No-Spy-Abkommen
Wie die NSA-Affäre öffentliche IT-Projekte beeinflusst
Änderungen durch die No-Spy-Erklärung
Der No-Spy-Erlass und ähnliche vergaberechtliche Regeln einzelner Bundesländer haben Auswirkungen auf die öffentliche Vergabe von ICT-Leistungen. Nach diesen neuen Vergaberichtlinien des Bundes und beispielsweise Schleswig-Holsteins, Hamburgs und Sachsen-Anhalts wird von den Unternehmen die Abgabe einer "No Spy Guarantee" gefordert. Mit dieser Erklärung sollen die Unternehmen bestätigen, dass sie in der Lage sind, alle erlangten Informationen vertraulich zu behandeln, dass sie keinen Verpflichtungen zur Weitergabe von vertraulichen Informationen und Daten an ausländische Sicherheitsbehörden unterliegen. Die No-Spy-Garantie soll also die Zuverlässigkeit und Gesetzestreue des Unternehmens belegen. Nach ersten Gerichtsurteilen stellt diese Garantie jedoch kein zulässiges Kriterium dar, auf die Zuverlässigkeit und Eignung von Unternehmen abzustellen.
Weder US-amerikanische Unternehmen noch deren deutsche Tochterunternehmen dürfen nach europäischem Recht von Ausschreibungen der öffentlichen Hand in Deutschland per se ausgeschlossen werden, auch wenn sie wegen unter anderem des Patriot Acts aus dem Jahr 2001 unter Umständen gesetzlich verpflichtet sind, US-Sicherheitsbehörden den Zugriff auf Daten in beziehungsweise aus Deutschland zu gestatten.
Rechtlich kritisch
Das Bundesministerium des Innern (BMI) hat mit der sogenannten Handreichung von Mitte August bereits entsprechend reagiert. Danach soll nunmehr die NoSpy Guarantee nicht mehr als Nachweis der Eignung (speziell Zuverlässigkeit) des Unternehmens gefordert, sondern als eine besondere Ausführungsbedingung in den ausgeschriebenen Vertrag aufgenommen werden.
Das ist rechtlich nicht unkritisch, da auch diese neue Vergabepraxis in erster Linie gegen US-amerikanische Unternehmen sowie deren deutsche (und europäische) Tochterunternehmen gerichtet ist. Dadurch würden aber Unternehmen, die nicht unter die US-amerikanischen Gesetze fallen, im Vergabewettbewerb bevorzugt. Zudem ist nicht auszuschließen, dass andere Länder vergleichbare Vergaberestriktionen wie Deutschland einführen und dann eine Protektionsspirale in Gang gesetzt wird, die den freien Wettbewerb, auch in den nicht verteidigungs- und sicherheitsrelevanten Marktsegmenten, beschränkt. Eine solche Entwicklung wäre für den international ausgerichteten Markt für ICT-Leistungen, von dem auch die öffentliche Hand in Deutschland in besonderem Maße angewiesen ist, schädlich. Insgesamt gesehen schafft die No-Spy-Erklärung somit keine Sicherheit - weder Rechtssicherheit noch Datensicherheit.