Zweifel an Vergabe-EntscheidungKann ausländischer Geheimdienst sensible EU-Daten mitlesen?

Es klingt wie ein ganz gewöhnlicher Vorgang. Die EU-Kommission schreibt rechtzeitig vor dem Auslaufen eines Dienstleistungsvertrages den Auftrag neu aus und gibt dem günstigsten Anbieter den Zuschlag. Gut für die belgische Tochter einer britischen Firma, schlecht für einen deutschen Konzern. Doch beim Blick auf die Details schrillen nun in Brüssel die Alarmglocken. Denn es geht um den möglichen Zugriff ausländischer Geheimdienste auf sensible Daten europäischer Bürger und Behörden. Und ganz nebenbei um die Arbeitsfähigkeit der EU-Administration in Zeiten von Krieg und Krise.

„Testa“ steht für „Trans-European Services for Telematics between Administration“. Es geht um den gesamten Informationsfluss zwischen den Behörden, Agenturen und Verwaltungsstellen der Europäischen Union. Um einen Daten-Verkehr von täglich rund zwölftausend Gigabyte. Um Rund-um-die-Uhr-Überwachung durch Dutzende von Spezialisten, damit zum Beispiel die Information über den Übertritt an der Schengen-Außengrenze auch bei den Dienststellen draußen und in der Zentrale in Brüssel ankommt. Und vor allem darum, dass keine Unbefugten die in Teilen hochbrisanten Informationen mitlesen. Derzeit garantiert das die Telekom-Tochter T-Systems. Ab 2024 soll es die BT Global Service Belgium machen, die Tochter der British Telecom. Jedenfalls wenn Berichte zutreffen, die aus der Kommission selbst zu stammen scheinen.

Die Telekom wollte sich nicht zu dem Vorgang äußern. Doch dem EVP-Europa-Abgeordneten Markus Ferber war schnell klar, was der offenkundige Vorgang bedeutet. „Das ist ein Skandal“, sagte er unserer Redaktion. Er schrieb einen Brandbrief an EU-Kommissionspräsidentin Ursula von der Leyen. „Ich halte diese Entwicklung sowohl aus Datenschutz- als auch aus Cybersicherheitsgründen für hochproblematisch“, hält er der Kommissionschefin darin eingangs vor. „Testa“ sei für den Austausch von Daten zwischen EU-Verwaltungseinrichtungen geschaffen worden. Neben unkritischen Daten zählten dazu zum Teil auch hochsensible Informationen. „Wenn die zentrale IT-Infrastruktur der Europäischen Union von einem Betreiber aus einem Drittstaat betrieben wird, gibt es offenkundig datenschutzrechtliche Bedenken“, schreibt Ferber weiter.

Gerade im Vereinigten Königreich seien die Geheimdienste „bekanntlich nicht zimperlich“ und hätten zum Teil weitreichende Eingriffsrechte in die Privatsphäre britischer Bürger. „Es ist nicht ausgeschlossen, dass solche geheimdienstlichen Befugnisse auch auf britische Unternehmen beziehungsweise deren Tochtergesellschaften angewandt werden“, hält der EVP-Politiker weiter fest. Durch die Vergabe an einen britischen Anbieter sei die Möglichkeit eröffnet, dass ein ausländischer Geheimdienst vertrauliche EU-Informationen mitlese. „Das ist nicht nur ein Datenschutz-, sondern auch ein Sicherheitsproblem“, heißt es in dem Schreiben an von der Leyen weiter.

Ferber weist zudem darauf hin, dass die große Umstellung eines solchen IT-Systems auch immer eine technisch-administrative Herausforderung darstelle. Daraus könnten sich zumindest für einen Übergangszeitraum „ebenfalls Sicherheitsprobleme ergeben“. Aktuell müsse die Europäische Union jedoch „besonders handlungsfähig“ sein, zumal das Risiko (russischer) Cyber-Attacken derzeit „besonders hoch“ sei. „Ein Betreiberwechsel scheint vor dem Hintergrund dieser Gemengelage derzeit entsprechend besonders problematisch“, gibt Ferber zu bedenken. Schließlich erinnert Ferber die Kommissionspräsidentin noch an ihre vor wenigen Wochen ausgerufenen Bemühungen um eine „strategische Autonomie“ der EU, also das genaue Gegenteil einer Auftragsvergabe für den Umgang sensibler Daten an eine Datenverarbeitung außerhalb der EU. Angesichts der Größenordnung der zu bewältigenden Datenmengen wird es für wenig wahrscheinlich gehalten, dass der Service allein von der belgischen Tochter der Briten geleistet werden kann.

In Großbritannien jedoch ist der Geheimdienst GCHQ gesetzlich berechtigt, in technische Geräte einzudringen. Der Name tauchte auch in Deutschland immer wieder auf, als der intensive Austausch der „Five Eyes“, also der fünf befreundeten und eng kooperierenden Geheimdienste aus Großbritannien, den USA, Kanada, Australien und Neuseeland, vor neun Jahren einer breiteren Öffentlichkeit bekannt wurde. Die Welt erfuhr seinerzeit, dass die fünf ihre Augen auf die weltweiten Datenströme gerichtet halten. Der ehemalige US-Geheimdienstmitarbeiter Edward Snowden hatte ausgepackt – fünf Jahre später stellte der Europäische Gerichtshof für Menschenrechte fest, dass das britische massenhafte Ausspähen von Aktivisten und Journalisten gegen das Grundrecht auf Meinungs- und Pressefreiheit verstößt.

Für die Antwort an Ferber kann sich von der Leyen nicht viel Zeit lassen. Schon das Zuschlagsverfahren dauerte länger, als es dem reibungslosen Neuaufbau einer kompletten IT-Struktur zuträglich gewesen wäre. Möglicherweise waren in der Kommission selbst bereits wachsende Zweifel entstanden. Bei vergleichbaren Vorgängen schauten nämlich auch Gerichte noch einmal auf die Vergabe. Deshalb täte die Kommission gut daran, die Zweifel bald zu beseitigen.