Den meisten Bürgern dürfte der Begriff der „EVB-IT“ wohl kaum geläufig sein, obwohl sie eine zentrale Rolle bei der Auftragsvergabe der öffentlichen Hand im IT-Bereich spielen. Die so genannten „Ergänzenden Vertragsbedingungen für die Beschaffung von IT-Leistungen“ (EVB-IT) sind Musterverträge zur Standardisierung des Verwaltungshandelns, wenn es um die Beschaffung von Informationstechnik für den öffentlichen Sektor geht (IT-Vergabe). Da bei diesem fiskalischen Handeln die öffentliche Hand dem Bürger auf einer Ebene der rechtlichen Gleichordnung gegenüber tritt und deshalb das Privatrecht und damit das Bürgerliche Gesetzbuch (BGB) Anwendung findet, können im Rahmen der hier gewährleisteten Vertragsfreiheit Allgemeine Geschäftsbedingungen (AGB) genutzt werden – dies sowohl auf Seiten des IT-Anbieters wie auf Seiten der beschaffenden Behörde. Um die Standardisierung der vonseiten der Behörde vorgegebenen AGB zu gewährleisten, werden die EVB-IT als Vorlage für das Vertragswerk auf der Internetseite des Beauftragten der Bundesregierung für Informationstechnik (CIO Bund) zur Verfügung gestellt.
Ursprünglich hießen die EVB-IT „BVB“, das waren die „Besonderen Vertragsbedingungen für die Beschaffung von DV-Leistungen“, wobei „DV“ für Datenverarbeitung steht. Mittlerweile wurden die teils seit 1972 verwendeten BVB sukzessiv durch die EVB-IT abgelöst, sodass es nunmehr zehn EVB-IT- und noch zwei BVB-Musterverträge gibt, die in ihrer Gesamtheit alle nur denkbaren Konstellationen des IT-Beschaffungswesens der öffentlichen Hand abdecken sollen. So existieren beispielsweise Vertragsvorlagen für den Kauf sowie für die Miete von Hard- und Software, für die Instandhaltung von Hardware sowie für Softwarepflege und für die Planung und Erstellung ganzer IT-Systeme sowie deren Service. Für die Bundesbehörden ist die Anwendung der EVB-IT und BVB bei der Beschaffung ihrer Informationstechnik verbindlich, dies gilt zum großen Teil auch für die Länder. Die „EVB-IT System“ kamen zum Beispiel auch im Vertrag zwischen dem Bundesministerium des Innern (BMI) und der Firma Elaman/Gamma zustande, als es um die Lieferung des Bundestrojaners ging.
Was hat sich nunmehr aktuell im Bereich der EVB-IT getan? Am 16.03.2016 veröffentlichte der IT-Planungsrat die neuen Bedingungen der öffentlichen Hand für den Kauf und die Instandhaltung von Hardware. Aufgenommen wurde jetzt zusätzlich eine so genannte „technische No-spy-Klausel“. So heißt es in Punkt 2.4 der „EVB-IT Kauf“ unter anderem:
„Der Auftragnehmer gewährleistet […], dass die von ihm zu liefernde Hardware frei von Funktionen ist, die die Integrität, Vertraulichkeit und Verfügbarkeit der Hardware, anderer Hard- und/oder Software oder von Daten gefährden und dadurch den Vertraulichkeits- oder Sicherheitsinteressen des Auftraggebers zuwiderlaufen durch
- Funktionen zum unerwünschten Absetzen/Ausleiten von Daten,
- Funktionen zur unerwünschten Veränderung/Manipulation von Daten oder der Ablauflogik oder
- Funktionen zum unerwünschten Einleiten von Daten oder unerwünschte Funktionserweiterungen.
Unerwünscht ist eine mögliche Aktivität einer Funktion, wenn die Aktivität so weder vom Auftraggeber in seiner Leistungsbeschreibung gefordert, noch vom Auftragnehmer unter konkreter Beschreibung der Aktivität und ihrer Auswirkungen angeboten, noch im Einzelfall vom Auftraggeber ausdrücklich autorisiert („opt-in“) wurde.“
Kurz gefasst machen diese Vertragsbedingungen letztlich deutlich, dass die an die Behörden zu liefernde Hardware frei von allen Funktionen sein muss, die nicht auf irgendeine Art und Weise vereinbart wurden und möglicherweise schadensstiftend sind. Fraglich ist aber, ob eine solche Regelung wirklich weiterhelfen kann, um beispielsweise den Einsatz von „back doors“ in Software, welche die gelieferten Hardwareprodukte steuert, zu verhindern. Dieser prominente Fall einer Sicherheitslücke wurde auch schon zu Zeiten des vom CCC untersuchten „Staatstrojaners“ im Jahre 2011 thematisiert, als es um die Lieferung eines wohl technisch unausgereiften Programmes der Firma DigiTask ging. Darauf kann letztlich nur die Antwort gegeben werden, dass eine „technische No-spy-Klausel“ schon begrifflich problematisch ist, weil mit juristischen Klauseln gerade nicht unmittelbar überprüft werden kann, ob beispielsweise eine eingesetzte Spähsoftware auch im technischen Sinne einwandfrei ist, denn es wird lediglich eine rechtliche Garantie abgegeben. Ein solches bloß vertragliches Versprechen mag sich somit zwar theoretisch – wenn man also von einem lauteren Vertragspartner ausgeht – gut anhören, in der Praxis besteht aber keine Nachprüfbarkeit, denn versprochen werden kann vieles. Letztlich steht und fällt die wirkliche Sinnhaftigkeit einer „No-spy-Klausel“ somit abermals mit der Möglichkeit zur Einsichtnahme in den Quellcode der Software, die das gekaufte Hardwareprodukt steuert.
Nicht zuletzt stellt sich auch das Problem, wie mit Zwischenhändlern wie IT-Systemhäusern umzugehen ist, die nicht zugleich Hersteller des Endproduktes sind, dieses aber gleichwohl vermarkten. In der Handreichung zur Klausel heißt es dazu:
„Berücksichtigen sollten Vergabestellen, dass Auftragnehmer, die nicht selbst Hersteller der Hard- oder Software sind, praktisch nur dann in der Lage sein werden, die geforderten Angaben zu machen, wenn sie ihrerseits von den Herstellern (bzw. von Vorlieferanten oder Subunternehmern) die erforderlichen Informationen oder Bestätigungen erhalten. […] Hersteller sollten sich auf derartige Anfragen von ihren Vertragspartnern in der Lieferkette einstellen und dementsprechend künftig die erforderlichen Informationen und Bestätigungen vorhalten bzw. bei neuen Produkten kurzfristig erstellen, damit ihre Produkte in Vergabeverfahren berücksichtigt werden können.“
Deutlich wird folglich, dass in der weiteren Vertragskette gleichermaßen die Vertrauenskette bis hin zur Auftrag erteilenden Behörde weiter gereicht wird und das, obwohl die eigentliche vertragliche Absprache und somit auch die „No-spy-Klausel“ nur im Verhältnis zwischen Vertriebsunternehmen und Besteller gegeben ist. Mit jedem weiteren Zwischenlieferanten oder Subunternehmer rückt demnach die lediglich gefühlte Verbindlichkeit der Klausel in immer größere Ferne – es sei denn, es sind auch in all diesen Verhältnissen entsprechende vertragliche Verpflichtungen mit einem eindeutigen Bezug zur „No-spy-Klausel“ vereinbart worden; die bloße soziale Verpflichtung reicht demgegenüber nicht aus. Auch stellt sich die Frage, ob es praktikabel und möglich ist, jedem einzelnen Zulieferer einer Hardware den Abschluss einer vertraglichen „No-spy-Klausel“ abzuverlangen – vor allen Dingen dann, wenn dieser im Ausland sitzt, was bei IT-Produkten nicht so selten vorkommt.
Im Ergebnis bleibt festzustellen, dass die neuen Ergänzungen der EVB-IT zwar ihrem Gedanken nach in die richtige Richtung abzielen, aber ohne zusätzliche vertragliche Ergänzungen tatsächlich nicht so „wasserdicht“ sind, wie sie auf den ersten Blick scheinen. „Digitale Souveränität“ im Sinne der zivilrechtlichen Vertragsfreiheit kann man damit sicherlich gut leben, aber eben noch keine technische Souveränität über die Vorgänge, die sich wirklich im gekauften Produkt abspielen.