15.10.2014

Gebrauchsanweisung mit sieben Siegeln

Probleme bei der Anwendung des „No-Spy-Erlasses” in der Praxis

Gebrauchsanweisung mit sieben Siegeln

Probleme bei der Anwendung des „No-Spy-Erlasses” in der Praxis

Die Handreichung zum sogenannten „No-Spy-Erlass” wirft Fragen auf. | © Scanrail - Fotolia
Die Handreichung zum sogenannten „No-Spy-Erlass” wirft Fragen auf. | © Scanrail - Fotolia

Ende August hat das Bundesministerium des Innern eine Handreichung zum sogenannten „No-Spy-Erlass” vom April an das Beschaffungsamt des BMI (BeschA) erstellt. Diese Handreichung hat den Anspruch, die aufgeworfenen praktischen Fragen hinsichtlich der Anwendung und Auslegung zu klären. Die Lektüre dieser „Gebrauchsanweisung”, die sich auf Vergabeverfahren mit möglicher Sicherheitsrelevanz bezieht, lässt jedoch befürchten, dass Bedarfsträger bei der Prüfung eben dieser „Sicherheitsrelevanz” allein gelassen werden und in unabsehbar häufigen Fällen das Beschaffungsamt konsultieren müssen.

Genese des No-Spy-Erlasses

Als im Frühjahr die Verhandlungen zum No-Spy-Abkommen mit der US-Regierung scheiterten, versuchte die Bundesregierung, über das Vergaberecht Bieter bei „Vergabeverfahren mit möglicher Sicherheitsrelevanz” zu verpflichten, die nach US-Recht verbindliche Weitergabe von Daten an US-Geheimdienste nach dem Patriot Act zu verhindern. Damit sollte konkreter Druck ausgeübt werden, der über reine Symbolpolitik hinausgeht.

Der Erlass sieht vor, dass Bieter erklären, keine schützenswerte Informationen freiwillig oder aufgrund gesetzlicher Verpflichtungen an ausländische Nachrichtendienste weiterzugeben, um so den heimlichen Abfluss von Regierungswissen an fremde Mächte (Spionage) zu verhindern.


Der Erlass sorgte für Aufsehen, da sich viele internationale Unternehmen unter Druck gesetzt sahen, die Erklärung nicht, oder nicht wahrheitsgemäß abgeben zu können und somit zu riskieren, den Zuschlag nicht zu erhalten. Anfang August entschied die Vergabekammer (VK) Bund, dass der „No-Spy-Erlass” unwirksam sei, da dem Bieter diese Eignungsanforderung nicht zurechenbar und somit kein Vergabekriterium sei.

Jedoch räumte die Vergabekammer ein, dass der „No-Spy-Erlass” als „besondere Anforderung an die Auftragsausführung” (§ 97 Abs. 4 S. 2 GWB) gewertet werden könne. Dieser Ansatz wurde nun auch in der Handreichung aufgegriffen.

Die Handreichung als Nachbesserung des „No-Spy-Erlasses”

Nach der Handreichung sollen vom Erlass alle Vergabeverfahren mit möglicher Sicherheitsrelevanz erfasst sein, grundsätzlich unabhängig vom zu beschaffenden Gegenstand. Das können Umstände sein, die einen „Erkenntnisabfluss” in technischer Hinsicht vorbereiten können, aber auch Informationen über Gebäudetechnik, Zuständigkeiten und Kontakte zu öffentlichen Bediensteten und Leistungsbeschreibungen, die Rückschlüsse über geplante Maßnahmen deutscher Nachrichtendienste zulassen.

Damit muss praktisch jede Beschaffung auf ihre Sicherheitsrelevanz überprüft werden, um die staatliche Souveränität zu schützen. Die mit der Vergabe betrauten Beamten sollen auch Unterlagen, die nicht förmlich als Verschlusssache eingestuft sind, sowie andere Daten, Informationen und Erkenntnisse schützen, „sofern sie nicht gegenüber sämtlichen auswärtigen Staaten transparent werden sollen”. Damit wird im Grunde den Bedarfsträgern, die sonst mit dieser Thematik wenig zu tun haben, letztendlich eine nachrichtendienstliche Risikoanalyse abverlangt. In der Praxis wird es wohl weniger zu einer die Beschaffungsstellen lähmenden, paranoiden Grundhaltung kommen, sondern wohl eher zu einer Gewohnheit, im Zweifel lieber doch eine „No-Spy-Erklärung” einzufordern.

Technische Informationen als Schwachstelle

Erfasst sind nach der Begriffsbestimmung der Handreichung auch Umstände, die „einen Erkenntnisabfluss insbesondere in technischer Hinsicht vorbereiten können, indem sie eine Schwachstellenanalyse ermöglichen”. Dazu gehöre auch die genaue Ausgestaltung von Hard- und Software zur Regierungskommunikation. Von den Bedarfsträgern wird im Grunde ein Spagat bei der Gestaltung der Ausschreibung verlangt, wenn sie ihre Anforderungen und Kriterien in den Leistungsbeschreibungen eigentlich nicht veröffentlichen sollen, um keine Angriffsfläche zu bieten, andererseits aber nicht beliebige Technik einkaufen wollen. Ungeachtet dieser Auslegungsprobleme ist es fraglich, ob der „No-Spy-Erlass” den Erkenntnisabfluss wesentlich schmälern kann. Denn offenbar werden auch ohne wissentliches Zutun von Providern Netzwerke kompromittiert, wie jüngst bekannt gewordene Infiltrationen mehrerer deutscher Provider zeigen. Dieses Szenario ist auch auf Netze des Bundes zumindest denkbar. In diesem Zusammenhang ist die rechtliche Frage einer Zusammenarbeit seitens der Provider mit Geheimdiensten, die der „No-Spy-Erlass” regeln soll, nicht von Bedeutung.

Alle Bieter sind umfasst

Der Erlass soll diskriminierungsfrei angewendet werden. „Im Interesse des Staatswohls der Bundesrepublik Deutschland” sind EU-Mitgliedstaaten und Bieter aus Deutschland ebenso wie Drittstaaten vom Anwendungsbereich umfasst. Der „No-Spy-Erlass” soll sich also nicht gegen bestimmte auswärtige Staaten richten. Es ist aber nicht völlig abwegig, hier zu diskutieren, ob diese Ausweitung des Anwendungsbereichs auf alle Unternehmen eine Diskriminierung bzw. Verletzung von Europarecht wirklich ausschließt. Denn so kommen ausschließlich ausländische Unternehmen in die vom Erlass hervorgerufene Zwangslage und deutsche Unternehmen werden de facto bevorzugt, die rechtlich nicht den Geheimdiensten „fremder Mächte” zur Weitergabe verpflichtet wären.

Eine gewollte Nebenwirkung des Erlasses

Erstaunlich offen wird in der Handreichung gesagt, um was es im Grunde doch geht: „Ein Bieter kann selbst steuern, ob er sich in eine Lage bringt, fremden Staaten gegenüber zur Offenlegung verpflichtet zu sein. Sofern wegen der Rechtslage in einzelnen Staaten Unternehmen nicht in der Lage sind, entsprechende Zusagen zu geben, fällt es in ihre eigene Verantwortung, den damit verbundenen Standortnachteil zu bewerten, gegebenenfalls auch im jeweiligen Staat politisch zu adressieren.“ Damit spielt die Bundesregierung über Bande. Es soll vornehmlich US-amerikanische IT-Unternehmen dazu bringen, Druck auf ihre US-Regierung auszuüben. Das ist zumindest ein kleiner Hebel, der in den Verhandlungen zum „No-Spy-Abkommen” gefehlt hat.

Kein Schuss nach hinten

Die Handreichung räumt den Bedarfsträgern allerdings Möglichkeiten ein, das harsche Ergebnis eines Ausschlusses des Bieters abzuwenden. Denn die Beurteilung, ob ein Vergabeverfahren sicherheitsrelevant ist, liegt ganz in der Verantwortung des Bedarfsträgers und ist für das Beschaffungsamt bindend. Schließlich soll durch den Erlass eine notwendige Beschaffung, die möglicherweise nur von einem ausländischen Unternehmen angeboten wird, nicht unmöglich gemacht werden. Gleichzeitig soll der Erlass auch nicht notwendige Sicherheitskonzepte, Risikoanalysen und Sicherheitsmaßnahmen ersetzen, so dass nur im Hinblick auf den Erlass etwas Spielraum besteht. Dazu passt auch die Ausführung, wonach andere Bieter keinen Anspruch darauf haben, dass die nach dem Erlass vorgesehene Eigenerklärung beziehungsweise Vertragsklausel im Verfahren gefordert werden. Den Bietern soll keine vergaberechtliche Grundlage gegeben werden, Konkurrenten mit einem einfachen Postulat auszubooten. Die Beschaffungsautonomie der Bedarfsträger soll erhalten bleiben. Es drängt sich die Frage auf, ob diese Auslegungshilfe tatsächlich zu mehr Rechtssicherheit führt – und welche regulatorische Bedeutung der Erlass eigentlich haben soll.

Ein Zeichen staatlicher Souveränität

Die weitere Entwicklung der Rechtsprechung wird zeigen, welche Auswirkungen der „No-Spy-Erlass” haben wird. Die Handreichung räumt ein, dass die Klauseln im Erlass nicht „sämtliche Probleme heimlicher Informationsabflüsse regeln” und „hierfür auch nicht entwickelt worden” sind. Damit wirkt der Erlass wie eine in der Hosentasche geballte Faust der von Freunden umzingelten Bundesregierung. Dass dies gerade in den fehleranfälligen und ohnehin komplizierten Vergabefällen zulasten der Bedarfsträger und der Wirtschaft geschehen muss, ist bedauerlich – aber logische Folge der Strategie der Bundesregierung, „über Bande” der US-Regierung ein Zeichen zu setzen.

Der Umgang mit Spionage „befreundeter” und „nicht befreundeter” Geheimdienste kann nicht im Vergaberecht geregelt werden. Die Handreichung zum Erlass lässt den Adressaten, das Beschaffungsamt des BMI, mit den Problemen der praktischen Anwendung allein. Es bleibt abzuwarten, wie im Rahmen der Handreichung Anmerkungen des Beschaffungsamtes und anderer Stellen die Ausführungen des Erlasses ergänzen und präzisieren können.

 

R. Uwe Proll

Geschäftsführer der Cyber Akademie GmbH, Bonn
n/a