O /23#14 Berlin, 19. August Handreichung zum Erlass an das Beschaffungsamt des BMI (BeschA) (Erlass vom 30. April 2014, O /23#14)

Please download to get full document.

View again

of 9
All materials on our website are shared by users. If you have any questions about copyright issues, please report us to resolve them. We are always happy to assist you.
Published
O /23#14 Berlin, 19. August 2014 Handreichung zum Erlass an das Beschaffungsamt des BMI (BeschA) (Erlass vom 30. April 2014, O /23#14) Diese Handreichung dient der Aufstellung von einheitlichen
O /23#14 Berlin, 19. August 2014 Handreichung zum Erlass an das Beschaffungsamt des BMI (BeschA) (Erlass vom 30. April 2014, O /23#14) Diese Handreichung dient der Aufstellung von einheitlichen Definitionen und Vorgehensweisen bei Vergabeverfahren mit möglicher Sicherheitsrelevanz vor dem Hintergrund des an das BeschA gerichteten Erlasses vom 30. April Im Rahmen dieser Handreichung sollen Anmerkungen des BeschA und anderer Stellen aufgegriffen und auf deren Grundlage die Ausführungen des Erlasses ergänzt und präzisiert werden. 1. Reichweite des Erlasses / Begriffsbestimmung Der Erlass bezieht sich auf Vergabeverfahren mit möglicher Sicherheitsrelevanz. Unter den Begriff der Sicherheit sind dabei nicht nur die äußere Sicherheit (Verteidigung des Bundesgebietes) zu fassen, und auch nicht nur Vorgänge, die die öffentliche Sicherheit und Ordnung im polizeirechtlichen Sinne berühren. Vielmehr ist Zielrichtung der mit dem Erlass geschaffenen Regelung, den heimlichen Abfluss von Regierungswissen an fremde Mächte (Spionage) zu verhindern. Hierdurch wird vor allem die staatliche Souveränität geschützt. Insofern sind auch Unterlagen, die nicht förmlich als Verschlusssache eingestuft wurden, und andere Daten, Informationen und Erkenntnisse zu schützen, sofern sie nicht gegenüber sämtlichen auswärtigen Staaten transparent werden sollen. Erfasst sind auch Umstände, die einen Erkenntnisabfluss insbesondere in technischer Hinsicht vorbereiten können, indem sie eine Schwachstellenanalyse ermöglichen. Hierzu gehört Wissen über die genaue Ausgestaltung von Hard- und Software zur Regierungskommunikation. Nach der gesetzlichen Wertung des 100 Absatz 7 des Gesetzes gegen Wettbewerbsbeschränkungen können bei der Beschaffung von Informationstechnik oder Telekommunikationsanlagen wesentliche Sicherheitsinteressen besonders betroffen sein. Sicherheitsrelevant sein kann zudem - beispielsweise - Wissen über den genauen Zuschnitt baulicher Anlagen oder die vorhandene Gebäudetechnik, sofern dieses Wissen im Einzelnen einen Ansatzpunkt zur Vorbereitung nachrichtendienstlicher Aktivitäten fremder Mächte bietet, die gegen die Bundesrepublik Deutschland, die Länder oder andere dem Gesamtstaat zuzurechnende Stellen gerichtet sind. Außerdem können auch nicht öffentlich bekannte Informationen über die Personalausstattung, Organisation und Zuständigkeiten von Mitarbeitern in Behörden bzw. deren Organisationseinheiten erfasst sein. 2 Fremde Nachrichtendienste versuchen, für sie relevante Informationen abzuschöpfen, indem sie ein Vertrauensverhältnis zur entsprechenden Zielperson herstellen. Dies geschieht oft nach vorherigem Auskundschaften des privaten und beruflichen Umfelds. Auch können falsche Informationen über den Hintergrund oder die wahren Absichten des Kontaktierenden vorgespiegelt werden. So kann zum Beispiel eine scheinbar bereits bestehende (geschäftliche) Beziehung zu öffentlichen Stellen vorgetäuscht werden. Darüber hinaus werden vom Vertreter eines fremden Nachrichtendienstes oft auch finanzielle oder persönliche Vorteile in Aussicht gestellt. Die Beschaffung von Leistungen, die zu einem engeren Kontakt zu öffentlichen Bediensteten führt, wodurch Wissen über deren persönlichen Verhältnisse erlangt werden kann, ist daher grundsätzlich als sicherheitsrelevant anzusehen. Hierzu zählen zum Beispiel Beraterverträge. Vergabeverfahren mit möglicher Sicherheitsrelevanz sind folglich nicht nur auf Beschaffungen im IT-Bereich beschränkt. Die mögliche Sicherheitsrelevanz ist grundsätzlich unabhängig vom Gegenstand der Beschaffung. Sie ist im Einzelfall zu prüfen. Die Sicherheitsrelevanz kann somit in dem zu beschaffenden Gegenstand oder der zu beschaffenden Leistung begründet sein, Beispiele: Komponenten oder Dienstleistungen zur Regierungskommunikation, Beratungsleistungen zur IT-Infrastruktur oder zu kritischen Infrastrukturen, enger und längerer Kontakt zu öffentlich Bediensteten. aber auch in dem Vergabeverfahren selbst bereits bestehen. Beispiel: Die Ausschreibungsunterlagen, insbesondere die Leistungsbeschreibung, lassen Rückschlüsse auf die geplante Anwendung bestimmter nachrichtendienstlicher Mittel durch deutsche Nachrichtendienste zu. Ob eine Offenlegung der schützenswerten Informationen aus dem Ausland oder aus dem Inland zu befürchten ist, ist unbeachtlich. 2. Umfasster Bieter- und Staatenkreis Die im Erlass vom 30. April 2014 vorgesehenen Klauseln, die in der Eigenerklärung und im Vertrag vorzusehen sind, untersagen die Mitteilung von als schützenswert deklariertem Regierungswissen 3 an ausländische Sicherheitsbehörden auf heimliche oder offene Weise. Eingeholt wird also die Zusage, dass ein Bieter nicht gezwungen ist oder gezwungen werden kann, heimlich oder offen Informationen, die aus Sicht der Bundesrepublik Deutschland schützenwert sind, an ausländische Sicherheitsbehörden weiterzuleiten (vgl. auch 99 des Strafgesetzbuches); erfasst ist auch ein entsprechendes freiwilliges Handeln des Bieters. Der Erlass vom 30. April 2014 richtet sich nicht gegen bestimmte auswärtige Staaten. Es besteht innerhalb der Europäischen Union keine ausdrückliche Regelung oder Vereinbarung, wonach Mitgliedstaaten gegeneinander keine nachrichtendienstlichen Aktivitäten entfalten dürfen. Nachrichtendienstliche oder sicherheitsbehördliche Aktivitäten anderer Mitgliedstaaten der Europäischen Union, die sich gegen Deutschland richten, indem z.b. deutsche Regierungskommunikation ausgeforscht wird, sind ebenso wenig hinnehmbar wie derartige Aktivitäten von Drittstaaten. Im Interesse des Staatswohls der Bundesrepublik Deutschland sind daher auch Bieter aus anderen Mitgliedstaaten der Europäischen Union bzw. des Europäischen Wirtschaftsraums nicht vom Anwendungsbereich des Erlasses ausgeschlossen, ebenso wenig wie Bieter aus Deutschland. er Erlass ist somit diskriminierungsfrei anzuwenden. Die Eigenerklärung und die Vertragsklausel betreffen grundsätzlich auch Auskünfte an Strafverfolgungsbehörden. Nach einigen Rechtsordnungen fordern Polizeibehörden, zu deren Aufgaben die Strafverfolgung gehört, im Auftrag von Nachrichtendiensten desselben Staates geschützte Daten an. Ein Bieter kann selbst steuern, ob er sich in eine Lage bringt, fremden Staaten gegenüber zur Offenlegung verpflichtet zu sein. Sofern wegen der Rechtslage in einzelnen Staaten Unternehmen nicht in der Lage sind, entsprechende Zusagen zu geben,fällt es in ihre eigene Verantwortung, den damit verbundenen Standortnachteil zu bewerten, gegebenenfalls auch im jeweiligen Staat politisch zu adressieren. Sie haben im Übrigen die Möglichkeit, organisatorisch oder z.b. durch ein Handeln nach den Grundsätzen der Datensparsamkeit und Datenvermeidung (innerhalb der eigenen Organisation und in bestimmten Staaten) schützenswerte Informationen der Reichweite fremdstaatlicher Offenlegungspflichten zu entziehen. Wenn ein Auftragnehmer nach Vertragsschluss in die Situation gerät, dass er auf Grund von 4 Rechtsänderungen in einem auswärtigen Staat oder sonstiger unvorhersehbarer Entwicklungen fremdstaatlichen Offenbarungspflichten unterworfen wird, kann es ihm vertraglich ermöglicht werden, dass er ein Konzept zur Vermeidung des Zugriffes ausländischer Sicherheitsbehörden auf schützenswerte Informationen - insbesondere durch Datenvermeidung oder Zugriffsbeschränkungen - vorlegt (Vermeidungskonzept) und die Einhaltung dieses Konzeptes verbindlich vereinbart. Sofern die Sicherheitsrelevanz eine eingeschränkte Verwendung der Klausel (nach Auffassung des Bedarfsträgers) zulässt, ist auch die Teilnahme von Bietern zulässig, wenn eine ausländische Rechtsordnung die nicht heimliche Anforderung von Auskünften in Strafverfahren oder zur allgemeinen polizeilichen Gefahrenabwehr zulässt. Dies ist ausdrücklich nur zuzulassen, wenn die ausländische Rechtsordnung hierzu effektiven Rechtsschutz durch Rechtsmittel nach rechtsstaatlichen Grundsätzen vorsieht. Zugleich ist zur Bedingung zu machen, dass es die ausländische Rechtsordnung nicht verbietet, dass der betroffene Bedarfsträger Kenntnis über die erfragten Informationen erhalten kann. In diesen Fällen muss der Bieter vertraglich verpflichtet werden, entsprechende Informationsverlangen sofort dem Bedarfsträger mitzuteilen. Ferner ist ihm die vertragliche Pflicht aufzuerlegen, dass er der anfordernden ausländischen Stelle und der Rechtsmittelinstanz auf Weisung des Bedarfsträgers mitteilen wird, dass die angeforderten Auskünfte Daten betreffen, die von einer staatlichen Stelle der Bundesrepublik Deutschland als geschützt angesehen werden. 3. Verantwortlichkeit zur Beurteilung; Rückfrage des Beschaffungsamts Die Beurteilung, ob ein Vergabeverfahren eine mögliche Sicherheitsrelevanz aufweist, liegt beim Bedarfsträger. Auf Grundlage seiner fachlichen Einschätzung bewertet dieser auch seinen Sicherheitsbedarf. Der Bedarfsträger teilt seine Auffassung im Beschaffungsauftrag dem BeschA mit. Erfolgte eine solche Mitteilung nicht, und hält das BeschA auf Grund des Gegenstandes des Vergabeverfahrens eine Sicherheitsrelevanz in diesem Sinne für möglich, fragt es beim beauftragenden Bedarfsträger unter Vorlage des Erlasses vom 30. April 2014 (Gz. wie hier) und der aktuellen Fassung dieser Handreichung an, ob aus Sicht des Bedarfsträgers Sicherheitsrelevanz besteht und die im Erlass vom 30. April 2014 enthaltenen Vertragsklauseln verwendet werden sollen. Die daraufhin erfolgende Entscheidung des Bedarfsträgers erfolgt unter seiner eigenen Verantwortung und ist für das Beschaffungsamt bindend. 5 4. Abgrenzung zu Bedarfsbeschreibungen Die Klauseln, die im Erlass vom 30. April 2014 vorgesehen sind, können nicht sämtliche Probleme heimlicher Informationsabflüsse regeln und sind hierfür auch nicht entwickelt worden. Sie ersetzen insbesondere nicht die Notwendigkeit eines Sicherheitskonzeptes, einer Risikoanalyse, der Umsetzung von Sicherheitsmaßnahmen oder der Anwendung geltender Vorgaben, zum Beispiel zum Umgang mit Verschlusssachen oder auf Grund des Umsetzungsplans für die Gewährleistung der IT-Sicherheit in der Bundesverwaltung. So genannte Backdoors in IT-Komponenten sind von den Klauseln nicht erfasst. Sie stellen keine Auskünfte im Sinne der Eigenerklärung und der Vertragsklausel dar. Sie sind vielmehr eine Eigenschaft gelieferter IT-Komponenten. Daher kann die Backdoor -Problematik über die im Erlass vom 30. April 2014 vorgesehenen Klauseln nicht vollständig aufgefangen werden. Wegen möglicher Ansätze zu diesbezüglichen Vertragsklauseln wird - nur beispielhaft - auf Ziffer 1.7 EVB-IT Service AGB hingewiesen. Allerdings kann die Weitergabe von Angaben zu Lieferbeziehungen zu staatlichen Stellen durchaus zum gezielten Einbau von Backdoors führen. Es sind Fälle bekannt, in denen mit Wissen der Hersteller IT-Komponenten zunächst an einen Nachrichtendienst geliefert wurden. Sie wurden sodann dort mit Spionagekomponenten angereichert an den Kunden ausgeliefert. Die Information, dass bestimmte (Standard-)Komponenten der Informationstechnik für eine Verwendung in der Verwaltung vorgesehen sind, ist daher schützenswert. Eine entsprechende Mitteilung eines Vertragspartners oder eines Subunternehmers an einen Lieferanten oder eine dritte Stelle (unmittelbar oder mittelbar an einen auswärtigen Nachrichtendienst) würde daher grundsätzlich gegen die im Erlass vom 30. April 2014 vorgesehene Vertragsklausel verstoßen. Bei Bedarf kann zur weiteren Klarstellung in den Vertrag ausdrücklich eine Regelung aufgenommen werden, wonach Vorlieferanten einzelner Komponenten keine Informationen über den Empfänger (deutsche staatliche Stelle) erhalten dürfen. Müssen speziell angefertigte oder angepasste Komponenten mit Bezug auf den zu vergebenden Auftrag durch den Auftragnehmer angeschafft werden, und ist es hierzu erforderlich, dass offengelegt wird, dass die Verwendung bei einer staatlichen Stelle erfolgt, ist auch vom Lieferanten die Eigenerklärung anzufordern, und er ist auch der Vertragsklausel zu unterwerfen; im Zweifel ist er nicht als Vorlieferant, sondern als Subunternehmer anzusehen. 6 5. Umsetzung der Erlassregelungen in konkreten Verfahren Die Regelungen des Erlasses vom 30. April 2014 betreffen alle Vergabeverfahren mit möglicher Sicherheitsrelevanz, wie vorstehend beschrieben. Sofern der Bedarfsträger für das Vergabeverfahren eine mögliche Sicherheitsrelevanz angenommen hat, im Rahmen der Angebotsabgabe vom Bieter einzufordern und die besondere Vertragsbedingung (Vertragsklausel) in den Vertrag aufzunehmen. Auf die Einforderung der Eigenerklärung und den Wortlaut der besonderen Vertragsbedingung ist bereits in der Bekanntmachung des öffentlichen Auftrags bzw. den Vergabeunterlagen (Leistungsbeschreibung) hinzuweisen. Sofern der Bieter beabsichtigt, den Auftrag (teilweise) durch Subunternehmer durchführen zu lassen, sind auch von diesen entsprechende Eigenerklärungen einzuholen. Die Vertragsbedingungen müssen in den Vertrag des Hauptauftragnehmers mit dem Subunternehmer ebenfalls Aufnahme finden. Hinweis: Aus vergaberechtlicher Sicht stellt - nach dem gegenwärtigen Stand der Rechtsprechung - die Vertragsklausel kein Element dar, das im Rahmen der Prüfung der Eignung des Bieters/Bewerbers zu berücksichtigen wäre. Die Vertragsklausel ist eine sog. Ausführungsbedingung nach 97 Abs. 4 Satz 2 des Gesetzes gegen Wettbewerbsbeschränkungen (GWB), die im Rahmen der Auftragsausführung zwingend vom Auftragnehmer zu berücksichtigen ist. Die diesbezüglich verlangte Eigenerklärung ist (lediglich) die ausdrückliche, schriftliche Bestätigung des Bieters/Bewerbers, diese Ausführungsbedingung später auch einzuhalten. Sollte sich die Rechtsprechung hierzu ändern, soll das BeschA die Eigenerklärung oder Vertragsklausel unter Berücksichtigung des jeweiligen Standes der Rechtsprechung möglichst rechtssicher verwenden. Wenn der Bedarfsträger in bereits derzeit laufenden Vergabeverfahren eine mögliche Sicherheitsrelevanz annimmt, ist die Eigenerklärung zu fordern bzw. die Vertragsklausel aufzunehmen, sofern die Ausschreibung noch nicht veröffentlicht ist. Ist sie bereits veröffentlicht, ist die Eigenerklärung nur zu fordern bzw. die Vertragsklausel nur aufzunehmen, wenn hiergegen keine durchgreifenden rechtlichen Bedenken bestehen. Das BeschA fordert hierzu den jeweiligen Bedarfsträger zur Stellungnahme auf. Im Rahmen bestehender Rahmenverträge wirkt das BeschA darauf hin, eine freiwillige Eigenerklärung durch den Vertragspartner zu erhalten und den Rahmenvertrag durch die Vertragsklausel zu ergänzen. Das BeschA teilt dem BMI mit, wenn und ggf. aus welchen angegebenen Gründen hierzu keine Bereitschaft 7 eines Vertragspartners besteht. Der Abruf aus Rahmenverträgen in Form von Einzelverträgen fällt nicht in den Anwendungsbereich des Erlasses. Bieter haben keinen Anspruch darauf, dass die Eigenerklärung oder die Vertragsklausel) gefordert oder in den Vertrag aufgenommen werden. Dies gilt auch für die Eigenerklärung oder Vertragsklausel in eingeschränkter oder veränderter Form, wie es oben bei Nummer 2 am Ende dargestellt wurde. Die Entscheidung hierüber wird über den Bedarf bestimmt und fällt somit unter den Grundsatz der Beschaffungsautonomie. Eine unaufgeforderte Abgabe der Erklärung ist möglich, hat aber, wenn die Abgabe nicht im Verfahren gefordert wird, auf die Wertung keinen Einfluss. Wenn der öffentliche Auftraggeber die Eigenerklärung fordert, dann muss diese Anforderung vorher bekanntgegeben worden sein, und es muss die Eigenerklärung von sämtlichen Bietern gleichermaßen eingefordert werden. Entsprechendes gilt für die Aufnahme der Vertragsklausel in den Vertragstext, der Teil der Vergabeunterlagen ist. Vertragsstrafen für Verstöße gegen die im Erlass vom 30. April 2014 vorgesehene Vertragsklausel kommen grundsätzlich nur in begründeten Ausnahmefällen in Betracht ( 9 Abs. 2 bzw. 11 EG Abs. 2 VOL/A: sollen ). Zu beachtende Grenzen wegen der Höhe und Angemessenheit, aber auch nach dem Recht der Allgemeinen Geschäftsbedingungen, sollten im Bedarfsfall geprüft werden. Bei der Abwägung sind mögliche unerwünschte preisbildende Effekte im in Betracht zu ziehen. 6. Vorgehensweise bei Verstößen Wird die geforderte Eigenerklärung vom Bieter und ggf. seinen Subunternehmern nicht abgegeben, kann der Bieter die geforderte Leistung nicht erbringen; ihm wird der Zuschlag nicht erteilt. Bestehen begründete Zweifel an der Richtigkeit der Eigenerklärung im Sinne des Erlasses vom 30. April 2014, entscheidet das BeschA über die weitere Behandlung des Bieters und gegebenenfalls seines Gebotes entsprechend dem Vergaberecht. Ein Verstoß gegen die aus der Vertragsklausel folgende Pflicht, den Auftraggeber sofort schriftlich zu benachrichtigen, wenn der Auftragnehmer die Einhaltung seiner Pflichten aus der Eigenerklärung nicht (mehr) erfüllen kann, stellt einen Verstoß gegen die Pflicht des Auftragnehmers aus 241 Abs. 2 BGB dar, auf die Rechte, Rechtsgüter oder Interessen des Auftraggebers Rücksicht zu nehmen. Ein solcher Verstoß kann zu einem Rücktrittsrecht des Auftraggebers nach 324 BGB führen, wenn ihm ein Festhalten am Vertrag nicht mehr zuzumuten ist. Hierbei sind an die 8 Unzumutbarkeit relativ geringe Anforderungen zu stellen, wenn zwischen den Vertragsparteien ein besonderes Vertrauensverhältnis besteht (vgl. Münchener Kommentar zum BGB/Ernst, 324 Rn. 7; die Voraussetzungen sind im Einzelfall zu beurteilen). Unter den gleichen Voraussetzungen kommt bei Dauerschuldverhältnissen in der Regel auch eine Kündigung i.s.d. 314 BGB in Betracht (vgl. Münchener Kommentar zum BGB/Ernst, 324 Rn. 3). Ein Ziel der Eigenerklärung liegt gerade darin, ein solches Vertrauensverhältnis für den Bereich besonders schützenswerter Informationen zu begründen. Erhalten BeschA oder der Bedarfsträger Kenntnis von Umständen, die die Annahme begründen, ein Auftragnehmer habe gegen die Vertragsklausel verstoßen, erwägen sie gemeinsam, ob gegenüber dem Auftragnehmer der Rücktritt bzw. die Kündigung zu erklären ist. Bei Meinungsverschiedenheiten entscheidet hierüber der Bedarfsträger, wenn die Sache nicht wegen ihrer Bedeutung dem Bundesministerium des Innern zur Entscheidung unterbreitet wird, das die Entscheidung an sich ziehen kann. Sofern der Bedarfsträger oder das BeschA zu der Auffassung gelangen, der Bieter habe vorsätzlich eine falsche Eigenerklärung abgegeben, entscheidet der Bedarfsträger darüber, den Vorgang bei der jeweils zuständigen Staatsanwaltschaft anzuzeigen. Bedarfsträger im Geschäftsbereich des BMI sollen möglichst zuvor, in Eilfällen ansonsten unverzüglich auf dem Dienstweg das BMI unterrichten, das ggfs. Weisungen erteilt oder die Entscheidung dem Bedarfsträger überlässt. 7. Berichte / Evaluation Sofern dem BeschA ein Verstoß gegen die Eigenerklärung bekannt wird bzw. der Auftragnehmer dem BeschA mitteilt, die Einhaltung seiner Verpflichtung nicht mehr gewährleisten zu können, teilt das BeschA dies unverzüglich dem Bedarfsträger sowie dem Referat O4 des BMI mit. Entsprechende Mitteilungen und etwaige Verstöße werden im BeschA festgehalten und auch datenschutzkonform zentral registriert. Das BeschA, die jeweiligen Bedarfsträger, die Abteilungen ÖS und IT des BMI und das Referat O4 des BMI tauschen sich regelmäßig über Erfahrungen hinsichtlich der Eigenerklärung bzw. der Vertragsklausel und anderen Fragen zur Abwehr von Informationsabflüssen an auswärtige Sicherheitsbehörden aus. Auf Grundlage dieser Erkenntnisse erfolgen eine Evaluation, in der auch Möglichkeiten und Ressourcen bei den kooperierenden Behörden, dem Bundesamt für die Sicherheit in der Informationstechnik (BSI) und dem Bundeskriminalamt (BKA), betrachtet werden, und gegebenenfalls eine Aktualisierung der Eigenerklärung und der Vertragsklausel durch das Referat O4. 9 8. Kooperation mit anderen Behörden Das BSI und das BKA können in Vergabeverfahren mit möglicher Sicherheitsrelevanz insbesondere zur Erstellung der Leistungsbeschreibung einbezogen werden. Auf die Möglichkeit der Beratung für Behörden durch das BSI nach 3 Abs. 1 Nr. 14 BSIG wird beispielhaft hingewiesen. BSI und BKA i
Similar documents
View more...
We Need Your Support
Thank you for visiting our website and your interest in our free products and services. We are nonprofit website to share and download documents. To the running of this website, we need your help to support us.

Thanks to everyone for your continued support.

No, Thanks