25. Europäischer Tag der Meere 2014 in Bremen – Leistungsschau für Hightech und Flüchtlingskontrolle?
Mitteilung des Senats über den vom Senat beschlossenen Beitritt zum Beitritt zur Bundesratsinitiative „Entschließung des Bundesrates zum Verlust von Kulturgut in der NS-Zeit“ – Antrag der Freien und Hansestadt Hamburg
Des Weiteren möchte ich Ihnen mitteilen, dass nachträglich interfraktionell vereinbart wurde, die miteinander verbundenen Tagesordnungspunkte 4 bis 6, hier geht es um das Thema Drittmittelforschung, jeweils einzelne Anträge der Fraktion DIE LINKE, der Fraktion der CDU und der Fraktionen Bündnis 90/ Die Grünen und der SPD, den Tagesordnungspunkt 9, Mobbing an Schulen, Große Anfrage der Fraktion DIE LINKE und Antwort des Senats dazu, die miteinander verbundenen Tagesordnungspunkte 20 und 21, es handelt sich um die Auflage eines Programms zum Ankauf von Belegungsbindungen, Antrag der Fraktion DIE LINKE und Bericht der staatlichen Deputation für Umwelt, Bau, Verkehr, Stadtentwicklung und Energie dazu, und den Tagesordnungspunkt 39, Einrichtung einer unabhängigen Instanz zur Kontrolle polizeilichen Handelns, Antrag der Fraktion DIE LINKE, für die März-Sitzungen auszusetzen. Wird das Wort zu den interfraktionellen Absprachen gewünscht? – Ich sehe, das ist nicht der Fall. Wer den interfraktionellen Absprachen seine Zustimmung geben möchte, den bitte ich um das Handzeichen!
Ich stelle fest, die Bürgerschaft (Landtag) ist mit den interfraktionellen Absprachen einverstanden.
Für die Aktuelle Stunde liegen zwei Themen vor: erstens, auf Antrag der Abgeordneten Rupp, Frau Vogt und Fraktion DIE LINKE, das Thema „IT-Dienstleister mit Kontakten zum Geheimdienst NSA: Wer garantiert für den Datenschutz in der bremischen Verwaltung?“, und zweitens, auf Antrag der Abgeordneten Strohmann, Imhoff, Röwekamp und Fraktion der CDU, das Thema „Lohses Verbote und grüne Bevormundung? Klimaschutzpolitik geht anders!“.
IT-Dienstleister mit Kontakten zum Geheimdienst NSA: Wer garantiert für den Datenschutz in der bremischen Verwaltung?
Herr Präsident, meine sehr verehrten Damen und Herren, liebe Kolleginnen und Kollegen! Ich will es vorweg sagen, ich möchte nicht, dass die Daten der Bürgerinnen und Bürger, der bremischen Verwaltung, der Beschäftigten hier in Bremen in der Verwaltung und anderswo, für fremde Geheimdienste zugänglich sind. Ich möchte auch nicht, dass sie für private Konzerne, noch dazu aus den USA, zugänglich sind. Ich finde, wir brauchen Strukturen, die unter dem Stichwort Datenschutz sicherstellen, dass ein solcher Zugriff, wenn er schon nicht unmöglich ist, zumindest so schwer sein muss, wie es geht. Das ist zurzeit meines Erachtens nicht gegeben.
Es ist klar geworden, dass in Deutschland im öffentlichen Auftrag die Firma Computer Sciences Corporation auf Bundesebene Consultingaufträge in Höhe dreistelliger Millionenbeträge bekommt, dass sie an der Entwicklung des sogenannten Bundestrojaners und an der vermeintlich sicheren De-Mail beteiligt ist und auch von Dataport Aufträge bekommt, bestimmte Teile von Software, bestimmte Schnittstellen für die Firma Dataport zu entwickeln. Das ist an sich noch kein Problem. Zum Problem wird es dann, wenn man weiß, dass diese Firma im Wesentlichen weltweit als IT-Abteilung der National Security Agency in den USA bekannt geworden ist.
Das sind keine Gespenstergeschichten, das ist keine Fantasie, es ist mittlerweile hinlänglich recherchiert, dass diese Firma im Wesentlichen ihren Umsatz damit macht, für die CIA, die NSA und für diverse amerikanische Geheimdienste und Sicherheitsorganisationen nicht nur Programme zu entwickeln und IT zur Verfügung zu stellen, sondern auch beteiligt ist, wenn es darum geht, Gefangene illegal von einem Ort der Welt zum anderen zu transportieren. Das ist nicht erst seit gestern bekannt.
Meine Frage ist: Wie kann es sein, dass eine solche Firma auf Bundesebene und auch in Bremen öffentliche Aufträge bekommt und niemandem auffällt, dass wir da unter Umständen regelrecht den Bock zum Gärtner machen? Wir machen damit eine Tür auf und vernachlässigen genau diesen Anspruch an Datenschutz, nämlich dass die Daten der Bürgerinnen und Bürger in Bremen vor dem unerlaubten Zugriff von wem auch immer geschützt sind. Eigentlich gewähren wir genau denen den Zugriff, die dafür bekannt sind, dass sie nicht einmal davor zurückschrecken, die Telefone von sogenannten befreundeten Staatsoberhäuptern abzuhören.
Jetzt kann man sagen, das kann ja wohl nicht so schwierig sein, so viel haben sie nicht gemacht, sie haben einen kleinen Teil der Software entwickelt, und fragen, wie kann es denn passieren, dass sie dann Zugang auf diese Daten bekommen. Das will ich Ihnen sagen! Der Zugriff auf Ihr und auf mein Handy passiert nicht, ich sage einmal, wie durch ein technisches Wunder, sondern diese Geräte sind dafür gemacht, dass nicht nur die Benutzerin oder der Benutzer darauf zugreift. Diese Geräte sind dafür gemacht, dass sie einen sogenannten Lieferanteneingang haben, dass die Firma, die diese Handys herausgibt – Ihr Handy und mein Handy –, sie erstens überwachen kann, zweitens einschalten kann, drittens ausschalten kann und viertens umparametrieren kann, und dagegen können Sie sich gar nicht wehren, das ist Teil der Software. Klar und bekannt geworden ist auch, dass viele Softwares nicht nur einen Lieferanteneingang haben, sondern die Programmiererinnen und Programmierer dafür sorgen, schon wegen des Problems, dass solch eine Software manchmal stockt, dass sie einen Hintereingang haben, also einen, von dem der Käufer auch nichts weiß.
Das Dritte ist, wenn Sie eine Firma beauftragen, in Ihrem Haus Software zu entwickeln, dann brauchen diese Leute in aller Regel auch Administratorenrechte für Ihre Computer oder haben mit Leuten zu tun, die Administratorenrechte haben. Wenn erst einmal irgendjemand außerhalb Ihrer Firma Administratorenrechte hat, dann kann er auf Ihren Computer, in Ihrem Netzwerk und in Ihrem ganzen ITSystem machen, was er will, deswegen heißt er Administrator. Der Schutz davor ist vielleicht ein 10-, 15oder 20-stelliger Code, eine Ansammlung von Zahlen oder Buchstaben, wenn man Glück hat, wenn man
Um diese Dinge weniger möglich zu machen, teile ich die Auffassung der Datenschutzbeauftragten in Bremen, die sagt, ihrer Meinung nach sei es grundsätzlich problematisch, wenn wir einen öffentlichen Dienstleister wie Dataport haben und diesen eigentlich so ausstatten, dass er alle Probleme, die damit zu tun haben, lösen kann, überhaupt ein privates Unternehmen damit zu beschäftigen. Wenn dann noch ein Unternehmen beschäftigt wird, das hinlänglich dafür bekannt ist, mit Menschen zusammenzuarbeiten, denen der Datenschutz ziemlich egal ist oder die ein besonderes Verständnis von Datenschutz haben – die NSA schützt ja bestimmt unsere Daten, aber dafür müssen sie sie natürlich kennen, deswegen müssen sie ja auch alles abziehen, damit sie sie gut schützen können, wahrscheinlich ist das deren Ansatz, den ich allerdings nicht teile, ich will nicht, dass sie Zugang zu unseren Daten haben –, müssen wir uns die Frage stellen: Wie kann es sein, dass wir in Größenordnungen von vergleichsweise geringen Umfang von 360 000 Euro ein privates Unternehmen beschäftigen müssen, wo wir doch Dataport haben?
Ich finde, wir müssen die Situation erreichen, dass Dataport einerseits die notwendige Software selbst entwickeln kann und andererseits sichergestellt ist, dass bei Dataport Leute beschäftigt sind, die den daraus generierten Quellcode darauf prüfen können, ob er Lieferanteneingänge und Hintereingänge hat und, wenn ein privates Unternehmen etwas entwickelt, wie weit es Zugang zu sensiblen Daten hat, und die dafür sorgen, dass dieser Zugang hierher wieder gesperrt wird. Diese Mechanismen müssen eingezogen werden, und diese fordert unter anderem auch die Datenschutzbeauftragte.
Im Rahmen der Beratung des Rechnungshofberichts haben wir über den Standardcomputer und die Standardsoftware in der bremischen Verwaltung, BASIS.bremen, diskutiert. Auch da fordert die Datenschutzbeauftragte ein Datensicherungskonzept. Ich hätte gedacht, dass man dies zu Beginn erstellt beziehungsweise dass wir es schon hätten. Die Datenschutzbeauftragte sagt, es gäbe Dinge, die nachzuholen seien. Es wurde bekannt, dass die Untersuchungsbehörden, die die Festplatten daraufhin untersuchen müssen, ob sich möglicherweise Kinderpornografie darauf befindet, nicht genügend Beschäftigte haben und diese Festplatten auslagern müssen, um zu kontrollieren, ob es dort strafrechtlich relevantes Material gibt. Wer schult denn dieses Personal? Wie kann es denn sein, dass solche sensiblen Dinge an private Unternehmen übertragen werden? Da liegt meines Erachtens der Hase im Pfeffer.
Wir würden gern Antworten auf folgende Fragen haben: Ist in der Zukunft ausgeschlossen, dass Unternehmen wie CSC, der IT-Abteilung der NSA, öffentliche Aufträge aus Bremen bekommen? Wie wird eigentlich kontrolliert, dass private Anbieter keinen oder nur eingeschränkten und temporären Zugang zu sensiblen Daten haben? Wie ist sichergestellt, dass sie ihre Tätigkeit nicht ausnutzen, um sich selbst im System der öffentlichen Verwaltung eine kleine Hintertür zu installieren? Diese Fragen müssen wir uns stellen, und ich denke, heute machen wir mit dieser Aktuellen Stunde einen Anfang, denn eines ist in diesem Haus, glaube ich, unstrittig: Die Daten der Bremerinnen und Bremer, die Daten der bremischen Verwaltung sind unsere Daten, sind die Daten der bremischen Bürgerinnen und Bürger und nicht Daten der NSA. – Vielen Dank für die Aufmerksamkeit!
Sehr geehrter Herr Präsident, liebe Kolleginnen und Kollegen! Mein Kollege Rupp hat ja eben schon einige technische Details genannt, die ich weder infrage stellen noch mich darüber in einen Streit begeben möchte.
Natürlich ist es ein Problem, wenn man mit einem privaten IT-Dienstleister zusammenarbeitet und hinterher feststellt, dass die Muttergesellschaft in den USA Spionagesoftware für die NSA herstellt und vertreibt, Daten im Namen der CIA sammelt, die Personen betreffen, die quasi im Namen des Staates entführt und in sogenannte Verhörgefängnisse, auch in Europa, gebracht werden. Da stellt sich natürlich die Frage der Vertrauenswürdigkeit, auch wenn die CSC Deutschland Solutions GmbH versichert hat, keinerlei Daten weitergegeben zu haben. Das macht die Sache nicht besser, denn seit den Enthüllungen von Edward Snowden ist das Vertrauen entsprechend gestört, und dieses Vertrauen wiederherzustellen, wird seine Zeit brauchen.
Es lohnt sich aber auch, ein Stück weit auf die Fakten zu schauen, was sich in Bremen abgespielt und inwieweit Dataport hier vielleicht falsch oder richtig gehandelt hat. Ich glaube, das ist ein Faktum, das wir nicht außer Acht lassen dürfen. Diese CSC Deutschland Solutions GmbH ist eine GmbH nach deutschem Recht, sie hat ihren Sitz in Deutschland, alles ist legal angemeldet. Sie hat nach europäischem Vergaberecht einen Auftrag von Dataport erhalten, so weit ist alles richtig, und das kann man nicht abstreiten und auch nicht in Abrede stellen, aber Dataport ist ein zentraler IT-Dienstleister in Form einer Anstalt des öffentlichen Rechts.
dieser IT-Dienstleister die Softwarewartung und kleinere Projekte entsprechend mitbetreut. Diese Daten der Bürgerinnen und Bürger sind natürlich enorm wichtig, und wir wollen auch, dass sie geschützt werden, das kann man auch nicht infrage stellen. Diese Daten werden aber in Deutschland verarbeitet, sie werden auf Servern in Deutschland gespeichert, und dieser Bereich wurde zum Glück nicht privatisiert, als man Dataport seinerzeit gegründet hat. Ich glaube, man kann jetzt im Nachhinein noch einmal lernen, dass dieser Bereich besonders wichtig ist.
Herr Rupp, ich möchte trotzdem noch einmal auf Ihren Redebeitrag Bezug nehmen und auf das, was die Datenschutzbeauftragte gefordert hat. Es ist schlichtweg eine Illusion zu glauben, dass einzelne, sehr komplexe, technisch sehr aufwendige Aufgaben, die auch eine bestimmte Expertise erfordern, nur allein von einer Verwaltung bewältigt werden können. Das glaube ich nicht. Ich glaube, dass Dataport eine erstklassige Arbeit macht, dass wir Dataport in dieser Arbeit unterstützen müssen und sollten und dass Dataport auch in Zukunft völlig zu Recht gewisse Aufgaben an private IT-Dienstleister nach einem Vergaberecht – über das werde ich nachher noch einmal sprechen – vergeben kann und vergeben sollte.
Wir können doch nicht allen Ernstes der bremischen Verwaltung gewisse technische Aufgaben übertragen, obwohl die Menschen dort mit Sicherheit auch das eine oder andere Know-how besitzen. Bei den Arbeitszeiten, bei der Zahl der Beschäftigten wissen Sie doch selbst, wie viel Geld man in die Hand nehmen muss, um diesen Bereich auf das gleiche Niveau zu heben wie einen privaten IT-Dienstleister. Private IT-Dienstleister haben ganz andere Stundensätze. Die Beschäftigten der Verwaltung sind nicht konkurrenzfähig mit den Leuten, sie werden das schlichtweg nicht schaffen, das ist das Erste.