No-Spy-Abkommen

Wie die NSA-Affäre öffentliche IT-Projekte beeinflusst

06.11.2014 von Fabian Niemann und Guido Bormann
Die Aktivitäten der Geheimdienste haben viele Unternehmen aufgeschreckt. Aufgrund des sogenannten "No Spy"-Erlasses von Ende April ergeben sich daraus vor allem rechtliche Fragen. Ganz besonders, wenn es um das Vergaberecht bei öffentlichen Ausschreibungen geht.

Gefühlt begann mit den Enthüllungen von Edward Snowden im Sommer 2013 eine neue Epoche im Datenschutz. Das Vertrauen in die Sicherheit von "europäischen Daten", die in den USA gespeichert sind, erreichte den Nullpunkt. Rufe wurden laut, dass personenbezogene Daten (also Daten, die in einem Bezug zu einer natürlichen Person stehen - nur solche sind von deutschem Datenschutzrecht erfasst) aus der EU überhaupt nicht mehr in die USA transferiert werden dürfen. Mehr noch: es dürfe auch keinen Zugang auf in der EU lagernde oder gesammelte Daten mehr aus den USA geben. So die oberste Instanz der deutschen Datenschützer.

Die Konferenz der Datenschutzbehörden des Bundes und der Länder verfasste im Juli 2013 eine Presseerklärung, wonach "der Transfer von personenbezogenen Daten in die USA nicht mehr genehmigt" würde und zudem geprüft werde, ob bestehende US-Transfers "ausgesetzt" werden müssen. Ein Paukenschlag, der für viel Verwirrung im Markt gesorgt hat. Denn fast jedes größere Unternehmen steht in Handelsbeziehungen mit den USA und tauscht (auch personenbezogene) Daten aus. War das nun alles illegal? Bedeutete die Stellungnahme der Datenschützer quasi ein Handelsembargo?

Datentransfers in die USA

Snowden offenbarte der Welt zunächst einmal, dass Geheimdienste fleißig Informationen, sprich Daten, sammeln. Was angesichts der Aufgaben eines Geheimdienstes nicht wirklich überraschte. Was allerdings überraschte, war dessen Ausmaß. Klar wurde, die NSA speicherte auf Vorrat unbegrenzt Kommunikationsdaten, Telefongespräche und Emails in riesigen Rechenzentren. Dieses Ausmaß, verbunden mit dem Umstand, dass die meisten großen Internet- und Cloud-Anbieter (wie Amazon, Facebook, Google und Microsoft) in den USA, also der unmittelbaren Herrschaftssphäre der NSA sitzen, führte zu der genannten Reaktion der Datenschützer.

Mittlerweile hat sich die erste Aufregung gelegt. Tatsächlich verschwieg die oben erwähnte Presseerklärung, dass US-Transfers in der Regel gar nicht genehmigungsbedürftig sind und in die Zuständigkeit des Gesetzgebers, nicht aber der Datenschutzbehörde fallen. Das wäre so, als wenn die Steuerfahndung verkünden würde, die Selbstanzeige sei aufgehoben. Natürlich wussten die Datenschutzbehörden das. Ihnen ging es einzig darum, Aufregung im Markt und Druck auf die USA und die Politik über deutsche Unternehmen zu erzeugen. Das gelang zumindest teilweise.

Denn die EU stellt derzeit ihre datenschutzrechtlichen Beziehungen mit den USA auf den Prüfstand und denkt über Verschärfungen nach, US-Größen wie Microsoft und Google wenden sich relativ aggressiv gegen ihre eigene Regierung. US-Transfers gibt es aber in der Privatwirtschaft nach wie vor, sie werden nicht unterbunden, und sie sind auch datenschutzrechtlich nicht illegal.

Anfang April hat sogar die sogenannte "Artikel 29 Datenschutzgruppe", in der die nationalen Datenschutzbehörden der EU-Mitgliedstaaten vertreten sind, ausdrücklich die Cloud-Angebote von Microsoft als EU-datenschutzkonform bewertet. Datenschutzrechtlich wichtig sind demnach eine sorgfältige Anbieterauswahl und eine rechtliche Prüfung der Vertragswerke. Grundsätzlich unzulässig sind US-Transfers nicht. Vor diesem Hintergrund muten die Äußerungen der deutschen Politik für den öffentlichen Sektor, insbesondere der "No Spy"-Erlass, sowohl verspätet als auch übertrieben an.

Auswirkungen aufs öffentliche Vergaberecht

Öffentliche Vergaben werden durch die aktuellen, oben skizierten Entwicklungen zunächst nicht grundlegend verändert. So bleibt der allgemeine Ablauf des Vergabeprozesses unberührt. Er hängt grundsätzlich davon ab, welche Vergabeart einschlägig ist und von der ausschreibenden Behörde gewählt wird. Dabei werden im Wesentlichen drei Arten von Vergabeverfahren unterschieden: das "offene Verfahren", das "nicht offene Verfahren" und das "Verhandlungsverfahren", die beiden letztgenannten jeweils mit einem vorgeschalteten Teilnahmewettbewerb.

Das offene Verfahren

An einem offenen Verfahren kann sich zunächst jedes nationale, europäische oder internationale Unternehmen beteiligen, das ein Interesse an dem ausgeschriebenen öffentlichen Auftrag hat. Nach Abruf der Vergabeunterlagen - der technischen Leistungsbeschreibung, der Teilnahmebedingungen für das Vergabeverfahren, des Vertrags sowie weiterer Unterlagen im Einzelfall - gibt das Unternehmen ein Angebot mit den von Ihm abgeforderten Nachweisen, Erklärungen, Preisen und sonstigen Informationen ab.

Das nicht offene Verfahren

Im nicht offenen Verfahren und im Verhandlungsverfahren steht vor der Angebotslegung zunächst ein Teilnahmewettbewerb. Von allen (in- und ausländischen) Unternehmen, die Interesse an dem ausgeschriebenen Auftrag signalisiert haben, werden in einem ersten Schritt nur diejenigen ausgewählt, die über die notwendige Eignung verfügen - über die fachliche, technische und wirtschaftliche Leistungsfähigkeit sowie Gesetzestreue und Zuverlässigkeit. Nur diese Unternehmen sind im weiteren Vergabeverfahren berechtigt, ein Angebot für den Auftrag abzugeben.

Bei dem Verhandlungsverfahren kommt als Besonderheit hinzu, dass allein bei dieser Ausschreibungsform die öffentliche Hand mit den einzelnen Bieterunternehmen über die Modalitäten des ausgeschriebenen Auftrags verhandeln kann - beispielsweise Vertragslaufzeit, Vertragsstrafen, Haftung oder Preise.

Änderungen durch die No-Spy-Erklärung

Der No-Spy-Erlass und ähnliche vergaberechtliche Regeln einzelner Bundesländer haben Auswirkungen auf die öffentliche Vergabe von ICT-Leistungen. Nach diesen neuen Vergaberichtlinien des Bundes und beispielsweise Schleswig-Holsteins, Hamburgs und Sachsen-Anhalts wird von den Unternehmen die Abgabe einer "No Spy Guarantee" gefordert.

Mit dieser Erklärung sollen die Unternehmen bestätigen, dass sie in der Lage sind, alle erlangten Informationen vertraulich zu behandeln, dass sie keinen Verpflichtungen zur Weitergabe von vertraulichen Informationen und Daten an ausländische Sicherheitsbehörden unterliegen. Die No-Spy-Garantie soll also die Zuverlässigkeit und Gesetzestreue des Unternehmens belegen. Nach ersten Gerichtsurteilen stellt diese Garantie jedoch kein zulässiges Kriterium dar, auf die Zuverlässigkeit und Eignung von Unternehmen abzustellen.

Weder US-amerikanische Unternehmen noch deren deutsche Tochterunternehmen dürfen nach europäischem Recht von Ausschreibungen der öffentlichen Hand in Deutschland per se ausgeschlossen werden, auch wenn sie wegen unter anderem des Patriot Acts aus dem Jahr 2001 unter Umständen gesetzlich verpflichtet sind, US-Sicherheitsbehörden den Zugriff auf Daten in beziehungsweise aus Deutschland zu gestatten.

Rechtlich kritisch

Das Bundesministerium des Innern (BMI) hat mit der sogenannten Handreichung von Mitte August bereits entsprechend reagiert. Danach soll nunmehr die NoSpy Guarantee nicht mehr als Nachweis der Eignung (speziell Zuverlässigkeit) des Unternehmens gefordert, sondern als eine besondere Ausführungsbedingung in den ausgeschriebenen Vertrag aufgenommen werden.

Das ist rechtlich nicht unkritisch, da auch diese neue Vergabepraxis in erster Linie gegen US-amerikanische Unternehmen sowie deren deutsche (und europäische) Tochterunternehmen gerichtet ist. Dadurch würden aber Unternehmen, die nicht unter die US-amerikanischen Gesetze fallen, im Vergabewettbewerb bevorzugt. Zudem ist nicht auszuschließen, dass andere Länder vergleichbare Vergaberestriktionen wie Deutschland einführen und dann eine Protektionsspirale in Gang gesetzt wird, die den freien Wettbewerb, auch in den nicht verteidigungs- und sicherheitsrelevanten Marktsegmenten, beschränkt.

Eine solche Entwicklung wäre für den international ausgerichteten Markt für ICT-Leistungen, von dem auch die öffentliche Hand in Deutschland in besonderem Maße angewiesen ist, schädlich. Insgesamt gesehen schafft die No-Spy-Erklärung somit keine Sicherheit - weder Rechtssicherheit noch Datensicherheit.

Kommentar von Karsten Lisch: Es ändert sich wenig

Wer sich um IT-Aufträge der öffentlichen Hand bewirbt, benötigt vor allem eines: ein ergonomisches Schreibwerkzeug. Denn die Zahl der Angebotsbestandteile ist hoch - und sie wächst weiter. Denn das BMI verlangt für Aufträge mit Sicherheitsrelevanz seit kurzem eine Unterlage, die die verarbeiteten Daten vor dem Zugriff ausländischer Sicherheitsbehörden schützen und die Chancen im Wettbewerb zugunsten rein inländischer Unternehmen verschieben könnte.

Die gute Nachricht zur No-Spy-Erklärung lautet: Den Bietern entsteht kaum zusätzlicher Aufwand bei der Angebotserstellung. Zwar muss jedes Unternehmen unter Berücksichtigung seiner individuellen Verhältnisse prüfen, ob es die Erklärung abgeben kann. Ist das aber geklärt, gilt das Ergebnis für eine Vielzahl von Vergabeverfahren. Bei dem Dokument handelt es sich dann nur noch um ein weiteres Papier im Stapel.

Die Erklärung enthält eine branchenübliche Vertraulichkeitsregelung. Darüber hinaus versichert der Bieter allerdings, dass er nicht verpflichtet ist, vertrauliche Informationen gegenüber ausländischen Sicherheitsbehörden offen zu legen. Entsteht eine solche Pflicht nach Vertragsschluss, muss der Bieter den Auftraggeber informieren.

Die Erklärung soll dem Auftraggeber sowohl den Ausschluss von Unternehmen im Vergabeverfahren erleichtern, als auch die Kündigung vereinfachen. Das BMI hält diese Maßnahmen bei Verwendung der Erklärung bereits dann für möglich, wenn eine abstrakte Offenbarungspflicht nach einer ausländischen Rechtsordnung besteht. Eine tatsächlich erfolgte Weitergabe von Informationen muss demnach weder nachweisbar sein, noch behauptet werden.

Gut für Airports und Energieversorger

Die aktuelle Diskussion konzentriert sich damit auf den Bund. Allerdings zeichnet sich bereits ab, dass diverse Bundesländer einen ähnlichen Weg einschlagen oder bereits eingeschlagen haben. Denkbar ist, dass darüber hinaus noch weitere öffentliche Auftraggeber nachziehen. Insbesondere Flughäfen oder Energieversorger könnten die Geheimhaltung ihrer Daten künftig stärker absichern.

Das BMI möchte die "No-Spy-Erklärung" für Aufträge mit "möglicher Sicherheitsrelevanz" verwenden und hat bereits geäußert, dass es diesen Begriff weit verstanden wissen will. Insbesondere sei es nicht erforderlich, dass die verarbeiteten Informationen förmlich als Verschlusssache eingestuft werden. Daher wird sich für die rein national aufgestellten deutschen Unternehmen wenig ändern.

Anders sieht es bei Unternehmen aus, die ausländischen Rechtsordnungen unterliegen, insbesondere aus dem anglo-amerikanischen Rechtsraum. Es ist damit zu rechnen, dass diese Bieter ihre Rechte im Vergabeverfahren verletzt sehen und vor den hierfür zuständigen Vergabekammern eine rechtliche Überprüfung verlangen. Damit beginnt die Unsicherheit für die Auftraggeber: Auch für die Vergabe sicherheitsrelevanter Aufträge bestehen nationale und europäische Vorgaben, die zwingend einzuhalten sind und nicht durch Erlasse geändert werden können.

In einer ersten Entscheidung zum Thema hat sich die Vergabekammer des Bundes bereits äußerst kritisch geäußert (Beschluss vom 24. Juni 2014, Az. 2 - 39/14). Ein Angebotsausschluss ist nach ihrer Ansicht unter Verwendung der aktuellen "No-Spy-Erklärung" nicht möglich. Zwar überlegt die Vergabekammer anhand konkreter Ansätze, ob das Ziel durch Änderungen an dem Dokument erreicht werden kann. Eine endgültige Festlegung bleibt der Beschluss aber noch schuldig.

Insgesamt betrachtet ist das Ziel der Geheimhaltung legitim und wird im Zweifel sogar durch europäische Rechtsvorschriften vorgegeben, so beispielsweise bei der Verarbeitung personenbezogener Daten. Zudem kann man von öffentlichen Auftraggebern nicht verlangen, dass sie bei der Auswahl ihres Vertragspartners eine solche Gefährdung ignorieren.