Nach Informationen von NDR, WDR und "Süddeutscher Zeitung" sollen Firmen künftig bei der Vergabe sicherheitsrelevanter IT-Aufträge belegen, dass sie nicht zur Weitergabe vertraulicher Daten an ausländische Geheimdienste und Sicherheitsbehörden verpflichtet sind. Firmen, die eine entsprechende Erklärung nicht abgeben können, sollen künftig von Verträgen ausgeschlossen werden.

Datenschutzexperten gehen davon aus, dass zahlreiche US-Firmen solchen Weitergabeverpflichtungen unterliegen. Anlass für die Änderungen sind offenbar auch Berichte von NDR und "SZ" über die Computer Sciences Corporation (CSC). Das milliardenschwere US-Unternehmen gilt als einer der wichtigsten IT-Dienstleister der amerikanischen Geheimdienste und war unter anderem an der Entwicklung von Spähprogrammen für die NSA beteiligt. Außerdem war eine CSC-Tochterfirma im Jahr 2004 an der Verschleppung des Deutschen Khaled el-Masri durch die CIA beteiligt. Datenschützer und Oppositionspolitiker hatten daraufhin gefordert, die Zusammenarbeit mit CSC zu überprüfen.

Bundesministerien hatten der deutschen Tochterfirma CSC Deutschland Solutions GmbH seit 1990 Aufträge im Gesamtwert von 300 Millionen Euro erteilt; CSC Deutschland war überdies für die Verwaltungen in Bayern, Bremen, Hamburg, Hessen und Schleswig-Holstein tätig. CSC hat für die Bundesregierung unter anderem den Staatstrojaner des Bundeskriminalamts getestet und half bei der Einführung der elektronischen Akte der Bundesgerichte. In Bremen, Hamburg und Schleswig-Holstein war CSC an Projekten im Bereich der elektronischen Verwaltung beteiligt. CSC Deutschland Solutions erklärte auf Nachfrage, CSC halte sich immer an die Gesetze der Länder, in denen man tätig sei.

Ein Sprecher des Bundesinnenministeriums bestätigte NDR, WDR und "SZ" jetzt, die neuen Regelung solle "den Abfluss von schützenswertem Wissen an ausländische Sicherheitsbehörden" verhindern. IT-Dienstleister, die gesetzlich oder vertraglich dazu verpflichtet seien, vertrauliche Informationen an Dritte weiterzugeben, sollten künftig nicht mehr in sicherheitsrelevanten IT-Projekten arbeiten. Nur in Einzelfällen könne es Ausnahmen geben. Datenschutz-Experten warnen seit langem davor, dass US-Unternehmen durch Gesetze wie Patriot Act oder Protect America Act entsprechenden Verpflichtungen unterliegen.

Auch die Länder Bremen, Hamburg, Schleswig-Holstein und Sachsen-Anhalt prüften schärfere IT-Vergaberichtlinien, heißt es weiter. Diskutiert werde, dort künftig Firmen von IT-Aufträgen auszuschließen, die direkt oder indirekt für ausländische Geheimdienste arbeiten. Vor dem Hintergrund der NSA-Spähaffäre soll die Vergabepraxis öffentlicher Aufträge im Bereich IT und Telekommunikation auch im NSA-Untersuchungsausschuss eine Rolle spielen.