No-Spy-Abkommen

Wie die NSA-Affäre öffentliche IT-Projekte beeinflusst

03.02.2015 von Fabian Niemann und Guido Bormann
Die Aktivitäten der Geheimdienste haben viele Unternehmen aufgeschreckt. Aufgrund des sogenannten "No Spy"-Erlasses von Ende April ergeben sich daraus vor allem rechtliche Fragen. Ganz besonders, wenn es um das Vergaberecht bei öffentlichen Ausschreibungen geht.

Gefühlt begann mit den Enthüllungen von Edward Snowden im Sommer 2013 eine neue Epoche im Datenschutz. Das Vertrauen in die Sicherheit von "europäischen Daten", die in den USA gespeichert sind, erreichte den Nullpunkt. Rufe wurden laut, dass personenbezogene Daten (also Daten, die in einem Bezug zu einer natürlichen Person stehen - nur solche sind von deutschem Datenschutzrecht erfasst) aus der EU überhaupt nicht mehr in die USA transferiert werden dürfen. Mehr noch: es dürfe auch keinen Zugang auf in der EU lagernde oder gesammelte Daten mehr aus den USA geben. So die oberste Instanz der deutschen Datenschützer.

Europäischer Datenschutz und Datentransfers in die USA gehen nicht zusammen.
Foto: IckeT - Fotolia.com

Die Konferenz der Datenschutzbehörden des Bundes und der Länder verfasste im Juli 2013 eine Presseerklärung, wonach "der Transfer von personenbezogenen Daten in die USA nicht mehr genehmigt" würde und zudem geprüft werde, ob bestehende US-Transfers "ausgesetzt" werden müssen. Ein Paukenschlag, der für viel Verwirrung im Markt gesorgt hat. Denn fast jedes größere Unternehmen steht in Handelsbeziehungen mit den USA und tauscht (auch personenbezogene) Daten aus. War das nun alles illegal? Bedeutete die Stellungnahme der Datenschützer quasi ein Handelsembargo?

Datentransfers in die USA

Snowden offenbarte der Welt zunächst einmal, dass Geheimdienste fleißig Informationen, sprich Daten, sammeln. Was angesichts der Aufgaben eines Geheimdienstes nicht wirklich überraschte. Was allerdings überraschte, war dessen Ausmaß. Klar wurde, die NSA speicherte auf Vorrat unbegrenzt Kommunikationsdaten, Telefongespräche und Emails in riesigen Rechenzentren. Dieses Ausmaß, verbunden mit dem Umstand, dass die meisten großen Internet- und Cloud-Anbieter (wie Amazon, Facebook, Google und Microsoft) in den USA, also der unmittelbaren Herrschaftssphäre der NSA sitzen, führte zu der genannten Reaktion der Datenschützer.

Datenschutz: So setzen Sie die die geltenden Richtlinien um
Gesetze verstehen
Die Auswirkungen der aktuellen und künftigen Gesetzeslage auf die Firma verstehen. Dies beinhaltet die Frage nach notwendigen Änderungen und deren Auswirkungen auf das IT-Budget. Zum Beispiel nutzen viele Unternehmen immer noch reale Daten ihrer Kunden und Nutzer für Entwicklungs- und Testzwecke. Mit der neuen Gesetzgebung sollten sie diese anonymisieren oder zumindest maskieren.
Analysieren
Analysieren, wo persönliche und sensible Daten aufbewahrt werden. Wer nutzt wie welche Daten und wo liegen die größten Gefahren einer Datenschutzverletzung? Die entsprechende Analyse der Bearbeitungsprozesse persönlicher und sensibler Daten und wie diese mit anderen Daten interagieren nimmt oft deutlich mehr Zeit in Anspruch als geplant.
Anonymisieren
Daten desensibilisieren, ohne sie unbrauchbar zu machen. Anonymisierte Daten lassen sich häufig relativ problemfrei in bestehende Workflows und Prozesse integrieren. Alternativ sind neue oder veränderte Arbeitsprozesse zu entwickeln, um die Gesetze einzuhalten. Die daraus resultierenden Kenntnisse fließen wiederum in Anforderungskataloge an Drittanbieter-Lösungen ein.
Datenschutzprozesse entwickeln
Datenschutzprozesse unter Verwendung der geeigneten Werkzeuge entwickeln. Zur Umsetzung der Datensicherheits-Strategie gibt es verschiedene Lösungen. Diese kann aus einem neuen Satz an Geschäftsprozessen bestehen, aus einer Revision der Datenzugriffsbestimmungen, einer (Test-)Datenmanagement-Technologie oder aus einer beliebigen Kombination davon.
Lösungen liefern
Die Lösung in das bestehende IT-Umfeld ausliefern. Vor der Einführung der entwickelten Prozesse sollten die Abläufe so weit wie möglich automatisiert und die manuellen Eingriffe reduziert sein. Teams, die diese Prozesse im Alltag betreuen, sind in die entsprechenden Regularien und Prozesse einzuweisen sowie in der Handhabung der verwendeten Werkzeuge zu trainieren.

Mittlerweile hat sich die erste Aufregung gelegt. Tatsächlich verschwieg die oben erwähnte Presseerklärung, dass US-Transfers in der Regel gar nicht genehmigungsbedürftig sind und in die Zuständigkeit des Gesetzgebers, nicht aber der Datenschutzbehörde fallen. Das wäre so, als wenn die Steuerfahndung verkünden würde, die Selbstanzeige sei aufgehoben. Natürlich wussten die Datenschutzbehörden das. Ihnen ging es einzig darum, Aufregung im Markt und Druck auf die USA und die Politik über deutsche Unternehmen zu erzeugen. Das gelang zumindest teilweise.

Denn die EU stellt derzeit ihre datenschutzrechtlichen Beziehungen mit den USA auf den Prüfstand und denkt über Verschärfungen nach, US-Größen wie Microsoft und Google wenden sich relativ aggressiv gegen ihre eigene Regierung. US-Transfers gibt es aber in der Privatwirtschaft nach wie vor, sie werden nicht unterbunden, und sie sind auch datenschutzrechtlich nicht illegal. Anfang April hat sogar die sogenannte "Artikel 29 Datenschutzgruppe", in der die nationalen Datenschutzbehörden der EU-Mitgliedstaaten vertreten sind, ausdrücklich die Cloud-Angebote von Microsoft als EU-datenschutzkonform bewertet. Datenschutzrechtlich wichtig sind demnach eine sorgfältige Anbieterauswahl und eine rechtliche Prüfung der Vertragswerke. Grundsätzlich unzulässig sind US-Transfers nicht. Vor diesem Hintergrund muten die Äußerungen der deutschen Politik für den öffentlichen Sektor, insbesondere der "No Spy"-Erlass, sowohl verspätet als auch übertrieben an.

Auswirkungen aufs öffentliche Vergaberecht

Öffentliche Vergaben werden durch die aktuellen, oben skizierten Entwicklungen zunächst nicht grundlegend verändert. So bleibt der allgemeine Ablauf des Vergabeprozesses unberührt. Er hängt grundsätzlich davon ab, welche Vergabeart einschlägig ist und von der ausschreibenden Behörde gewählt wird. Dabei werden im Wesentlichen drei Arten von Vergabeverfahren unterschieden: das "offene Verfahren", das "nicht offene Verfahren" und das "Verhandlungsverfahren", die beiden letztgenannten jeweils mit einem vorgeschalteten Teilnahmewettbewerb.

Das offene Verfahren

An einem offenen Verfahren kann sich zunächst jedes nationale, europäische oder internationale Unternehmen beteiligen, das ein Interesse an dem ausgeschriebenen öffentlichen Auftrag hat. Nach Abruf der Vergabeunterlagen - der technischen Leistungsbeschreibung, der Teilnahmebedingungen für das Vergabeverfahren, des Vertrags sowie weiterer Unterlagen im Einzelfall - gibt das Unternehmen ein Angebot mit den von Ihm abgeforderten Nachweisen, Erklärungen, Preisen und sonstigen Informationen ab.

Das nicht offene Verfahren

Im nicht offenen Verfahren und im Verhandlungsverfahren steht vor der Angebotslegung zunächst ein Teilnahmewettbewerb. Von allen (in- und ausländischen) Unternehmen, die Interesse an dem ausgeschriebenen Auftrag signalisiert haben, werden in einem ersten Schritt nur diejenigen ausgewählt, die über die notwendige Eignung verfügen - über die fachliche, technische und wirtschaftliche Leistungsfähigkeit sowie Gesetzestreue und Zuverlässigkeit. Nur diese Unternehmen sind im weiteren Vergabeverfahren berechtigt, ein Angebot für den Auftrag abzugeben. Bei dem Verhandlungsverfahren kommt als Besonderheit hinzu, dass allein bei dieser Ausschreibungsform die öffentliche Hand mit den einzelnen Bieterunternehmen über die Modalitäten des ausgeschriebenen Auftrags verhandeln kann - beispielsweise Vertragslaufzeit, Vertragsstrafen, Haftung oder Preise.

Änderungen durch die No-Spy-Erklärung

Der No-Spy-Erlass und ähnliche vergaberechtliche Regeln einzelner Bundesländer haben Auswirkungen auf die öffentliche Vergabe von ICT-Leistungen. Nach diesen neuen Vergaberichtlinien des Bundes und beispielsweise Schleswig-Holsteins, Hamburgs und Sachsen-Anhalts wird von den Unternehmen die Abgabe einer "No Spy Guarantee" gefordert. Mit dieser Erklärung sollen die Unternehmen bestätigen, dass sie in der Lage sind, alle erlangten Informationen vertraulich zu behandeln, dass sie keinen Verpflichtungen zur Weitergabe von vertraulichen Informationen und Daten an ausländische Sicherheitsbehörden unterliegen. Die No-Spy-Garantie soll also die Zuverlässigkeit und Gesetzestreue des Unternehmens belegen. Nach ersten Gerichtsurteilen stellt diese Garantie jedoch kein zulässiges Kriterium dar, auf die Zuverlässigkeit und Eignung von Unternehmen abzustellen.

Weder US-amerikanische Unternehmen noch deren deutsche Tochterunternehmen dürfen nach europäischem Recht von Ausschreibungen der öffentlichen Hand in Deutschland per se ausgeschlossen werden, auch wenn sie wegen unter anderem des Patriot Acts aus dem Jahr 2001 unter Umständen gesetzlich verpflichtet sind, US-Sicherheitsbehörden den Zugriff auf Daten in beziehungsweise aus Deutschland zu gestatten.

Rechtlich kritisch

Das Bundesministerium des Innern (BMI) hat mit der sogenannten Handreichung von Mitte August bereits entsprechend reagiert. Danach soll nunmehr die NoSpy Guarantee nicht mehr als Nachweis der Eignung (speziell Zuverlässigkeit) des Unternehmens gefordert, sondern als eine besondere Ausführungsbedingung in den ausgeschriebenen Vertrag aufgenommen werden.

Das BMI hat die Ausschreibungspraxis vor kurzem erneut angepasst.
Foto: Bundesministerium des Inneren

Das ist rechtlich nicht unkritisch, da auch diese neue Vergabepraxis in erster Linie gegen US-amerikanische Unternehmen sowie deren deutsche (und europäische) Tochterunternehmen gerichtet ist. Dadurch würden aber Unternehmen, die nicht unter die US-amerikanischen Gesetze fallen, im Vergabewettbewerb bevorzugt. Zudem ist nicht auszuschließen, dass andere Länder vergleichbare Vergaberestriktionen wie Deutschland einführen und dann eine Protektionsspirale in Gang gesetzt wird, die den freien Wettbewerb, auch in den nicht verteidigungs- und sicherheitsrelevanten Marktsegmenten, beschränkt. Eine solche Entwicklung wäre für den international ausgerichteten Markt für ICT-Leistungen, von dem auch die öffentliche Hand in Deutschland in besonderem Maße angewiesen ist, schädlich. Insgesamt gesehen schafft die No-Spy-Erklärung somit keine Sicherheit - weder Rechtssicherheit noch Datensicherheit.

Kommentar von Karsten Lisch: Es ändert sich wenig

Im Folgenden kommentiert Rechtsanwalt Dr. Karsten Lisch von der Wirtschaftskanzlei Osborne Clarke den "No Spy"-Erlass. Lisch beschäftigt sich mit der Beschaffung von IT-Leistungen der öffentlichen Hand.
Foto: Wirtschaftskanzlei Osborne Clarke

Wer sich um IT-Aufträge der öffentlichen Hand bewirbt, benötigt vor allem eines: ein ergonomisches Schreibwerkzeug. Denn die Zahl der Angebotsbestandteile ist hoch - und sie wächst weiter. Denn das BMI verlangt für Aufträge mit Sicherheitsrelevanz seit kurzem eine Unterlage, die die verarbeiteten Daten vor dem Zugriff ausländischer Sicherheitsbehörden schützen und die Chancen im Wettbewerb zugunsten rein inländischer Unternehmen verschieben könnte.

Die gute Nachricht zur No-Spy-Erklärung lautet: Den Bietern entsteht kaum zusätzlicher Aufwand bei der Angebotserstellung. Zwar muss jedes Unternehmen unter Berücksichtigung seiner individuellen Verhältnisse prüfen, ob es die Erklärung abgeben kann. Ist das aber geklärt, gilt das Ergebnis für eine Vielzahl von Vergabeverfahren. Bei dem Dokument handelt es sich dann nur noch um ein weiteres Papier im Stapel.

Die Erklärung enthält eine branchenübliche Vertraulichkeitsregelung. Darüber hinaus versichert der Bieter allerdings, dass er nicht verpflichtet ist, vertrauliche Informationen gegenüber ausländischen Sicherheitsbehörden offen zu legen. Entsteht eine solche Pflicht nach Vertragsschluss, muss der Bieter den Auftraggeber informieren. Die Erklärung soll dem Auftraggeber sowohl den Ausschluss von Unternehmen im Vergabeverfahren erleichtern, als auch die Kündigung vereinfachen. Das BMI hält diese Maßnahmen bei Verwendung der Erklärung bereits dann für möglich, wenn eine abstrakte Offenbarungspflicht nach einer ausländischen Rechtsordnung besteht. Eine tatsächlich erfolgte Weitergabe von Informationen muss demnach weder nachweisbar sein, noch behauptet werden.

Gut für Airports und Energieversorger

Die aktuelle Diskussion konzentriert sich damit auf den Bund. Allerdings zeichnet sich bereits ab, dass diverse Bundesländer einen ähnlichen Weg einschlagen oder bereits eingeschlagen haben. Denkbar ist, dass darüber hinaus noch weitere öffentliche Auftraggeber nachziehen. Insbesondere Flughäfen oder Energieversorger könnten die Geheimhaltung ihrer Daten künftig stärker absichern. Das BMI möchte die "No-Spy-Erklärung" für Aufträge mit "möglicher Sicherheitsrelevanz" verwenden und hat bereits geäußert, dass es diesen Begriff weit verstanden wissen will. Insbesondere sei es nicht erforderlich, dass die verarbeiteten Informationen förmlich als Verschlusssache eingestuft werden. Daher wird sich für die rein national aufgestellten deutschen Unternehmen wenig ändern.

Anders sieht es bei Unternehmen aus, die ausländischen Rechtsordnungen unterliegen, insbesondere aus dem anglo-amerikanischen Rechtsraum. Es ist damit zu rechnen, dass diese Bieter ihre Rechte im Vergabeverfahren verletzt sehen und vor den hierfür zuständigen Vergabekammern eine rechtliche Überprüfung verlangen. Damit beginnt die Unsicherheit für die Auftraggeber: Auch für die Vergabe sicherheitsrelevanter Aufträge bestehen nationale und europäische Vorgaben, die zwingend einzuhalten sind und nicht durch Erlasse geändert werden können.

In einer ersten Entscheidung zum Thema hat sich die Vergabekammer des Bundes bereits äußerst kritisch geäußert (Beschluss vom 24. Juni 2014, Az. 2 - 39/14). Ein Angebotsausschluss ist nach ihrer Ansicht unter Verwendung der aktuellen "No-Spy-Erklärung" nicht möglich. Zwar überlegt die Vergabekammer anhand konkreter Ansätze, ob das Ziel durch Änderungen an dem Dokument erreicht werden kann. Eine endgültige Festlegung bleibt der Beschluss aber noch schuldig.

Insgesamt betrachtet ist das Ziel der Geheimhaltung legitim und wird im Zweifel sogar durch europäische Rechtsvorschriften vorgegeben, so beispielsweise bei der Verarbeitung personenbezogener Daten. Zudem kann man von öffentlichen Auftraggebern nicht verlangen, dass sie bei der Auswahl ihres Vertragspartners eine solche Gefährdung ignorieren. (sh)

Zum Video: Wie die NSA-Affäre öffentliche IT-Projekte beeinflusst