LANDTAG NORDRHEIN-WESTFALEN 16. Wahlperiode Drucksache 16/2046 06.02.2013 Datum des Originals: 06.02.2013/Ausgegeben: 08.02.2013 Die Veröffentlichungen des Landtags Nordrhein-Westfalen sind einzeln gegen eine Schutzgebühr beim Archiv des Landtags Nordrhein-Westfalen, 40002 Düsseldorf, Postfach 10 11 43, Telefon (0211) 884 - 2439, zu beziehen. Der kostenfreie Abruf ist auch möglich über das Internet-Angebot des Landtags Nordrhein-Westfalen unter www.landtag.nrw.de Antwort der Landesregierung auf die Kleine Anfrage 791 vom 20. Dezember 2012 der Abgeordneten Kai Schmalenbach und Marc Olejak PIRATEN Drucksache 16/1802 Sicherheitslücke auch bei NRW-Ministerien? Der Minister für Inneres und Kommunales hat die Kleine Anfrage 791 mit Schreiben vom 6. Februar 2013 namens der Landesregierung im Einvernehmen mit der Ministerpräsidentin und allen übrigen Mitgliedern der Landesregierung beantwortet. Vorbemerkung der Kleinen Anfrage Zahlreichen Presseberichten vom 11. und 12. Dezember 2012 konnte man entnehmen, dass ein freiberuflich tätiger Pharmalobbyist in wesentlichem Umfang an vertrauliche elektronische Unterlagen aus dem Bundesministerium für Gesundheit gelangt ist. Darunter befand sich sogar die persönliche E-Mail-Kommunikation des Ministers. Wie der Presse weiter zu entnehmen ist, wurde hierzu seitens des Lobbyisten ein Mitarbeiter eines externen ITDienstleisters im Ministerium zur Spionage angeworben. 1. Welche externen IT- und Kommunikationsstrukturdienstleister sind für die Lan- desregierung bzw. -ministerien, aufgeschlüsselt nach Referaten und Ministerien, tätig? 2. Welche der beauftragten externen IT- und Kommunikationsstrukturdienstleister setzen Subunternehmer für die vereinbarten Leistungen, aufgeführt nach Aufgabenbereich , ein? Aus Gründen des Sachzusammenhangs werden die Fragen 1 und 2 gemeinsam beantwortet . Die für die Landesregierung tätigen externen IT- und Kommunikationsstrukturdienstleister sowie die Aufgabenbereiche, in denen Subunternehmer tätig sind, sind in der Anlage aufgeführt . Die dort genannten Firmen erbringen IT-Dienstleistungen bzw. Dienstleistungen im LANDTAG NORDRHEIN-WESTFALEN - 16. Wahlperiode Drucksache 16/2046 2 Bereich der Datennetze, wobei Leistungen für konventionelle Kommunikationsverfahren wie Telefon, Telefax oder Mobilfunkverträge nicht berücksichtigt wurden. Von der Beantwortung wurden die Bereiche des Geheimschutzes ausgenommen. 3. Welche vertraglichen Vereinbarungen mit externen Dienstleistern bzw. deren Subunternehmern gibt es, die geltende Datenschutzrichtlinien des Landes NRW einschränken oder ergänzen? Das Datenschutzgesetz NRW sowie ggf. bereichsspezifische Regelungen (z.B. § 80 SGB X) sind Maßstab für vertragliche Vereinbarungen und können durch diese nicht eingeschränkt werden. 4. Inwieweit stellt die Landesregierung sicher, dass die Einhaltung dieser Sicher- heitsanforderungen gewährleistet wird? Gemäß § 11 Datenschutzgesetz NRW bleibt bei einer vertraglichen Vereinbarung, die die Verarbeitung personenbezogener Daten einer öffentlichen Stelle durch einen externen Dienstleister (Auftragnehmer) vorsieht, die Auftrag gebende öffentliche Stelle weiterhin verantwortlich . Insofern kann diese lediglich solche vertraglichen Vereinbarungen treffen, die über die geltenden datenschutzrechtlichen Anforderungen hinausgehen bzw. diese ergänzen . Bereits im Vorfeld der Auftragsvergabe hat die öffentliche Stelle den Auftragnehmer unter besonderer Berücksichtigung seiner Eignung für die Gewährleistung der notwendigen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Hierdurch wird gewährleistet , dass die externen Dienstleister Sicherheitsanforderungen nach dem Stand der Technik erfüllen und eine vermeidbare Gefährdung der Persönlichkeitsrechte Dritter ausgeschlossen wird. Der externe Dienstleister ist auch weisungsgebunden. Die Weisung bestimmt Umfang und Inhalt der Datenverarbeitung. Die Auftrag gebende öffentliche Stelle ist insbesondere verpflichtet , sicherzustellen, dass der Auftragnehmer sich dem Datenschutzgesetz NRW und den jeweiligen bereichsspezifischen Regelungen sowie der Kontrolle des Landesbeauftragten für Datenschutz und Informationsfreiheit NRW unterwirft (z.B. Festlegung des Umfangs der Datenverarbeitung, Löschungspflichten). Das Weisungsrecht lässt auch zu, dass die öffentliche Stelle sich Rechte einräumen lässt oder dem externen Dienstleister Pflichten abverlangt, die die geltenden Datenschutzregelungen ergänzen. Etwaige Unterauftragsverhältnisse sind schriftlich festzulegen. Der Dienstleister ist daher nicht berechtigt, ohne ausdrückliche Weisung, die Datenverarbeitung einem Subunternehmer zu übertragen. 5. Welche Inhalte umfasst der Maßnahmenkatalog zur Gewährleistung der Sicher- heitsanforderungen? Die Maßnahmen zur Gewährleistung der Sicherheitsanforderungen sind vielfältig und hängen nach dem jeweiligen Einzelfall u.a. vom Umfang der Datenverarbeitung, von der Sensibilität der verarbeiteten Daten und von der jeweils verfügbaren Technik ab. Firmen nach Ressorts aufgeschlüsselt Referat Subunternehmer Aufgabenbereich Staatskanzlei (einschl. MBEM) Bauer und Kirch GmbH IA3 Nein B-Solution AG IA3 Nein OCLC GmbH IA3 Nein IOn AG IA3/IA2 Nein K-Soft iT-Center IA4 Nein Fujitsu Technology Solutions GmbH IA5 Nein Microsoft Deutschland GmbH IA5 Nein Quadriga Informatik GmbH IA5/IA4/LV-EU2 Nein xdot GmbH IB4 Nein TWT Interactive GmbH LPA Nein bnetconsult ges. für itc beratung mbh & co. Kg LV-B 2 Ja IT-Infrastruktur (Netzwerk) magellan netzwerke GmbH LV-B 2 Nein Numara Software GmbH LV-B 2 Nein BANKETTprofi GmbH LV-B 3/LV-EU2 Nein Ministerium für Schule und Weiterbildung DATAGROUP BGS GmbH 114 Nein ribeka GmbH 114 Nein, keine Angaben im Vertrag IOn Aktiengesellschaft 114 Nein, keine Angaben im Vertrag Media Experts 411 Nein Firma CarstenPeters 411 Nein Firma CarstenPeters 534 Nein Friedhelm Hosenfeld (Fa. DigSyLand) 534 Nein Host Europe 534 Nein Finanzministerium IMTB Management & Technology Consultants GmbH II A 1 Nein Océ-Deutschland GmbH II A 5 Nein Naumilkat GbR II B 4 Ja IT-Verfahren für das Haushalts-, Kassen- und Rechnungswesen DATA-team GmbH II B 4 nicht bekannt, grds. möglich IT-Verfahren für das Haushalts-, Kassen- und Rechnungswesen IOn AG II B 4 nicht bekannt, grds. möglich IT-Verfahren für das Haushalts-, Kassen- und Rechnungswesen MATERNA GmbH Information & Communications II B 5 Nein RDS Consulting GmbH II B 5 Nein IMTB Management & Technology Consultants GmbH II B 5 Nein SINC GmbH IV A 4 Nein Brandauer IT-Consulting IV A 4 Nein Sommerlad Consulting IV A 4 Nein blue telligence GmbH Arbeitsstab EPOS.NRW Nein SAP Deutschland AG & Co.KG Arbeitsstab EPOS.NRW Nein SNP AG Arbeitsstab EPOS.NRW Nein T-Systems International Arbeitsstab EPOS.NRW Ja EPOS.NRW Anlage zur Kleinen Anfrage 791 LT-Drs 16/1802 Übersicht über die externen IT- und Kommunikationsstrukturdienstleister, die für die Landesregierung bzw. -ministerien tätig sind Stand 1.1.2013 Ministerium für Wirtschaft, Energie, Industrie, Mittelstand und Handwerk Fa. ATE-Soft I 7 Nein C4C systems GmbH, Gladbeck IV.1 Nein rechenwerk GmbH, Essen IV.1 Nein Unternehmen.online GmbH & Co KG, Dortmund IV.1 Nein HSL Systemdesign GmbH IV B 2 Nein Ministerium für Inneres und Kommunales BauerKirch GmbH, Pascalstr. 26 51, 56 Nein Dorma Time + Access GmbH 51 Nein Oce Deutschland Gmbh 51 Nein Hewlett Packard GmbH 51 Nein Ricoh Deutschland Gmbh 51 Nein Weltring GmbH 51 Nein Bosch Gmbh 51 Nein Steep GmbH 51 Nein Sunzinet AG 51 ,ÖAK,SAP Nein Cologne Data GmbH (Sitz in Köln) 56 Nein Ministerium für Arbeit, Integration und Soziales Fa. idit GmbH I B 1 Nein Fa. Proximity Technology GmbH II 2 Nein Justizministerium 360 Grad I 5 Ja Project "e-CODEX" Atos IT Solutions and Services I 5 Ja Elektronische Registerführung Audicon GmbH I 5 Nein bremen online services GmbH & Co. KG I 5 Nein Bundesnotarkammer - Zertifizierungsstelle - I 5 Nein Capgemini Nederland B.V. I 5 Nein Conject AG I 5 Nein dama.go GmbH I 5 Nein DataVision Deutschland GmbH I 5 Nein EM-SOFTWARE GmbH I 5 Nein ERS ltd. I 5 Nein Fecher eK I 5 Nein Freiheit, Daniela I 5 Nein FTCAM GmbH I 5 Nein Fujitsu Technology I 5 Ja soziale Dienste IBM Deutschland GmbH I 5 Nein Infora GmbH I 5 Nein Ingenieurbüro Gräbener I 5 Nein ITSM Consulting AG I 5 Nein MID GmbH I 5 Nein OCLC GmbH I 5 Nein Opimal Systems GmbH I 5 Nein Oracle Deutschland GmbH I 5 Nein PIX GmbH I 5 Nein primion Technology AG I 5 Nein Quest GmbH I 5 Nein SINC GmbH I 5 Nein Softline Solutions I 5 Nein SuC Service und Consulting Inhaber H. Weber e.K. I 5 Nein Talend - Sopera GmbH I 5 Nein TÜV Akademie GmbH I 5 Nein Westernacher Products & Services AG I 5 Nein Wincor Nixdorf International GmbH I 5 Nein Bechtle IT GmbH I 5 / I 6 Ja Distribution COMPAREX GmbH I 5 / I 6 Nein Compuacenter AG & Co. oHG I 5 / I 6 Ja Distribution Netviewer GmbH I 5 / I 6 Nein Open Text GmbH I 5 / I 6 Nein Business-Logics GmbH I 6 Nein Data Team GmbH I 6 Nein Fujitsu Technology I 6 Ja Gefangenenverwaltung Gisbo GmbH I 6 Nein IOn AG I 6 Nein J-based IT Solutions GmbH I 6 Nein Klages & Partner GmbH I 6 Nein NEXUS GmbH I 6 Nein RRSoftware GmbH I 6 Nein Transfer GmbH I 6 Nein Ministerium für Klimaschutz, Umwelt, Landwirtschaft, Natur- und Verbraucherschutz Mach AG I-5 Nein Proximity Technology GmbH I-5 Nein HP Böblingen I-8 Nein Integralis I-8 Nein Nextira One I-8 Nein Bauer+Kirch I-9 Nein Juris I-9 Nein ACL II A 3 Nein ABO Software GmbH II B 4 Nein HHK Datentechnik GmbH II B 4 Nein ibR Gesellschaft für Geoinformation MBH II B 4 Nein Implementierungsgemeinschaft LEFIS vertreten durch das Land Brandenburg II B 4 Ja Entwicklung von DV-Verfahren im Flurbereinigungsverfahren Ingenieuer- und Planungsgesellschaft mbH II B 4 Nein SIDOUN International GmbH II B 4 Nein Trimble II B 4 Nein Univ.-professor Dr.-Ing. Wilhelm Benning II B 4 Nein AHU IV-5 Nein Hydrotec IV-6 Ja Entwicklung von DV-Verfahren in der Wasserwirtschaft Wilhem Innovative Medien GmbH, Wuppertal ÖA Nein Ministerium für Bauen, Wohnen, Stadtentwicklung und Verkehr Fa. ATE-Soft I 7 Nein Fa. Bosch I 8 Nein CP/Compartner Agentur für Kommunikation GmbH II B 4 Ja Kommunikationsdienstleister im Bereich ÖPNV IVV Aachen III A 2 Nein Ministerium für Innovation, Wissenschaft und Forschung B Solution AG 114 Nein HAESSLER Information GmbH 114 Nein Fujitsu Technology Solutions GmbH 114 Nein Symantec (Deutschland) GmbH 114 Nein Bauer + Kirch GmbH 114 Nein CP/COMPARTNER Agentur für Kommunikation GmbH Kommunikation Ja Webprogrammierung Zebralog GmbH & Co KG Kommunikation Ja Webdesign Forschungszentrum Jülich GmbH 313 Ja Gestaltung Internetsite EnergieAgentur.NRW GmbH 313 Ja Gestaltung Internetsite MedizinTechnik.NRW GbR 325 Nein Ministerium für Familie, Kinder, Jugend, Kultur und Sport NextiraOne Deutschland GmbH 122 Nein Hewlett-Packard GmbH 122 Nein Open Text Software GmbH 122 Nein Bauer + Kirch GmbH 122 Nein ARXES Network Communication Consulting AG 122 Nein DORMA GmbH + Co. KG 123 Nein Seitenbau GmbH Köln 224 Nein Hetzner Online AG 224 Nein HEC GmbH 223 / 221 Nein Stiftung kulturserver.de gGmbH 411 Nein Dentsu McGarry Bowen GmbH 424 Ja Hosting der Software Webworker GmbH 56 Ja Redaktionelle Betreuung eines tagesaktuellen Blocks auf einer Internet-Seite Ministerium für Gesundheit, Emanzipation, Pflege und Alter Ion Vertrieb und Services GmbH 112 Nein Jürgen Radlow 211 Nein Spielraum - Projekt Vereinbarkeit gGmbH 301 ja Internetredaktion Webworker GmbH 301 Nein Kompaktmedien – Die Kommunikationsbereiter GmbH 314 Nein