Suchen

No Spy Klausel in öffentlichen Ausschreibungen Datenschutz per Erlass

Autor / Redakteur: Dr. Frank Simon / Peter Schmitz

Seit Mai 2014 fordert das Bundesinnenministerium eine zusätzliche Vertragsklausel bei sicherheitsrelevanten Vergabeverfahren. Jetzt stellt sich die Frage, ob die Klausel die Sicherheit der deutschen IT-Landschaft fördert, oder gerade für deutsche IT-Dienstleister nur eine zusätzliche Hürde auf dem Weg öffentlicher Vergaben darstellt.

Firma zum Thema

Das Bundesministerium des Inneren will mit der No-Spy-Klausel, bei sicherheitsrelevanten Vergabeverfahren, Transparenz über von ausländischen Sicherheitsbehörden erzwungene Datenweitergabe erreichen.
Das Bundesministerium des Inneren will mit der No-Spy-Klausel, bei sicherheitsrelevanten Vergabeverfahren, Transparenz über von ausländischen Sicherheitsbehörden erzwungene Datenweitergabe erreichen.
(Bild: tankist276 - Fotolia.com)

Nicht erst seit Edward Snowden ist bekannt, dass das Thema IT-Sicherheit auch von oberster politischer Stelle aus kompromittiert wird. Allerdings haben die bisher kolportierten Sachstände das bisher vermutete Ausmaß des Datenklaus auf nationaler Ebene deutlich in den Schatten gestellt. Nichts scheint mehr sicher, und was in jedem Fall fehlt ist die Transparenz über den derart geplanten systematischen Datenabzug.

Nicht zuletzt diese bisherige Fehleinschätzung hat Ende April 2014 wohl dazu geführt, dass das Bundesministerium des Innern einen Erlass mit dem sperrigen Titel (pdf) „Verwendung einer Eigenerklärung und einer Vertragsklausel in Vergabeverfahren im Hinblick auf Risiken durch nicht offengelegte Informationabflüsse an ausländische Sicherheitsbehörden “ mit sofortiger Wirkung verfasst hat. Dieser Erlass hat seitdem für viel Diskussion in vielen Foren gesorgt; nicht zuletzt der unabhängige Bitkom-Arbeitskreis hat sich am 15.7. in einem 11-seitigen Positionspapier (pdf) dazu geäußert.

Transparenz über Datenweitergabe

Im Kern des Erlasses geht es darum, dass ein von der Bundesrepublik Deutschland beauftragtes Unternehmen gegen die üblicherweise in Verträgen enthaltenen Verschwiegenheitsklauseln verstößt, wenn es „Erkenntnisse aus Aufträgen ausländischen Sicherheitsbehörden preisgibt“.

Eine solche Weitergabe kann wenigstens aus zwei Motiven heraus erfolgen: Freiwillig, um sich daraus Vorteile zu verschaffen, oder gezwungen aufgrund gültiger ausländischer Rechtsvorschriften.

Gegen die freiwillige, d.h. bewusste Freigabe im Projektverlauf kann ein Erlass für ein Vergabeverfahren naturgemäß nur wenig tun, außer evtl. die Pönale vergrößern oder noch feingranularere Dienstleister-Blacklists pflegen. Der Erlass adressiert daher auch primär solche Verstöße, die bereits während der Vergabephase absehbar sind, da der Auftragnehmer eben zur Weitergabe verpflichtet ist. Die Bundesrepublik Deutschland möchte mit diesem Erlass Transparenz über solche erzwungenen Datenweitergaben bekommen und alleine daraufhin einen Bieter bereits im Vorfeld ablehnen können.

Eigenverpflichtung zur Vertraulichkeit

Um nun im Vergabeprozess solche Bieter zu identifizieren, die einem erzwungenen Datenabfluss unterliegen, müssen Bieter in Vergabeprozessen seit dem 1.5.14 eine unterschriebene Eigenerklärung beifügen, die dem Erlass als Textvorlage beiliegt. Darin wird formuliert, dass der Bieter im Falle des Zuschlags die „im Vertrag enthaltene Verpflichtung […], alle im Rahmen des Vertragsverhältnisses erlangten vertraulichen Informationen […] vertraulich zu behandeln“ auch tatsächlich einhalten kann und eben „keine Verpflichtungen [bestehen], Dritten solche Informationen zu offenbaren oder in anderer Weise zugänglich zu machen.“.

Es ist nicht verwunderlich, dass dieser Erlass für große Unruhe gesorgt hat. Insbesondere im größten Verband der ITK-Branche Bitkom hat er zu vielfältigen Diskussionen geführt. Es gab sowohl klare Befürworter als auch klare Gegner dieser zusätzlichen Vergabeklausel, die es in der Folge als No-Spy-Klausel in die Presse geschafft hat.

Naturgemäß haben typisch deutsche Mittelständler (KMUs), deren gesamte Organisation in Deutschland ansässig ist, kaum Probleme, eine solche No-Spy-Klausel in Vergabeprozessen zu unterschreiben, schließlich unterliegen Sie ausschließlich deutschem Recht und damit keinerlei ausländischen Rechtsvorschriften. So hat beispielsweise die Bluecarat AG mit ihrem Stammsitz in Köln z.B. sehr frühzeitig ihre Kunden darauf hingewiesen, dass bei Bedarf diese Eigenerklärung geleistet werden kann und damit auch weiterhin sicherheitsrelevante Projekte direkt begonnen werden können.

Da auch die Privatwirtschaft von der erzwungenen Datenweitergabe betroffen sein kann, gilt diese Initiative auch dort als Vorteil, wenn auch ohne die Verbindlichkeit durch ein Bundesministerium.

Auf der anderen Seite haben gerade die IT-Großunternehmen mit ihren häufig international verwobenen Organisationsstrukturen vermeintlich Probleme damit, eine solche Klausel zu unterschreiben. Dies muss dabei noch nicht einmal darin begründet sein, dass bekannt ist, dass solche externen Zwänge existieren, sondern vielmehr darin, dass überhaupt nicht klar ist, ob solche Mechanismen existieren.

Weitere Operationalisierungen notwendig

Auch wenn aktuell die deutschen KMUs von der No-Spy-Klausel profitieren können, kann es allerdings weder in ihrem noch im Sinne der Gesamtstoßrichtung sein, per se international agierende Unternehmen von sicherheitsrelevanten Ausschreibungen auszuschließen.

Neben allgemeinen Diskriminierungsaspekten, die dadurch zum Tragen kämen, zählt hier insbesondere der Drang nach IT-Fortschritt, der in seinen technischen Facetten überhaupt nur global denkbar ist. Eine künstliche Inselbildung, in der sämtliche internationale Verbindungen unerwünscht sind, kann hier nicht zielführend sein und behindert den Fortschritt dramatisch.

So begrüßenswert dieser Erlass grundsätzlich ist, so wichtig ist dessen weitere Detaillierung und Operationalisierung. Drei wesentliche offene Punkte sind heute z.B.:

  • 1. Umgang mit Lieferketten: Die Wertschöpfungskette hört meist nicht beim bietenden Unternehmen auf, sondern inkludiert weitere Subunternehmer, und seien es nur Hardware oder Softwareanbieter. Es ist aktuell unklar, in welchem Umfang ein Bieter auch für alle seine Subunternehmen eine solche Eigenerklärung liefern muss. Würde dies bis in alle Verästelungen einer Lieferkette hinunter dekliniert bedeutete dies zum Beispiel, dass ein Bieter auch für das mitgebrachte Microsoft Office-Paket und den Hersteller Microsoft eine solche Eigenerklärung einfordern müsste . Diese Unklarheit birgt auch heute bereits Risiken für Unternehmen, die die Eigenerklärung liefern. Es ist dann für sie hilfreich, wenn sie z.B. für auf Software-Produkten basierende Dienstleistungen entsprechende Produktalternativen aus Deutschland aufweisen können, deren Hersteller diese Eigenerklärung ebenfalls liefern können; gleichzeitig sollten sie in jedem Fall ihre Grenzen der Eigenerklärungsreichweite proaktiv aufzeigen (z.B. „endet bei der Verwendung von MS-Office-Produkten“).
  • 2. Anwendbarkeit auf multinationale Konzerne: Es gibt eine Vielzahl rechtlicher Verbindlichkeiten zwischen international verbundenen Unternehmen, die zusammen einen multinationalen Konzern gründen. Dies können rechtlich selbständige Tochtergesellschaften sein, die arbeitsteilig zusammenarbeiten, und sei es evtl. nur in Form einer zentralen Buchhaltung und Rechnungsstellung. Der Erlass lässt offen, inwieweit eine nationale deutsche Tochter ihre Muttergesellschaft ebenfalls bei der Eigenerklärung berücksichtigen muss und inwieweit Prozessketten, die ausländische Organisationen mit einbeziehen, ebenfalls berücksichtigt werden. Auch hier ist es für Unternehmen, die diese Eigenerklärung liefern, hilfreich, bereits heute solche Abhängigkeiten proaktiv aufzuzeigen und von der Eigenerklärung auszuschließen (z.B.: „für die Buchhaltung wird ein Tochter-Unternehmen in XYZ beauftragt“).
  • 3. Gültigkeit: Die mit diesem Erlass intendierte Stoßrichtung bezieht sich auf Aufgaben mit einer „möglichen Sicherheitsrelevanz“. Das bloße Reinigen von Gebäuden oder das neue Verlegen von Netzwerkkabeln gehört daher vermutlich nicht zum intendierten Bereich. Allerdings fehlt auch hier eine weitere Operationalisierung, so dass die „gewählte Formel […] als Instrument zur Entscheidungsfindung wenig geeignet [ist].“. Hier kann es für Dienstleister von Vorteil sein, anstehende Aufgaben in Arbeitspakete zu dekomponieren und die Eigenerklärung in Anlehnung an eine selbst vorgenommene Sicherheitspotentialanalyse partiell zu leisten.

Fazit

Selbst die längste Reise beginnt mit dem ersten Schritt. Und auch wenn dieser vielleicht noch unsicher und hakelig erfolgt, so ist eben ein erster Schritt dahin getan, dass dem Thema Datensicherheit über öffentliche Auftragsvergaben als Vorbildfunktion in alle IT-Bereiche hinein eine deutlich gewichtigere Rolle zugesprochen wird.

Was helfen vertragliche Verbindungen, die zumeist sogar auf persönlicher Ebene vertrauensvoll unterfüttert sind, wenn an anderer Stelle im Unternehmen Daten bewusst und für kaum einen transparent abfließen?

Von daher ist die Grundintention, wenigstens von solchen Verbindlichkeiten wissen zu wollen, mehr als verständlich. Allerdings darf dies nicht zu einer bloßen Nationalisierung der Vergabepraxis führen, da die IT als primär immaterielle Disziplin nur schwer zu lokalisieren ist. Hier bedarf es der Nacharbeit, aber der erste Schritt in die richtige Richtung ist gemacht. Und jedes Unternehmen ist bereits heute eingeladen, proaktiv in diese Richtung mit zugehen.

Ergänzendes zum Thema
Über den Autor

Dr. Frank Simon
Dr. Frank Simon
( Bild: Bluecarat )
Dr. Frank Simon hat Informatik studiert und im Bereich der Qualitätssicherung großer IT-Systeme promoviert. Anschließend hat er zehn Jahre in einem international agierenden Konzern den Bereich Research und Innovation geleitet. Seit 2013 arbeitet er bei der mittelständischen Bluecarat AG in Köln und ist dort mit dem Business-Development beauftragt. Frank Simon ist im Vorstand des German Testing Boards (GTB), ist Vorsitzender des Bitkom Lenkungsausschusses Software und leitet im Bitkom den Arbeitskreis Software-Architekturen.

(ID:42871869)