BÜRGERSCHAFT DER FREIEN UND HANSESTADT HAMBURG Drucksache 21/13740 21. Wahlperiode 17.07.18 Schriftliche Kleine Anfrage der Abgeordneten Thomas Kreuzmann und Dietrich Wersich (CDU) vom 09.07.18 und Antwort des Senats Betr.: Digitalisierung durchdacht durchführen – Wenn neben Pergamenten und Fossilien stehende Server den Datenschutz gefährden Im Jahresbericht 2018 des Rechnungshofes der Freien und Hansestadt Hamburg (Drs. 21/12000) mahnt dieser an, dass die Behörde für Kultur und Medien (BKM) ihre Steuerungsaufgaben gegenüber den staatlichen Kultureinrichtungen nicht ausreichend wahrnehme. Dabei schildert der Rechnungshof hanebüchene Fälle, laut denen Server in Museen in ungeeigneten, leicht entflammbaren Räumen ohne jede Feuerlöscheinrichtung stünden, aber auch dass die Theater veraltete IT-Systeme nutzten, bei denen in einem Fall der Hersteller bereits seit 20 Jahren nicht mehr existiere. Die BKM selbst verfüge über keine Kenntnis der organisatorischen und personellen IT-Strategien aller Kultureinrichtungen, es werde zudem keine Vorlage eines Konzepts verlangt, so der Rechnungshof. Datenschutz, Datensicherheit und der alltägliche IT-Betrieb seien erheblichen Risiken ausgesetzt, seien alles andere als zeitgemäß und passten nicht zur eCulture-Agenda der Behörde, so das Fazit im Jahresbericht 2018. Vor diesem Hintergrund fragen wir den Senat: Die vom Rechnungshof angeregte Überprüfung einer Zentralisierung der IT- Administration, der Zentralisierung des Serverbetriebs, der zentralen Datenhaltung sowie der zentralen Betreuung von Fachverfahren in den Museumsstiftungen hatte zum Zeitpunkt der Orientierungsprüfung des Rechnungshofs bereits begonnen und zu neuen Entwicklungen geführt: Die zuständige Behörde hat gemeinsam mit den Museumsstiftungen, Dataport und dem Amt für IT und Digitalisierung (ITD) das Konzept eines „Kultur-Basis- Arbeitsplatzes“ erarbeitet. Dieser umfasst die Standardisierung der Hard- und Software unter Berücksichtigung der Spezifika der einzelnen Häuser, die Verlagerung der Server in das Rechenzentrum von Dataport, die Betreuung der Fachverfahren durch Dataport, die Datenhaltung und -sicherung in einer Public-Cloud (eCulture-Cloud) sowie die Bereitstellung einer Archivlösung für Digitalisate („Kaltspeicher“). Diese Professionalisierung des IT-Betriebs umfasst zudem die Endnutzerbetreuung durch den User-Help-Desk von Dataport. Das Konzept geht in seiner Ausgestaltung über einen reinen Dienst „Platform as a Service“ hinaus. Im Herbst 2018 sollen nach dem Vorbild des Basis-Arbeitsplatzmodells der Hamburger Verwaltung Migrationspro- Drucksache 21/13740 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 2 jekte in den Stiftungen Archäologisches Museum Hamburg, Museum am Rothenbaum sowie in den drei Museen der Stiftung Historische Museen stattfinden. Um den IT-Betrieb in den Kultureinrichtungen weiter zu professionalisieren, wurde mit Beginn des Jahres 2018 ein Steuerungsgremium eingerichtet, bestehend aus den Leitungen der Ämter Behördenmanagement und Kultur der zuständigen Behörde, dem Vorstand von Dataport sowie dem CIO des Amtes für IT und Digitalisierung. Diesem Gremium werden sowohl durch Arbeitsgruppen vorbereitete Projektvorschläge im Rahmen der IT-Strategie der zuständigen Behörde („eCulture Agenda 2020“) als auch Infrastrukturmaßnahmen zur Entscheidung vorgelegt. Bei Dataport selbst wurde ein dreiköpfiges Kernteam gebildet, das in Abstimmung mit der zuständigen Behörde die Kultureinrichtungen in den vier Leistungsfeldern eCulture Cloud, Kulturarbeitsplatz, Serviceprovider und Innovation berät und mit den Einrichtungen deren Ideen für Projekte konzipiert. Über Dataport erfolgt zudem die Einbindung externen Wissens, zum Beispiel der Hochschule für Angewandte Wissenschaften sowie der HafenCity University . Dies vorausgeschickt, beantwortet der Senat die Fragen teilweise auf der Grundlage von Auskünften der Hamburger Museumsstiftungen wie folgt: 1. Hat die BKM, nachdem der Rechnungshof festgestellt hat, dass Server und Datenspeicher von Kultureinrichtungen teilweise in dafür ungeeigneten Räumen mit leicht entflamm- und brennbaren Materialien ohne geeignete Feuerlöscheinrichtung stehen, sich inzwischen einen Überblick über die Situation verschafft? Wenn ja, wann mit welchen Erkenntnissen und welche Maßnahmen wurden daraufhin wann ergriffen? Wenn nein, warum nicht und wie gedenkt die Behörde auf die als unhaltbar beschriebenen Zustände zu reagieren? Die angesprochenen Museumsstiftungen haben sich bereits mit der Prüfung technischer Lösungsansätze für die Problematik und deren Kosten befasst. Im Museum für Kunst und Gewerbe wurden Brandschutzschränke installiert. Im Museum am Rothenbaum wurden angesichts des laufenden IT-Migrationsprojekts etwaige Maßnahmen zunächst zurückgestellt, um gegebenenfalls unnötige Kosten und Aufwand zu vermeiden . Im Rahmen der vorbereitenden Arbeiten für die Migration der Server in das Dataportrechenzentrum werden auch die Technikräume derjenigen Einrichtungen untersucht, die der Rechnungshof nicht überprüft hat. Sofern dort Mängel angetroffen werden, wird auf die notwendige Beseitigung hingewiesen. 2. Auch kritisiert der Rechnungshof, dass in den meisten Kultureinrichtungen das ganze IT-Wissen samt der Aufgaben im operativen Bereich an nur einer einzigen Person hängt. Fällt diese zeitweise aus oder ganz weg, ist der IT-Betrieb gefährdet. a) Wie viele Personen sind bei den von der BKM verantworteten Kultureinrichtungen jeweils für den IT-Betrieb zuständig? Wie ist jeweils die Vertretung geregelt? In der Neue Schauspielhaus GmbH, der Thalia Theater GmbH, in den Stiftungen Hamburger Kunsthalle, Museum am Rothenbaum und Archäologisches Museum sowie im Altonaer Museum, im Museum für Hamburgische Geschichte und im Museum der Arbeit ist je eine Person für die IT zuständig. Die Vertretung ist unterschiedlich geregelt: In manchen Häusern übernimmt diese Aufgabe das jeweilige Rechenzentrum , Dataport oder ein beauftragter Dienstleister, im Einzelfall gegebenenfalls auch Personal aus dem eigenen Haus. In der Hamburgischen Staatsoper sind drei Personen zuständig, die auch das Philharmonische Staatsorchester betreuen und sich gegenseitig vertreten. Die IT-Technik der HamburgMusik GmbH und der Elbphilharmonie und Laeiszhalle Betriebsgesellschaft wird von fünf Personen betreut, die sich ebenfalls gegenseitig vertreten. Die Deichtorhallen GmbH, die Stiftung Museum für Kunst und Gewerbe und das Planetarium werden von Dataport betreut oder wenden sich bei Bedarf an einen IT-Dienstleister. Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode Drucksache 21/13740 3 b) Hat die BKM diesbezüglich Vorschläge erarbeitet beziehungsweise Maßnahmen ergriffen, um diese riskante Konzentration auf nur eine Person künftig zu vermeiden? Wenn ja, welche Vorschläge wurden den Kultureinrichtungen wann unterbreitet und welche Maßnahmen wurden wann ergriffen? Siehe Vorbemerkung. 3. Die Hamburgischen Staatstheater betreiben laut Jahresbericht 2018 bereits ein gemeinsames Rechenzentrum. Parallel würden sie aber auch eigene Server und Datenspeicher betreiben. Warum und für welche Bereiche erfolgt der Betrieb eigener Server und Datenspeicher und warum ist hier eine Zentralisierung nicht möglich oder erwünscht? Auf den hauseigenen Servern werden das interne Netzwerk sowie verschiedene hausspezifische Anwendungen, die nicht übergreifend genutzt werden wie zum Beispiel Anwendungen für das künstlerische Betriebsbüro, Anwendungen für den Bereich Marketing, Personalabteilungen, Arbeitszeiterfassungssoftware, Anwendungen für die technische Direktion und Hausbetriebstechnik, CAD- und WS-CAD-Anwendungen und die Telefonanlage betrieben. Diese Anwendungen sind jeweils auf die speziellen Bedürfnisse der einzelnen Häuser zugeschnitten und benötigen einen Support mit schnelleren Reaktionszeiten und Verfügbarkeiten. Die Überlegungen zur Übertragung des Konzepts der Basis-Kultur-Arbeitsplätze auf die Theater sind noch nicht abgeschlossen. Bei einer entsprechend guten WAN- Anbindung an das Netz der Stadt Hamburg wären Performanceunterschiede zu einem lokalen Server nicht mehr spürbar. 4. Auch ist von einer Wirtschaftlichkeitsanalyse mit aber zahlreichen Mängeln die Rede. a) Wann hat welche Stelle besagte Wirtschaftlichkeitsanalyse erstellt? b) Was sind die Kernaussagen dieses Gutachtens? c) Welche Mängel sind an der Analyse festgestellt worden, von denen der Rechnungshof schreibt? d) Welche Maßnahmen wurden infolge der Analyse umgesetzt? e) Welche Empfehlungen der Analyse wurden aus welchen Gründen bisher nicht umgesetzt? 5. Das Rechenzentrum der Staatstheater nutzt zwei unterschiedliche Buchhaltungsverfahren . a) Welche zwei Verfahren werden genutzt und warum werden zwei unterschiedliche Verfahren verwendet? b) Warum wird ein Verfahren weiter genutzt, bei dem der Hersteller seit 20 Jahren nicht mehr existiert? c) Ist geplant, auf ein einheitliches Verfahren umzustellen? Wenn ja, wann auf welches System? Wenn nein, warum nicht? Die Wirtschaftlichkeitsanalyse hat sich mit dem Weiterbetrieb des Rechenzentrums und der Auslagerung der EDV-Infrastruktur auf Ebene der „Platform as a Service“ befasst und wurde im Januar 2017 von Rödl & Partner GmbH erstellt. Der Rechnungshof hat dazu die Anzahl der untersuchten Lösungen, die Auswirkungen auf den Gesellschafter, die Bezifferung der Mehraufwendungen, die beim Gesellschafter durch die vorgeschlagenen Veränderungen entstehen, die Nachvollziehbarkeit der Kostendaten sowie weitere kleinere Punkte kritisiert. Das Rechenzentrum der Staatstheater nutzt aus historisch gewachsenen Gründen die Buchhaltungsverfahren Orga-Ratio (Thalia Theater) und eGecko. Drucksache 21/13740 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 4 Die zuständige Behörde wird gemeinsam mit den Staatstheatern unter Berücksichtigung des Gutachtens und der Hinweise des Rechnungshofs das derzeitige zweigleisige IT-Betriebsmodell auf Wirtschaftlichkeit und Ausfallsicherheit hin überprüfen. Auf dieser Basis wird über die IT-Gesamtstrategie und das künftige IT-Betriebskonzept der Staatstheater mit dem Ziel entschieden, das Verhältnis zwischen Wirtschaftlichkeit und Ausfallsicherheit zu optimieren. Das Thalia Theater führt derzeit begleitend ein Ausschreibungsverfahren zur Ablösung der Buchhaltungssoftware in Zusammenarbeit mit dem Rechenzentrum durch. Nach der Präsentation der verschiedenen Angebote und Softwarelösungen wird eine Auswahl abhängig vom Ergebnis des Verfahrens erfolgen. Das Theater geht davon aus, diesen Vorgang bis Ende 2018 abschließen zu können. 6. Warum gibt es bei den Museen kein gemeinsames Rechenzentrum? Gibt es diesbezüglich Planungen? Wenn ja, welche? Wenn nein, warum nicht? Siehe Vorbemerkung. Vor diesem Hintergrund wäre die Einrichtung eines zusätzlichen Rechenzentrums weder wirtschaftlich noch notwendig, da Dataport als Dienstleister bereitsteht. 7. Der Rechnungshof kritisiert das Fehlen einer eigenen IT-Strategie der Kultureinrichtungen und das Fehlen entsprechender Vorgaben durch die BKM. Gibt es diesbezüglich Planungen? Wenn ja, welche Vorgaben hat die BKM wann unter anderem für die Gestaltung von Passwörtern und Datensicherungs- und -sicherheitskonzepte gemacht? Wenn nein, warum nicht? Die Kultureinrichtungen sind von den jeweiligen aufsichtführenden Gremien aufgefordert worden, IT-Strategien zu erarbeiten. Erste Entwürfe liegen von der Hamburger Kunsthalle, dem Museum am Rothenbaum und dem Archäologischen Museum Hamburg bereits vor. Die Stiftung Historische Museen Hamburg erarbeitet ihre Strategie im Rahmen des Aufbaus eines gemeinsamen Stiftungsportals für Historisches Wissen. Die Passwortrichtlinien der Stadt Hamburg gelten für alle an das FHH-Netz angeschlossenen Rechner. Die Museumsstiftungen sind bereits integriert. Bei der Anmeldung vernetzter Rechner erfolgt die Kontrolle über das Viren- und Patchmanagement von Dataport. Im Rahmen der oben beschriebenen Migration der Arbeitsplätze greift das zentrale Datensicherungskonzept von Dataport, das sich an den jeweils geschlossenen Service-Level-Agreements orientiert. Im Übrigen siehe Vorbemerkung und Antwort zu 3. 8. Zwar erhielten die Kultureinrichtungen Zuwendungen auch für den IT- Betrieb, doch diese erfolgten ohne IT-spezifische Auflagen zum Zuwendungszweck . Wie will die BKM beziehungsweise der Senat dafür Sorge tragen, dass die für den IT-Bereich gedachten Zuwendungen wirklich künftig dem IT-Betrieb zufließen? Die Museumsstiftungen und die Stiftung Hamburger Bücherhallen Mittel erhielten bisher Zuwendungen für den IT-Betrieb, in denen der Verwendungszweck definiert wurde . Durch die Migration der Einrichtungen in die eCulture Cloud sowie durch Einführung des Kultur-Basis-Arbeitsplatzes entfallen diese Zuwendungen künftig, da Dataport den Betrieb garantiert. 9. Wie bewertet das neue Amt für IT und Digitalisierung (ITD) die Kritik des Rechnungshofs im Bereich IT Kultureinrichtungen? Inwiefern gedenkt das Amt ITD künftig die BKM in diesem Bereich zu unterstützten beziehungsweise inwiefern verordnet der Senat die Unterstützung? Wenn es keine Unterstützung durch das Amt ITD geben soll: Von welcher Seite holt sich die BKM stattdessen zu welchen Konditionen Expertenwissen dazu? Siehe Vorbemerkung.