Bundesrechnungshof bezweifelt Sinn der neuen Cyberagentur

Die Bundesregierung will eine neue „Agentur für Innovation in der Cybersicherheit“ gründen. Der Bundesrechnungshof kritisiert die Cyberagentur in einem vernichtenden Bericht, den wir veröffentlichen. Ursula von der Leyen und Horst Seehofer inszenieren heute trotzdem den Auftakt.

Bundesinnenminister Seehofer und Bundesverteidigungsministerin von der Leyen
Minister von der Leyen und Seehofer verkünden die Cyberagentur. (Original ohne Cyberrolle) Alle Rechte vorbehalten Henning Schacht, BMI

In Bundeswehr und Verteidigungsministerium häufen sich Pleiten, Pech und Pannen. Die Instandsetzung des Segelschulschiffs „Gorch Fock“ verteuert sich von zehn auf 135 Millionen Euro, im Bundestag prüft ein Untersuchungsausschuss Rechts- und Regelverstöße bei Millionen-Aufträgen, die das Ministerium an externe Beraterfirmen vergab.

Der Bundesrechnungshof sammelt weitere Mängel: Das Militär beschafft Kriegsschiffe ohne ausreichende Besatzung, richtet tausende überflüssige Dienstposten ein und weiß nicht, wie viel Sprengstoff es besitzt. Jetzt kritisieren die Finanzkontrolleure ein weiteres Projekt, bevor es überhaupt losgeht: die „Agentur für Innovation in der Cybersicherheit“.

Innovation in der Cybersicherheit

Die Bundesregierung hat beschlossen, eine „Cyberagentur“ einzurichten, um die „technologische Innovationsführerschaft“ Deutschlands sicherzustellen. Der Rechnungshof hat das Projekt analysiert und einen vernichtenden Bericht verfasst, den wir im Volltext veröffentlichen. Die oberste Finanzkontrolle bemängelt nicht nur Finanzierung und Personal, sondern stellt den ganzen Sinn des Projekts in Frage.

Trotzdem reisen Verteidigungsministerin von der Leyen und Innenminister Seehofer heute zum Flughafen Leipzig/Halle, dort im „Mitteldeutschen Revier“ wollen sie die Cyberagentur ansiedeln. Eigentlich sollte die bereits im Frühjahr gegründet werden, doch das verzögert sich. Also wollen die Minister wenigstens eine Absichtserklärung unterzeichnen, gemeinsam mit den Ministerpräsidenten von Sachsen und Sachsen-Anhalt. Es ist Wahlkampf im Osten.

Disruption und Schlüsseltechnologie

Die Cyberagentur hieß ursprünglich „Agentur für Disruptive Innovationen in der Cybersicherheit und Schlüsseltechnologien“ (ADIC), wurde aber umbenannt. Die Cyber-Institution soll solche Innovationen „identifizieren und fördern“.

Internen Entwürfen des Verteidigungsministeriums zufolge würde die Agentur gezielte Forschungsaufträge vergeben, jedoch „grundsätzlich keine eigene Forschung, Entwicklung und Innovation betreiben“. Sie soll den Bedarf der Sicherheitsbehörden koordinieren und die „Zusammenarbeit zwischen Bund, Wissenschaft und Wirtschaft“ stärken.

Hohes Risiko der Mehrfachförderung

Deutschland hat bereits eine ganze Reihe an Behörden und -institutionen für „Cyber“. Der Bundesrechnungshof warnt gleich sechs Mal vor „staatlicher Mehrfachförderung“ und sieht das Risiko, dass sich die Cyberagentur nicht „von anderen Forschungsorganisationen abgrenzen lässt“.

Es gibt einen ganzen Zoo an ähnlichen Organisationen: Die Bundeswehr hat einen Cyber Innovation Hub für „disruptive Innovationen und digitale Transformation“. Die Bundeswehr-Universität hat ein Forschungsinstitut Cyber Defence (CODE) als „ressortübergreifenden Cybercluster“ für „Grundlagenforschung auf Exzellenzniveau“.

Das Forschungsministerium finanziert gleich drei Kompetenzzentren für IT-Sicherheitsforschung an Universitäten und Instituten und gibt in dieser Legislaturperiode 650 Millionen Euro für Quantentechnologien aus.

Darüber hinaus gibt es das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS), eine Agentur zur Förderung von Sprunginnovationen (SprinD). Vor diesem Hintergrund ist schwer verständlich, warum es noch eine neue Cyberagentur braucht.

„In wesentlichen Punkten nicht haltbar“

Angenommen, die Cyberagentur wäre sinnvoll: Dann hätte sie ein Geldproblem. Eigentlich wollte die Bundesregierung in dieser Legislaturperiode 365 Millionen Euro dafür ausgeben, jeweils zur Hälfte von Verteidigungs- und Innenministerium. Von der Leyen hat ihre Zusage auch eingehalten, aber Seehofer will statt 182 nur noch 40 Millionen Euro ausgeben. Damit schrumpft das Gesamt-Budget auf 61 Prozent des Plans.

Das gefährdet das ganze Projekt. Laut Bundesregierung ist die gemeinsame Finanzierung „ein wesentliches Kriterium für den Erfolg der Cyberagentur“. Der Bundesrechnungshof moniert, dass die Ministerien mit Annahmen geplant haben, „die in wesentlichen Punkten nicht mehr haltbar sind“. Das Innenministerium hat auf unsere Anfrage nicht geantwortet will „zur finanziellen Ausstattung derzeit nicht Stellung nehmen“.

Ein Sprecher des Verteidigungsministeriums antwortete auf Anfrage von netzpolitik.org, der aktuelle Haushaltsentwurf sehe „40 Millionen Euro für das Haushaltsjahr 2020 sowie jeweils Verpflichtungsermächtigungen für die Folgejahre in Höhe von jeweils 40 Millionen Euro vor“. Das können wir anhand der bisher veröffentlichten Dokumente nicht nachvollziehen. Auch wenn die Zahlen stimmen, denen der Bundestag noch zustimmen muss – eine Finanzierungslücke bleibt.

Als Vorbild hatten die Minister ohnehin immer wieder die Forschungsbehörde DARPA des US-Militärs genannt, die unter anderem den Internet-Vorläufer ARPANET und das Satellitennavigationssystem GPS entwickelt hat. Die DARPA entstand nach dem Sputnik-Schock und hat mehr als drei Milliarden Euro pro Jahr zur Verfügung. Selbst mit 365 Millionen in vier Jahren könnte Deutschland da nicht mithalten.

Personalgewinnung nahezu aussichtslos

Alle staatlichen Institutionen suchen händeringend nach Fachkräften, aber wenige IT-Experten wollen für Beamten-Gehälter arbeiten, wenn sie auf dem freien Markt weit mehr verdienen können. Das Innenministerium hat extra eine IT-Fachkräftezulage eingeführt, aber das reicht trotzdem nicht. Ob ZITiS oder Bundeswehr, Nerds dienen nicht der Bundesrepublik.

Auch die Ministerien sehen ein hohes Risiko, „dass es nicht gelingen könnte, hochqualifiziertes Personal für die Cyberagentur zu gewinnen“. Aber Behörden können nicht einfach marktübliche Gehälter zahlen, eine solche „Besserstellung“ mancher Staatsangestellter gegenüber anderen ist in Deutschland verboten.

Der Rechnungshof hat von Anfang an auf diesen „Zielkonflikt“ hingewiesen, trotzdem ist er „noch immer offen“. Dass die Cyberagentur rechtzeitig genug geeignetes Personal findet, nennt er „ambitioniert“ – also unwahrscheinlich. Die Nachfrage nach solchen Arbeitnehmern ist höher als das Angebot. Kann die Agentur ihren Personalplan nicht einhalten, hat das „erhebliche Auswirkung“ auf die „Aufnahme des Betriebs“.

SPD gegen Privatisierung

Dabei gibt es schon genug Verzögerung im Ablauf. Noch in diesem Jahr sollten Ideenwettbewerbe und Forschungsaufträge starten. Bis heute gibt es nicht einmal ein entsprechendes Gebäude auf dem Flughafengelände Halle/Leipzig, wo die Agentur sitzen soll.

Auch die SPD kritisiert das Projekt der beiden Unionsministerien. Eigentlich sollte der Haushaltsausschuss im Bundestag das Budget für die Cyberagentur letzte Woche freigeben, aber der Koalitionspartner hat das verweigert. Die SPD will die Agentur auch – immerhin steht sie im Koalitionsvertrag – aber sie lehnt die Rechtsform einer GmbH ab.

Die SPD „will grundsätzlich im Verteidigungsbereich keine Privatisierungen mehr“, sagt Dennis Rohde, der stellvertretende Vorsitzende des Haushaltsausschusses, und verweist auf den Untersuchungsausschuss zur Berateraffäre. Zudem stört die Sozialdemokraten, dass für die Cyberagentur „keinerlei parlamentarische Kontrolle vorgesehen“ ist.

Durchschaubare Wahlkampf-PR

Im Verteidigungsministerium ist man vom Konzept überzeugt. Auch das SPD-geführte Finanzministerium habe dem Antrag „auf Gründung einer Inhouse-Gesellschaft in Form einer GmbH zugestimmt“, schreibt ein Sprecher des Ministeriums. Daher „wird davon ausgegangen, dass die Agentur wie beschlossen kommen wird“.

Die Rechtsform stand noch nicht im Koalitionsvertrag, sie ist erst im Kabinettsbeschluss festgelegt worden. Haushaltspolitiker Rohde kritisiert: „Der ist vor der Berateraffäre entstanden“ – und in dessen Zentrum steht nunmal eine bundeseigene GmbH. Als Jurist entfällt für ihn mit dem laufenden Untersuchungsausschuss die Geschäftsgrundlage für eine neue private Rechtsform.

Verteidigungsministerin von der Leyen und Innenminister Seehofer wollen heute trotzdem eine Absichtserklärung unterzeichnen. Für Rohde ist das „sehr durchschaubare Wahlkampf-PR“ – und eine „Zustimmung der Ministerin, dass es keine GmbH mehr geben wird“.




  • Geheimhaltungsstufe: Verschlusssache – Nur für den Dienstgebrauch
  • Datum: 18. Juni 2019
  • Von: Bundesrechnungshof
  • An: Haushaltsausschuss des Deutschen Bundestages
  • Nach: § 88 Abs. 2 Bundeshaushaltsordnung
  • Geschäftszeichen: IV 3 – 2019 – 0609 VS NfD

Gründung einer Agentur für Innovation in der Cybersicherheit

Dieser Bericht enthält das vom Bundesrechnungshof abschließend im Sinne des § 96 Abs. 4 Satz 1 BHO festgestellte Prüfungsergebnis. Die Entscheidung über eine Weitergabe an Dritte bleibt dem Bundesrechnungshof vorbehalten.

Inhaltsverzeichnis

  1. Zusammenfassung
  2. Ausgangslage
  3. Ausstattung der Cyberagentur
    1. Finanzausstattung
    2. Personalausstattung
    3. Forschungsausstattung
  4. Konzept für eine Erfolgskontrolle
  5. Schnittstellenmanagement zur staatlich geförderten Forschungslandschaft
  6. Gesellschaftsvertrag und Leistungsvereinbarung
    1. Vergaberecht
    2. Beteiligung
  7. Verbindung zur Agentur zur Förderung von Sprunginnovationen

0. Zusammenfassung

Die Bundesregierung will disruptive Innovationen fördern. Das Bundesministerium der Finanzen legte dazu dem Haushaltsausschuss des Deutschen Bundestages mit Schreiben vom 14. Juni 2019 eine Vorlage des Bundesministeriums der Verteidigung zur Gründung einer „Agentur für Innovation in der Cybersicherheit (Cyberagentur)“ vor. Darin bittet es, der Gründung der Cyberagentur in der Rechtsform einer Gesellschaft mit beschränkter Haftung zuzustimmen.

Dem Bundesrechnungshof liegen

  • diese Vorlage,
  • die Stellungnahme des Bundesministeriums der Verteidigung zu einem Entwurf dieses Berichtes sowie
  • die Wirtschaftlichkeitsuntersuchung des Bundesministeriums der Verteidigung und des Bundesministeriums des Innern, für Bau und Heimat von Juli 2018 zur Wahl der Rechtsform der Cyberagentur

vor. Der Bundesrechnungshof stellte fest, dass die Ministerien in der Wirtschaftlichkeitsuntersuchung Annahmen u. a. zur Finanzierung und zum Personal der Cyberagentur trafen, die in wesentlichen Punkten nicht mehr haltbar sind.

So hatten sie angenommen, dass die Cyberagentur in den Jahren 2019 bis 2022 insgesamt 365 Mio. Euro benötigt. Dies wollten sie jeweils hälftig finanzieren. Abweichend davon sehen der Bundeshaushalt 2019 und der geltende Finanzplan für diesen Zeitraum lediglich 222,5 Mio. Euro vor, davon 182,5 Mio. Euro im Einzelplan 14 und 40 Mio. Euro im Einzelplan 06.

Außerdem hatten die Ministerien ein hohes Risiko darin gesehen, dass es nicht gelingen könnte, hochqualifiziertes Personal für die Cyberagentur zu gewinnen. Daher müsse diese marktübliche Vergütungen anbieten können. Nunmehr soll die Cyberagentur das Besserstellungsverbot anwenden. Damit besteht ein Zielkonflikt. Einerseits will das Bundesministerium der Verteidigung Personen gewinnen, die besonders attraktive Bedingungen erwarten. Andererseits darf es Rechenschaftspflicht und Kontrolle der Mittelverwendung auch hier nicht einschränken. Es muss sich an die Vorgaben für die Verwendung von Bundesmitteln halten. Wie das Bundesministerium der Verteidigung diesen Zielkonflikt lösen will, ist noch immer offen.

In seiner Vorlage weist das Bundesministerium der Verteidigung nicht auf diese Einschränkungen hin. Ebenso geht es auf die sich daraus ergebenden Konsequenzen nicht ausreichend ein. So bleibt in der Vorlage weitgehend offen, ob und wie die Cyberagentur ihre Ziele erreichen kann, da sie das Personal nicht marktüblich vergüten kann und für die Cyberagentur nur ein deutlich reduziertes Budget eingeplant ist.

Die Annahmen aus der Wirtschaftlichkeitsuntersuchung zur Cyberagentur treffen nunmehr nur eingeschränkt zu. Darin sieht der Bundesrechnungshof erhebliche Risiken. Er hat im vorliegenden Bericht die einzelnen Risiken dargestellt und bewertet.

Falls der Haushaltsausschuss des Deutschen Bundestages die Vorlage genehmigt, empfiehlt der Bundesrechnungshof, der Bundesregierung aufzugeben, darzustellen,

  • inwieweit sich die ggf. geringere Finanzausstattung und verzögerte Mittelbereitstellung auf die Wirtschaftlichkeit auswirken würde und ob dadurch eine Anpassung der mit der Einrichtung der Agentur verfolgten Ziele erforderlich ist,
  • wie die Cyberagentur unter Beachtung des Besserstellungsverbotes ausreichend attraktiv für hochqualifiziertes Personal sein will und ob sich das Besserstellungsverbot auf die Wahl der Rechtsform auswirkt,
  • warum Stiftungsprofessuren erforderlich sind und unter welchen Rahmenbedingungen diese eingerichtet werden sollen,
  • wofür die Cyberagentur, ohne selbst zu forschen, eine eigene Forschungsinfrastruktur benötigt oder warum sie sich an einer beteiligen soll und wie diese ausgestaltet sein soll

und sie darüber hinaus aufzufordern,

  • die Cyberagentur als ein Pilotprojekt mit einer Laufzeit von sieben Jahren zu starten,
  • spätestens drei Monate nach der Gründung der Cyberagentur ein Konzept für eine Erfolgskontrolle nach § 7 BHO mit den in den allgemeinen Verwaltungsvorschriften Nr. 2.2 zu § 7 BHO dargelegten Untersuchungsschritten zu erstellen,
  • in diesem Konzept darzulegen, anhand welcher Kriterien und Verfahren sie den Erfolg und den Mehrwert der Cyberagentur überprüfen will,
  • die Schnittstellen der Cyberagentur insbesondere zur staatlich geförderten Forschungslandschaft in der Cybersicherheit zu definieren und darzustellen, wie die Cyberagentur diese Schnittstellen aktiv managt, um staatliche Mehrfachförderungen zu vermeiden,
  • ein ressortübergreifend abgestimmtes Konzept vorzulegen, in dem sie die Schnittstellen und die Zusammenarbeitsbeziehungen zwischen der Cyberagentur und der zu gründenden „Agentur zur Förderung von Sprunginnovationen“ definiert und
  • das Synergiepotenzial zu untersuchen, welches sich ergäbe, wenn beide Agenturen in räumlicher Nähe zueinander Unterstützungsprozesse gemeinsam nutzten.

1. Ausgangslage

Die Bundesregierung will disruptive Innovationen (im Folgenden: Sprunginnovationen) fördern. Dazu stimmte sie in der Kabinettsitzung vom 29. August 2018 zu, die „Agentur zur Förderung von Sprunginnovationen“ und die „Agentur für Innovation in der Cybersicherheit (Cyberagentur)“ zu gründen. Beide Agenturen sollen komplementär zueinander, aber organisatorisch getrennt arbeiten. Die Bundesregierung will diese jeweils ressortübergreifend gründen.

Das Bundesministerium der Verteidigung (BMVg) beabsichtigt, die Cyberagentur zusammen mit dem Bundesministerium des Innern, für Bau und Heimat (BMI) in der Rechtsform einer Gesellschaft mit beschränkter Haftung (GmbH) mit folgender Zielsetzung zu gründen:

  • „[G]ezielte Vergabe von Forschungsaufträgen für disruptive Technologien und Schlüsseltechnologien in der Cybersicherheit,
  • Koordination der Bedarfsdeckung in der Forschungslandschaft der Sicherheitsbehörden und
  • Stärkung der Zusammenarbeit zwischen Bund, Wissenschaft und Wirtschaft.“

Mit der Wahl der Rechtsform einer GmbH wollen das BMVg und das BMI der Cyberagentur eine weitgehende unternehmerische Entscheidungs- und Gestaltungsfreiheit einräumen. Das BMVg strebt an, dass das BMI sich an der Finanzierung der Cyberagentur paritätisch beteiligt.

Das Bundesministerium der Finanzen (BMF) übersandte dem Haushaltsausschuss des Deutschen Bundestages (Haushaltsausschuss) mit Schreiben vom 14. Juni 2019 eine Vorlage des BMVg nebst Anlage (Vorlage) zur Gründung der Cyberagentur (Haushaltsausschuss Ausschussdrucksache 19(8)3422). Darin bittet es den Haushaltsausschuss, der Gründung der Cyberagentur in der Rechtsform einer GmbH zuzustimmen.

Dem Bundesrechnungshof liegen die Vorlage sowie die Wirtschaftlichkeitsuntersuchung, die das BMVg und das BMI im Juli 2018 zur Wahl der Rechtsform der Cyberagentur erstellten, vor. Auf dieser Basis weist der Bundesrechnungshof auf Risiken und offene Fragen hin.

Das BMVg nahm am 5. Juni 2019 zu einem Entwurf dieses Berichtes Stellung. Der Bundesrechnungshof berücksichtigte diese Stellungnahme.

2. Ausstattung der Cyberagentur

Das BMVg und das BMI verglichen im Juli 2018 in einer Wirtschaftlichkeitsuntersuchung mögliche Rechtsformen für die zu gründende Cyberagentur. Darin sowie in der Vorlage trafen das BMVg und das BMI u. a. Annahmen und Aussagen zur Finanz-, Personal- und Forschungsausstattung der Cyberagentur.

2.1. Finanzausstattung

Das BMVg und das BMI nahmen in der Wirtschaftlichkeitsuntersuchung an, dass „eine angemessene Finanzausstattung für die Betriebsaufnahme und den laufenden Betrieb besteht“. Als eine angemessene Finanzausstattung sahen sie 365 Mio. Euro für die Jahre 2019 bis 2022 vor.

Die Agentur sollte entsprechend der Wirtschaftlichkeitsuntersuchung hälftig durch das BMI und das BMVg finanziert werden. In den Einzelplänen 06 und 14 sollten jeweils 182,5 Mio. Euro eingeplant werden. Im Entwurf der Ressortvereinbarung heben das BMVg und das BMI hervor, dass es eine „wesentliche Voraussetzung (…) ist, dass Ausgaben der Agentur für Gründung, Aufbau, Grundbetrieb, aber auch für die Forschungsgegenstände selbst zwischen den Fachressorts zu vergleichbaren Teilen getragen werden.“

Der Bundeshaushalt 2019 und der geltende Finanzplan sehen für die Cyberagentur in den Jahren 2019 bis 2022 Ausgaben von 222,5 Mio. Euro vor. Diese teilen sich auf den Einzelplan 06 mit 40 Mio. Euro und den Einzelplan 14 mit 182,5 Mio. Euro auf. Damit sind im Bundeshaushalt 2019 und dem geltenden Finanzplan 142,5 Mio. Euro weniger eingeplant als in der Wirtschaftlichkeitsuntersuchung angenommen.

Das BMVg reduzierte in seiner Vorlage seinen Finanzierungsbeitrag für das Jahr 2019 um 30 Mio. Euro auf 10 Mio. Euro. Es begründete dies mit einem Wirkbetrieb der Cyberagentur im Jahr 2019 von maximal sechs Monaten.

Das BMVg verweist in seiner Stellungnahme zu einem Entwurf dieses Berichts darauf, dass das BMI aktuell Gespräche mit dem BMF führe. Ziel dieser Gespräche solle es sein, den Mittelansatz im Einzelplan 06 ab dem Jahr 2020 zu erhöhen, um eine paritätische Finanzierung mit dem BMVg zu erreichen.

Bewertung

Das BMVg betont, eine ausreichende Finanzausstattung sei ein wesentliches Kriterium für den Erfolg der Cyberagentur. Inwieweit sich die Differenz von 142,5 Mio. Euro zwischen der Wirtschaftlichkeitsuntersuchung sowie dem Bundeshaushalt 2019 und dem geltenden Finanzplan auf die Wirtschaftlichkeit und Zielerreichung der Cyberagentur auswirken könnte, lässt das BMVg für den Zeitraum ab dem Jahr 2020 in der Vorlage und seiner Stellungnahme zu einem Entwurf dieses Berichts weitgehend offen. Auch bleibt offen, welche Folgen es hätte, sollte das BMI den Mittelansatz im Einzelplan 06 nicht deutlich erhöhen können, um so die Cyberagentur – wie ursprünglich geplant paritätisch zu finanzieren.

Empfehlung

Der Bundesrechnungshof empfiehlt, der Gründung der Cyberagentur nur zuzustimmen, wenn das BMVg und das BMI zuvor darstellen, inwieweit sich

  • die ggf. geringere Finanzausstattung und
  • die verzögerte Mittelbereitstellung

auf die Wirtschaftlichkeit der Cyberagentur auswirken und ob dadurch eine Anpassung der mit der Einrichtung der Agentur verfolgten Ziele erforderlich ist.

2.2. Personalausstattung

Sachverhalt

Das BMVg und das BMI sehen ein hohes Risiko für die Zielerreichung der Cyberagentur, wenn es nicht gelingt, hochqualifiziertes Personal zu gewinnen. Dieses Personal benötige die Cyberagentur, um Sprunginnovationen in der Cybersicherheit zu identifizieren und diese mit Forschungsaufträgen zu fördern. Ein Alleinstellungsmerkmal der Cyberagentur bestehe darin, dass das angestellte Personal selbst nicht forsche. Programmmanager der Cyberagentur sollten die beauftragten Forschungsprojekte überwachen und steuern. Die Programmmanager sollten gemäß Wirtschaftlichkeitsuntersuchung u. a. promoviert und ggf. habilitiert sein oder über eine langjährige Erfahrung in der Leitung von Forschungsabteilungen von Unternehmen verfügen.

Entsprechend der Wirtschaftlichkeitsuntersuchung hängt die Leistungsfähigkeit der Cyberagentur auch von der Anzahl der Beschäftigten ab. Die Cyberagentur soll ihre Leistungsfähigkeit schrittweise aufbauen. Innerhalb von sechs Monaten nach ihrer Gründung soll die Cyberagentur mit 40 Beschäftigten über eine Anfangsbefähigung verfügen und damit den Projektbetrieb aufnehmen. Nach einem Jahr soll der Aufwuchs des Personals abgeschlossen und die Zielbefähigung erreicht sein.

Gemäß Wirtschaftlichkeitsuntersuchung müsse die Cyberagentur als attraktive Arbeitgeberin insbesondere eine „marktübliche Vergütung anbieten können“. Für die in der Cyberagentur zu besetzenden Funktionsstellen definierten das BMVg und das BMI in der Wirtschaftlichkeitsuntersuchung Anforderungen. Sie wiesen jeder Funktionsstelle ein Einkommen nach dem Tarifvertrag für den Öffentlichen Dienst (TVöD) zu. Sie prognostizierten, um wie viel Prozent sie dieses Einkommen erhöhen müssten, um eine marktübliche Vergütung bieten zu können. Im Ergebnis lag das Einkommen je nach Funktionsstelle zwischen 2 bis 285 % über dem TVöD.

Im September 2018 führte das BMVg gegenüber dem BMF aus, dass die Cyberagentur auf „exzellent ausgebildetes und international erfahrenes Personal“ angewiesen sei. Sollte es diesem „nur eine dem TVöD vergleichbare Bezahlung“ anbieten können, so sei „eine Personalgewinnung für die Agentur nahezu aussichtslos“. Bahnbrechende Innovationen im Bereich der Cybersicherheit ließen sich demnach nicht erreichen.

Im Dezember 2018 erteilte das BMF unter Auflagen die Einwilligung nach § 65 Absatz 2 BHO zur beabsichtigten Gründung der Cyberagentur. Eine Auflage war, dass das Besserstellungsverbot angewendet wird. Das BMF hat für bis zu sieben Funktionen Ausnahmen vom Besserstellungsverbot zugelassen. Diesen darf entsprechend ihrer Funktion ein Einkommen angeboten werden, welches begrenzt ist, aber über dem TVöD liegt.

Das BMVg verweist in seiner Vorlage auf die „Nutzung von vollständig marktorientierten Vergütungen“, die das Personalmanagement der Cyberagentur nutze, um national und international um Spitzenpersonal zu konkurrieren. Das BMVg geht in seiner Vorlage nicht auf die Auflage des BMF hinsichtlich des Besserstellungsverbotes ein. Es zeigt nicht auf, inwieweit sich diese Auflage auf die Leistungsfähigkeit sowie die Aufbau- und Ablauforganisation der Cyberagentur auswirkt. Auch hat es nicht dargestellt, welche Konsequenzen dies u. a. auf die Wahl der Rechtsform haben könnte.

In seiner Stellungnahme zu einem Entwurf dieses Berichts führt das BMVg allerdings zum Besserstellungsverbot aus, dass es

  • nach der Gründung der Cyberagentur weitere Ausnahmen beim BMF beantragen wolle und bei einer schnellen Billigung keine weiteren Einschränkungen erwarte,
  • Leistungen zukaufen wolle, die aufgrund fehlenden Personals nicht erbracht werden könnten oder
  • dem Besserstellungsverbot durch einen „Mehreinsatz von Personal (Bündelung erforderlicher Kompetenzen auf einer Stelle)“ begegnen wolle.

Das BMVg weist außerdem darauf hin, dass die zeitlichen Vorgaben zur Erreichung der Anfangs- und Zielbefähigung ambitioniert seien. Könne die Cyberagentur diese zeitlichen Vorgaben nicht vollumfänglich erreichen, erwarte das BMVg eine erhebliche Auswirkung auf den Fortschritt in der Aufnahme des Betriebs. Zu dieser Auswirkung führt das BMVg nicht weiter aus.

Bewertung

Obwohl das BMVg eine marktübliche Vergütung des Personals als wichtige Voraussetzung für den Erfolg der Cyberagentur bewertete, hat es in seiner Vorlage nicht aufgezeigt, wie es die Auflage des Besserstellungsverbotes des BMF berücksichtigen will. Es hätte darauf eingehen müssen, wie es die Cyberagentur für das zu gewinnende Personal trotz des Besserstellungsverbotes attraktiv darstellen kann. So bleibt offen, ob und wie die Cyberagentur ausreichend Personal gewinnen kann, um Sprunginnovationen in der Cybersicherheit effektiv und effizient zu fördern. Weiterhin hätte das BMVg aufzeigen müssen, welche Annahmen der Wirtschaftlichkeitsuntersuchungen bzgl. des Personals wegen dieser Auflage anzupassen sind und ob sich daraus ggf. Änderungen für die Empfehlung der wirtschaftlichen Alternative der Bedarfsdeckung ergeben. Auch der Ausschluss einer Behördenlösung müsste vor diesem Hintergrund noch einmal kritisch hinterfragt werden.

Nach Auffassung des Bundesrechnungshofes hat das BMVg noch keine ausreichende Antwort auf das Besserstellungsverbot gefunden. Er sieht ein hohes Risiko, wenn das BMF nach der Gründung der Cyberagentur weitere Ausnahmen nicht wie vom BMVg angenommen schnell billigt. Weiterhin darf es nicht Zielsetzung des BMVg sein, das Besserstellungsverbot dadurch zu umgehen, Leistungen extern einzukaufen und damit das Risiko zu erhöhen, unwirtschaftlich zu handeln.

Der Bundesrechnungshof erachtet es für ambitioniert, innerhalb eines Jahres hochqualifiziertes Personal für die Cyberagentur zu gewinnen, um die Zielbefähigung zu erreichen. Die Nachfrage nach diesem Personal in der Cybersicherheit ist größer als das Angebot.

Empfehlung

Der Bundesrechnungshof empfiehlt, der Gründung der Cyberagentur nur zuzustimmen, wenn das BMVg und das BMI zuvor darstellen,

  • welche Auswirkungen das Besserstellungsverbot auf die Leistungsfähigkeit der Cyberagentur hat,
  • wie die Cyberagentur unter Beachtung des Besserstellungsverbotes ausreichend attraktiv für hochqualifiziertes Personal sein will,
  • welche Auswirkungen zu erwarten sind und welche Vorsorge getroffen wird, sollten Anfangs- und Zielbefähigung verzögert erreicht werden und
  • wie sich Abweichungen von den Annahmen der Wirtschaftlichkeitsuntersuchung u. a. auf die Wahl der Rechtsform auswirken.

2.3. Forschungsausstattung

Sachverhalt

Das BMVg legt den Gegenstand der Cyberagentur im Entwurf des Gesellschaftsvertrages fest. Demnach soll u. a. „die Identifizierung von Innovationsträgern, Evaluierung und Beobachtung von Themen, die Förderung und Finanzierung von Forschungsvorhaben sowie die Beauftragung Dritter mit Forschungsaufgaben im Bereich der Cybersicherheit“ Gegenstand der Cyberagentur sein. Dazu soll die Cyberagentur nicht selbst forschen, sondern als Plattform dienen, um „Wissen und Erfahrungen zu sammeln und zu koordinieren sowie mit den Sicherheitsbehörden ihren Forschungsbedarf abzustimmen und anschließend bei Forschungsinstituten (…) zu decken. Sie ist kein Forschungsinstitut. Vielmehr soll sie Programme und Projekte ausschreiben“.

Das BMVg stellte in seiner Vorlage dar, dass es in den Jahren 2019 bis 2022 einen anteiligen Finanzbedarf für den „Aufbau, Beteiligung oder Betrieb eigener Labs und Forschungsinfrastruktur“ von 9 Mio. Euro sieht. Zuzüglich des Anteils des BMI würde sich aufgrund der paritätischen Finanzierung der Finanzbedarf auf 18 Mio. Euro erhöhen.

Das BMVg erläutert in seiner Stellungnahme zum Entwurf dieses Berichts, warum es eine eigene Forschungsinfrastruktur für die Cyberagentur für erforderlich erachte. Dazu führt es u. a. aus, dass diese Forschungsinfrastruktur

  • wichtig sei, um in der Cyberagentur eine eigene Beurteilungs- und Erkenntnisfähigkeit aufzubauen und zu erhalten,
  • als Beteiligung in Form von Kooperationen mit fremden Forschungseinrichtungen ausgestaltet werden könne und es diese Kooperationen als ein weitere Möglichkeit der Personalgewinnung sehe und
  • die Ausstattung der Labore „mit der Einrichtung spezifischer Stiftungsprofessuren“ einhergehe.

Es hebt in seiner Stellungnahme zu einem Entwurf dieses Berichts hervor, dass es die Beteiligung an Forschungsinfrastrukturen für wirtschaftlich erachte. Es geht nicht näher auf den Aufbau einer eigenen Forschungsinfrastruktur der Cyberagentur ein. Zu den Stiftungsprofessuren führt das BMVg nichts Weiteres aus.

Bewertung

Die Cyberagentur soll nicht selbst forschen, sondern Sprunginnovationen im Bereich der Cybersicherheit identifizieren und geeignete Dritte mit der weiteren Forschung beauftragen. Die Forschung wird nicht vor Ort in der Cyberagentur erfolgen, sondern am Ort des Auftragnehmers. Der Auftragnehmer müsste demnach über die für die Forschung erforderliche Labor- und Testumgebung verfügen.

Der Auftragnehmer wird in dieser Labor- und Testumgebung die Forschungserkenntnisse der Cyberagentur präsentieren und diese auch dort durch die Cyberagentur prüfen lassen.

Dem Bundesrechnungshof erschließt sich nicht, weshalb die Cyberagentur gleichwohl eine eigene Forschungsinfrastruktur benötigt oder sich an einer solchen beteiligen muss. Die Cyberagentur soll ja gerade kein Forschungsinstitut sein und sie soll selbst nicht forschen.

Während das BMVg in seiner Stellungnahme zu einem Entwurf dieses Berichts überwiegend auf die Erforderlichkeit und Wirtschaftlichkeit einer Beteiligung an fremder Forschungsinfrastruktur eingeht, plant es in seiner Vorlage Finanzmittel für „Aufbau, Beteiligung oder Betrieb eigener Labs und Forschungsinfrastruktur“ ein. Damit bleiben Fragen zum Aufbau von eigenen Laboren hinsichtlich Erfordernis und Ausgestaltung offen.

Der Bundesrechnungshof kann Erfordernis und Wirtschaftlichkeit der erwähnten Stiftungsprofessuren nicht bewerten, da ihm keine Unterlagen vorliegen, in denen das BMVg zu diesen Stiftungsprofessuren Einzelheiten ausführt.

Empfehlung

Der Bundesrechnungshof empfiehlt, dem BMVg und dem BMI aufzugeben, zu erläutern,

  • warum Stiftungsprofessuren erforderlich sind und unter welchen Rahmenbedingungen diese eingerichtet werden sollen,
  • wofür die Cyberagentur, ohne selbst zu forschen, eine eigene Forschungsinfrastruktur benötigt oder warum sie sich an einer beteiligen soll und
  • wie die eigene Forschungsinfrastruktur ggf. ausgestaltet sein soll.

3. Konzept für eine Erfolgskontrolle

Sachverhalt

Das BMVg wies in seiner Vorlage darauf hin, es beabsichtige parallel zur Gründung der Cyberagentur ein Verfahren zur Messung des Erfolgs einschließlich der Wirksamkeit ihres Betriebs zu entwickeln. Die dadurch bis zum Jahr 2022 gewonnenen Erkenntnisse wolle es in einem Bericht an das Parlament zusammenfassen und den Vertrag mit der Cyberagentur ggf. für die Zeit nach dem Jahr 2022 anpassen.

Das BMVg konnte dem Bundesrechnungshof auf Nachfrage kein Konzept hierfür vorlegen, weil es dieses derzeit zusammen mit dem BMI noch erstelle. Das BMVg führt nicht aus, wann es ein gebilligtes Konzept vorlegen will. Damit fehlen dem BMVg und dem BMI Kriterien und Verfahren, anhand derer sie den Erfolg der Cyberagentur ermitteln wollen.

Bewertung

Wenn das BMVg und das BMI nicht vor oder zeitnah nach der Gründung der Cyberagentur in einem Konzept festlegen, anhand welcher Kriterien sie den Erfolg der Cyberagentur messen wollen, verstoßen sie gegen die Allgemeinen Verwaltungsvorschriften (VV) zu § 7 BHO. In der VV Nr. 2.1 zu § 7 BHO ist geregelt, dass schon die Wirtschaftlichkeitsuntersuchung in der Planungsphase Aussagen zu den Kriterien und Verfahren der Erfolgskontrolle enthalten soll. So soll sichergestellt werden, dass bspw. erforderliche Vergleichsdaten für eine spätere Erfolgskontrolle rechtzeitig erhoben werden.

Aufgrund der dauerhaften Belastung des Bundeshaushaltes ist es aus Sicht des Bundesrechnungshofes erforderlich, dass das BMVg und das BMI den Erfolg und den Mehrwert der Cyberagentur nach einer Pilotphase in einer begleitenden Erfolgskontrolle nachweisen. Nur so können mögliche Fehlentwicklungen frühzeitig erkannt und behoben werden. Der Zeitraum der Pilotphase ist dabei so festzulegen, dass erste Ergebnisse in Form von Prototypen zu erwarten sind. Wegen des Forschungshorizontes von fünf Jahren sollte die Erfolgskontrolle nach sieben Jahren möglich sein. Basierend auf den Erkenntnissen der Erfolgskontrolle könnten das BMVg und das BMI dem Parlament berichten und über das weitere Vorgehen entscheiden. Auf dieser Grundlage könnte das Parlament entscheiden, die Cyberagentur nach der Pilotphase fortzuführen, anzupassen oder zu beenden.

Empfehlung

Im Falle der Zustimmung zur Gründung der Cyberagentur empfiehlt der Bundesrechnungshof, dem BMVg und dem BMI aufzugeben,

  • die Cyberagentur als ein Pilotprojekt mit einer Laufzeit von sieben Jahren zu starten,
  • spätestens drei Monate nach der Gründung der Cyberagentur ein Konzept für eine Erfolgskontrolle nach § 7 BHO mit den in der VV Nr. 2.2 zu § 7 / BHO dargelegten Untersuchungsschritten zu erstellen und
  • im Konzept darzulegen, anhand welcher Kriterien und Verfahren sie den Erfolg und den Mehrwert der Cyberagentur überprüfen wollen. Eine wesentliche Voraussetzung hierfür sind operationalisierte Ziele.

4. Schnittstellenmanagement zur staatlich geförderten Forschungslandschaft

Sachverhalt

Das BMVg weist in seiner Vorlage darauf hin, dass in Deutschland eine exzellente Forschungslandschaft im Bereich der Cybersicherheit existiert. Die Bundesregierung verfügt bereits über Förderinstrumente und Strukturen, um innerhalb dieser Forschungslandschaft Innovationen in der Cybersicherheit zu fördern. So fördert die Bundesregierung u. a. seit dem Jahr 2011 drei Kompetenzzentren, die sich auf IT-Sicherheit fokussieren (KASTEL, CISPA und CRISP). Sie will damit die Forschungskapazitäten in der Cybersicherheit in Deutschland weiter erhöhen. Das BMVg und das BMI wollen die Cyberagentur in diese bestehende und zum Teil staatlich geförderte Forschungslandschaft integrieren. Sie weisen auf mögliche Schnittstellen und Überschneidungen zwischen dieser und der Cyberagentur hin. Sie legen nicht dar, wie und mit welchem Aufwand die Bundesverwaltung und die Cyberagentur vermeiden wollen, innovative Ideen in der Cybersicherheit mehrfach zu fördern.

Das BMVg und das BMI formulierten für die Cyberagentur Alleinstellungsmerkmale, um diese von der bestehenden Forschungslandschaft abzugrenzen.

Als zentrales Alleinstellungsmerkmal der Cyberagentur sehen sie die Kombination aus

  • dem thematischen Schwerpunkt (Cybersicherheit),
  • einem auf den Bedarf der Inneren und Äußeren Sicherheit ausgerichteten ressortübergreifenden Fokus,
  • der Bereitschaft, bei Forschungsaufträgen das Risiko des Scheiterns von 90 % zu akzeptieren und
  • dem Ansatz, Sprunginnovationen bereits zu einem sehr frühen Entwicklungszeitpunkt zu fördern, ohne aber selbst zu forschen.

Das BMVg und das BMI grenzen die Cyberagentur innerhalb der Forschungslandschaft von anderen Akteuren ab, wie z. B.:

  • Forschungszentrum für Cyber Defence und Smart Data der Bundeswehr und des Bundes an der Universität der Bundeswehr München (Forschungsinstitut CODE)

    Das Forschungsinstitut CODE sei zwar auch in der Grundlagenforschung und damit sehr früh in der Innovationskette tätig, lege den Fokus jedoch auf allgemeine Cybersicherheit. Der Bund müsse hier zudem die Freiheit der Lehre beachten und habe daher nur die Möglichkeit der Rechtsaufsicht.

  • Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS)

    Das BMI errichtete die ZITiS im Jahr 2017 als nicht rechtsfähige Bundesanstalt im eigenen Geschäftsbereich. ZITiS forscht für Sicherheitsbehörden in der Cybersicherheit und greift hierbei auch Sprunginnovationen auf. Als Unterscheidungsmerkmal zur Cyberagentur führen das BMVg und das BMI an, dass die Cyberagentur Sprunginnovationen in der frühen Cyberforschung mit einem Horizont von über fünf Jahren fördere, während ZITiS mit einem Zeithorizont von unter fünf Jahren forsche.

Auftrag der in der Cyberagentur eingesetzten Programmmanager soll sein, dass sie beginnend von der Idee einer Innovation innerhalb von zwei (ggf. bis zu fünf) Jahren einen Prototypen an den Auftraggeber übergeben.

Aus der Vorlage des BMVg geht nicht hervor, inwieweit das BMVg und das BMI untersucht haben, ob es machbar und wirtschaftlich wäre, z. B. den Auftrag der ZITiS um Aufgaben der Cyberagentur zu erweitern.

Bewertung

Der Bundesrechnungshof sieht bei der Gründung der Cyberagentur ein hohes Risiko der staatlichen Mehrfachförderung. Die Bundesverwaltung riskiert diese Mehrfachförderung, wenn es nicht gelingt, die Cyberagentur eindeutig von der bestehenden Forschungslandschaft abzugrenzen:

  • Der Bundesrechnungshof geht davon aus, dass die Cyberagentur zahlreiche Schnittstellen zur bestehenden staatlich geförderten Forschungslandschaft haben wird. Diese müssen die Bundesverwaltung und die Cyberagentur identifizieren und Überschneidungen so weit wie möglich reduzieren.
  • Der Bundesrechnungshof hält es für unwahrscheinlich, dass sich Innovationen in der Inneren und Äußeren Sicherheit eindeutig von denen der allgemeinen Cybersicherheit trennen lassen. In der Cybersicherheit gleichen sich die Bedarfe von Staat, Wirtschaft und Gesellschaft zunehmend an, weil sich Sprunginnovationen sehr schnell auch in der Wirtschaft und der Gesellschaft verbreiten.
  • Der eigentliche Mehrwert der Cyberagentur in der Forschungslandschaft besteht in deren Fokus auf Sprunginnovationen. Evolutionäre Innovationen werden auch nach Auffassung des Bundesministeriums der Verteidigung in Deutschland bereits hinreichend erforscht. Der Bundesrechnungshof erachtet es für schwierig, dass die Cyberagentur zu Beginn eines Forschungsauftrages bereits unterscheiden muss, ob es sich bei dem noch zu entwickelnden Forschungsergebnis um eine Sprunginnovation oder eine evolutionäre Weiterentwicklung handeln wird.
  • Der Bundesrechnungshof hält die Argumentation zur Abgrenzung der Cyberagentur vom Forschungsinstitut CODE für nicht stichhaltig. Zwar hat der Bund die Freiheit der Lehre zu achten. Es trifft auch zu, dass der Bund lediglich die Rechtsaufsicht über das Forschungsinstitut CODE hat. Dies hindert ihn aber nicht daran, Forschungsaufträge an das Forschungsinstitut CODE als Drittmittelprojekte zu vergeben.
  • Dem Bundesrechnungshof bleibt unklar, warum und wie das BMVg und das BMI die Cyberagentur von der ZITiS überlappungsfrei abgrenzen wollen. Es bleibt offen, wie die Cyberagentur in zwei Jahren über einen Prototyp verfügen soll, wenn sie den Fokus auf eine Zeitspanne von beginnend in fünf Jahren und weiter in die Zukunft legt. Dagegen legt ZITiS, die auch Sprunginnovationen aufgreift, den Fokus auf den Zeitraum von heute bis in fünf Jahren. Daher hätte aus Sicht des Bundesrechnungshofs auch die Anpassung des Auftrags an ZITiS um Aufgaben der Cyberagentur untersucht werden sollen.

Der Bundesrechnungshof sieht das Risiko, dass sich die Cyberagentur in der Realisierungsphase nicht mehr eindeutig von anderen Forschungsorganisationen abgrenzen lässt.

Empfehlung

Im Falle der Zustimmung zur Gründung der Cyberagentur empfiehlt der Bundesrechnungshof, dem BMVg und dem BMI aufzugeben,

  • die Schnittstellen der Cyberagentur insbesondere zur staatlich geförderten Forschungslandschaft in der Cybersicherheit zu definieren und
  • aufzuzeigen, wie die Cyberagentur diese Schnittstellen aktiv managt, um staatliche Mehrfachförderungen zu vermeiden.

5. Gesellschaftsvertrag und Leistungsvereinbarung

5.1. Vergaberecht

Sachverhalt

Bundesbehörden müssen nach den Allgemeinen Verwaltungsvorschriften zu § 55 BHO im Unterschwellenbereich bei der Vergabe von Aufträgen die Unterschwellenvergabeordnung (UVgO) beachten. Für privatrechtliche Gesellschaften gilt diese Regelung nicht unmittelbar.

In der 20. Sitzung des Verteidigungsausschusses am 22. November 2018 bekräftigte die Bundesministerin der Verteidigung, dass Gesellschaften im Geschäftsbereich des BMVg, bei denen der Bund der alleinige Gesellschafter ist, die UVgO anzuwenden haben.

Das BMVg und das BMI legen in der Vorlage fest, dass die Cyberagentur ihre Leistungen unter Beachtung der anwendbaren gesetzlichen Bestimmungen erbringen soll. Die Cyberagentur ist ein öffentlicher Auftraggeber im Sinne des § 99 Gesetz gegen Wettbewerbsbeschränkungen (GWB) und damit verpflichtet, im Oberschwellenbereich das Vergaberecht anzuwenden. Darauf weisen das BMVg und das BMI im zur Vorlage gehörigen Entwurf der Leistungsvereinbarung nicht hin. Die vorgelegten Dokumente enthalten auch keine Verpflichtung der Cyberagentur, im Unterschwellenbereich das Vergaberecht zu beachten.

Das BMVg führt in seiner Stellungnahme zu einem Entwurf dieses Berichts aus, die Cyberagentur sei ein öffentlicher Auftraggeber im Sinne des § 99 GWB. Da dies geltendes Recht sei, bedürfe es keiner Erwähnung in den Dokumenten. Weiterhin ergänzte das BMVg u. a., dass im Unterschwellenbereich das Vergaberecht bei privatrechtlichen Gesellschaften keine Wirkung entfalte.

Bewertung

Privatrechtlich organisierte Gesellschaften haben im Unterschwellenbereich das Vergaberecht anzuwenden, wenn sie hierzu ausdrücklich verpflichtet sind. Der Bundesrechnungshof hält die von der Bundesministerin der Verteidigung am 22. November 2018 erklärte Verpflichtung privatrechtlicher Gesellschaften im Geschäftsbereich des BMVg zur Anwendung der UVgO aus folgenden Gründen für geboten:

Die Anwendung des Vergaberechts – auch im Unterschwellenbereich – ist kein Selbstzweck. Das Vergaberecht hat neben der Schaffung von transparentem, diskriminierungsfreiem Wettbewerb das Ziel, den Bedarf des Auftraggebers durch das wirtschaftliche Angebot zu decken. Insofern ist die Anwendung des Vergaberechts ein wesentlicher Bestandteil des Haushaltsgrundsatzes der wirtschaftlichen und sparsamen Mittelverwendung.

Mit der beabsichtigten Gründung der Cyberagentur will der Bund einer privatrechtlichen Organisation Bundesaufgaben übertragen. Die Wahl der Rechtsform einer GmbH darf nicht dazu führen, dass sich der Bund dadurch dem selbst auferlegten Vergaberegime entzieht.

Auch wenn die Cyberagentur öffentlicher Auftraggeber im Sinne des § 99 GWB und damit zur Anwendung des Vergaberechts im Oberschwellenbereich gesetzlich verpflichtet ist, sollte sie hierzu durch eine klarstellende Regelung angehalten werden.

Empfehlung

Der Bundesrechnungshof empfiehlt, dem BMVg und dem BMI aufzugeben, in der Leistungsvereinbarung oder im Gesellschaftsvertrag festzuhalten, dass die Cyberagentur

  • ein öffentlicher Auftraggeber im Sinne des § 99 GWB und zur Anwendung des Vergaberechts im Oberschwellenbereich gesetzlich verpflichtet ist und
  • auch im Unterschwellenbereich die Bestimmungen des Vergaberechts, insbesondere die der UVgO, beachten muss.

5.2. Beteiligung

Sachverhalt

Das BMVg legt als Gegenstand der Cyberagentur im Entwurf des Gesellschaftsvertrages u. a. fest, dass die Cyberagentur berechtigt sein soll, „sich an anderen Unternehmen gleicher oder verwandter Art zu beteiligen sowie solche Unternehmen zu gründen oder zu erwerben.“ Hierzu soll es der Zustimmung des Aufsichtsrates und der Gesellschafterin bedürfen. Weiterhin regeln das BMVg und das BMI in der Leistungsvereinbarung, dass eine Beteiligung nur zulässig sein soll, soweit sie der Beteiligung zustimmen und die haushaltsrechtlichen Vorgaben des § 65 BHO eingehalten werden.

Sofern die mittelbare Beteiligung 25 % der Anteile übersteigt, gelten nach VV Nr. 18 zu § 65 BHO die Grundsätze des § 65 Abs. 1 Nr. 3 BHO, nach denen ein angemessener Einfluss des Bundes sichergestellt werden muss. Weiterhin ist der § 65 Abs. 1 Nr. 4 BHO zu beachten, wonach zu gewährleisten ist, dass der Jahresabschluss sowie der Lagebericht nach dem Handelsgesetzbuch aufzustellen und zu prüfen ist.

Nach VV Nr. 19 zu § 65 BHO soll das zuständige Bundesministerium auch bei mittelbaren Beteiligungen „soweit möglich auch auf die Wahrung des Bundesinteresses hinwirken. Durch geeignete Regelungen und Kontrolle ist zu verhindern, dass mittelbare Beteiligungen das Bundesinteresse und die Beteiligungsziele des Bundes gefährden sowie seinen Einfluss auf die Beteiligungsunternehmen unangemessen schmälern.“

In seiner Stellungnahme zu einem Entwurf dieses Berichts führt das BMVg zu Beteiligungen aus:

„Die Beteiligung (bis zu 100 %) an Tochterunternehmen kann u. a. in folgenden Fällen erforderlich sein:

  • Unbedingt erforderlich für die Umsetzung relevanter Themen ist der Zugriff auf bestehendes „Intellectual Property (IP)“ [Anmerkung Bundesrechnungshof: geistiges Eigentum]. Eine Möglichkeit zum Sichern solcher IP-Rechte ist der Erwerb (von Anteilen) an Unternehmen, welche IP halten. Damit einher ginge auch der Zugriff auf Personal, welches über Projektwissen verfügt.
  • Des Weiteren bieten sich Kooperationen in Form von gemeinsamen Tochterunternehmen insbesondere für multinationale Kooperationen mit staatlichen aber auch exzellenten privatwirtschaftlichen Forschungseinrichtungen und Unternehmen an. Über den Zuschnitt der jeweiligen Gesellschaft werden dann. Regelungen zu Risiken, aber auch zu Erwerb und Nutzung von IP klar definiert.
  • Ein Tochterunternehmen als Umsetzung des Vergaberechtsinstruments Innovationspartnerschaft stellt sicher, dass Forschungsergebnisse der Cyberagentur im Sinne des Bedarfsträgers bis zur Einsatzreife fortgeführt werden.“

Bewertung

Für die Bundesrepublik Deutschland als Gesellschafterin kann ein finanzielles Risiko entstehen, wenn die Cyberagentur Beteiligungen eingeht. Dem BMVg und der Cyberagentur kann ein erheblicher Aufwand in der Prüfung und Steuerung von mittelbaren Beteiligungen entstehen, da das BMVg sicherstellen muss, dass mittelbare Beteiligungen das Bundesinteresse und die Beteiligungsziele des Bundes nicht gefährden.

Der Bundesrechnungshof erachtet es für wichtig, dass das BMVg und das BMI einen strengen Maßstab anlegen, wenn die Cyberagentur sich an anderen Unternehmen beteiligen oder diese erwerben will. Dazu sollte das BMVg und das BMI in Anlehnung an § 65 Abs. 3 BHO auch für Beteiligungen von bis zu 25 % die Einwilligung des BMF einholen.

Empfehlung

Der Bundesrechnungshof empfiehlt, dem BMVg und dem BMI aufzugeben, im Gesellschaftsvertrag festzuhalten, dass Voraussetzung für Beteiligungen von

  • bis zu 25 % die Zustimmung des BMF und
  • über 25 % die Zustimmung des Haushaltsausschusses ist.

6. Verbindung zur Agentur zur Förderung von Sprunginnovationen

Sachverhalt

Die „Agentur zur Förderung von Sprunginnovationen“ soll durch das Bundesministerium für Bildung und Forschung und das Bundesministerium für Wirtschaft und Energie gegründet werden. Der Bundesrechnungshof beriet den Haushaltsausschuss mit einem Bericht nach § 88 Abs. 2 BHO (Gz. III 2 – 05 20 03 02 vom 24. Oktober 2018). Am 8. November 2018 stimmte der Haushaltsausschuss zu, die „Agentur zur Förderung von Sprunginnovationen“ zu gründen.

Die Bundesregierung sieht vor, die Cyberagentur und die „Agentur zur Förderung von Sprunginnovationen“ rechtlich und organisatorisch getrennt voneinander zu gründen. Sie begründet dies u. a. mit den Unterschieden der beiden Agenturen bei der inhaltlichen Schwerpunktsetzung sowie den Förderinstrumenten. Die Cyberagentur solle sich allein auf zivile und militärische Sprunginnovationen in der Cybersicherheit beschränken, für die ein Bedarf des Bundes in der Inneren und Äußeren Sicherheit existiere. Das Geschäftsmodell der Cyberagentur sehe vor, diese Sprunginnovationen durch Ideenwettbewerbe, Auftragsvergaben und Innovationspartnerschaften zu fördern.

Die „Agentur zur Förderung von Sprunginnovationen“ identifiziere Sprunginnovationen u. a. auch über Ideenwettbewerbe, fördere diese in allen Bereichen mit Ausnahme der Cybersicherheit und nutze dafür vor allem das Förderinstrument der Zuwendung.

Beide Agenturen begleiteten die geförderten Innovationen durch Programm- bzw. Innovationsmanager.

Die Bundesregierung erkenne das Risiko der Mehrfachförderung, welches durch die rechtliche und organisatorische Trennung der beiden Agenturen existiere. Dieses Risiko wolle sie reduzieren, indem das BMVg und das BMI sich mit dem Bundesministerium für Bildung und Forschung sowie den anderen betroffenen Ressorts der Bundesregierung zu den Förderprojekten abstimmen.

Inwieweit die Bundesregierung systematisch Synergiepotenziale untersuchte, die sich ergeben könnten, wenn die Agenturen am selben Standort gegründet würden und auf gemeinsame Unterstützungsprozesse (z. B. Personal-, Einkaufs-, Rechts-, Finanz- oder Risikomanagement) zugreifen könnten, ist nicht erkennbar.

Das BMVg führt in seiner Stellungnahme zu einem Entwurf dieses Berichts u. a. aus, dass

  • Zuerst Vorschläge zur Standortwahl der anderen Agentur vorliegen müssten, um Aussagen zu Synergiepotenzialen treffen zu können, die durch eine räumliche Nähe beider Agenturen zueinander entstehen,
  • die betroffenen Ressorts der beiden Agenturen planen, sich in einer kontinuierliche Arbeitsgruppe abzustimmen, um Mehrfachförderungen zu vermeiden und
  • die Zusammenarbeit der für die beiden Agenturen verantwortlichen Ressorts in einem Dachpapier thematisiert sei.

Nach Kenntnisstand des Bundesrechnungshofes haben die Leitungen der betroffenen Ressorts dieses Dachpapier nicht gebilligt.

Bewertung

Sprunginnovationen in der Informationstechnik sind gleichermaßen für den Bereich der Inneren und Äußeren Sicherheit wie auch für die Wirtschaft und die Gesellschaft relevant. Eine trennscharfe Unterscheidung zwischen Sprunginnovationen nur für den Bereich der Inneren und Äußeren Sicherheit einerseits und den Bereich der Wirtschaft und Gesellschaft andererseits ist unrealistisch. Daher ist es wahrscheinlich, dass sich die beiden Agenturen bei Förderprojekten überschneiden und sich abstimmen müssen.

Beide Agenturen sollen Sprunginnovationen fördern. Hierzu werden beide Agenturen ähnlicher Unterstützungsprozesse bedürfen. Aus Sicht des Bundesrechnungshofes hätte die Bundesregierung Synergiepotenziale untersuchen sollen, die sich ergäben, würden beide Agenturen ihren Standort in räumlicher Nähe zueinander wählen und Unterstützungsprozesse gemeinsam nutzen.

Der Bundesrechnungshof erachtet die Argumentation des BMVg für unschlüssig, wonach erst die Standortwahl zu treffen wäre, um danach eine Aussage über mögliche Synergiepotenziale zu treffen.

Empfehlung

Der Bundesrechnungshof empfiehlt, die Bundesregierung aufzufordern, ein zwischen den für beide Agenturen zuständigen Ressorts abgestimmtes Konzept vorzulegen, in dem sie die Schnittstellen und die Zusammenarbeitsbeziehungen definiert.

Weiterhin empfiehlt der Bundesrechnungshof, der Bundesregierung aufzugeben, das Synergiepotenzial zu untersuchen, welches sich ergäbe, wenn beide Agenturen in räumlicher Nähe zueinander Unterstützungsprozesse gemeinsam nutzten.

Fußnoten

  1. Die „Agentur zur Förderung von Sprunginnovationen“ soll durch das Bundesministerium für Bildung und Forschung und das Bundesministerium für Wirtschaft und Energie gegründet werden. Der Bundesrechnungshof beriet den Haushaltsausschuss des Deutschen Bundestages mit einem Bericht nach § 88 Abs. 2 BHO (Gz. III 2 – 05 20 03 02 vom 24. Oktober 2018). Am 8. November 2018 stimmte dieser zu, die „Agentur zur Förderung von Sprunginnovationen“ zu gründen.
  2. Ehemalige Arbeitsbegriffe waren: „Agentur für Disruptive Innovationen in der Cybersicherheit und Schlüsseltechnologien (ADIC)“ und „Agency for Strategic Projects and Research (ASPIRE)“.
  3. „Forschungsdirektor (1 x), Geschäftsführer (1 x), Leiter Büro (2 x), Programm Manager (3 x)“.
  4. Vorberatung des Einzelplans 14/2019 am 14. September 2018, Aufträge der Berichterstatter des Haushaltsausschusses.

3 Ergänzungen
  1. > wenige IT-Experten wollen für Beamten-Gehälter arbeiten, wenn sie auf dem freien Markt weit mehr verdienen können

    Wenn das der Grund ist, dass Nerds nicht bei der Bundeswehr oder sonstigem staatlichen Cybercyber arbeiten wollen, dann ist das aber nicht gerade zu feiern. Das hieße ja, dass man nur genug Geld drauf werfen müsste, dann würden sie schon ankommen.

    Ich habe eher ein ethisches Problem damit, meine Skills gegen die Bevölkerung einzusetzen, um damit Leuten wie Seehofer ihre Allmachtsphantasien zu erfüllen.

  2. Guter Artikel, ein fettes Dankeschön.
    An Seehofers Reaktion merkt man wieder einmal die Unfähigkeit aber auch die Panik der Regierung. Lächerlich sich mit der DARPA messen zu wollen.
    Kommt etwa 30-40 Jahre zu spät der Horst. Die wissen glaube ich garnicht was DARPA eigentlich ist. Von fehlendem willigem Personal ganz abgesehen.
    Bin sehr gespannt wie lange es dauert bis er merkt, dass verschiedene Projekte bereits seit Jahrzehnten laufen und verschiedene Länder sogar aktiv daran beteiligt sind, unbewusst/gewollt die Armeestärke der Amis zu verstärken.
    Tja, statt den Bürgern nur das Geld aus der Tasche zu ziehn und mit unwürdigen Mitteln noch mehr Gelder zu erlangen, auch zur persönlichen Bereicherung…
    Das kostet Zeit und Kraft. Dann immer wieder alles zu verschleiern, noch mehr.
    Allein für die Gorch Fork hätte er gleich 3 dieser Phantastereien in Sand setzen können.
    Und bevor die Herrschaften kapiert haben, dass die beste Strategie wäre, Krieg von vornherein zu vermeiden.
    Versuchen sie alles irgend mögliche, nur um den unausweichlichen Kontrollverlust hinauszuzögern.
    Transparenz und Vertrauen, statt Mauschelei und Netz-DG + völligen Verlust der Privatssphäre. Das wäre angebracht gewesen!
    Der Mensch im Mittelpunkt, nicht Geld, Industrie und Macht! Als ob die Menschen nicht längst kapiert haben wie die Politik mit Ihnen und ihrer Gesundheit umgeht. Mit ihrem Leben!
    Dauernd nur Lügen und Täuschung, ein Trauerspiel.
    Das Peinlichste aber ist, die Regierung kommt erst durch das lesen privater Nachrichten auf die Idee, dass es solche Technologien überhaupt gibt.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.