1. No-Spy-Politik des Bundes

No-Spy-Vertragsklausel ab sofort Standard in EVB-IT-Verträgen

Als das Bundesministerium des Innern (BMI) im Frühjahr 2014 die sogenannte No-Spy-Erklärung mit dazugehöriger Vertragsklausel qua Erlass für sämtliche Beschaffungsvorhaben der Behörden des Bundes verpflichtend einführte, war der Protest auf Seiten der Bieter groß. Ursprünglich war nach dem Erlass vorgesehen, dass Bieter schon im Vergabeverfahren zusichern, dass „heimliche Abflüsse schützenswerter Informationen“ an ausländische Nachrichtendienste ausgeschlossen sind. Sofern Bieter einer rechtlichen Verpflichtung zur Weitergabe von vertraulichen Informationen, Geschäfts- oder Betriebsgeheimnissen an Dritte unterliegen, sollte ihr Angebot nicht bezuschlagt werden. Die nach dem Erlass vorgesehene Eigenerklärung wirkte sich jedoch insbesondere für Unternehmen mit ausländischen Tochterunternehmen nachteilig aus. Denn diese konnten die geforderte No-Spy-Erklärung aufgrund der Rechtslage im Ausland regelmäßig nicht (wahrheitsgemäß) abgeben.

Vor diesem Hintergrund war es nicht weiter überraschend, dass die 2. Vergabekammer des Bundes die No-Spy-Erklärung zumindest in ihrer Funktion als Eignungsnachweis mit Beschluss vom 19. Juni 2014 für unzulässig und damit vergaberechtswidrig qualifizierte. Im Nachgang zu dieser Entscheidung modifizierte das BMI seinen Erlass durch eine im August 2014 veröffentlichte Handreichung dahingehend, dass die Erklärung zukünftig als „besondere Anforderung an die Auftragsausführung“ gemäß § 97 Abs. 4 S. 2 GWB anzusehen sei.

Was ist neu?

Seine Fortsetzung findet die vergaberechtliche No-Spy-Politik des Bundes nun in den neuenEVB-IT-Verträgen. Am 16. Juli 2015 wurden die neuen Fassungen der Musterverträge EVB-IT Überlassung Typ A und EBV-IT Pflege S einschließlich dazugehöriger Allgemeiner Vertragsbedingungen (EVB-IT AGB) auf der Internetseite der Beauftragten der Bundesregierung für Informationstechnik (www.cio.bund.de) veröffentlicht. In den AGB zu denEVB-IT Musterverträgen versteckt sich nunmehr jeweils eine „technische No-Spy-Vertragsklausel“ (vgl. Ziffer 2.3 EVB-IT Überlassung-AGB; Ziffern 1.4 und 1.5 EVB-IT Pflege S-AGB). Hiernach verpflichten sich Auftragnehmer mit Vertragsschluss zur Überlassung von Standardsoftware, die keinen Schaden stiftet und frei von „Funktionen ist, die die Integrität, Vertraulichkeit und Verfügbarkeit der Standardsoftware, anderer Soft- und/ oder Hardware oder von Daten gefährden und den Vertraulichkeits- oder Sicherheitsinteressen des Auftraggebers zuwiderlaufen durch Funktionen zum unerwünschten Absetzen/ Ausleiten von Daten, Funktionen zur unerwünschten Veränderung/ Manipulation von Daten oder der Ablauflogik oder Funktionen zum unerwünschten Einleiten von Daten oder unerwünschte Funktionserweiterungen.“ (vgl. Ziffer 2.3 EVB-IT Überlassung-AGB; Ziffer 1.5 EVB-IT Pflege S-AGB). Als „unerwünscht“ qualifiziert die Klausel gemäß Ziffer 2.3 EVB-IT Überlassung-AGB alle Aktivitäten einer Funktion, die weder vom Auftraggeber in seiner Leistungsbeschreibung gefordert, vom Auftragnehmer unter konkreter Beschreibung der Aktivität und ihrer Funktionsweise nicht angeboten, geschweige denn im Einzelfall vom Auftraggeber ausdrücklich autorisiert („opt-in“) wurden. Darüber hinaus enthält die technische No-Spy-Klausel die Vorgabe, die Unschädlichkeit der gelieferten Software vom Auftraggeber mit aktueller Viren-Scan-Software zu einem angemessenen Zeitpunkt vor der Lieferung zu prüfen.

Ausblick

Die in den EVB-IT-Verträgen enthaltene Klausel soll dazu beitragen, dass eine unerwünschte Datenweitergabe an Unbeteiligte technisch verhindert wird. Damit dürfte die No-Spy-Vertragsklausel den No-Spy-Erlass sinnvoll ergänzen und für öffentliche Auftraggeber den gewünschten Sicherheitsgewinn zumindest in technischer Hinsicht bewirken. Insoweit ist damit zu rechnen, dass die Vertragsklausel langfristig Eingang in die übrigen EVB-IT-Musterverträge finden wird. Die Probleme des Erlasses, insbesondere die sich aufdrängende Diskriminierung zulasten ausländischer Unternehmen/ deutscher Unternehmen mit ausländischen Töchtern, sind allerdings noch nicht gelöst. Überdies bleibt abzuwarten, ob und auf welche Weise die Einhaltung der technischen No-Spy-Vertragsklausel zukünftig durch den jeweiligen Auftraggeber – etwa durch eine No-Spy-Task-Force – überprüft werden wird. Problematisch dürfte sich dabei auch erweisen, dass öffentliche Auftraggeber vielfach gar nicht über das erforderliche technische Know-how verfügen, um die Einhaltung der technischen Sicherheitsstandards überprüfen und nachvollziehen zu können.