Die Bundesregierung zieht Konsequenzen aus der NSA-Affäre: Firmen, die IT-Aufträge von der Regierung gewinnen wollen, müssen künftig belegen, dass sie nicht für ausländische Geheimdienste arbeiten. Damit verlangt die Bundesregierung von IT-Dienstleistern eine Art „No-Spy-Garantie“: Sie müssen bei der Bewerbung um sicherheitsrelevante IT-Aufträge belegen, dass sie nicht zur Weitergabe vertraulicher Daten an ausländische Geheimdienste und Sicherheitsbehörden verpflichtet sind. Firmen, die das nicht zusichern können, sollen künftig von Verträgen des Bundes ausgeschlossen werden. Das könnte viele IT-Unternehmen hart treffen: Datenschutzexperten gehen davon aus, dass zahlreiche US-Firmen solchen Weitergabeverpflichtungen unterliegen. Ein Sprecher des Bundesinnenministeriums teilte NDR, WDR und SZ mit, das Ziel der neuen Regelung sei, „den Abfluss von schützenswertem Wissen an ausländische Sicherheitsbehörden“ zu verhindern. IT-Dienstleister, die gesetzlich oder vertraglich dazu verpflichtet seien, vertrauliche Informationen an Dritte weiterzugeben, sollten künftig nicht mehr in sicherheitsrelevanten IT-Projekten arbeiten. Nur in Einzelfällen könne es Ausnahmen geben. Datenschutzexperten warnen seit Langem davor, dass US-Unternehmen durch Gesetze wie den „Patriot Act“ oder den „Protect America Act“ entsprechenden Verpflichtungen unterliegen. Im Zweifel sollen verdächtige Firmen künftig von offiziellen Aufträgen ausgeschlossen werden.
Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) begrüßt die Ankündigung: „Die NSA-Debatte zeigt Auswirkungen auf Verwaltungs- und Rechtsetzungsebene. Insbesondere vertrauenswürdige IT-Sicherheitstechnologie ‚made in Germany‘ wird politisch aufgewertet. Dies entspricht einer der Forderungen, die TeleTrusT seit langem erhebt“, so der Leiter Thorsten Urbanski. Die Vergabe-Kriterienverschärfung sei ein ermutigendes Signal für die nationale IT-Industrie und Forschung. Insbesondere kritische Infrastrukturen, aber auch Schlüsselprojekte in Verwaltung und Wirtschaft müssten besser geschützt werden. Die neue Klausel im Vergaberecht sei dafür ein wichtiger Schritt. Dadurch werde Transparenz geschaffen und dem Risiko entgegengewirkt, dass IT-Dienstleister, die sich anderweitig verpflichtet haben, vertrauliche Informationen an Dritte weiterzugeben, in sicherheitsrelevanten Projekten der Bundesverwaltung arbeiten würden, so der Verband weiter.
