Effektiver Schutz von Geheimnissen bei öffentlichen Aufträgen (BMWi-Geheimschutzhandbuch)
Sie bewerben sich um öffentliche Aufträge? Sie verkaufen Beratungsdienstleistungen oder Technologie für kritische Infrastrukturen? In diesem Fall sollten Sie sich damit befassen, ob Sie organisatorisch so aufgestellt sind, dass Sie den staatlichen Anforderungen an den „Geheimschutz in der Wirtschaft“ genügen. Die öffentliche Hand kann ihre Aufgaben nicht effektiv erfüllen, wenn sie nicht private Wirtschaftsunternehmen einbindet. Dabei kommt die öffentliche Hand nicht umhin, staatliche Geheimnisse und andere sensible Gegenstände mit den Unternehmern zu teilen. Wenn dies der Fall ist, müssen sich Unternehmer organisatorisch so aufstellen, dass sie ihnen anvertraute Geheimnisse effektiv schützen können und auch sonst Gewähr dafür bieten, dass ihre Mitarbeiter ordentlich mit diesen Geheimnissen umgehen.
Relevant wird der staatliche Geheimschutz besonders bei Auftragsvergaben für „kritische Infrastrukturen“, also etwa Energie- und Wasserversorgung, Telekommunikation, Krankenhauswesen, Katastrophenschutz, Innere Sicherheit und Verteidigung, aber auch im Bereich der Medikamentenentwicklung und Impfstoffverteilung.
Die Anforderungen an den Geheimschutz regelt das „Geheimschutzhandbuch“ („GHB“) des Bundesministeriums für Wirtschaft und Energie. Das GHB befasst sich mit dem „personellen Geheimschutz“ und mit dem „materiellen Geheimschutz“. Der gemeinsame Nenner des personellen und des materiellen Geheimschutzes besteht darin, dass die Zuverlässigkeit geprüft wird. Im Fall des personellen Geheimschutzes (Zuverlässigkeit von Personen) geht es darum zu prüfen, unter welchen Voraussetzungen Mitarbeitern bestimmte Geheimnisse und sicherheitsempfindliche Tätigkeiten anvertraut werden dürfen. Im Fall des materiellen Geheimschutzes (Zuverlässigkeit der Organisation) geht es um die Frage, ob das Unternehmen bestimmte Sicherheitsvorkehrungen getroffen hat, um der Gefährdung von Geheimnissen vorzubeugen. Eine immer größere Rolle spielen Sicherheitsvorkehrungen IT-technischer Art: Sind die IT-Systeme so ausgerichtet, dass IT-technische Angriffe („Cyber Attack“) und manipulative Eingriffe („Social Engineering“) früh erkannt und effektiv abgewehrt oder wenigstens ihre Folgen gemindert werden können? Erfüllen diese IT-Systeme anerkannte Standards, etwa die des Bundesamtes für Sicherheit in der Informationstechnik („BSI“)?
Die Einhaltung des Geheimschutzes fordern die öffentlichen Auftraggeber über vertragliche Regelungen ein. Diese im Einzelfall zu kennen, hilft den Aufwand des Auftrags besser einzuschätzen. Eine gute Kenntnis dieser Regelungen verschafft zudem einen Wettbewerbsvorteil im Ringen um öffentliche Aufträge mit Bezug zu kritischen Infrastrukturen.
Roland Kemper LL.M., MSc., Rechtsanwalt