No-Spy-Garantie bei IT-Auftragsvergaben
der Abgeordneten Jan Korte, Ulla Jelpke, Katrin Kunert, Petra Pau, Harald Petzold (Havelland), Martina Renner, Dr. Petra Sitte, Kersten Steinke, Frank Tempel, Halina Wawzyniak und der Fraktion DIE LINKE.
Vorbemerkung
Laut „Frontal21“ (Sendung vom 21. Oktober 2014) wurden über 110 US-Firmen in den Jahren 2011 und 2012 durch das Auswärtige Amt in sogenannten Verbalnoten rechtlich mit den US-Streitkräften gleichgestellt und es ihnen dadurch gestattet, für die US-Armee im Bereich „analytische Dienstleistungen“ tätig zu werden. Dahinter verberge sich die nachrichtendienstliche Auswertung von Datennetzen. Unter den Firmen sei mit Booz Allen Hamilton auch der frühere Arbeitgeber des Whistleblowers Edward Snowden gewesen. Aktuell sollen noch 44 Verträge mit Spionagedienstleistern in Deutschland bestehen.
Gegenüber „Frontal21“ erklärte jedoch der Präsident des Bundesamtes für Verfassungsschutz, Hans-Georg Maaßen, er habe „keine Erkenntnisse, dass die Firmen in Deutschland gegen deutsche Interessen tätig sind.“
Aus der NSA-Abhörpraxis haben allerdings die Bundesregierung und die weit überwiegende Mehrzahl der Bundesländer nach Medienberichten zumindest bei der Vergabe von Neuverträgen mit IT-Unternehmen eine erste Konsequenz gezogen. So hat das Bundesministerium des Innern (BMI) nach der öffentlichen Diskussion um den „US-Spionagedienstleister CSC“ (vgl. www.tagesschau.de vom 15. Mai 2014) am 30. April 2014 die entsprechenden Vergaberichtlinien bei Aufträgen an Telekommunikations- und IT-Firmen um eine No-Spy-Klausel (Erklärung im Rahmen der Zuverlässigkeitsprüfung) erweitert (vgl. hierzu u. a. www.tagesschau.de vom 15. Mai 2014). Derzeit seien alle Bundesländer bis auf Hessen dabei, ihre Vergaberichtlinien nach dem Vorbild des BMI zu verändern. Danach sollen Telekommunikationsunternehmen nur noch dann Aufträge erhalten, wenn sie eine sogenannte No-Spy-Garantie abgeben, mit der sie versichern, dass sie rechtlich nicht verpflichtet sind, vertrauliche Daten an ausländische Geheimdienste und Sicherheitsbehörden weiterzugeben. Zudem müssten sie sich verpflichten, den Auftraggebern nachträgliche Änderungen an dieser Situation unverzüglich mitzuteilen. Insbesondere US-amerikanische IT-Firmen und ihre Töchter unterliegen nach Ansicht von Thilo Weichert, Datenschutzbeauftragter von Schleswig-Holstein, US-Recht, mit der Folge, „dass nach dem Foreign Intelligence Surveillance Act eben personenbezogene Daten, auch sonstige Betriebs- und Geschäftsgeheimnisse abgezogen werden und dann an die Dienste in den USA weitergegeben werden müssen“ (ebd.).
Am 24. Juni 2014 kam die Vergabekammer des Bundes allerdings in ihrer Entscheidung (VK 2 – 39/14) zu dem Urteil, dass die Kriterien für die Eignung eines Bieters nicht „durch den Auftraggeber beliebig erweitert werden“ können, sondern dass der „in den Europäischen Richtlinien vorgegebene Katalog der zulässigen Eignungsanforderungen bzw. der Ausschlussgründe [an den Bieter] abschließend“ ist. Die Vergabekammer des Bundes hält demnach die Abfrage einer Eigenerklärung, wonach ein Bewerber hinsichtlich vertraulicher Informationen keinen gesetzlichen Offenlegungspflichten gegenüber ausländischen Sicherheitsbehörden unterliegt, für unzulässig.
Nach Ansicht der Bundesregierung stellt die Vertragsklausel jedoch „aus vergaberechtlicher Sicht kein Element dar, das im Rahmen der Prüfung der Eignung des Bieters oder Bewerbers zu berücksichtigen ist. Die Vertragsklausel ist eine sogenannte Ausführungsbedingung nach § 97 Absatz 4 Satz 2 des Gesetzes gegen Wettbewerbsbeschränkungen, die im Rahmen der Auftragsausführung zwingend vom Auftragnehmer zu berücksichtigen ist. Die diesbezüglich verlangte Eigenerklärung ist die ausdrückliche, schriftliche Bestätigung des Bieters/Bewerbers, diese Ausführungsbedingung später auch einzuhalten.“ (Antwort der Bundesregierung auf die Mündliche Frage 13 des Abgeordneten Andrej Hunko auf Bundestagsdrucksache 18/2567).
Da ein solches Kriterium nicht im abschließend definierten Katalog der Zuverlässigkeitsanforderungen enthalten ist, sieht das Vergaberecht somit nach Auffassung der Fragesteller und Vergabekammer des Bundes derzeit keine rechtskonforme Möglichkeit vor, bereits in der Phase der Eignungsprüfung vom Bieter eine „No-Spy-Erklärung“ zu verlangen. Daher können Bieter, die eine solche Erklärung nicht abgeben, auch nicht rechtswirksam als „unzuverlässig“ von der Auftragsvergabe ausgeschlossen werden. Allenfalls bleibt in der späteren Phase der Vertragsverhandlung die Möglichkeit, vom vorgesehenen Auftragnehmer eine entsprechende Vertragsklausel zu verlangen. Dies wirft jedoch die Frage auf, wie die Einhaltung der Nicht-Weitergabe-Verpflichtung (nach deutschem Vertragsrecht) überprüft werden soll und wie ein Verstoß der Auftragnehmer sanktioniert werden kann.
Wir fragen die Bundesregierung:
Fragen27
Trifft es nach Kenntnis der Bundesregierung zu, dass US-Unternehmen durch Gesetze, wie den „Patriot Act“ oder den „Protect America Act“, entsprechenden Verpflichtungen zur Informationsweitergabe an US-Dienste unterliegen, und wenn ja, in welcher Form, und gibt es weitere US-Regelungen, die solche Verpflichtungen enthalten?
Wann und aufgrund welcher Ereignisse oder Informationen hat die Bundesregierung erstmals von solchen Verpflichtungen erfahren?
Welche Erkenntnisse hat die Bundesregierung über Fälle, in denen Unternehmen, die in Deutschland öffentliche Aufträge erhalten haben, aufgrund von Gesetzen, wie dem „Patriot Act“ oder dem „Protect America Act“, zur Informationsweitergabe an US-Dienste verpflichtet waren?
Trifft es zu, dass in den Jahren 2011 und 2012 110 US-Firmen durch das Auswärtige Amt in sogenannten Verbalnoten rechtlich mit den US-Streitkräften gleichgestellt wurden und es ihnen dadurch möglich wurde, für die US-Armee im Bereich „analytische Dienstleistungen“ tätig zu werden?
Kann die Bundesregierung die Angaben von „Frontal21“, wonach es noch 44 laufende Verträge mit US-Spionagedienstleistern in Deutschland gibt, bestätigen, und wenn ja, um welche Verträge welcher Unternehmen handelt es sich?
Mit welchen der 110 US-Firmen, die als Spionagedienstleister für das US-Militär in Deutschland tätig waren oder noch tätig sind, wurden durch deutsche Bundesministerien und Bundesbehörden Aufträge abgeschlossen, und um welche handelte es sich dabei im Detail (bitte nach Jahr, Auftragnehmer, Auftraggeber, Auftragsart, Dauer und Kosten des Auftrags aufschlüsseln)?
Wie will die Bundesregierung verhindern, dass Daten aus den bestehenden deutschen Aufträgen mit US-Firmen an US-Dienste gelangen?
Welche Garantien hat die Bevölkerung auf deutschem Boden, dass ihre Daten von den beauftragten Unternehmen nicht an ausländische Dienste weitergegeben werden?
Wie lautet die No-Spy-Klausel des BMI genau?
Gibt es Ausnahmeregelungen oder Einschränkungen der No-Spy-Klausel, und wenn ja, welche?
Trifft es nach Kenntnis der Bundesregierung zu, dass alle Bundesländer mit Ausnahme des Bundeslandes Hessen ihre Vergaberichtlinien nach dem Vorbild des BMI um eine No-Spy-Klausel ergänzen, welchen Stand haben die Anpassungsbemühungen der Bundesländer jeweils, und mit welcher Begründung geht Hessen hier einen Sonderweg?
Inwieweit unterscheiden sich nach Kenntnis der Bundesregierung ggf. die entsprechenden Vergaberichtlinien bei Aufträgen an Telekommunikations- und IT-Firmen auf Landesebene von denjenigen des Bundes?
Gibt es nach Kenntnis der Bundesregierung bereits Klagen von Unternehmen gegen die geänderten Vergaberichtlinien, z. B. wegen Wettbewerbsbeschränkungen, und wenn ja, um welche Firmen handelt es sich dabei, und welche Ausschreibungen sind betroffen?
Teilt die Bundesregierung die Einschätzung, dass Bieter, die eine solche Erklärung nicht abgeben, nicht rechtswirksam von der Auftragsvergabe ausgeschlossen werden können und daher die No-Spy-Klausel faktisch unanwendbar ist, und welche Konsequenzen hat das für die Vergabepraxis der Bundesregierung (bitte begründen)?
Welche Unternehmen haben bislang bei welchen Projekten die No-Spy-Garantie unterzeichnet?
In wie vielen Fällen haben Auftraggeber des Bundes auf den Einsatz der No-Spy-Klausel verzichtet?
In wie vielen Fällen haben Bieter die Forderung der No-Spy-Erklärung gerügt, und in welchen Vergabeverfahren des Bundes rechnet die Bundesregierung mit Klagen von Bietern (bitte jeweils nach Auftraggeber, Auftrag und Bieter aufschlüsseln)?
Inwieweit erwägt die Bundesregierung, aufgrund der rechtlichen Probleme mit der No-Spy-Klausel, die Vergabeverordnung zu ändern, und in welcher Form wäre eine solche Regelung auch entgegen den europäischen Vorgaben möglich?
Warum sieht die No-Spy-Klausel nur eine Garantie bezüglich einer Datenweitergabe an „ausländische Nachrichtendienste“ vor?
In welchem Umfang bekommen Tarnfirmen und Tarneinrichtungen der deutschen Sicherheitsbehörden öffentliche Aufträge, und unterliegen diese dann auch der No-Spy-Klausel?
Werden nach Kenntnis der Bundesregierung Kunden von den Unternehmen darüber informiert, dass die Dienste und auch die Polizeibehörden auf ihre Daten in der Bundesrepublik Deutschland umfassenden Zugriff haben?
Wie und von wem wird die Einhaltung der „Erklärung im Rahmen der Zuverlässigkeitsprüfung“ konkret überprüft?
Welche Konsequenzen hätte ein Verstoß gegen die No-Spy-Garantie?
Welche Unternehmen sind nach Kenntnis der Bundesregierung betroffen?
Welche Geräte welcher Unternehmen kennt die Bundesregierung, in die backdoors eingebaut wurden, die ausländischen Nachrichtendiensten einen unkontrollierten Zugriff erlauben?
Welche Software von welcher Firma ist der Bundesregierung bekannt, die ausländischen Nachrichtendiensten einen unkontrollierten Zugriff erlaubt?
Hat die Bundesregierung, die im europäischen und Drittausland agierenden Töchter deutscher IT-Unternehmen aufgefordert, eine solche No-Spy-Klausel in ihre jeweiligen Geschäftsbedingungen mit aufzunehmen?