Der „No Spy“-Erlass und die Folgen für die IT-Beschaffung – Zum Vortrag im Rahmen des 1. IT-Vergabetags 2016
Die IT-Sicherheit in Deutschland ist in Gefahr! Daher ist die durch den „No Spy“-Erlass in der durch die Handreichungen vom 19.08.2014 und 17.03.2016 klargestellten Vorgehensweise zwingend im Rahmen von Vergabeverfahren zu berücksichtigen:
Die Forderung von sog. „No Spy“-Klauseln als Ausführungsbedingungen im Sinne des neuen § 128 Abs. 2 GWB und als „technische no-spy-Klauseln“ in EVB-IT-Verträgen ist auch nach der aktuellen Rechtsprechung des OLG Düsseldorf zulässig und deren Forderung in der Praxis daher unerlässlich.
Dass die IT-Sicherheit in Deutschland in Gefahr ist, ist nicht erst seit den „Snowden“-Enthüllungen bekannt, doch seitdem ist die stetige Diskussion um Spionageangriffe ausländischer Geheimdienste und die in diesem Zusammenhang immer wieder geäußerte Kritik an der NSA in den Medien omnipräsent. Dies hat in der Bundesrepublik unter anderem im Vergaberecht zur Verwendung sog. „No Spy“-Garantien geführt. Die Zulässigkeit solcher „No Spy“-Garantien wird dabei insbesondere im Hinblick auf eine etwaige Diskriminierung von US-amerikanischen Bietern teilweise kritisiert, wurde jedoch im Oktober vergangenen Jahres vom OLG Düsseldorf in einem obiter dictum grundsätzlich bestätigt (vgl. Beschluss vom 21.10.2015, Verg 28/14). Voraussetzung sei, so der Vergabesenat, dass die Forderung nach Datensicherheit, auf „einen anerkennenswerten und durch den Auftragsgegenstand gerechtfertigten sachlichen Grund, wie einen Schutz sensibler, für den Schutz des Staates relevanter Daten“ gestützt werde und diskriminierungsfrei gegenüber allen Bietern erfolge. Der Beschluss erging nur wenige Wochen nach der vom EuGH aus datenschutzrechtlicher Sicht ebenfalls wegweisenden Entscheidung zum „Safe-Harbor“-Beschluss der EU-Kommission in der Rechtssache „Schrems“ (vgl. Urteil vom 6. Oktober 2015, C-362/14).
Der folgende Beitrag stellt zunächst die hinter den Entscheidungen stehenden Entwicklungen dar und beleuchtet dabei das Thema „No Spy“ und die zum Schutz der Daten ergriffenen bzw. geplanten Maßnahmen vor allem aus vergaberechtlicher, aber auch aus datenschutzrechtlicher Sicht.
I. Vergaberechtliche Forderung sog. „No Spy“-Klauseln durch öffentliche Auftraggeber – Entwicklung und aktueller Stand der Dinge
Die Diskussion um die IT-Sicherheit in der Bundesrepublik hat sich seit den Enthüllungen Edward Snowdens über die diversen Überwachungsmaßnahmen ausländischer Geheimdienste und Sicherheitsbehörden etabliert. Sie wird regelmäßig durch neue Meldungen über Cyberattacken, wie im letzten Jahr der Angriff auf den Bundestag oder die NSA-Spähangriffe auf Mitglieder der Bundesregierung und anderer Behörden, immer wieder von Neuem angefeuert. In den Fokus gerückt sind dabei insbesondere auch die weitreichenden Rechte US-amerikanischer Sicherheitsbehörden gegenüber US-amerikanischen Unternehmen oder auch deren ausländischen Tochtergesellschaften. Denn US-amerikanische Unternehmen – ebenso wie deren ausländische Tochtergesellschaften – sind gesetzlich verpflichtet, den US-Sicherheitsbehörden (FBI u.a.) Zugriff auf ihre Server zu gestatten. Ein Beispiel aus der Praxis verdeutlicht dabei die Reichweite dieser Herausgaberechte, wonach ein New Yorker Bundesgericht in einem Fall urteilte, dass sich die Verpflichtung der Unternehmen zur Herausgabe von Daten nicht nach dem Speicherort, sondern allein nach der Frage der Kontrolle der Information richte und damit auch Daten, die sich auf Servern außerhalb der USA befänden, der Herausgabepflicht unterlägen (vgl. Urteil des United States District Court Southern District of New York vom 25.04.2012, 13 Mag. 2814).
Als gesetzliche Grundlage solcher Überwachungen sind beispielsweise das TEMPORA-Programm oder der USA FREEDOM Act (= Uniting and Strengthening America by Fulfilling Rights and Ending Eavesdropping, Dragnet-collection and Online Monitoring Act; Public law 114-23, June 2, 2015), der dem vielfach in diesem Zusammenhang zitierten USA PATRIOT Act (= Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act; Public law 107-56, Oct. 26, 2001) im Juni 2015 nachfolgte.
Neben Unternehmen aus den USA werden beim Thema Datensicherheit zwar auch Unternehmen aus anderen Staaten, wie etwa China oder Russland, immer wieder als problematisch eingestuft; dennoch wird die Anwendung der „No Spy“-Klauseln primär im Zusammenhang mit US-amerikanischen Unternehmen diskutiert. Kritisiert wird daher von einigen Stimmen, dass „No Spy“-Erklärungen sich lediglich gegen die Staaten richteten, die ihre Zugriffsrechte transparent regeln.
1. Der sog. „No Spy“-Erlass des BMI vom 30. April 2014
Das Bundesministerium des Innern (BMI) reagierte auf diese öffentliche Diskussion und die Forderung nach mehr IT- und Datensicherheit im Frühjahr 2014 mit dem intern an das Beschaffungsamt des BMI gerichteten sog. „No Spy“-Erlass (Erlass des BMI zur „Verwendung einer Eigenerklärung und einer Vertragsklausel in Vergabeverfahren im Hinblick auf Risiken durch nicht offengelegte Informationsabflüsse an ausländische Sicherheitsbehörden“ vom 30. April 2014, vgl. Vergabeblog.de vom 01/07/2014, Nr. 19375).
Darin war vorgesehen, dass bei „Vergabeverfahren mit möglicher Sicherheitsrelevanz“ künftig von den Bietern eine „im Rahmen der Zuverlässigkeitsprüfung“ zu berücksichtigende Eigenerklärung verlangt wird, mit der dieser sich verpflichtet, im Falle eines Zuschlags, alle im Rahmen des Vertragsverhältnisses erlangten vertraulichen Informationen, Geschäfts- und Betriebsgeheimnisse, auch vertraulich zu behandeln und nicht an Dritte weiterzugeben oder anders als zu vertraglichen Zwecken zu verwenden (vgl. Mustereigenerklärung zum „No Spy“-Erlass). Diese Erklärung soll zudem die Bestätigung enthalten, dass „zum Zeitpunkt der Abgabe des Angebotes keine Verpflichtungen [bestehen], Dritten solche Informationen zu offenbaren oder in anderer Weise zugänglich zu machen.“ Sollte sich daran etwas nach Zuschlagserteilung ändern, soll der Auftragnehmer verpflichtet werden, den Auftraggeber „sofort schriftlich benachrichtigen“.
Zusätzlich sollten im Vertrag entsprechende Klauseln zur Einhaltung der Vertraulichkeit aufgenommen werden. Das BMI schlug hierfür die folgende Musterklausel vor:
„Der Auftragnehmer ist verpflichtet, den Auftraggeber sofort schriftlich zu benachrichtigen, wenn er die Einhaltung dieser Verpflichtung nicht mehr gewährleisten kann, insbesondere, wenn für ihn eine Notwendigkeit oder Verpflichtung entsteht oder er eine solche hätte erkennen können, die ihn an der Einhaltung der Vertraulichkeit hindern könnte.“
Ausdrücklich nicht unter die „No Spy“-Vereinbarungen fallen, Offenlegungspflichten gegenüber ausländischen Stellen, die keine Sicherheitsbehörden sind. Als Beispiele nennt der „No Spy“-Erlass hier die Börsenaufsicht, Regulierungsbehörden oder die Finanzverwaltung.
Bezweckt wurde mit dem „No Spy“-Erlass zum einen, die Herbeiführung einer Beweiserleichterung zugunsten des öffentlichen Auftraggebers bzw. der Bundesrepublik Deutschland, wonach für einen Ausschluss oder einen Rücktritt (§ 324 BGB) bzw. bei Dauerschuldverhältnissen eine Kündigung (§ 314 BGB) lediglich der Nachweis ausreichen sollte, dass der Bieter einer Verpflichtung zur Datenweitergabe unterliegt. Zum anderen sollte mit dem Erlass der Schutz von Verschlusssachen im Bereich der Verteidigung und Sicherheit verstärkt und „Vereinbarungen zum VS-Schutz ergänzt“ nicht jedoch ersetzt werden.
2. Vergaberechtliche Beurteilung der Zulässigkeit von „No Spy“-Erklärungen durch die Rechtsprechung
a) VK Bund, Beschluss vom 24. Juni 2014
Mit Beschluss vom 24. Juni 2014 beurteilte die zweite Vergabekammer des Bundes die Forderung einer „No Spy“-Erklärung durch die Bieter zum Nachweis ihrer Zuverlässigkeit als vergaberechtlich unzulässig (VK Bund, Beschluss vom 24. Juni 2014, VK 2-39/14). In dem zu entscheidenden Fall, hatte das Beschaffungsamt des BMI einen Vertrag zur Weiterentwicklung von Verwaltungssoftware ausgeschrieben. Ein konkurrierender Bieter rügte die beabsichtigte Zuschlagserteilung an eine deutsche Tochterfirma eines US-amerikanischen Unternehmens und berief sich auf den „No-Spy-Erlass“ des BMI vom 30. April 2014. Denn nach Ansicht des Bieters handelte es sich um einen sicherheitssensiblen IT-Auftrag, bei dessen Vergabe der öffentliche Auftraggeber folglich verpflichtet sei, von den Teilnehmern eine entsprechende „No Spy“-Erklärung zu verlangen. Die darin zu erklärende Verpflichtung zur vertraulichen Behandlung von erlangten Informationen und zur Nichtherausgabe der Daten an Dritte könnten US-amerikanische Unternehmen aus gesetzlichen Gründen aber gerade nicht gewährleisten.
Die Vergabekammer des Bundes folgte dem Antrag nicht und sah keinen Ausschlussgrund wegen mangelnder Zuverlässigkeit. In ihrem Beschluss führte die Vergabekammer zwar aus, dass die – zu dem Zeitpunkt noch – auf dem USA PATRIOT Act beruhende Pflicht US-amerikanischer Unternehmen und ihrer Tochtergesellschaften zur Datenweitergabe an US-amerikanische Sicherheitsbehörden „höchst problematisch“ sei, dies jedoch nicht im Rahmen der Zuverlässigkeitsprüfung berücksichtigt werden dürfte. Denn Eignungsanforderungen seien bieterbezogen, sodass im Rahmen der Eignungsprüfung „ausschließlich Sachverhalte“ berücksichtigt werden dürften, „die dem Bieter in irgendeiner Form zurechenbar“ und durch den Bieter beeinflussbar seien. Diese Voraussetzung sei bei gesetzlichen Verpflichtungen zur Datenweitergabe, denen ein Bieter unterworfen sei, aber nicht der Fall.
Zulässig sei die Abfrage der „No Spy“-Erklärungen nach Auffassung der Vergabekammer aber dann, wenn diese – wie im Falle von Verpflichtungserklärungen zur Einhaltung der sog. ILO-Kernarbeitsnormen (vgl. OLG Düsseldorf, Beschluss vom 29. Januar 2014, Verg 28/13) – lediglich als „besondere Anforderung an die Auftragsausführung“ gemäß § 97 Abs. 4 Satz 2 GWB a.F. (vgl. nun § 128 Abs. 2 GWB, § 61 VgV) verlangte werde.
b) OLG Düsseldorf, Beschluss vom 21. Oktober 2015
Das OLG Düsseldorf äußerte sich in seiner viel beachteten Entscheidung vom 21. Oktober 2015 (Verg 28/14) in einem ausführlichen obiter dictum ebenfalls dahingehend, dass die Forderung von „No Spy“-Garantien“ durch öffentliche Auftraggeber zwar nicht als Eignungsanforderung, jedoch als besondere Anforderungen an die Auftragsausführung im Sinne des § 97 Abs. 4 Satz 2 GWB a.F. zulässig ist. Die Entscheidung betraf ein Vergabeverfahren nach der Vergabeverordnung Verteidigung und Sicherheit (VSVgV) zur Beschaffung von Antivirensoftware für die Bundesverwaltung, inklusive Unterstützungs- und Beratungsleistungen. Der Auftraggeber stellte in den Vergabeunterlagen und im Vertragsentwurf Anforderungen, welche die Gewährleistung umfassender „Vertraulichkeit“ umfassten und als sog. „No Spy“-Garantie zu qualifizieren waren. Der Zuschlag sollte auf das Angebot eines Bieters erfolgen, der nach Auffassung eines unterlegenen Bieters diese Anforderungen aufgrund von gesetzlichen Verpflichtungen zur Datenweitergabe nach dem USA PATRIOT Act nicht erfüllen könne.
Der Vergabesenat betonte in seiner Entscheidung, dass die Forderung von „No Spy“-Garantien – entgegen der teilweise aufkommenden Kritik – nicht diskriminierend wirke. Die Forderung von „No Spy“-Garantien durch öffentliche Auftraggeber sei als Ausführungsbedingung jedoch dann zulässig, wenn der öffentliche Auftraggeber sie auf „einen anerkennenswerten und durch den Auftragsgegenstand gerechtfertigten sachlichen Grund, wie einen Schutz sensibler, für den Schutz des Staates relevanter Daten,“ stütze und sämtliche auftragsinteressierten Unternehmen – unabhängig von ihrem Sitz – „diskriminierungsfrei mit derselben Anforderung belegt“ würden. Es bestehe aber gerade keine Pflicht des öffentlichen Auftraggebers, „Ausschreibungen so zuzuschneiden, dass sie – auch unter den Bedingungen, denen sie nach jeweils nationalem Recht (also nach ausländischem Recht) unterliegen – zum Unternehmens- und Geschäftskonzept jedes potentiellen Bieters passen.“
3. Die Handreichung zum „No Spy“-Erlass vom 19. August 2014
Bereits im Nachgang zu dem Beschluss der Vergabekammer des Bundes vom 24. Juni 2014 (VK 2-39/14) veröffentlichte das BMI am 19. August 2014 zusätzlich eine ergänzende Handreichung zur Reichweite und Auslegung des sog. „No Spy“-Erlasses. Diese enthält einheitliche Definitionen und Vorgehensweisen bei Vergabeverfahren mit möglicher Sicherheitsrelevanz und soll auf diese Weise den „No Spy“-Erlass ergänzen und präzisieren. Dabei wird insbesondere darauf hingewiesen, dass die Frage einer möglichen Sicherheitsrelevanz grundsätzlich unabhängig vom Gegenstand der Beschaffung und stets einzelfallabhängig zu prüfen ist. Die Beurteilung obliegt dabei dem Bedarfsträger.
Unabhängig vom Beschaffungsgegenstand kann sich die Sicherheitsrelevanz beispielsweise ebenso aus nicht öffentlich bekannten Informationen über die Personalausstattung, Organisation und Zuständigkeiten von Mitarbeitern in Behörden oder deren Organisationseinheiten ergeben. Für den IT-Bereich nennt die Handreichung vor allem Komponenten oder Dienstleistungen zur Regierungskommunikation, Beratungsleistungen zur IT-Infrastruktur oder kritische Infrastrukturen auf.
Die Umsetzung des „No Spy“-Erlasses sollen danach im konkreten Verfahren dergestalt erfolgen, dass die „No Spy“-Anforderungen – unter Verweis auf die bisherige Rechtsprechung – nicht mehr im Rahmen der Prüfung der Eignung des Bieters/Bewerbers (konkret in der Zulässigkeitsprüfung), sondern als Ausführungsbedingung i. S. d. § 97 Abs. 4 Satz 2 GWB a.F. (d.h. jetzt § 128 Abs. 2 GWB) erfolgen. Es wird in der Handreichung ausdrücklich darauf hingewiesen, dass die neben der Vertragsklausel zu verlangende Eigenerklärung „(lediglich) die ausdrückliche, schriftliche Bestätigung des Bieters/Bewerbers [ist], diese Ausführungsbedingung später auch einzuhalten“.
Darüber hinaus ist gemäß Ziffer 4 f. der Handreichung, der „No Spy“-Erlass ausdrücklich auch auf Subunternehmer und Vorlieferanten anzuwenden, wenn deren Einsatz beabsichtigt ist. In diesem Fall sollen die Eigenerklärungen auch von den Subunternehmern bzw. Lieferanten eingeholt werden und eine entsprechende „No Spy“-Klausel auch in den Vertrag zwischen Hauptauftragnehmer und Subunternehmer aufgenommen werden. Für den Fall eines Lieferanten, soll dieser der „No Spy“-Klausel ebenfalls „unterworfen“ werden. Für die Frage der Einordung eines nachgeschalteten Unternehmers soll dieser „im Zweifel nicht als Vorlieferant, sondern als Subunternehmer anzusehen“ sein.
4. Handreichung zur sog. „technischen no-spy-Klausel“ in bestimmten EVB-IT Verträgen vom 17.03.2016
In den Musterverträgen der Ergänzenden Vertragsbedingungen für die Beschaffung von Informationstechnik (EVB-IT), die überwiegend die früheren Besonderen Vertragsbedingungen für die Beschaffung von DV-Anlagen und Geräten (BVB) abgelöst haben, finden sich seit einiger Zeit ebenfalls Klauseln zur Informationssicherheit (vgl. Ziffer 2.3 der EVB-IT Überlassung Typ A-AGB vom 16.07.1015, Ziffer 1.4 EVB-IT Pflege S-AGB vom 16.07.2015, Ziffer 2.4 EVB-IT Kauf-AGB vom 17.03.2016 und Ziffer 1.5 EVB-IT Instandhaltungs-AGB vom 17.03.2016). Mit diesen Klauseln muss sich der Auftragnehmer beispielsweise verpflichten, die Standardsoftware frei von Schaden stiftender Software zu überlassen und darüber hinaus versichern, dass sie frei von Funktionen ist, welche die Integrität, Vertraulichkeit und Verfügbarkeit der Standardsoftware oder anderer Daten gefährden und den Vertraulichkeits- und Sicherheitsinteressen des Auftraggebers zuwiderlaufen. Die EVB-IT sind als Verwaltungsvorschriften zu § 55 BHO für Bundesbehörden in Ihrer Anwendung verbindlich.
Im Hinblick auf die Verwendung dieser sog. „technischen no-spy-Klauseln“ in bestimmten EVB-IT Verträgen wurde kürzlich ebenfalls eine Handreichung erlassen (vgl. Handreichung zur sog. „technischen no-spy-Klausel“ in bestimmten EVB-IT Verträgen vom 17.03.2016). Mit der „technischen no-spy-Klausel“ soll die Virenfreiheit der Software abgesichert werden. Die Software darf hiernach keine unerwünschten Funktionen aufweisen, welche die Integrität, Vertraulichkeit und Verfügbarkeit von Software, Hardware oder Daten gefährden würde (sog. „Backdoors“). Was konkret als unerwünschte Funktion gilt, legt die Vertragsklausel wiederum fest. Danach sind Funktionen unerwünscht, wenn sie in dieser Art und Weise weder vom Auftraggeber in seiner Leistungsbeschreibung gefordert, noch vom Auftragnehmer unter konkreter Beschreibung der Aktivität und ihrer Funktionsweise angeboten und vom Auftraggeber so bezuschlagt, noch im Einzelfall vom Auftraggeber ausdrücklich autorisiert wurde („opt in“).
5. Ausführungsbedingungen nach dem neuen § 128 Abs. 2 GWB
All diese „No Spy“-Garantien werden demnach als Ausführungsbedingungen angesehen, bisher auf der Basis des § 97 Abs. 4 Satz 2 GWB a.F. Mit der Vergaberechtsreform wurde diese bisherige Regelung zu den Ausführungsbedingungen nunmehr in § 128 Abs. 2 GWB neu gefasst. Danach können Ausführungsbedingungen vom Auftraggeber festgelegt werden, sofern diese mit dem Auftragsgegenstand in Verbindung stehen und sich eindeutig, d.h. für alle Bieter gleichermaßen ersichtlich, aus der Auftragsbekanntmachung oder den Vergabeunterlagen ergeben. Regelbeispielhaft („insbesondere“) wird in § 128 Abs. 2 GWB dabei unter anderem der „Schutz der Vertraulichkeit von Informationen“ genannt.
Diskutiert wird in diesem Zusammenhang, ob eine „No Spy“-Eigenerklärung, die aufgrund der Vorgaben im „No Spy“-Erlass formularmäßig verfasst ist, den geforderten Bezug zum konkreten Auftragsgegenstand aufweist (vgl. jetzt § 128 Abs. 2 Satz 1 i. V. m. § 127 Abs. 3 GWB).
Nach vereinzelten kritischen Meinungen sei dies zu verneinen und die „No Spy“-Eigenerklärung als eine allgemeine Anforderung an die Unternehmensführung des Bieters anzusehen. Begründet wird dies damit, dass die Forderung an die Bieter, eine solche Erklärung abzugeben, „quasi formularmäßig“, d. h. ähnlich wie bei Allgemeinen Geschäftsbedingungen, ohne eine spezifisch auftragsbezogene, konkretisierte Formulierung erfolge. Daher fehle es regelmäßig an einem Bezug zu dem jeweiligen konkreten Auftragsgegenstand, sodass § 128 Abs. 2 Satz 1 GWB tatbestandlich schwer zu begründen sei, zumal dieser ohnehin eng auszulegen sei.
Dem ist jedoch – mit der wohl herrschenden Ansicht – nicht zuzustimmen. Die vorausgesetzte Verbindung zum Auftragsgegenstand kann nicht aufgrund einer „formularmäßigen“ Verwendung von Musterklauseln generell ausgeschlossen werden, sondern ist für den Einzelfall konkret zu prüfen. Dabei ist auch zu berücksichtigen, dass durch die Ergänzung in § 128 Abs. 2 GWB auch der Gesetzgeber ausdrücklich den „Schutz der Vertraulichkeit von Informationen“ als möglichen Belang, der in Form einer Ausführungsbedingung gefordert werden kann, vorgesehen und entsprechend regelbeispielhaft in § 128 Abs. 2 Satz 3 GWB genannt hat. Die Ergänzung greift insoweit auch die oben genannte Rechtsprechung des OLG Düsseldorf im Beschluss vom 21.10.2015 (Verg 28/14) auf bzw. korrespondiert mit den dortigen Ausführungen. Das OLG Düsseldorf betonte hier explizit, dass die Forderung als Ausführungsbedingung zulässig ist, sofern ein anerkennenswerter und durch den Auftragsgegenstand gerechtfertigter sachlicher Grund, wie der Schutz sensibler, für den Schutz des Staates relevanter Daten vom Auftraggeber benannt wird. Mit der Ausfertigung des Vergaberechtsmodernisierungsgesetzes und der damit einhergehenden Einführung eines Regelbeispiels zum Schutz vertraulicher Informationen in § 128 Abs. 2 Satz 3 GWB hat der Gesetzgeber die Rechtsprechung des OLG Düsseldorf zur Zulässigkeit der „No Spy“-Erklärungen in Form der Ausführungsbedingung bestätigt und damit der vorstehend genannten kritischen Ansicht eine Ablehnung erteilt. Insofern dürfte die Diskussion mit Blick auf die aktuellen Entwicklungen deutlich leiser geworden sein
II. Auswirkungen aktueller datenschutzrechtlicher Entwicklungen auf die Forderung von „No Spy“-Garantien durch öffentliche Auftraggeber?
Vor dem Hintergrund aktueller Entwicklungen im Datenschutzrecht, unter anderem durch die Entscheidung des EuGH in der Rechtssache „Schrems“ (C-131/12), mit der das „Safe-Harbor“-Abkommen inzident für ungültig erklärt wurde und daher nun die Verhandlungen der EU-Kommission mit den Regierungsbehörden der USA zum „EU-US-Datenschutzschild“ (engl. „EU-US Privacy Shield“) erforderlich wurden, stellt sich die Frage, ob sich daraus Folgen für die Verwendung von „No Spy“-Garantien durch öffentliche Auftraggeber ergeben.
1. EuGH-Urteil „Schrems“ vom 6. Oktober 2015
In der Rechtssache „Schrems“ urteilte der EuGH über eine Vorlagefrage des Irischen High Court. Der österreichische Staatsangehörige Maximilian Schrems hatte in erster Instanz bei der irischen Datenschutzbehörde Beschwerde gegen die Übermittlung seiner personenbezogenen Daten durch eine irische Tochtergesellschaft von Facebook an den, in den USA befindliche Server des Facebook Mutterkonzerns (Facebook Inc.), eingelegt. Die Datenschutzbehörde hatte die Beschwerde mit der Begründung zurückgewiesen, dass es keine Beweise für den Zugriff der NSA auf die personenbezogenen Daten gebe. Die EU-Kommission habe mit der „Safe Harbor“-Entscheidung bereits festgestellt, dass in den USA ein angemessenes Datenschutzniveau bestehe, sodass die irische Datenschutzbehörde nicht zur Prüfung der Vereinbarkeit des US-Datenschutzniveaus mit Art. 7 und Art. 8 der Europäischen Grundrechtecharta befugt sei. Gegen die Entscheidung der Datenschutzbehörde erhob Maximilian Schrems Klage beim Irischen High Court. Dieser setzte das Verfahren aus und legte die Sache dem EuGH vor.
Im Rahmen der Vorlagefragen prüfte der EuGH auch die Vereinbarkeit des „Safe Harbor“-Beschlusses der EU-Kommission mit Art. 7, 8 und 47 der Europäischen Grundrechtecharta (Recht auf Achtung des Privatlebens und des Schutzes der eigenen personenbezogenen Daten sowie auf effektiven Rechtsschutz) und erklärte den „Safe Harbor“-Beschluss inzident für ungültig. Denn der massenhafte und undifferenzierte Zugriff auf die in die USA übermittelten personenbezogenen Daten durch den US-Geheimdienst verstoße gegen den Grundsatz der Verhältnismäßigkeit. Dies entspricht den Grundsätzen, die der EuGH bereits in seiner bisherigen Rechtsprechung „Digital Rights Ireland“ (C-293/12) entwickelt hat. Der EuGH hob besonders kritisch die fehlenden Rechtsschutzmöglichkeiten gegen staatliche Eingriffe in das Recht des Schutzes der eigenen personenbezogenen Daten hervor und rügte, dass die EU-Kommission im „Safe-Harbor“-Beschluss keinerlei Nachweise zur Feststellung eines angemessenen US-amerikanischen Datenschutzniveaus erbringe. Die Kommission habe nach Ansicht des EuGH darüber hinaus keine Kompetenz, die Befugnisse der nationalen Datenschutzbehörden in dieser Weise zu beschränken.
2. Aktuelle Rechtsentwicklungen zum Schutz der Daten
Nachdem der EuGH den „Safe Harbor“-Beschluss für unwirksam erklärt hat, wurden zahlreiche Datenübertragungen in die USA rechtswidrig. Die Datenschutzbehörden kündigten an, nach einer Übergangszeit bis Ende Januar 2016 gegen den rechtswidrigen Datentransfer vorzugehen. Kurz vor Ablauf dieser Frist verkündete die EU-Kommission, dass es zu einer Einigung mit der US-Regierung gekommen sei und die USA in dem sogenannten „EU-US Privacy Shield“ erhebliche Zugeständnisse gemacht hätten. Am 29. Februar 2016 legte die EU-Kommission den Entwurf eines Angemessenheitsbeschlusses vor, der vorsieht, dass ein angemessenes Datenschutzniveau bestehe, wenn Unternehmen aus den USA die Grundsätze des „Privacy Shields“ einhalten.
Die sog. „Artikel 29-Gruppe“, in der die Datenschutzbehörden der EU-Mitgliedsstaaten vertreten sind, hat sich bislang kritisch zu dem Beschlussentwurf geäußert. Es wird jedoch damit gerechnet, dass bestimmte Vorbehalte noch ausgeräumt werden können. Nach Ankündigung der EU-Kommission soll der Beschluss verabschiedet werden, sobald die EU-Mitgliedsstaaten in der sog. „Artikel 31-Gruppe“ zugestimmt haben.
VI. Fazit – No-Spy-Klauseln bleiben weiterhin erforderlich!
Im Rahmen der aktuellen Diskussion hat das für viel Aufsehen erregende Urteil des EuGH in Sachen „Schrems“ die besondere Bedeutung des Datenschutzes nochmals betont und erneut in das Bewusstsein der EU Mitgliedstaaten gebracht. Das Urteil bewirkte mit dem sog. „Privacy Shield“ auch den Versuch einer neuen Einigung mit den USA über ein angemessenes Datenschutzniveau, das derzeit im Rahmen des Angemessenheitsbeschlusses überprüft wird.
Trotz dieser Maßnahmen zeigt sich dennoch, dass „No Spy“-Garantien auch in Zukunft nicht obsolet sein werden. Auch der neu verhandelte „Privacy Shield“ wird die Notwendigkeit der Verwendung von „No Spy“-Klauseln bei der Vergabe öffentlicher Aufträge mit Sicherheitsrelevanz nicht ersetzen. Gerade auch im Hinblick auf die aktuellen Bedrohungen durch Terrorismus und die steigende Angst vor neuen Anschlägen, dürfte das erhöhte Sicherheitsinteresse gegenüber dem generellen Interesse am Datenschutz mehr in den Fokus rücken und die Spionagetätigkeit vieler Staaten eher zu- als abnehmen. Die Kluft zwischen dem Ziel eines grenzüberschreitenden und diskriminierungsfreien einheitlichen öffentlichen Beschaffungswesens auf europäischer und internationaler Ebene auf der einen Seite und der Wunsch nach Datenschutz und Gewährleistung eines unbedenklichen Umgangs mit vertraulichen Daten auf der anderen Seite, dürfte vor diesem Hintergrund nicht zusammenwachsen, sondern sich eher verhärten. Insofern besteht weiterhin das Bedürfnis öffentlicher Auftraggeber nach einer Absicherung gegen ausländische Spionagetätigkeiten. Ob die Forderung von „No Spy“-Erklärungen diese tatsächlich unterbinden kann, wird letztendlich nur die Praxis zeigen. Dennoch muss dem Auftraggeber die Möglichkeit eröffnet bleiben, bei Vergabeverfahren mit einer möglichen Sicherheitsrelevanz entsprechende Anforderungen an die Bieter zu definieren.
Die Forderung von „No Spy“-Klauseln ist nach der Rechtsprechung und der neu erlassenen Gesetzgebung als Ausführungsbedingungen i. S. d. § 128 Abs. 2 GWB zulässig und deren Anwendung in der Praxis weiterhin notwendig. Bieter mit Auslandsbezug müssen sich folglich mit organisatorischen Maßnahmen auseinandersetzen, um eine erfolgreiche Teilnahme an Vergabeverfahren im Bereich der Verteidigung und Sicherheit sicherzustellen. Denn wie das OLG Düsseldorf zutreffend in seinem Beschluss vom 21.10.2015 (Verg 28/14) ausführte, ist der öffentliche Auftraggeber nicht verpflichtet, seine Ausschreibungen auf jeden potentiellen Bieter zuzuschneiden.
Anmerkung der Redaktion
Der Beitrag folgt dem Vortrag der Autorin im Rahmen des 1. IT Vergabetag am 28. April 2016 in Berlin.Eine Zusammenfassung des 1. IT Vergabetags finden Sie im Blog, .