Drucksache 17 / 12 673 Kleine Anfrage 17. Wahlperiode Kleine Anfrage des Abgeordneten Burkard Dregger (CDU) vom 20. September 2013 (Eingang beim Abgeordnetenhaus am 20. September 2013) und Antwort Vergabeverfahren und Informationssicherheit Die Drucksachen des Abgeordnetenhauses sind bei der Kulturbuch-Verlag GmbH zu beziehen. Hausanschrift: Sprosserweg 3, 12351 Berlin-Buckow · Postanschrift: Postfach 47 04 49, 12313 Berlin, Telefon: 6 61 84 84; Telefax: 6 61 78 28. Im Namen des Senats von Berlin beantworte ich Ihre Kleine Anfrage wie folgt: 1. Spielen bei der Vergabe von IT-Dienstleistungen durch das Land Berlin, seine Bezirke und seine Landesun- ternehmen folgende Kriterien eine Rolle: a) Handelt es sich um einen regionalen Anbieter? b) Beschäftigt der Anbieter sozialversicherungs- pflichtige Angestellte? c) Handelt es sich bei dem Anbieter um einen Aus- bildungsbetrieb? d) Verfügt der Anbieter über eine ISO-Zertifizierung? e) Gewährleistet der Anbieter eine Informationssi- cherheit nach dem Stand der Technik? Insoweit vorstehende Kriterien nicht berücksichtigt werden, möge angegeben werden, warum dies nicht der Fall ist. Zu 1.: Auf eine Abfrage aller öffentlichen Einrichtun- gen des Landes Berlin zu den Kriterien bei der Vergabe von IT-Dienstleistungen wurde mit Rücksicht auf den für die Beantwortung einer Kleinen Anfrage gesetzten zeitli- chen Rahmen verzichtet. Die nachfolgenden Angaben beziehen sich auf die vom zentralen IT-Dienstleister des Landes Berlin, dem IT-Dienstleistungszentrum Berlin (ITDZ) durchgeführten Vergaben. Zu a): In § 6 Nr 5 des Gesetzes zur Errichtung der An- stalt öffentlichen Rechts, ITDZ Berlin wurde festgelegt, dass dem Vorstand des ITDZ Berlin die Gewährleistung einer mittelstandsfreundlichen Vergabepolitik und -praxis im Rahmen des deutschen und europäischen Vergabe- rechts obliegt. Der Vorstand des ITDZ Berlin hat in Ent- sprechung dieses Gesetzes dem Verwaltungsrat unverzüg- lich nach der Errichtung der Anstalt im Jahr 2005 Richtli- nien zur Zustimmung vorgelegt und diese dem Abgeord- netenhaus Berlin zur Kenntnis gegeben. Das ITDZ Berlin berücksichtigt seitdem die „Mittelstandsfreundliche Vergaberichtlinie“ des ITDZ Berlin. Dabei werden vorrangig regionale Wettbewerberinnen bzw. Wettbewerber, so es der Leistungsgegenstand zu- lässt, gezielt zur Angebotsabgabe aufgefordert. Im Ergebnis dieser „Mittelstandsfreundliche Vergaberichtlinie “ sind über ein Drittel der Lieferanten des ITDZ Berlin – gemessen am Umsatz – kleine und mittelständische Unternehmen (KMU). Nahezu zwei Drittel davon sind in der Region Berlin- Brandenburg angesiedelt. Zu b): Das ITDZ Berlin ist zur Anwendung des Berli- ner Ausschreibungs- und Vergabegesetzes (BerlAVG) verpflichtet. Zu c): Das ITDZ Berlin ist zur Anwendung des Ber- lAVG verpflichtet. Bei sonst gleichwertigen Angeboten erhalten die Unternehmen bevorzugt den Zuschlag, die Ausbildungsplätze bereitstellen, sich an tariflichen Umla- geverfahren zur Sicherung der beruflichen Erstausbildung oder an Ausbildungsverbünden beteiligen (§ 10 Ber- lAVG). In derartigen Fällen wird ein Nachweis, dass es sich bei den Bieterinnen bzw. Bietern um Ausbildungsbe- triebe handelt, von der Bieterin bzw. dem Bieter nachge- fordert. Bei dem Nachweis wird nicht auf eine ISO- Zertifizierung abgestellt. Zu d): Das ITDZ Berlin hält die Standards des Bun- desamtes für Sicherheit in der Informationstechnik (BSI) ein und geht in Fortführung dessen vermehrt dazu über, Verfahren nach „ISO 27001 auf Basis IT-Grundschutz“ zu zertifizieren. Zu e): Je nach Leistungsgegenstand werden die Auf- tragnehmerinnen und Auftragnehmer zur Einhaltung des Datenschutzes nach dem Berliner Datenschutzgesetz (Bln DSG) verpflichtet. Im gegebenen Fall wird eine Vereinba- rung über die Auftragsdatenverarbeitung geschlossen. Abgeordnetenhaus Berlin – 17. Wahlperiode Drucksache 17 / 12 673 2 2. Welche Erkenntnisse hat der Senat darüber, ob die in Berlin ansässigen Unternehmen die Informationssi- cherheit ihrer Daten nach dem Stand der Technik schüt- zen? Zu 2.: Der Senat hat keine detaillierten Erkenntnisse, ob die in Berlin ansässigen Unternehmen die Informati- onssicherheit ihrer Daten nach dem Stand der Technik schützen. Das ITDZ Berlin hält die Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ein, wie sie durch die IT-Sicherheitsgrundsätze des Landes Berlin vorgegeben werden. Die IT-Sicherheitsstandards entsprechen dem Stand der Technik und werden vom BSI regelmäßig aktualisiert. Bei Inanspruchnahme von Dienstleistungen mittelständi- scher Unternehmen über das ITDZ Berlin sind die IT- Standards im Rahmen des IT-Sicherheitskonzeptes von den externen Dienstleistern ebenfalls verpflichtend einzu- halten. 3. Was hält der Senat von der Einführung eines In- formationssicherheitszertifikates ähnlich des Gütesiegels für IT-Produkte nach § 4 Abs. 2 LDSG des Landes Schleswig-Holstein, mit dem Verwaltungen sowie öffent- liche und private Betriebe auszuzeichnen sind, die die Informationssicherheit ihrer Daten nach dem Stand der Technik schützen? Zu 3.: Das genannte Gütesiegel ist national wenig und international nicht verbreitet. Das ITDZ Berlin hält die BSI-Standards ein und geht in Fortführung dessen vermehrt dazu über, Verfahren nach „ISO 27001 auf Basis IT-Grundschutz“ zu zertifizieren . Die Methodik und Vorgehensweise des BSI wird ständig hinsichtlich neuer Entwicklungen angepasst und enthält sowohl organisatorisch als auch technisch detail- lierte Best Practice Vorgaben, die sich an den internatio- nal etablierten Standards ausrichten. Das BSI-Zertifikat ist bei Landes- und Bundesbehörden etabliert. Vor dem Hintergrund dieser Ausrichtung an den Stan- dards des BSI wird die Einführung eines separaten, zu § 4 Abs. 2 LDSG des Landes Schleswig-Holstein vergleich- baren Gütesiegels vom Senat nicht beabsichtigt. Berlin, den 13. November 2013 Frank Henkel Senator für Inneres und Sport (Eingang beim Abgeordnetenhaus am 14. Jan. 2014)