No-Spy-Abkommen
Wie die NSA-Affäre öffentliche IT-Projekte beeinflusst
Gefühlt begann mit den Enthüllungen von Edward Snowden im Sommer 2013 eine neue Epoche im DatenschutzDatenschutz. Das Vertrauen in die Sicherheit von "europäischen Daten", die in den USA gespeichert sind, erreichte den Nullpunkt. Rufe wurden laut, dass personenbezogene Daten (also Daten, die in einem Bezug zu einer natürlichen Person stehen - nur solche sind von deutschem Datenschutzrecht erfasst) aus der EU überhaupt nicht mehr in die USA transferiert werden dürfen. Mehr noch: es dürfe auch keinen Zugang auf in der EU lagernde oder gesammelte Daten mehr aus den USA geben. So die oberste Instanz der deutschen Datenschützer. Alles zu Datenschutz auf CIO.de
Die Konferenz der Datenschutzbehörden des Bundes und der Länder verfasste im Juli 2013 eine Presseerklärung, wonach "der Transfer von personenbezogenen Daten in die USA nicht mehr genehmigt" würde und zudem geprüft werde, ob bestehende US-Transfers "ausgesetzt" werden müssen. Ein Paukenschlag, der für viel Verwirrung im Markt gesorgt hat. Denn fast jedes größere Unternehmen steht in Handelsbeziehungen mit den USA und tauscht (auch personenbezogene) Daten aus. War das nun alles illegal? Bedeutete die Stellungnahme der Datenschützer quasi ein Handelsembargo?
Datentransfers in die USA
Snowden offenbarte der Welt zunächst einmal, dass Geheimdienste fleißig Informationen, sprich Daten, sammeln. Was angesichts der Aufgaben eines Geheimdienstes nicht wirklich überraschte. Was allerdings überraschte, war dessen Ausmaß. Klar wurde, die NSA speicherte auf Vorrat unbegrenzt Kommunikationsdaten, Telefongespräche und Emails in riesigen Rechenzentren. Dieses Ausmaß, verbunden mit dem Umstand, dass die meisten großen Internet- und Cloud-Anbieter (wie AmazonAmazon, FacebookFacebook, GoogleGoogle und MicrosoftMicrosoft) in den USA, also der unmittelbaren Herrschaftssphäre der NSA sitzen, führte zu der genannten Reaktion der Datenschützer. Alles zu Amazon auf CIO.de Alles zu Facebook auf CIO.de Alles zu Google auf CIO.de Alles zu Microsoft auf CIO.de
- Gesetze verstehen
Die Auswirkungen der aktuellen und künftigen Gesetzeslage auf die Firma verstehen. Dies beinhaltet die Frage nach notwendigen Änderungen und deren Auswirkungen auf das IT-Budget. Zum Beispiel nutzen viele Unternehmen immer noch reale Daten ihrer Kunden und Nutzer für Entwicklungs- und Testzwecke. Mit der neuen Gesetzgebung sollten sie diese anonymisieren oder zumindest maskieren. - Analysieren
Analysieren, wo persönliche und sensible Daten aufbewahrt werden. Wer nutzt wie welche Daten und wo liegen die größten Gefahren einer Datenschutzverletzung? Die entsprechende Analyse der Bearbeitungsprozesse persönlicher und sensibler Daten und wie diese mit anderen Daten interagieren nimmt oft deutlich mehr Zeit in Anspruch als geplant. - Anonymisieren
Daten desensibilisieren, ohne sie unbrauchbar zu machen. Anonymisierte Daten lassen sich häufig relativ problemfrei in bestehende Workflows und Prozesse integrieren. Alternativ sind neue oder veränderte Arbeitsprozesse zu entwickeln, um die Gesetze einzuhalten. Die daraus resultierenden Kenntnisse fließen wiederum in Anforderungskataloge an Drittanbieter-Lösungen ein. - Datenschutzprozesse entwickeln
Datenschutzprozesse unter Verwendung der geeigneten Werkzeuge entwickeln. Zur Umsetzung der Datensicherheits-Strategie gibt es verschiedene Lösungen. Diese kann aus einem neuen Satz an Geschäftsprozessen bestehen, aus einer Revision der Datenzugriffsbestimmungen, einer (Test-)Datenmanagement-Technologie oder aus einer beliebigen Kombination davon. - Lösungen liefern
Die Lösung in das bestehende IT-Umfeld ausliefern. Vor der Einführung der entwickelten Prozesse sollten die Abläufe so weit wie möglich automatisiert und die manuellen Eingriffe reduziert sein. Teams, die diese Prozesse im Alltag betreuen, sind in die entsprechenden Regularien und Prozesse einzuweisen sowie in der Handhabung der verwendeten Werkzeuge zu trainieren.
Mittlerweile hat sich die erste Aufregung gelegt. Tatsächlich verschwieg die oben erwähnte Presseerklärung, dass US-Transfers in der Regel gar nicht genehmigungsbedürftig sind und in die Zuständigkeit des Gesetzgebers, nicht aber der Datenschutzbehörde fallen. Das wäre so, als wenn die Steuerfahndung verkünden würde, die Selbstanzeige sei aufgehoben. Natürlich wussten die Datenschutzbehörden das. Ihnen ging es einzig darum, Aufregung im Markt und Druck auf die USA und die Politik über deutsche Unternehmen zu erzeugen. Das gelang zumindest teilweise.
Denn die EU stellt derzeit ihre datenschutzrechtlichen Beziehungen mit den USA auf den Prüfstand und denkt über Verschärfungen nach, US-Größen wie Microsoft und Google wenden sich relativ aggressiv gegen ihre eigene Regierung. US-Transfers gibt es aber in der Privatwirtschaft nach wie vor, sie werden nicht unterbunden, und sie sind auch datenschutzrechtlich nicht illegal. Anfang April hat sogar die sogenannte "Artikel 29 Datenschutzgruppe", in der die nationalen Datenschutzbehörden der EU-Mitgliedstaaten vertreten sind, ausdrücklich die Cloud-Angebote von Microsoft als EU-datenschutzkonform bewertet. Datenschutzrechtlich wichtig sind demnach eine sorgfältige Anbieterauswahl und eine rechtliche Prüfung der Vertragswerke. Grundsätzlich unzulässig sind US-Transfers nicht. Vor diesem Hintergrund muten die Äußerungen der deutschen Politik für den öffentlichen Sektor, insbesondere der "No Spy"-Erlass, sowohl verspätet als auch übertrieben an.
Auswirkungen aufs öffentliche Vergaberecht
Öffentliche Vergaben werden durch die aktuellen, oben skizierten Entwicklungen zunächst nicht grundlegend verändert. So bleibt der allgemeine Ablauf des Vergabeprozesses unberührt. Er hängt grundsätzlich davon ab, welche Vergabeart einschlägig ist und von der ausschreibenden Behörde gewählt wird. Dabei werden im Wesentlichen drei Arten von Vergabeverfahren unterschieden: das "offene Verfahren", das "nicht offene Verfahren" und das "Verhandlungsverfahren", die beiden letztgenannten jeweils mit einem vorgeschalteten Teilnahmewettbewerb.
Das offene Verfahren
An einem offenen Verfahren kann sich zunächst jedes nationale, europäische oder internationale Unternehmen beteiligen, das ein Interesse an dem ausgeschriebenen öffentlichen Auftrag hat. Nach Abruf der Vergabeunterlagen - der technischen Leistungsbeschreibung, der Teilnahmebedingungen für das Vergabeverfahren, des Vertrags sowie weiterer Unterlagen im Einzelfall - gibt das Unternehmen ein Angebot mit den von Ihm abgeforderten Nachweisen, Erklärungen, Preisen und sonstigen Informationen ab.
Das nicht offene Verfahren
Im nicht offenen Verfahren und im Verhandlungsverfahren steht vor der Angebotslegung zunächst ein Teilnahmewettbewerb. Von allen (in- und ausländischen) Unternehmen, die Interesse an dem ausgeschriebenen Auftrag signalisiert haben, werden in einem ersten Schritt nur diejenigen ausgewählt, die über die notwendige Eignung verfügen - über die fachliche, technische und wirtschaftliche Leistungsfähigkeit sowie Gesetzestreue und Zuverlässigkeit. Nur diese Unternehmen sind im weiteren Vergabeverfahren berechtigt, ein Angebot für den Auftrag abzugeben. Bei dem Verhandlungsverfahren kommt als Besonderheit hinzu, dass allein bei dieser Ausschreibungsform die öffentliche Hand mit den einzelnen Bieterunternehmen über die Modalitäten des ausgeschriebenen Auftrags verhandeln kann - beispielsweise Vertragslaufzeit, Vertragsstrafen, Haftung oder Preise.