Sicherheitsrisiken durch die Beauftragung des US-Unternehmens CSC und anderer Unternehmen, die in engem Kontakt zu US-Geheimdiensten stehen
der Abgeordneten Omid Nouripour, Dr. Konstantin von Notz, Hans-Christian Ströbele, Luise Amtsberg, Volker Beck (Köln), Dr. Franziska Brantner, Agnieszka Brugger, Britta Haßelmann, Uwe Kekeritz, Katja Keul, Tom Koenigs, Renate Künast, Irene Mihalic, Özcan Mutlu, Cem Özdemir, Lisa Paus, Claudia Roth (Augsburg), Jürgen Trittin und der Fraktion BÜNDNIS 90/DIE GRÜNEN
Vorbemerkung
Das IT-Beratungsunternehmen Computer Sciences Corporation (CSC) mit Hauptsitz in Falls Church, Virginia, USA zählt laut der laufenden Berichterstattung der „Süddeutschen Zeitung“ vom 15./16. November 2013 sowie dem im November 2013 erschienenen Buch „Geheimer Krieg“ von Christian Fuchs/John Goetz mit einem Jahresumsatz von ca. 16 Mrd. US-Dollar und 100 000 Consultants (davon 3 000 Mitarbeiterinnen und Mitarbeiter allein in Deutschland) zu einem der größten IT-Beratungs- und Dienstleistungskonzerne der Welt. Das Unternehmen berät weltweit Regierungen, die britische Royal Mail und den britischen Gesundheitsdienst sowie zahlreiche US-Verwaltungen wie die US-Küstenwache, die US Navy und das US-Heimatschutzministerium, etwa bei der Abwicklung von Visaanträgen. Unter der Bush-Administration erhielt CSC den Auftrag zur Erneuerung des IT-Systems der National Security Agency (NSA) (siehe dazu die oben genannten Quellen). Im Rahmen des noch bis zum Jahr 2014 laufenden sog. Groundbreaker-Vertrags sollen Tausende Mitarbeiter der NSA zu CSC gewechselt sein. Das später wegen seiner Kosten gestoppte Abhörprogramm Trailblazer der NSA (vgl. http://en.wikipedia.org/wiki/Trailblazer_ Project) wurde durch ein von CSC geführtes Konsortium durchgeführt. Während der Amtsführung des NSA-Chefs Michael Hayden war die CSC der drittgrößte Auftragnehmer staatlicher Stellen der USA und beriet neben der NSA auch das FBI und die CIA in IT-Fragen, nach Auffassung der Autoren von „Geheimer Krieg“ war CSC damit de facto die „EDV-Abteilung der amerikanischen Geheimdienstwelt“ (vgl. S. 197).
Nach den oben genannten Recherchen der Journalisten des Norddeutschen Rundfunks (NDR) und der „Süddeutschen Zeitung“ war CSC zwischen 2003 und 2006 auf der Grundlage eines Rahmenvertrags von 2002 Hauptauftragnehmer der CIA für die Bereitstellung von Flugzeugen und Besatzung für das sog. extraordinary renditions programme (Fuchs/Goetz: „Geheimer Krieg“, S. 198). In diesem Programm führten die USA Entführungen und Verschleppungen von Personen durch, die von der CIA teilweise fälschlich als Terroristen identifiziert worden waren und die in den Zielstaaten (der Gefahr) der Folter unterworfen wurden (siehe Bericht der Parlamentarischen Versammlung des Europarates vom 22. Januar 2006, AS/Jur (2006) 03 rev, und insbesondere im Hinblick auf die Rolle von Staaten der Europäischen Union in diesem Zusammenhang Euro-päisches Parlament, zuletzt Pressemitteilung vom 10. Oktober 2013). Zu den bekannteren Fällen zählen die Entführungen von Khaled El-Masri und Imam Abu Omar. Heute sind die CSC sowie deren Tochterunternehmen u. a. für die IT-Betreuung der US-Regionalkommandos von EUCOM und AFRICOM zuständig, welche im Verdacht stehen, für die verantwortliche Durchführung von gezielten Tötungen durch Drohnen insbesondere in Afrika zuständig zu sein (Goetz/Fuchs: „Geheimer Krieg“ Kapitel 2, S. 27 ff.).
Allein in den Jahren 2009 bis 2013 bekam die CSC Deutschland 100 Aufträge von zehn unterschiedlichen Bundesministerien, obersten Bundesbehörden und dem Bundeskanzleramt (Goetz/Fuchs a. a. O., S. 207 ff. sowie die Antworten der Bundesregierung auf Bundestagsdrucksachen 17/10305 auf die Schriftliche Frage 91, 17/10352 auf die Schriftliche Frage 31 und 17/14530 auf die Schriftlichen Fragen 10 und 21). Seit 1990 wurden allein für den Verteidigungsbereich 424 Aufträge im Wert von 146,2 Mio. Euro vergeben (Fragestunde vom 28. November 2013, Antwort der Bundesregierung auf die Mündliche Frage 24 des Abgeordneten Hans-Christian Ströbele, Plenarprotokoll 18/3, S. 136 (A)).
Darunter befand sich eine Reihe sicherheitssensibler Aufträge für das Bundesministerium des Innern (BMI), das Bundesministerium der Justiz (BMJ), das Bundesministerium der Finanzen (BMF), das Bundesministerium der Verteidigung (BMVg) und die Bundeswehr. Beispiele hierfür sind Aufträge im Zusammenhang mit der elektronischen Akte für Bundesgerichte, dem Sicherheitskonzept für die Marine, der Sicherheit im Luftraum, der IT des BMI, dem neuen Personalausweis und De-Mail (siehe zu den Aufträgen im Einzelnen Goetz/Fuchs a. a. O., S. 207 ff., Antworten der Bundesregierung auf Bundestagsdrucksachen 17/10305 auf die Schriftliche Frage 91, 17/10352 auf die Schriftliche Frage 31 und 17/14530 auf die Schriftlichen Fragen 10 und 21). Unter anderem wurde die CSC Deutschland Solutions GmbH von der Bundesregierung mit der Überprüfung des Quellcodes des von einem kommerziellen Anbieter entwickelten Spähprogramms beauftragt, um zu prüfen, ob dieses Spähprogramm verfassungsrechtlichen Anforderungen genügt (NETZPOLITIK.ORG vom 13. Januar 2013, ZEIT ONLINE vom 2. Mai 2013).
Auf Nachfrage des Abgeordneten Hans-Christian Ströbele gab die Bundesregierung am 28. November 2013 an, keine Veranlassung für den Ausschluss von CSC aus dem reglementierten Verfahren zur Vergabe öffentlicher Aufträge zu sehen. Der Bundesregierung lägen keine Anhaltspunkte für eine Unzuverlässigkeit von CSC im Sinne des Vergaberechtes vor. Weiterhin vermittle das parlamentarische Frage- und Informationsrecht keinen Anspruch auf Offenlegung und Übersendung von Dokumenten an den Deutschen Bundestag, weswegen die Verträge mit CSC dem Fragesteller nicht zugänglich gemacht würden. Die für einen individualisierten Auftragnehmer anfallenden und abzurechnenden Vertragsentgelte zählten hingegen zu dessen Betriebs- und Geschäftsgeheimnissen. Für die Überprüfung der etwaigen Strafbarkeit einzelner CSC-Mitarbeiter sei die Staatsanwaltschaft München I zuständig (Antworten der Bundesregierung vom 28. November 2013 auf die Mündliche Frage 24 und Nachfragen des Abgeordneten Hans-Christian Ströbele und die Mündliche Frage 25 des Abgeordneten Omid Nouripour, Plenarprotokoll 18/3). Die Zusatzfrage des Abgeordneten Uwe Kekeritz, ob es schriftlich fixierte Kriterien für die Prüfung der Zuverlässigkeit privater Dienstleister im Hinblick auf die Wahrung nationaler Sicherheits- und Datenschutzinteressen gibt, die bei der Vergabe öffentlicher Aufträge durch die Bundesbehörden angewendet werden, wurde von der Bundesregierung durch den Parlamentarischen Staatssekretär beim Bundesminister des Innern, Dr. Ole Schröder, mit einem pauschalen Verweis auf die allgemeinen Kriterien und damit inhaltlich nicht beantwortet (Antworten der Bundesregierung vom 28. November 2013 auf die Mündliche Frage 26 des Abgeordneten Uwe Kekeritz und dessen Nachfragen, Plenarprotokoll 18/3). Anders als Dr. Ole Schröder, führte der Parlamentarische Staatsekretär beim Bundesminister für Wirtschaft und Technologie, Ernst Burgbacher, auf die Mündliche Frage 6 des Abgeordneten Tom Koenigs jedoch aus, im Vergabeverfahren könne ein Bewerber ausgeschlossen werden, der nachweislich eine schwere Verfehlung begangen hat, die seine Zuverlässigkeit infrage stellt. Bei bestimmten sensiblen Aufträgen (zum Beispiel im Sicherheits- und Verteidigungsbereich oder bei Wachdiensten) könnten zudem schärfere Anforderungen an die Zuverlässigkeit gestellt werden. Ob die Voraussetzungen für einen Ausschluss vorliegen, müsse vom öffentlichen Auftraggeber im Einzelfall geprüft und entschieden werden. Als Maßnahmen zur Sicherstellung der Vertraulichkeit zählte die Bundesregierung die Sicherheitsüberprüfung bestimmter Mitarbeiter der beauftragten Firmen, eine Geheimschutzbetreuung der Mitarbeiter durch das Bundesministerium für Wirtschaft und Technologie (BMWi), Nutzungs- und Übermittlungsverbote als „Bestandteil der Vertragsbeziehungen“ und gegebenenfalls Erbringung der Dienstleistung „nur in den Räumen des Auftraggebers“ und im Beisein eines Mitarbeiters (Antwort der Bundesregierung auf die Mündliche Frage 27 des Abgeordneten Jan Korte, Plenarprotokoll 18/3).
Wir fragen die Bundesregierung:
Kenntnisse der Bundesregierung von den Vorwürfen gegen CSC
Fragen30
Seit wann hat die Bundesregierung und/oder eine Bundesbehörde Kenntnis von den Vorwürfen, CSC bzw. Teile des Unternehmens oder eine ihrer Tochterfirmen seien an den sog. Rendition Flights und Entführungsfällen wie dem von Khalid El-Masri beteiligt gewesen (bitte um genaue Datierung und die Nennung der Behörden, die zuerst von diesen Vorwürfen erfuhren)?
Wer wurde wann mit der Aufklärung dieses Verdachts beauftragt, und welche Maßnahmen wurden aufgrund dieses Wissens seither konkret veranlasst?
Wieso sieht die Bundesregierung „zum jetzigen Zeitpunkt keine Veranlassung, ihre Auftragsvergabepraxis in Bezug auf CSC zu ändern“ (vgl. Antwort der Bundesregierung auf die Mündliche Frage 24 des Abgeordneten Hans-Christian Ströbele in der Fragestunde vom 28. November 2013, Plenarprotokoll 18/3), obwohl der Verdacht besteht, dass CSC an rechtswidrigen und strafbaren Handlungen wie der Verschleppung von (auch deutschen) Staatsbürgern mitgewirkt hat (vgl. Christian Fuchs und John Goetz: „Geheimer Krieg“, S. 193 ff.) und spätestens seit September 2013 auch Informationen auf der Grundlage von Snowden-Veröffentlichungen darüber vorliegen, dass die NSA aktiv daran arbeitet, Sicherheitslücken in Software zu verankern (SPIEGEL ONLINE vom 6. September 2013)?
Hält die Bundesregierung es für die Bewertung der Zuverlässigkeit der CSC im Hinblick auf deutsche Sicherheitsinteressen für ausreichend, sich auf den formaljuristischen Standpunkt zurückzuziehen, dass es sich bei der deutschen Tochterfirma der CSC um eine gegenüber der amerikanischen Mutterfirma „selbständige Gesellschaft“ handelt, so dass ihr diese von der Mutterfirma begangenen Menschenrechtsverletzungen nicht zuzurechnen seien?
a) Beabsichtigt die Bundesregierung, den Abgeordneten des Deutschen Bundestages die mit CSC abgeschlossenen Verträge – gegebenenfalls in der Geheimschutzstelle – zugänglich zu machen, obwohl sie sich dazu rechtlich nicht verpflichtet sieht?
b) Wenn nein, warum nicht?
a) Beabsichtigt die Bundesregierung, im Rahmen ihres Open-Government-Konzeptes eine öffentlich zugängliche Datenbank für Informationen zur Vergabe öffentlicher Aufträge ab einem bestimmten Auftragsvolumen einzurichten, wie dies zum Beispiel in den USA praktiziert wird (siehe https://www.fpds.gov/fpdsng_cms/index.php/en/)?
b) Falls nein, warum nicht?
a) Beabsichtigt die Bundesregierung, die Konvention des Europarates über den Zugang zu amtlichen Dokumenten (Council of Europe Treaty Series – No. 205) zu zeichnen, wonach im nationalen Informationszugangsrecht abwägungsresistente absolute Schutzgüter durch Abwägungsklauseln ersetzt werden müssen?
b) Falls nein, warum nicht?
a) Beabsichtigt die Bundesregierung, in dieser Legislaturperiode einen Gesetzentwurf zur Reform des Informationsfreiheitsgesetzes (IFG) auf der Grundlage des vom Deutschen Bundestag in Auftrag gegebenen Evaluationsberichts zum IFG (Ausschussdrucksache 17(4)522 B) vorzulegen?
b) Wenn nein, warum nicht?
c) Wenn ja, wird die Bundesregierung in dem Gesetzesentwurf die Schaffung einer Abwägungsklausel vorsehen, die eine Verpflichtung zur Herausgabe von Informationen enthält, sofern das Informationsinteresse der Öffentlichkeit das Interesse des Betroffenen auf Wahrung seiner Betriebs- und Geschäftsgeheimnisse überwiegt, so wie dies der vom Deutschen Bundestag in Auftrag gegebene Evaluationsbericht zum IFG empfiehlt (siehe Zusammenfassung und Empfehlungen zum Evaluationsbericht, Ausschussdrucksache 17(4)522 A, Nummer 2.4)
d) Wenn nein, warum nicht?
a) Wie schätzt die Bundesregierung vor diesem Hintergrund allgemein die Gefahr des Geheimnisverrates und der Datenverstöße durch private US-Firmen ein, die wie CSC Aufgaben in sicherheitssensiblen Bereichen für die Bundesregierung übernommen haben und die in engem geschäftlichen Kontakt zu US-Sicherheitsbehörden stehen?
b) Wie hat die Bundesregierung, auch und gerade vor dem Hintergrund der Snowden-Veröffentlichungen, sichergestellt, dass US-Behörden sich nicht über Vereinbarungen zum Geheimschutz, wie sie üblicherweise in Verträgen zwischen der Bundesregierung und Auftragnehmern mit Blick auf Aufträge in sicherheitssensiblen Umgebungen getroffen werden, hinwegsetzen und die in Rede stehenden US-Unternehmen nicht von US-Geheimdiensten zur Herausgabe von Informationen – beispielsweise mit Verweis auf Belange der nationalen Sicherheit – gezwungen werden können?
c) Teilt die Bundesregierung die Auffassung der Fragesteller, dass es deutsche Unternehmensinteressen gefährden würde, wenn die deutschen Tochtergesellschaften der CSC eigenständig oder im Auftrag des Mutterkonzerns Wirtschaftsspionage betreiben würden?
aa) Wenn ja, was tut die Bundesregierung dagegen?
bb) Wenn nein, warum nicht?
d) Ist der Bundesregierung bekannt, dass Tochtergesellschaften der CSC eigenständig oder im Auftrag des Mutterkonzerns Wirtschaftsspionage betrieben haben? Wenn ja, was für Konsequenzen zieht sie daraus?
Auf welche Vorschriften zur besonderen Prüfung der Zuverlässigkeit im Falle von schweren Verfehlungen des Bewerbers und bestimmten sensiblen Aufträgen bezieht sich der Parlamentarische Staatssekretär Ernst Burgbacher in seiner Antwort auf Frage 6 (Plenarprotokoll 18/3) genau?
a) Gibt es sonstige Kriterien für die Prüfung der Zuverlässigkeit privater Dienstleister im Hinblick auf nationale Sicherheits- und Datenschutzinteressen, etwa im Rahmen von Verwaltungsvorschriften, die bei der Vergabe öffentlicher Aufträge durch Bundesbehörden angewandt werden?
b) Falls ja, wie ist deren Wortlaut?
Welche dieser Vorschriften wurde bei den an CSC oder ihre Tochterunternehmen vergebenen Aufträgen mit welchem Ergebnis geprüft, und mit welcher Begründung wurde jeweils die Zuverlässigkeit von CSC bejaht (bitte im Einzelnen für alle Aufträge aufschlüsseln)?
Welche Stelle innerhalb der Bundesregierung ist mit den Konsequenzen aus den Berichten des Europarates (z. B. AS/Jur (2006) 03 rev) und des Europäischen Parlaments (z. B. P6_TA(2007)0032 und Pressemitteilung vom 10. Oktober 2013) zu den CIA-Rendition-Flights zuständig, und welche Hinweise hat diese Stelle für die Auftragsvergabe des Bundes gegeben?
Ergaben sich aus den Leistungsbeschreibungen, auf denen die spätere Beauftragung der CSC im Zusammenhang mit De-Mail beruht, besondere Anforderungen an die Zuverlässigkeit des Auftragnehmers im Sinne von § 97 Absatz 4 Satz 1 des Gesetzes gegen Wettbewerbsbeschränkungen?
Sind die Vorschriften des EU-Vergaberechts bei Aufträgen im Bereich von Sicherheit und Verteidigung anwendbar?
a) Fand in allen Fällen der Auftragsvergabe durch das Bundesministerium der Verteidigung an CSC oder eine ihrer Tochterfirmen eine öffentliche Ausschreibung statt?
b) Wenn nein, warum in welchen Fällen nicht (bitte aufschlüsseln mit Datum und Begründung)?
c) Wenn ja, wie viele und welche Unternehmen haben sich beworben, und was hat jeweils den Ausschlag für die Auftragsvergabe an CSC gegeben?
a) Wird das Bundesamt für Verfassungsschutz in seiner Funktion als Spionageabwehrbehörde in den Prozess der öffentlichen Auftragsvergabe der Bundesbehörden von IT-Dienstleistungen an private Dienstleister einbezogen?
b) Wenn ja, auf welcher Rechtsgrundlage?
c) Wenn nein, weshalb nicht?
a) Wird das Bundesamt für Sicherheit in der Informationstechnik in den Prozess der öffentlichen Auftragsvergabe der Bundesbehörden von IT-Dienstleistungen an private Dienstleister einbezogen?
b) Wenn ja, auf welcher Rechtsgrundlage?
c) Wenn nein, weshalb nicht?
a) Gab es in der Vergangenheit Fälle, in denen im Vergabeverfahren von Bundesbehörden Bewerber wegen mangelnder Zuverlässigkeit im Hinblick auf Sicherheits- und Geheimhaltungsinteressen abgelehnt wurden?
b) Wenn ja, welche Bundesbehörden und welche Aufträge betraf dies?
c) Wenn ja, auf welcher Rechtsgrundlage und mit welcher Begründung wurden die jeweiligen Bewerber abgelehnt?
a) Gab es in der Vergangenheit Fälle, in denen beauftragte Dienstleistungen oder gekaufte Produkte privater IT-Firmen wegen Sicherheitsbedenken nicht genutzt wurden?
b) Wenn ja, welche genau (bitte nach Namen der Unternehmen, ggf. Produktnamen und Herkunftsländern auflisten)?
Was sind die Ausnahmen in den Rahmenverträgen, die laut Auskunft des BMWi „in der Regel Klauseln, nach denen es untersagt ist, bei Vertragserfüllung zur Kenntnis erlangte vertrauliche Daten an Dritte weiterzuleiten“ enthalten (www.sueddeutsche.de vom 16. November 2013)?
a) Sieht die Bundesregierung angesichts der Enthüllungen durch Eward Snowden und die zitierten Veröffentlichungen der „Süddeutschen Zeitung“, des „NDR“ und von Christian Fuchs und John Goetz bekannt gewordenen zentralen Rolle privater Firmen im US-amerikanischen Antiterrorkampf Änderungsbedarf im deutschen Vergaberecht?
b) Wenn ja, welchen Änderungsbedarf genau?
c) Bestehen insoweit europarechtliche Beschränkungen, und wenn ja, welche genau?
Sicherheitsvorkehrungen im Rahmen der Beauftragung
In welchen Fällen wurde im Rahmen der Auftragsvergabe der Bundesregierung an CSC oder eine ihrer Tochterfirmen bisher sicherheitsrelevante Soft- und/oder Hardware zur Verfügung gestellt, bestehende angepasst oder erweitert (bitte nach Bundesministerien/Bundesbehörden, Auftragsgegenstand, bereitgestellter Soft-/Hardware bzw. vorgenommenen Anpassungen aufschlüsseln)?
a) Inwieweit wurde der Bundesregierung jeweils im Vorfeld vollständiger Einblick in die relevanten Entwicklungsunterlagen bzw. den Quellcode gewährt und eine Überprüfbarkeit durch deutsche Stellen gewährleistet?
b) Wenn nein, warum nicht?
In welchen Fällen hat die Bundesregierung bzw. ein durch sie beauftragtes Unternehmen, eine Behörde oder ein sonstiger Auftragnehmer die von Bundesbehörden genutzten Hard- und Softwareprodukte oder sonstige Dienste überprüft und auf etwaige Sicherheitslücken hin untersucht?
In welchen Fällen wurde seitens der US-Behörden bzw. dem Unternehmen CSC oder eine ihrer Tochterfirmen nur eingeschränkter Einblick in relevante Unterlagen zu bereitgestellten Hard-/Softwarelösungen im Rahmen von Aufträgen gewährt, mithin unter Verweis auf die sogenannten International Traffic in Arms Regulations (ITAR)?
a) Kann die Bundesregierung ausschließen, dass im Rahmen von Dienstleistungen der CSC oder ihrer Tochterfirmen Instrumente und Mechanismen wie Soft-/Hardwarekomponenten platziert wurden, die ein Abschöpfen nachrichtendienstlich relevanter Informationen durch die USA zum Nachteil oder Schaden der Bundesrepublik Deutschland ermöglichen bzw. nach sich gezogen haben?
b) Wenn nein, warum nicht, und welche Maßnahmen hat die Bundesregierung ergriffen, um diese Möglichkeit zu überprüfen bzw. nachträglich auszuschließen?
c) Wenn ja, wodurch kann sie dies ausschließen?
Inwieweit verfügt die Bundesregierung über angemessene eigene Kapazitäten, um Bestandteile sicherheitsrelevanter IT-Infrastruktur wie Soft-/Hardware selbst auf Schadkomponenten zu überprüfen?
a) Welche Geheimhaltungsvereinbarungen bestehen hinsichtlich des Einsatzes von CSC-Mitarbeiterinnen und -Mitarbeitern in Projekten für Bundesbehörden, und mit welchen konkreten Haftungsregelungen bzw. Sanktionen sind diese Vereinbarungen versehen?
b) Hält die Bundesregierung derartige Regelungen für sich allein für ausreichend, um ein möglicherweise systematisches Ausspähen sowie die Weitergabe von sicherheitsrelevanten Informationen durch private Dienstleistungsunternehmen bzw. deren Mitarbeiterinnen und Mitarbeiter an unbefugte Dritte bzw. Drittstaaten zu verhindern?
c) Wenn ja, wie begründet sie diese Auffassung?