Beschaffung & Vergabe | No-Spy

Diener zweier Herren: Zur Verpflichtung deutscher Töchter amerikanischer IT-Unternehmen nach dem Patriot Act

19. September 2014 | Von | Kategorie: NO-SPY

Wir hatten vor kurzem über den so genannten No-Spy-Erlass des BMI berichtet [1]. Damit verfügte das BMI gegenüber dem Beschaffungsamt, dass von allen Bietern bei sicherheitssensitiven IT-Aufträgen eine Eigenerklärung zu verlangen sei, die so genannte „No-Spy-Garantie“. Jeder Bieter muss darin zusichern, dass er nicht durch Verträge oder Gesetze verpflichtet ist bzw. gezwungen werden kann, vertrauliche Daten an ausländische Geheimdienste und Sicherheitsbehörden weiterzugeben.

Die Vergabekammer Bund hat diesen No-Spy-Erlass inzwischen für vergaberechtswidrig erklärt, was allerdings eher vergaberechts-formelle Gründe hat. Es könne nämlich nicht der Katalog von Eignungskriterien, die vom Bieter verlangt werden, eigenmächtig durch die Vergabestelle geändert werden. Für zukünftige Vergabeverfahren ist der No-Spy-Erlass also kein geeignetes Mittel mehr.

Diener zweier Herren?! – Widersprechende Rechtspflichten für deutsche Töchter amerikanischer Mutterkonzerne

Aufschlussreich ist allerdings auch, was die Vergabekammer zum Sachverhalt an sich ausführt, nämlich der möglichen Verpflichtung deutscher Tochterunternehmen von ausländischen Muttergesellschaften: Dazu heißt es in der Urteilsbegründung:

„Die Pflicht US-amerikanischer Unternehmen bzw. deren deutscher Tochterunternehmen zur Datenweitergabe an US-amerikanische Sicherheitsbehörden ergibt sich (…) aus dem USA Patriot Act, der aus dem Jahr 2001 stammt. … Dieser ist Teil der amerikanischen Rechtsordnung. Danach sind US-Unternehmen verpflichtet, den US-Sicherheitsbehörden (FBI, NSA, CIA) Zugriff auf ihre Server zu gestatten, und zwar auch ohne richterliche Anordnung. Diese Verpflichtung gilt in gleicher Weise für ausländische Tochtergesellschaften von US-amerikanischen Unternehmen … und zwar auch dann, wenn die Datenweitergabe gegen die für die ausländische Tochtergesellschaften geltenden örtlichen Gesetze verstößt.
Die Weitergabe insbesondere personenbezogener Daten an Stellen außerhalb der EU ist datenschutzrechtlich nicht gestattet. Es ist offensichtlich und ohne weiteres nachvollziehbar, dass eine dennoch stattfindende Datenweitergabe generell und insbesondere in Bezug auf personenbezogene oder sicherheitsrelevante Informationen höchst problematisch ist. Auf die öffentlich geführte Diskussion in diesem Zusammenhang ist zu verweisen. „

Die CSC Deutschland Solutions GmbH und ihre Stellung in der IT-Landschaft der öffentlichen Hand

Diese Situation trifft – unter anderem – die Firma CSC Deutschland Solutions GmbH, Tochter des amerikanischen IT-Dienstleistungs- und Beratungsunternehmens Computer Sciences Corporation. Die amerikanische Mutter erlangte unrühmliche Bekanntheit dadurch, dass sie die CIA bei ihren Gefangenentransportflügen (Rendition Flights) unterstützte. CSC Deutschland wiederum ist ein Unternehmen, ohne das man sich die IT-Landschaft der öffentlichen Hand in Deutschland nur noch schwer vorstellen kann. Eine Liste der Verträge von CSC Deutschland allein mit Bundesministerien und Bundesbehörden [Anlagen in [2]] ist mehr als 100 Seiten lang.

Beim BKA ist die CSC Deutschland Auftragnehmerin eines Rahmenvertrages mit einem Volumen von rund 27 Millionen Euro (über drei Jahre) und schwerpunktmäßig zuständig für die IT-Entwicklungen der polizeilichen Informationssysteme und -Software für das BKA. In diesen Aufgabenbereich fällt dann auch die Mitwirkung an der Entwicklung des PIAV – des seit Jahren in Planung und Umsetzung begriffenen Polizeilichen Informations- und Analyseverbunds. CSC ist im BKA auch beauftragt mit der technischen Prüfung der vom BKA selbst verantworteten Software für die ‚Online-Durchsuchung‘, den so genannten Bundestrojaner. Wie eng die Verbindungen sind, wird deutlich an einem weiteren Beispiel: Matthias Memmesheimer, der frühere Projektleiter für PIAV im BKA, wechselte die Seiten und ist heute bei CSC zuständig für die Einführung von PIAV. Diese Beispiele belegen: Auch wenn CSC [jedenfalls unseres Wissens nach] nicht selbst Server betreibt, auf denen behördliche / hoheitliche Daten gehostet werden, hat das Unternehmen doch umfassenden Einblick und Einwirkungsmöglichkeiten auf zentrale Informationssysteme der Polizei – und von anderen Bundesbehörden.

Noch im Januar sah das BMI die Sache ganz entspannt …

Die Fraktion der Grünen, aufgeschreckt von den Berichten über die Beteiligung von CSC an den Rendition Flights, hatte daher Anfang des Jahres eine Kleine Anfrage im Bundestag eingebracht mit dem bezeichnenden Titel „Sicherheitsheitsrisiken durch die Beauftragung des US-Unternehmens CSC und anderer Unternehmen, die in engem Kontakt zu US-Geheimdiensten stehen“:
Das mit der Beantwortung beauftragte BMI sah die Angelegenheit jedoch ausgesprochen entspannt. In der Antwort [2] hieß es

„Die Bundesregierung hat keine Anhaltspunkte dafür, dass die CSC Deutschland Solutions GmbH in irgendeiner Weise gegen Sicherheits- oder Vertraulichkeitsauflagen verstoßen hat. Es bestehen insbesondere auch keinerlei Anhaltspunkte dafür, dass die CSC Deutschland als selbstständige Gesellschaft vertrauliche Informationen an die amerikanische CSC weitergegeben hat, die von dort aus in andere Hände gelangt sein könnten. … Die Bundesregierung sieht keine Veranlassung, ihre Auftragsvergabepraxis in Bezug auf die CSC Deutschland Solutions GmbH zu ändern.

Dennoch lieferte diese Anfrage offensichtlich den Anstoß für das BMI aktiv zu werden. Die Folge war der so genannte No-Spy-Erlass vom April diesen Jahres, der nach Tatkraft aussah. Dumm nur, dass ihn die Vergabekammer Bund schon gute zehn Wochen später wieder als rechtswidrig kassierte.

Ein Unternehmen, das nach dem Patriot Act verpflichtet werden kann, entwickelt polizeiliche IT-Technik …

Nachdem die Vergabekammer, wie oben ausgeführt, jedoch sehr klar formulierte, dass und warum deutsche Tochterunternehmen amerikanischer Konzerne sehr wohl dem Patriot Act unterworfen sind und dies bereits seit 2001, wäre doch noch einmal zu prüfen, ob die tiefen-entspannte Haltung des BMI im Bezug auf diesen wichtigen Auftraggeber nach wie vor ihre Berechtigung hat. Wenn man schon 13 Jahre lang nicht in der Lage (oder willens) war, den Patriot Act rechtzeitig zu lesen und seine Auswirkungen zu verstehen, so ist es nach den klaren Feststellungen der Vergabekammer und den inzwischen bekannten Sachverhalten heute unabdingbar.

Und generell stellt sich die Frage: Wer prüft solche Systeme eigentlich auf Backdoors?

Insbesondere und unabhängig von CSC Deutschland Solutions GmbH stellt sich aber vor allem die Frage: Wie eigentlich wird geprüft und verhindert, dass „Backdoors“ eingebaut werden in polizeiliche Informationssysteme; eine Möglichkeit, die jederzeit sowohl durch externe Dienstleister und interne Mitarbeiter gegeben ist und daher nicht als Unterstellung gegenüber CSC gemeint ist oder verstanden werden soll. Sondern die ein allgemeines Problem darstellt, das in der Informationstechnik deutscher Polizeibehörden bisher entweder verschlafen oder aber großzügig ignoriert worden ist.

________________________________________________________________________

Quelle zu diesem Beitrag

[1] Zurück auf Null: No-Spy-Erlass des BMI ist vergaberechtswidrig, 15.09.2014, Polygon-Blog
[2] Antwort der Bundesregierung auf die Kleine Anfrage der Grünen: Sicherheitsrisiken durch die Beauftragung des US-Unternehmens CSC und anderer Unternehmen, die in engem Kontakt zu den US-Geheimdiensten stehen, 22.01.2014, DBT-Drs 18/334

Schlagworte: , , , ,

Schreibe einen Kommentar