Bremische Bürgerschaft (Landtag) – 18. Wahlperiode – 48. Sitzung am 26.09.2013
Die erste Anfrage trägt die Überschrift „Datensicherheit in der bremischen Verwaltung“. Die Anfrage ist unterschrieben von den Abgeordneten Hamann, Tschöpe und Fraktion der SPD.
Bitte, Herr Kollege Hamann!
Abg. Hamann (SPD): Wir fragen den Senat:
- Erstens: Wie und wo werden personenbezogene Daten von Bürgerinnen und Bürgern vor externen, unbefugtem Zugriff geschützt?
- Zweitens: Werden persönliche Daten von Bürgernnen und Bürgern gewerbsmäßig an Unternehmen mit Sitz außerhalb der Europäischen Union und außerhalb des Safe-Harbor-Abkommens übermittelt?
- Drittens: Inwiefern nutzen Behörden und Einrichungen externe Cloud-Dienstleister zum Speichern von Daten und zum Betrieb von Software?
Präsident Weber: Diese Anfrage wird beantworet von Herrn Staatsrat Strehl.
Staatsrat Strehl: Herr Präsident, meine Damen und Herren! Für den Senat beantworte ich die Anfrage wie folgt:
Zu Frage 1: Der Schutz von personenbezogenen Daten der Bürgerinnen und Bürger vor externen Zugriffen obliegt der Verantwortung der jeweilig speichernden Stellen und unterliegt den gesetzlichen Regelungen, hier insbesondere Paragraf 7 Absatz 4 des Bremischen Datenschutzgesetzes. Für die Datenverarbeitungsverfahren, in denen personenbezogene Daten gespeichert werden, gibt es spezielle Verfahrensbeschreibungen, in denen die Maßnahmen zum Datenschutz niedergeschrieben sind. Das gilt insbesondere auch bei der Auftragsdatenverarbeitung.
Einen zentralen Überblick über die Maßnahmen gibt es erst im Rahmen der Einführung eines Informationssicherheitsmanagements für das Land. Dies ist vom
Senat am 16. Juli 2013 beschlossen worden. Einzelmaßnahmen kann der Senat aus Sicherheitsgründen nicht veröffentlichen.
Zu Frage 2: Es werden keine personenbezogenen Daten regelmäßig gewerbsmäßig an Unternehmen außerhalb der europäischen Union und des SafeHarbor-Abkommens übermittelt. Im Rahmen gesetzlicher Grundlagen werden jedoch Daten an Unternehmen mit berechtigtem Interesse übermittelt. Den Rahmen für diese Übermittlung stellt das Melderecht, Melderechtsrahmengesetz in Verbindung mit dem Bremischen Meldegesetz, dar, nachdem es gegen Gebühr möglich ist, einfache Melderegisterauskünfte zu erhalten. Die Bürgerinnen und Bürger können aber durch ihren Widerspruch diese Weitergabe verhindern.
Zu Frage 3: Dienststellen und Einrichtungen nutzen keine Angebote von Cloud-Dienstleistern zum Speichern von Daten oder dem Betrieb von Software. Davon sind die Fälle zu unterscheiden, in denen Verfahren auf externen Rechnern betrieben werden, zum Beispiel Terminmanagement, Beraterdatenbank et cetera. Hier gelten die Regeln der Datenverarbeitung im Auftrag. Es werden auch keine Rechner- oder Speicherkapazitäten extern, das heißt außerhalb der IT-Dienstleister der Freien Hansestadt Bremen, angemietet. – Soweit die Antwort des Senats!
Präsident Weber: Herr Kollege Hamann, haben Sie eine Zusatzfrage? – Bitte sehr!
Abg. Hamann (SPD): Ich hätte noch einmal eine Nachfrage zu der Antwort auf Frage 1, zum Stichwort Verfahrensbeschreibung. Ich entnehme der Antwort des Senats, dass es demnächst eine Liste geben wird mit der Verfahrensbeschreibung, die dann öffentlich einsehbar ist. Wie ist das gedacht?
Präsident Weber: Bitte, Herr Staatsrat!
Staatsrat Strehl: Der Senat ist beauftragt worden, ein Verfahren zu entwickeln, das übrigens gemeinsam mit den Ländern und dem Bund entwickelt wird. Es ist genauso, wie ich es heute gesagt habe, das, was dann vorliegt, ist natürlich nicht öffentlich zugänglich. Wir haben aber die Möglichkeit, Beschreibungen auch öffentlich darzustellen. Ich biete Ihnen hiermit an und auch allen anderen aus der Bremischen Bürgerschaft, die daran interessiert sind, auch jetzt schon in einzelne Verfahren hineinzuschauen, damit man sieht, wie das Verfahren läuft.
Wer das aus eigenen Betrieben kennt, weiß, dass diese Verfahrensbeschreibungen, die in Absprache mit den Datenschutzbeauftragten erstellt werden, sehr komplex und sehr kompliziert sind. Wir können das natürlich nicht veröffentlichen, weil ja auch gerade der Sinn darin liegt, Daten zu schützen und nicht zu veröffentlichen, wie man an Daten herankommt.
Präsident Weber: Herr Kollege Hamann, haben Sie eine weitere Zusatzfrage? – Bitte sehr!
Abg. Hamann (SPD): Zum Thema externe Dienstleister hätte ich noch eine weitere Frage: Inwieweit werden externe Dienstleister beauftragt, Sachen zu verarbeiten, und inwieweit gibt es dann eine Kontrolle der dortigen Mitarbeiter, ob Verfahrensbeschreibungen und Datensicherheitsbestimmungen eingehalten werden?
Präsident Weber: Bitte, Herr Staatsrat!
Staatsrat Strehl: Die Verfahren sind so geregelt – mit den Datenschutzbeauftragten natürlich immer abgestimmt, auch unterschrieben und gegengezeichnet –, dass die Sicherheit garantiert ist und die Daten nicht herausgegeben werden. Das ist gerade der Sinn der Verarbeitungsrichtlinien. Der Auftrag der Datenschutzbeauftragten ist es im Prinzip, das auch so einhalten zu können.
Präsident Weber: Herr Kollege, haben Sie eine weitere Zusatzfrage? – Bitte sehr!
Abg. Hamann (SPD): Gab es in der Vergangenheit Pannen, sodass es durch externe Dienstleister zu Unregelmäßigkeiten gekommen ist?
Präsident Weber: Bitte, Herr Staatsrat!
Staatsrat Strehl: Es gab sicherlich Pannen, aber in Bremen ist mir keine bekannt.
Präsident Weber: Weitere Zusatzfragen liegen nicht vor.