Neue Fragen zur Regierungszusammenarbeit mit dem NSA-Spionagekonzern CSC
Am Mittwoch nachmittag wird die Landesregierung dem Innenausschuss des Landtags über ihre Zusammenarbeit mit dem NSA-Spionagekonzern CSC berichten. Die neun Fragen, die die Landesregierung beantworten soll, finden sich hier.
Die Bundesregierung hat zu diesem Problem mitgeteilt:
Die CSC Deutschland Solutions GmbH hat vorgetragen, dass sie in keiner vertraglichen Beziehung zu der US-Regierung, insbesondere nicht zu NSA, FBI und CIA steht. Innerhalb des Gesamtkonzerns sei eine andere Tochterfirma, die CSC North American Public Sector (NPS) als eigenständiger Geschäftsbereich mit Sitz in den USA, für das Geschäft mit US-Behörden zuständig. Die CSC Deutschland Solutions GmbH würde organisatorisch und personell völlig getrennt von CSC NPS operieren, es bestünde wechselseitig keinerlei Einblick in die Verträge und Tätigkeiten. Die Bundesregierung hat keine Anhaltspunkte dafür, dass die CSC Deutschland Solutions GmbH in irgendeiner Weise gegen Sicherheits- oder Vertraulichkeitsauflagen verstoßen hat.
Diese Angaben lassen jedoch vollkommen offen, ob über die CSC Deutschland Solutions GmbH sicherheitsrelevantes Wissen über die Gestaltung der Informationstechnik deutscher Behörden in die USA und an deren Geheimdienste abfließt. Ich habe der CSC Deutschland Solutions GmbH deshalb heute folgende Fragen zu ihrer Zuverlässigkeit geschickt:
Betreff: Fragen zur Zuverlässigkeit der CSC Deutschland Solutions GmbH
Sehr geehrte Damen und Herren,
als Abgeordneter des schleswig-holsteinischen Landtags beschäftige ich mich mit den Vertragsbeziehungen von Einrichtungen des Landes mit Ihrem Unternehmen und der Frage, ob Sie die Gewähr für die zuverlässige Einhaltung der gesetzlichen und vertraglichen Pflichten nach deutschem und europäischem Recht bieten.
In diesem Zusammenhang bitte ich Sie um kurzfristige Beantwortung folgender Fragen (bereits im Mittwoch wird sich der Innenausschuss des Landtags mit der Angelegenheit befassen):
- Hat die US-amerikanische CSC Corp. oder eine andere US-amerikanische Gesellschaft eine beherrschende Stellung über die CSC Deutschland Solutions GmbH?
- Unterliegt die CSC Deutschland Solutions GmbH selbst der US-amerikanischen Rechtsordnung (z.B. nach der “minimal contacts doctrine”)?
- Sind die CSC Deutschland Solutions GmbH oder ihre Mitarbeiter jemals von ausländischen Amtsträgern, Behörden, Gerichten oder Unternehmen – einschließlich der CSC Corp. – um Herausgabe von Informationen gebeten, dazu aufgefordert oder verpflichtet worden, die sie im Zuge der Anbahnung oder Ausführung von Verträgen mit deutschen Stellen erhalten haben? Wenn ja, wird um nähere Informationen gebeten.
- Haben die CSC Deutschland Solutions GmbH oder ihre Mitarbeiter jemals an ausländische Amtsträger, Behörden, Gerichte oder Unternehmen – einschließlich der CSC Corp. – Informationen herausgegeben, die sie im Zuge der Anbahnung oder Ausführung von Verträgen mit deutschen Stellen erhalten haben? Wenn ja, wird um nähere Informationen gebeten.
- Speichern die CSC Deutschland Solutions GmbH oder ihre Mitarbeiter im Zuge der Vertragsanbahnung und -durchführung gewonnene Erkenntnisse auf ausländischen Servern oder auf deutschen Servern, auf die ausländische Stellen Zugriff haben?
Mit freundlichem Gruß,
Patrick Breyer
Zum Hintergrund der Fragen: Die CSC Deutschland Solutions GmbH ist offenbar ein 100%-iges Tochterunternehmen der US-amerikanischen CSC Corp. Nach US-amerikanischem Recht kann die CSC Corp. von dortigen Stellen zur Herausgabe von Informationen verpflichtet werden, die für sie “verfügbar” sind. Als beherrschendes Unternehmen könnte die US-Muttergesellschaft also ihre deutsche Tochter zur Herausgabe von Informationen veranlassen, wenn sie eine entsprechende Anordnung des Geheimgerichts FISA, einen “National Security Letter” oder einen richterlichen Beschluss (“warrant”, “subpoena”) erhält. Möglicherweise unterliegt die deutsche Tochter sogar selbst US-amerikanischem Recht, was US-Gerichte mitunter schon bei “minimalem Kontakt” mit den USA annehmen (siehe dazu die Erklärung einer kanadischen Tochtergesellschaft). Im Einflussbereich des US-amerikanischen Rechts ist einer Ausspähung personenbezogener Daten und sonstiger sicherheitsrelevanter Informationen keine Grenze gesetzt. Aus meiner Sicht fehlt deshalb Unternehmen, die ihre Erkenntnisse dem Einflussbereich des US-Rechts aussetzen, die für öffentliche Aufträge erforderliche Zuverlässigkeit.
In Deutschland wird gerade erst geprüft, “wie das Kriterium der Vertrauenswürdigkeit von externen Dienstleistern für öffentliche Einrichtungen besser operationalisiert und praktisch in Vergabeverfahren berücksichtigt werden kann”. Demnächst wird der IT-Dienstleister Dataport den an die CSC vergebenen Rahmenvertrag neu ausschreiben. Dataport sieht sich bisher außerstande, die CSC vom Wettbewerb auszuschließen, weil das Vergaberecht eine Diskriminierung von Bietern grundsätzlich verbietet. Im aktuellen “Behördenspiegel” werden jedoch folgende Möglichkeiten genannt:
- wenn im Zusammenhang mit der Auftragsausführung Auskünfte erteilt werden müssen, deren Preisgabe “wesentlichen Sicherheitsinteressen der Bundesrepublik Deutschland … widerspricht”, beispielsweise “bei der Beschaffung von Informationstechnik oder Telekommunikationsanlagen” (§ 100 GWB),
- Anforderung einer Zertifizierung
- Selbsterklärungen über die rechtliche und technische Unabhängigkeit des Bieters
- genaue Produktbeschreibung in der Leistungsbeschreibung
- Aufteilung in Lose
- Datenschutzanforderungen in der Leistungsbeschreibung
Es bedarf keiner Erklärung, dass das geplante Freihandelsabkommen mit den USA (TTIP) diese wenigen Ausschlussmöglichkeiten weiter einschränken würde.
Die beste und sicherste Möglichkeit, um uns vor der Ausspähung durch ausländische Geheimdienste zu schützen, erscheint mir nach wie vor, Dataport selbst in die Lage zu versetzen, IT-Beratung aus eigenen Kapazitäten anbieten zu können.
Kommentare