub im Konsortium haben. Wie soll da jemals eine „deutsche“ Cap entstehen? Im Zweifel würde sie sowieso von den großen der Branche geschluckt. Es herrscht Konsolidierungs- und Preisdruck, u.a. auch durch Firmen aus Indien wie TCS oder HCL. Fakt ist auch, dass Daten nicht automatisch ins Ausland wandern, wenn ein deutsche Tochter einen öffentlichen Auftrag erhält. CSC bzw. (CSC) Ploenzke ist seit Jahrzehnten Partner der öffentlichen Verwaltung und deren IT Projekten. Der Zeitraum und die jeweiligen Projekte sprechen fuer sich. Fakt ist auch, dass „no-spy“ Klauseln nicht zur gewünschten IT Sicherheit führen werden und zudem alle deutschen Mitarbeiter von Dienstleistern die irgendwo auf der Welt auch im Sicherheitsumfeld aktiv sind, benachteiligt. Die Debatte ist notwendig und gut. Jedoch sollte dies nicht so einseitig erfolgen, wie dies SZ und NDR durch bewusstes Auslassen von Informationen oder schlechte Nachforschungen praktizieren. Die Kommentare seitens diverser Politiker sind kaum besser. Mann kann Capgemini nur viel Erfolg bei den Projekten für Dataport im Norden wünschen.

    1. Danke! Ich kann’s nicht mehr hören, wie der „umstrittene“ Dienstleiter CSC der große böse Wolf ist und alle anderen sind die Guten. Gibt es außer dem NDR und der SZ noch irgendjemand anderen, der etwas zu sagen hat? Vielleicht verliert CSC ja auch Ausschreibungen, weil sie einfach zu doof sind, die richtigen Menschen zu schmieren. Vielleicht befinden wir uns schon längst in einer Postdemokratie und sollen bewusst von der großen Problematik der Datensicherheit abgelenkt werden, indem wir applaudieren, wenn der böse US-Amerikaner ein paar auf die Mütze bekommt. Das wirkt ziemlich billig.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.