Über Beschaffung und Vergabe von IT-Systemen und IT-Projekten der Polizei und die – häufig nicht nachvollziehbare – Vertragsgestaltung in diesem Bereich.
Merkwürdigkeiten bei der Beschaffung von IT-Systemen beschränken sich nicht nur auf Hamburg, von wo wir erst vor kurzem berichtet hatten. Auch in Bayern gibt es aktuell einen seltsamen Fall: Der hat zu tun mit Easy, dem Fallbearbeitungssystem der bayerischen Polizei. Und mit der Aufrüstung von Easy für den Betrieb im PIAV, dem polizeilichen Informations- und Analyseverbund. Der am 1. Mai nächsten Jahres in Wirkbetrieb gehen soll …
Das IPCC, das Inpol Polas Competence Center, ein lose Kooperationsgemeinschaft von Polizeibehörden, behauptet ja schon seit Jahren, dass Software-Beschaffung, -Weiterentwicklung und -Pflege auf die spezielle Weise des IPCC angeblich wirtschaftlich und investitionssicher ist und standardisierte, moderne und leistungsfähige IT-Verfahren für die tägliche polizeiliche Arbeit hervor bringt. So liest man es auch wieder in der Antwort auf eine parlamentarische Anfrage in der Bürgerschaft der Freien und Hansestadt Hamburg .
Erstmals werden dort auch für das Fallbearbeitungssystem CRIME die Kooperationspartner benannt und konkrete Zahlen genannt. Die erstaunen im Branchenvergleich. Wo der Wettbewerber, Rola Security Solutions GmbH, im Jahr 2013 17,8 Mio Euro umsetzt, was einem Kostenaufwand von rund 11,8 Milionen Euro entspricht, kommt die Crime-Kooperation gerade mal mit Kosten von 0,5 Millionen Euro aus. Wie kann das gehen?!
Eigentlich geht es um eine sehr einfache Frage: Sind Auftragnehmer von IT-Aufträgen des Bundesinnenministeriums frei von der gesetzlichen Verpflichtung ihres Heimatlandes, Informationen dorthin weiterzugeben, die sie aus dem hiesigen Auftragsverhältnis erlangt haben? Die Frage ist besonders für US-amerikanische Auftragnehmer relevant bzw. für Töchter von solchen Unternehmen, denn sie sind (auch) an amerikanische Gesetze und damit auch an den Patriot Act gebunden. Und der sieht eine solche Verpflichtung ausdrücklich vor.
In Kürze muss gesagt werden: Auch die Anwort der Bundesregierung auf die jüngste Anfrage im Deutschen Bundestag zum Thema hat diese wichtige Frage nicht beantwortet.
„No-Spy-Erlass des BMI ist vergaberechtswidrig“ hatten wir vor drei Wochen berichtet. So hatte nämlich die Vergabekammer Bund, die oberste Instanz in Vergaberechtsstreitigkeiten mit Bundesbehörden, im Juni 2014 geurteilt.
Daran kann auch eine blumig-wortreiche Antwort des Staatssekretärs im Bundesinnenministerium auf eine entsprechendeAnfrage im Bundestag nichts ändern …
Im Bundesinnenministerium sah man die Beteiligung der CSC Deutschland Solutions GmbH an diversen IT-Aufträgen der öffentlichen Hand bisher ausgesprochen entspannt. Das dürfte sich ändern durch das Urteil der Vergabekammer Bund zum No-Spy-Erlass. Dort ist nämlich ausgeführt, dass deutsche Töchter amerikanischer Unternehmen nach dem Patriot Act verpflichtet werden können. Was die Frage nach den Auswirkungen auf IT-Dienstleister aufwirft, die, wie z.B. CSC Deutschland, an entscheidender Stelle mitwirken bei der Entwicklung polizeilicher Informationssysteme und -Überwachungssoftware.
Wir fragen: Wer überprüft eigentlich – und wie geschieht dies – ob solche Systeme Backdoors enthalten?!
Spät zwar, aber immerhin noch, ist man im Bundesinnenministerium aufgewacht nach der NSA-Affäre. Und hat erkannt, dass Verträge mit amerikanischen Unternehmen oder deren deutschen Tochtergesellschaften, wie sie aktuell abgeschlossen sind oder in Zukunft abgeschlossen werden, ein Problem aus deutscher Sicht aufwerfen: Denn solche Unternehmen unterliegen einerseits amerikanischer Jurisdiktion und sind daher verpflichtet, „den US Sicherheitsbehörden (FBI, NSA, CIA) Zugriff auf ihre Server zu gestatten und zwar auch ohne richterliche Anordnung“. So formulierte es die Vergabekammer Bund in einer einschlägigen Entscheidung. Andererseits ist jedoch nach deutschem bzw. europäischem Recht die Weitergabe insbesondere personenbezogener Daten an Stellen außerhalb der EU datenschutzrechtlich nicht gestattet.
Die vermeintliche Lösung für dieses Dilemma, der so genannte No-Spy-Erlass aus dem Bundesinnenministerium, wurde jetzt von der Vergabekammer des Bundes als vergaberechtswidrig eingestuft.
Mal angenommen, Sie wollen ein Haus bauen: Kämen Sie dann auf die Idee, einen Rahmenvertrag mit einer Maurerbrigade abzuschließen und den Baufortschritt nach Tagen abzurechnen?! Sicher nicht!
Genau das ist es jedoch, was in großen IT-Projekten des Bundes und der Länder immer mehr zum Standard wird. Der Abschluss von Dienstverträgen mit Auftragnehmern, aus denen dann Leistungen abgerufen und nach Zeitaufwand abgerechnet werden. Auf diese Weise stockt insbesondere das Bundeskriminalamt seit Jahren seinen Personalbestand pro Jahr dauerhaft um eine zweistellige Anzahl von Mitarbeitern auf.<
Die ‚öffentliche Hand‘ beschafft pro Jahr Informationstechnik in einer Größenordnung von weit mehr als einer Milliarde Euro.
Damit nicht jede Gemeinde, jedes Bundesland und die zahlreichen Bundesbehörden jeweils ihre eigenen Vertragsmuster entwickeln müssen, hat schon seit den siebziger Jahren eine Arbeitsgruppe der öffentlichen Hand unter Federführung des Bundesministeriums des Innern einheitliche Vertragstypen entwickelt. Diese, so genannten ‚Vertragsbedingungen für die Beschaffung von IT-Leistungen‘ sind verpflichtend zu verwenden für IT-Beschaffungen der öffentlichen Hand. Sie bestehen aus Formularen und ergänzenden Bestimmungen für derzeit sieben einschlägige Vertragstypen.
Dieser Artikel stellt die einzelnen Vertragstypen und ihre Verwendung vor.