IT-Firmen müssen künftig unterschreiben, dass sie nicht für ausländische Geheimdienste tätig sind. Nur dann dürfen sie für die Bundesregierung arbeiten.

IT-Unternehmen, die Aufträge der Bundesregierung haben wollen, müssen künftig bestätigen, dass sie keine Daten an Geheimdienste oder andere ausländische Behörden weitergeben - eine No-Spy-Garantie also. Für viele US-Firmen dürfte das schwierig werden.

Von Frederik Obermaier und Benedikt Strunz

Für die Erkenntnis, dass amerikanische Spionagedienstleister Zugriff auf sensible Daten deutscher Bürger haben, hätte es eigentlich keinen Edward Snowden gebraucht. Schon seit Jahren ist bekannt, dass die Firma Computer Sciences Corporation (CSC) für US-Geheimdienste arbeitet. Auch ist bekannt, dass eine frühere CSC-Tochterfirma an der Verschleppung des deutschen Staatsbürgers Khaled el-Masri beteiligt war.

Dennoch haben deutsche CSC-Tochterfirmen in den vergangenen Jahren mehr als 100 Aufträge von Bundes- und Landesministerien erhalten, wie SZ und NDR im Herbst berichteten. Von öffentlichen Aufträgen ausschließen könne man die Firmen nur, wenn sie eine Straftat begangen haben, hieß es damals. Und wegen der Entführung von el-Masri wurde bis heute kein CSC-Mitarbeiter belangt. Auch ist es per se nicht strafbar, für den US-Geheimdienst zu arbeiten. Der Bundesregierung waren also nach eigenen Angaben die Hände gebunden.

Nach Recherchen von NDR, WDR und Süddeutscher Zeitung hat die schwarz-rote Koalition nun die Vergaberegeln für sensible IT-Aufträge verschärft. Im Zweifel sollen verdächtige Firmen künftig von offiziellen Aufträgen ausgeschlossen werden. So müssen Unternehmen fortan unterschreiben, dass sie nicht durch Verträge oder Gesetze verpflichtet sind oder gezwungen werden, vertrauliche Daten an ausländische Geheimdienste und Sicherheitsbehörden weiterzugeben.

Gerichtsbeschlüsse zwingen Firmen dazu, sensible Daten weiterzugeben

Es ist eine Klausel, die vor allem auf amerikanische Unternehmen zielen dürfte. Diese, so zeigen es auch zahlreiche Dokumente aus dem Snowden-Fundus, geben regelmäßig Informationen an US-Geheimdienste weiter. Eine eigene Abteilung namens "Special Sources Operations" kümmert sich etwa bei der NSA um die Zusammenarbeit mit "strategischen Partnern", wie die Unternehmen bei den Geheimdienstlern genannt werden. Meist werden sie per Gerichtsbeschluss zur Weitergabe von Informationen gezwungen.

Man halte sich eben an die Gesetze des jeweiligen Landes, lautete die verdruckste Standardantwort der betreffenden Unternehmen. Damit war das Thema bislang abgehakt. Seit April gilt nun: Wer nicht versichert, auf keinen Fall Daten an ausländische Dienste oder Behörden rauszurücken, wird von Deals in sensiblen Bereichen des Bundes ausgeschlossen. Ziel der neuen Regelung sei es, "den Abfluss von schützenswertem Wissen an ausländische Sicherheitsbehörden" zu verhindern, sagte ein Sprecher des Innenministeriums.

Ob damit tatsächlich auch CSC künftig von sensiblen Bundesaufträgen ausgeschlossen wird, ist allerdings noch fraglich. Erst im Januar hatte die Bundesregierung erklärt, sie sehe "keine Veranlassung, ihre Auftragsvergabepraxis" gegenüber den deutschen Tochterfirmen zu ändern. Dabei ist CSC Teil der amerikanischen Schattenarmee von Privatfirmen, die für Militär und Geheimdienste günstig und unsichtbar Arbeit erledigen.

"Daten sind das nächste Schlachtfeld"

So gehörte das Unternehmen zu einem Konsortium, das den Zuschlag für das sogenannte Trailblazer-Spähprogramm bekommen hatte: Dabei sollte ein gigantischer Datenstaubsauger entwickelt werden, der heutigen Spähprogrammen der NSA verblüffend ähnlich ist. "Daten sind das nächste Schlachtfeld", heißt es in einem Firmenprospekt. Und CSC liefert für diese Schlacht offenbar die nötigen Kanonen.

Ausgerechnet CSC-Töchter testeten aber unter anderem den Staatstrojaner des Bundeskriminalamts und unterstützten das Justizministerium bei der Einführung der elektronischen Akte für Bundesgerichte. Des Weiteren erhielt CSC Aufträge, die mit dem sogenannten Regierungsnetz zu tun haben, über das die verschlüsselte Kommunikation von Ministerien und Behörden läuft. CSC beriet auch das Innenministerium bei der Einführung des elektronischen Passes und ist involviert in das Projekt De-Mail, dessen Ziel der sichere Mailverkehr ist. Erst im April wurde CSC dafür der Negativ-Preis "Big-Brother-Award" verliehen.

Die Verantwortlichen bei CSC verweisen darauf, dass die deutschen Tochterfirmen "in keiner vertraglichen Beziehung zur US-Regierung" stünden. Das Geschäft mit amerikanischen Geheimdiensten werde von "einem getrennten, eigenständigen Geschäftsbereich mit Sitz in den USA" betrieben. Aber wie getrennt können die Geschäfte von zwei Tochterfirmen ein und desselben Konzerns tatsächlich sein? Sämtliche Firmen-E-Mails sollen jedenfalls über den Server des Mutterkonzerns laufen.