1. Welche Verträge haben bayerische Behörden, insbesondere das BLKA, mit der CSC geschlossen? Bayerisches Landeskriminalamt (BLKA) Es wurden von der Bayerischen Polizei bzw. vom Bayerischen Landeskriminalamt keine Verträge mit dem Unternehmen CSC geschlossen. Im Rahmen eines vom BLKA durchgeführten Vergabeverfahrens zur technologischen Fortentwicklung des Integrationsverfahrens Polizei (IGVPFE ) erging im Juli 2014 der Zuschlag an die Firma SAP Deutschland. Im Leistungsbereich für IT-Dienstleistungen hat sich die Firma SAP Deutschland auf den Unterauftragnehmer CSC Deutschland berufen. Damit besteht grundsätzlich die Möglichkeit, dass die Firma SAP Deutschland im Rahmen der IT-Dienstleistungen Mitarbeiter der genannten Unterauftragnehmer zur Auftragserfüllung anbietet . Staatsministerium für Arbeit und Soziales, Familie und Integration (StMAS) Im StMAS und dem Geschäftsbereich besteht derzeit ein EVB-IT-Dienstvertrag (Rahmenvertrag, Abschluss 13.03.2013) mit der Firma CSC Deutschland Solutions GmbH (CSC). Staatsministerium für Wirtschaft und Medien, Energie und Technologie (StMWi) Im StMWi bestehen aktuell zwei EVB-IT-Dienstverträge mit der Firma CSC, die die fachliche und technische Unterstützung für den Betrieb der Förderinformations- und -verwaltungssysteme umfassen. Bayerisches Landesamt für Steuern (BayLfSt) Das BayLfSt schloss in den Jahren 2007 und 2010 jeweils einen Dienstleistungs- bzw. Beratervertrag mit der CSC ab (beide Verträge sind mittlerweile abgewickelt). Leistungsgegenstand war die Beratung hinsichtlich IT-Sicherheitsvorgaben gemäß den Vorgaben der Bayerischen Staatsverwaltung (IT-Sicherheitsleitlinie, IT-Sicherheits-Rahmenrichtlinie). 2. Auf welches Auftragsvolumen belaufen sich die Verträge jeweils? BLKA CSC könnte als Unterauftragnehmer ausschließlich im Rahmen eines EVB-IT-Dienstvertrages eingesetzt werden . Der EVB-IT-Dienstvertrag beinhaltet jedoch keinerlei Abnahmeverpflichtung durch das BLKA, ein konkretes Auftragsvolumen kann somit nicht beziffert werden bzw. ist vertraglich nicht fixiert. Derzeit werden Mitarbeiter vom genannten Unterauftragnehmer weder eingesetzt noch gibt es konkrete Planungen für einen zukünftigen Einsatz. Der Einsatz konkreter Mitarbeiter ist nur mit Zustimmung des BLKA möglich. Drucksachen, Plenarprotokolle sowie die Tagesordnungen der Vollversammlung und der Ausschüsse sind im Internet unter www.bayern.landtag.de –Dokumente abrufbar. Die aktuelle Sitzungsübersicht steht unter www.bayern.landtag.de – Aktuelles/Sitzungen/Tagesübersicht zur Verfügung. 17. Wahlperiode 22.04.2015 17/5384 Bayerischer Landtag Schriftliche Anfrage der Abgeordneten Katharina Schulze BÜNDNIS 90/DIE GRÜNEN vom 15.12.2014 Verträge des Bayerischen Landeskriminalamts (BLKA) mit externen IT-Dienstleitern Medienberichten zufolge (siehe Artikel auf netzpolitik.org vom 11. Dezember 2014: „Interne E-Mails: CSC freut sich über neue Verträge mit Behörden, trotz No-Spy-Erlass und “medialen Anschuldigungen)” hat das BLKA in diesem Jahr Verträge mit der Firma Computer Science Corporation (CSC) bzw. mit ihrem deutschen Ableger der Firma CSC Deutschland Solutions GmbH abgeschlossen.” Vor diesem Hintergrund frage ich die Staatsregierung: 1. Welche Verträge haben bayerische Behörden, insbesondere das BLKA, mit der CSC geschlossen? 2. Auf welches Auftragsvolumen belaufen sich die Verträge jeweils? 3. Findet in diesen Verträgen eine sog. No-Spy-Klausel Anwendung , und wenn ja, wie ist diese ausgestaltet? 4. Welche Mechanismen sehen die Verträge vor, um die NoSpy -Klausel durchzusetzen? 5. Welche Maßnahmen sind vorgesehen, um bei Verträgen mit privaten Dritten sicherzustellen, dass die Datensicherheit gewährleistet ist? Antwort des Staatsministeriums der Finanzen, für Landesentwicklung und Heimat vom 20.02.2015 Vorbemerkung Nachdem sich die Fragen zum einen auf das BLKA und zum anderen auf die gesamte Bayerische Staatsverwaltung beziehen und zudem sich Verträge naturgemäß sehr individuell gestalten, wird bei der Beantwortung nach den jeweiligen Auftraggebern gegliedert. Die Beantwortung der Fragen wurde mit der Staatskanzlei und den Ressorts abgestimmt. Seite 2 Bayerischer Landtag · 17. Wahlperiode Drucksache 17/5384 StMAS Da es sich um einen Rahmenvertrag handelt, wurde kein fester Auftragswert vereinbart. Das Auftragsvolumen beläuft sich derzeit für die Haushaltsjahre 2013 und 2014 auf insgesamt 269.346,14 €. Für 2015 ist ein Auftragsvolumen von 47.000,00 € bis zum Projektabschluss im Juni 2015 vorgesehen . Die Kosten werden zu je 50 % mit EU-Mitteln und Landesmitteln finanziert. StMWi Die Vergütungsobergrenze der beiden Verträge beläuft sich auf 81.585 Euro netto. BayLfSt Der Vertrag aus dem Jahr 2007 hatte ein Auftragsvolumen von 28.560 € brutto, der aus dem Jahr 2010 ein Auftragsvolumen von 46.648 € brutto. 3. Findet in diesen Verträgen eine sog. No-Spy-Klausel Anwendung, und wenn ja, wie ist diese ausgestaltet? Aufgrund der Empfehlung der Vergabekammer des Bundes (VK Bund, Beschl. v. 24.06.2014 – Az. VK 2-39/14) enthalten Verträge ab Juni 2014 keine No-Spy-Klausel (ebenso wie Verträge, die vor Bekanntwerden von etwaigen Verbindungen amerikanischer Konzerne zu Spähprogrammen der US-Regierung geschlossen wurden). Die VK Bund hält die Abfrage einer Eigenerklärung, wonach ein Bewerber hinsichtlich vertraulicher Informationen keinen gesetzlichen Offenlegungspflichten gegenüber ausländischen Sicherheitsbehörden unterliegt, für unzulässig. Eine entsprechende Neufassung der Klausel durch das Bundesministerium des Innern (BMI) wird erwartet. Anfang bis Mitte 2014 wurden Verträge mit der No-Spy-Klausel des BMI ausgestattet, welche auch dementsprechend Anwendung finden. 4. Welche Mechanismen sehen die Verträge vor, um die No-Spy-Klausel durchzusetzen? Die Verträge können gemäß den ergänzenden Vertragsbedingungen von EVB-IT-Dienstverträgen bei vorsätzlichen oder grob fahrlässigen Verstößen gegen Datenschutz, Geheimhaltung und Sicherheit ganz oder teilweise gekündigt werden. 5. Welche Maßnahmen sind vorgesehen, um bei Verträgen mit privaten Dritten sicherzustellen, dass die Datensicherheit gewährleistet ist? Allgemein Verträge mit privaten Dritten werden grundsätzlich nach Baustein B1.11 „Outsourcing“ der IT-Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik abgeschlossen. Hierbei wird die Vertragsgestaltung mit externen Dienstleistern in der Regel auf der Basis von EVB-IT-Verträgen vollzogen. EVB-IT-Verträge beinhalten speziell zum Datenschutz und zur Datensicherheit die Verpflichtung zur Einhaltung der gesetzlichen Bestimmungen über den Datenschutz einschließlich der nach Datenschutzrecht erforderlichen Verpflichtung auf das Datengeheimnis. Darüber hinaus werden bei Bedarf alle Mitarbeiter von ITDienstleistern , die für die Bayerische Staatsverwaltung tätig werden, gemäß dem Gesetz über die förmliche Verpflichtung nichtverbeamteter Personen vom 2. März 1974 (BGBI I S. 547, geändert durch Gesetz vom 15. August 1974, BGBI I S. 1942) sowie auf das Datengeheimnis gemäß § 5 Bundesdatenschutzgesetz (BDSG), auf das Fernmeldegeheimnis gemäß § 85 Telekommunikationsgesetz (TKG) und auf Wahrung von Geschäftsgeheimnissen von Externen verpflichtet (Verpflichtungserklärung). Auf folgende Strafvorschriften des Strafgesetzbuches (StGB) werden die Auftragnehmer hierbei hingewiesen und verpflichtet: § 133 Abs. 3 Verwahrungsbruch, § 201 Abs. 3 Verletzung der Vertraulichkeit des Wortes, § 203 Abs. 2, 4 und 5 Verletzung von Privatgeheimnissen, § 204 Verwertung fremder Geheimnisse, §§ 331, 332 Vorteilsnahme und Bestechlichkeit , § 353 b Verletzung des Dienstgeheimnisses und einer besonderen Geheimhaltungspflicht, § 120 Abs. 2 Gefangenenbefreiung § 355 Verletzung des Steuergeheimnisses, § 358 – Nebenfolgen, § 97 b Abs. 2 i. V. m. §§ 94 bis 97 Verrat in irriger Annahme eines illegalen Geheimnisses.