Den meisten B\u00fcrgern d\u00fcrfte der Begriff der \u201eEVB-IT\u201c wohl kaum gel\u00e4ufig sein, obwohl sie eine zentrale Rolle bei der Auftragsvergabe der \u00f6ffentlichen Hand im IT-Bereich spielen. Die so genannten \u201eErg\u00e4nzenden Vertragsbedingungen f\u00fcr die Beschaffung von IT-Leistungen\u201c (EVB-IT) sind Mustervertr\u00e4ge zur Standardisierung des Verwaltungshandelns, wenn es um die Beschaffung von Informationstechnik f\u00fcr den \u00f6ffentlichen Sektor geht (IT-Vergabe). Da bei diesem fiskalischen Handeln die \u00f6ffentliche Hand dem B\u00fcrger auf einer Ebene der rechtlichen Gleichordnung gegen\u00fcber tritt und deshalb das Privatrecht und damit das B\u00fcrgerliche Gesetzbuch (BGB) Anwendung findet, k\u00f6nnen im Rahmen der hier gew\u00e4hrleisteten Vertragsfreiheit Allgemeine Gesch\u00e4ftsbedingungen (AGB) genutzt werden \u2013 dies sowohl auf Seiten des IT-Anbieters wie auf Seiten der beschaffenden Beh\u00f6rde. Um die Standardisierung der vonseiten der Beh\u00f6rde vorgegebenen AGB zu gew\u00e4hrleisten, werden die EVB-IT als Vorlage f\u00fcr das Vertragswerk auf der Internetseite des Beauftragten der Bundesregierung f\u00fcr Informationstechnik (CIO Bund) zur Verf\u00fcgung gestellt.<\/p>\n
Urspr\u00fcnglich hie\u00dfen die EVB-IT \u201eBVB\u201c, das waren die \u201eBesonderen Vertragsbedingungen f\u00fcr die Beschaffung von DV-Leistungen\u201c, wobei \u201eDV\u201c f\u00fcr Datenverarbeitung steht. Mittlerweile wurden die teils seit 1972 verwendeten BVB sukzessiv durch die EVB-IT abgel\u00f6st, sodass es nunmehr zehn EVB-IT- und noch zwei BVB-Mustervertr\u00e4ge gibt, die in ihrer Gesamtheit alle nur denkbaren Konstellationen des IT-Beschaffungswesens der \u00f6ffentlichen Hand abdecken sollen. So existieren beispielsweise Vertragsvorlagen f\u00fcr den Kauf sowie f\u00fcr die Miete von Hard- und Software, f\u00fcr die Instandhaltung von Hardware sowie f\u00fcr Softwarepflege und f\u00fcr die Planung und Erstellung ganzer IT-Systeme sowie deren Service. F\u00fcr die Bundesbeh\u00f6rden ist die Anwendung der EVB-IT und BVB bei der Beschaffung ihrer Informationstechnik verbindlich, dies gilt zum gro\u00dfen Teil auch f\u00fcr die L\u00e4nder. Die \u201eEVB-IT System\u201c kamen zum Beispiel auch im Vertrag zwischen dem Bundesministerium des Innern (BMI) und der Firma Elaman\/Gamma zustande, als es um die Lieferung des Bundestrojaners<\/a> ging.<\/p>\n Was hat sich nunmehr aktuell im Bereich der EVB-IT getan? Am 16.03.2016 ver\u00f6ffentlichte der IT-Planungsrat die neuen Bedingungen der \u00f6ffentlichen Hand f\u00fcr den Kauf und die Instandhaltung von Hardware. Aufgenommen wurde jetzt zus\u00e4tzlich eine so genannte \u201etechnische No-spy-Klausel\u201c. So hei\u00dft es in Punkt 2.4 der \u201eEVB-IT Kauf\u201c<\/a> unter anderem:<\/p>\n \u201eDer Auftragnehmer gew\u00e4hrleistet [\u2026], dass die von ihm zu liefernde Hardware frei von Funktionen ist, die die Integrit\u00e4t, Vertraulichkeit und Verf\u00fcgbarkeit der Hardware, anderer Hard- und\/oder Software oder von Daten gef\u00e4hrden und dadurch den Vertraulichkeits- oder Sicherheitsinteressen des Auftraggebers zuwiderlaufen durch<\/p>\n Unerw\u00fcnscht ist eine m\u00f6gliche Aktivit\u00e4t einer Funktion, wenn die Aktivit\u00e4t so weder vom Auftraggeber in seiner Leistungsbeschreibung gefordert, noch vom Auftragnehmer unter konkreter Beschreibung der Aktivit\u00e4t und ihrer Auswirkungen angeboten, noch im Einzelfall vom Auftraggeber ausdr\u00fccklich autorisiert (\u201eopt-in\u201c) wurde.\u201c<\/p>\n Kurz gefasst machen diese Vertragsbedingungen letztlich deutlich, dass die an die Beh\u00f6rden zu liefernde Hardware frei von allen Funktionen sein muss, die nicht auf irgendeine Art und Weise vereinbart wurden und m\u00f6glicherweise schadensstiftend sind. Fraglich ist aber, ob eine solche Regelung wirklich weiterhelfen kann, um beispielsweise den Einsatz von \u201eback doors\u201c in Software, welche die gelieferten Hardwareprodukte steuert, zu verhindern. Dieser prominente Fall einer Sicherheitsl\u00fccke wurde auch schon zu Zeiten des vom CCC untersuchten \u201eStaatstrojaners\u201c im Jahre 2011 thematisiert, als es um die Lieferung eines wohl technisch unausgereiften Programmes der Firma DigiTask ging. Darauf kann letztlich nur die Antwort gegeben werden, dass eine \u201etechnische No-spy-Klausel\u201c schon begrifflich problematisch ist, weil mit juristischen Klauseln gerade nicht unmittelbar \u00fcberpr\u00fcft werden kann, ob beispielsweise eine eingesetzte Sp\u00e4hsoftware auch im technischen Sinne einwandfrei ist, denn es wird lediglich eine rechtliche Garantie abgegeben. Ein solches blo\u00df vertragliches Versprechen mag sich somit zwar theoretisch \u2013 wenn man also von einem lauteren Vertragspartner ausgeht \u2013 gut anh\u00f6ren, in der Praxis besteht aber keine Nachpr\u00fcfbarkeit, denn versprochen werden kann vieles. Letztlich steht und f\u00e4llt die wirkliche Sinnhaftigkeit einer \u201eNo-spy-Klausel\u201c somit abermals mit der M\u00f6glichkeit zur Einsichtnahme in den Quellcode der Software, die das gekaufte Hardwareprodukt steuert.<\/p>\n\n