Suchen

No Spy Klausel in öffentlichen Ausschreibungen

Datenschutz per Erlass

Seite: 3/3

So begrüßenswert dieser Erlass grundsätzlich ist, so wichtig ist dessen weitere Detaillierung und Operationalisierung. Drei wesentliche offene Punkte sind heute z.B.:

  • 1. Umgang mit Lieferketten: Die Wertschöpfungskette hört meist nicht beim bietenden Unternehmen auf, sondern inkludiert weitere Subunternehmer, und seien es nur Hardware oder Softwareanbieter. Es ist aktuell unklar, in welchem Umfang ein Bieter auch für alle seine Subunternehmen eine solche Eigenerklärung liefern muss. Würde dies bis in alle Verästelungen einer Lieferkette hinunter dekliniert bedeutete dies zum Beispiel, dass ein Bieter auch für das mitgebrachte Microsoft Office-Paket und den Hersteller Microsoft eine solche Eigenerklärung einfordern müsste . Diese Unklarheit birgt auch heute bereits Risiken für Unternehmen, die die Eigenerklärung liefern. Es ist dann für sie hilfreich, wenn sie z.B. für auf Software-Produkten basierende Dienstleistungen entsprechende Produktalternativen aus Deutschland aufweisen können, deren Hersteller diese Eigenerklärung ebenfalls liefern können; gleichzeitig sollten sie in jedem Fall ihre Grenzen der Eigenerklärungsreichweite proaktiv aufzeigen (z.B. „endet bei der Verwendung von MS-Office-Produkten“).
  • 2. Anwendbarkeit auf multinationale Konzerne: Es gibt eine Vielzahl rechtlicher Verbindlichkeiten zwischen international verbundenen Unternehmen, die zusammen einen multinationalen Konzern gründen. Dies können rechtlich selbständige Tochtergesellschaften sein, die arbeitsteilig zusammenarbeiten, und sei es evtl. nur in Form einer zentralen Buchhaltung und Rechnungsstellung. Der Erlass lässt offen, inwieweit eine nationale deutsche Tochter ihre Muttergesellschaft ebenfalls bei der Eigenerklärung berücksichtigen muss und inwieweit Prozessketten, die ausländische Organisationen mit einbeziehen, ebenfalls berücksichtigt werden. Auch hier ist es für Unternehmen, die diese Eigenerklärung liefern, hilfreich, bereits heute solche Abhängigkeiten proaktiv aufzuzeigen und von der Eigenerklärung auszuschließen (z.B.: „für die Buchhaltung wird ein Tochter-Unternehmen in XYZ beauftragt“).
  • 3. Gültigkeit: Die mit diesem Erlass intendierte Stoßrichtung bezieht sich auf Aufgaben mit einer „möglichen Sicherheitsrelevanz“. Das bloße Reinigen von Gebäuden oder das neue Verlegen von Netzwerkkabeln gehört daher vermutlich nicht zum intendierten Bereich. Allerdings fehlt auch hier eine weitere Operationalisierung, so dass die „gewählte Formel […] als Instrument zur Entscheidungsfindung wenig geeignet [ist].“. Hier kann es für Dienstleister von Vorteil sein, anstehende Aufgaben in Arbeitspakete zu dekomponieren und die Eigenerklärung in Anlehnung an eine selbst vorgenommene Sicherheitspotentialanalyse partiell zu leisten.

Fazit

Selbst die längste Reise beginnt mit dem ersten Schritt. Und auch wenn dieser vielleicht noch unsicher und hakelig erfolgt, so ist eben ein erster Schritt dahin getan, dass dem Thema Datensicherheit über öffentliche Auftragsvergaben als Vorbildfunktion in alle IT-Bereiche hinein eine deutlich gewichtigere Rolle zugesprochen wird.

Was helfen vertragliche Verbindungen, die zumeist sogar auf persönlicher Ebene vertrauensvoll unterfüttert sind, wenn an anderer Stelle im Unternehmen Daten bewusst und für kaum einen transparent abfließen?

Von daher ist die Grundintention, wenigstens von solchen Verbindlichkeiten wissen zu wollen, mehr als verständlich. Allerdings darf dies nicht zu einer bloßen Nationalisierung der Vergabepraxis führen, da die IT als primär immaterielle Disziplin nur schwer zu lokalisieren ist. Hier bedarf es der Nacharbeit, aber der erste Schritt in die richtige Richtung ist gemacht. Und jedes Unternehmen ist bereits heute eingeladen, proaktiv in diese Richtung mit zugehen.

Ergänzendes zum Thema
Über den Autor

Dr. Frank Simon
Dr. Frank Simon
( Bild: Bluecarat )
Dr. Frank Simon hat Informatik studiert und im Bereich der Qualitätssicherung großer IT-Systeme promoviert. Anschließend hat er zehn Jahre in einem international agierenden Konzern den Bereich Research und Innovation geleitet. Seit 2013 arbeitet er bei der mittelständischen Bluecarat AG in Köln und ist dort mit dem Business-Development beauftragt. Frank Simon ist im Vorstand des German Testing Boards (GTB), ist Vorsitzender des Bitkom Lenkungsausschusses Software und leitet im Bitkom den Arbeitskreis Software-Architekturen.

(ID:42871869)