LANDTAG DES SAARLANDES 15. Wahlperiode Drucksache 15/720 (15/660) 07.01.2014 A N T W O R T zu der Anfrage des Abgeordneten Andreas Augustin (PIRATEN) betr.: Datenspeicherung der saarländischen Landesregierung Vorbemerkung des Fragestellers: „Durch die Enthüllungen von Edward Snowden wurde bekannt, dass die NSA und der GCHQ im Rahmen der PRISM und TEMPORA-Programme das Internet fast vollständig überwachen und Daten systematisch auf ihre Server kopieren. Ebenfalls wurde enthüllt, das US-amerikanische Unternehmen zur Zusammenarbeit mit Geheimdiensten gezwungen werden. Sie müssen entweder direkten Zugriff auf ihre Daten gewähren oder indirekt versteckte Hintertüren in ihre Produkte einbauen, durch die die NSA auf Daten selbstständig zugreifen kann. Den Unternehmen ist es hierbei strengstens untersagt, sowohl über den Zwang zur Zusammenarbeit als auch die Art und Weise der Zusammenarbeit zu sprechen. Aus diesem Grund warnen Datenschützer davor, Daten bei US-amerikanischen Diensten zu speichern , um unbefugte Zugriffe durch die NSA zu verhindern. Darüber hinaus gibt es Berichte, dass durch die Geheimdienste NSA und GCHQ auch versucht wird, auf Internetknotenpunkte in anderen Ländern, unter anderem auch Deutschland, zuzugreifen, um auch Daten abfangen zu können, die lediglich innerhalb eines Landes verarbeitet und versendet werden. Aktuell wurde ein Fall bekannt , bei dem der britische Geheimdienst GHCQ sich unbefugt Zugriff auf den belgischen TelekomAnbieter Belgacom verschafft haben soll. Es müssen daher selbst bei einer Datenspeicherung bzw. -verarbeitung innerhalb Deutschlands spezielle Sicherheitsvorkehrungen getroffen werden, um einen unbefugten Zugriff durch ausländische Geheimdienste zu verhindern. Daher stellt auch der jüngste Vorschlag der Telekom, innerdeutsche Emailkommunikation auf innerdeutsche Übertragungswege zu beschränken, keinen ausreichenden Schutz vor unbefugten Zugriffen dar.“ Ausgegeben: 07.01.2014 (28.10.2013) Drucksache 15/720 (15/660) Landtag des Saarlandes - 15. Wahlperiode - - 2 - Vorbemerkung Landesregierung: Das Grundrecht auf informationelle Selbstbestimmung hat einen hohen Stellenwert. Vor diesem Hintergrund ist es der Landesregierung ein besonderes Anliegen, bislang und auch künftig auf rechtlicher, organisatorischer und it-technischer Ebene umfassenden Datenschutz und Datensicherheit zu gewährleisten. Konkrete und unmittelbare Erkenntnisse, dass im oben genannten Kontext unberechtigterweise auf Daten zugegriffen worden sei, liegen der Landesregierung nicht vor. Grundlage der Kommunikation der saarländischen Behörden ist das Saarländische Landesdatennetz. Dieses basiert auf einer abgesicherten Infrastruktur, die gegenüber anderen öffentlichen Netzen abgeschottet ist. Die IT-Kommunikation der Behörden der saarländischen Landesverwaltung untereinander erfolgt in einem in sich geschlossenen Bereich, der bei der Übertragung, Verarbeitung und Speicherung von Daten der deutschen Gesetzgebung unterliegt. Der Landesregierung liegen aktuell keine Erkenntnisse über rechtsstaatswidrige Zugriffe auf die Kommunikation bzw. die Daten der Behörden im Saarland vor. Es bleibt weiterhin das ständige Bemühen der Landesregierung , die Schutz- und Informationslage des Landesdatennetzes auf dem Stand der aktuellen Technik zu halten. Die Kommunikation der Bundesländer und des Bundes untereinander erfolgt auf Grundlage des geschlossenen Verbindungsnetzes „Deutschland Online Infrastruktur“ (DOI). Über die Aktivitäten der Landesregierung im IT-Planungsrat ist das Saarland in die Entwicklung dieser Strukturen eingebunden. Daten der Behörden der saarländischen Landesregierung werden im Saarland auf der Infrastruktur im Rechenzentrum der Landesregierung beim Landesamt für Zentrale Dienste, dessen Backup-Infrastruktur oder auf Servern innerhalb gesondert abgesicherter Räume in den einzelnen Häusern gespeichert. Wirtschaft, Wissenschaft, Bürger und Bürgerinnen sind im Rahmen des geltenden Rechts frei in der Wahl Ihrer Kommunikationswege und Speicherorte. Es ist der Landesregierung nicht bekannt, welche Netze und Speicher im Detail genutzt werden. Das Landesamt für Verfassungsschutz (LfV) hat bereits vor Bekanntwerden der Überwachungsprogramme „PRISM“ und „TEMPORA“ Sensibilisierungsmaßnahmen im Bereich des Wirtschafts- und Geheimschutzes durchgeführt. Im Rahmen dieser Präventivmaßnahmen wurden Wirtschaftsunternehmen sensibilisiert, ihr Know-How und sonstige sensible Daten vor Spionageangriffen zu schützen. Nach Bekanntwerden der o.g. Überwachungsprogramme hat das LfV diese Maßnahmen intensiviert. So wurde am 26.09.2013 in der Sitzung des Arbeitskreises der Sicherheitsbevollmächtigten geheimschutzbetreuter Unternehmen der Länder Hessen, Rheinland-Pfalz und Saarland in Vorträgen im Sachzusammenhang sensibilisiert. Am 25.11.2013 hat das LfV Saarland Fachvorträge zur Sensibilisierung der Teilnehmer einer Veranstaltung zur Datensicherheit der Vereinigung der saarländischen Unternehmensverbände (VSU) gehalten. Drucksache 15/720 (15/660) Landtag des Saarlandes - 15. Wahlperiode - - 3 - Welche Gefahren sieht die Landesregierung für die Datensicherheit der a) saarländischen Behörden, b) saarländischen Wirtschaft, c) saarländischen Wissenschaft und d) saarländischen Bürgerinnen und Bürger? Zu Frage 1: Auf die Vorbemerkung wird verwiesen. Welche Maßnahmen hat die Landesregierung seit Bekanntwerden der Spionageprogramme PRISM und TEMPORA sowie der damit verbundenen Spionageaktivitäten von NSA und GCHQ unternommen , um a) ein Ausspähen von Behördendaten sowie b) persönlicher Daten saarländischer Bürgerin- nen und Bürger, c) Wirtschaftsspionage und d) Wissenschaftsspionage zu verhindern? Zu Frage 2: Da keine konkreten unmittelbaren Gefährdungen bekannt sind, wurden diesbzgl. keine speziellen Maßnahmen veranlasst, die über die ohnehin regelmäßigen Prüf- und Schutzaktivitäten hinaus gehen. Im Übrigen wird auf die Vorbemerkung verwiesen. Welche Maßnahmen plant die Landesregierung, um a) ein Ausspähen von Behördendaten sowie b) persönlicher Daten saarländischer Bürgerin- nen und Bürger, c) Wirtschaftsspionage und d) Wissenschaftsspionage wirksam zu verhin- dern? Bitte detailliert nach Einzelmaßnahmen und voraussichtlichen Zeitplänen aufschlüsseln. Zu Frage 3: Auf die Vorbemerkung wird verwiesen. Drucksache 15/720 (15/660) Landtag des Saarlandes - 15. Wahlperiode - - 4 - Liegen der Landesregierung a) bestätigte Fälle oder b) Verdachtsmomente vor, dass durch ausländische Geheimdienste auf Daten von saarländischen Behörden, Unternehmen, Forschern oder einzelnen Bürgerinnen und Bürger erfolgreich zugriffen wurde oder Zugriffsversuche unternommen wurden? Falls ja, bitte aufschlüsseln nach Datum, Ort und Art des Zugriffes. Falls nein, bitte begründen wieso solche Zugriffe bisher ausgeschlossen werden können. Zu Frage 4: Der Landesregierung sind weder bestätigte Fälle bekannt noch liegen Verdachtsmomente vor. Im Übrigen wird auf die Vorbemerkung verwiesen. Wo befinden sich die Server, auf denen die Landesregierung sowie ihre untergeordneten Behörden ihre Daten speichern und/oder anderweitig nutzen bzw. verarbeiten? Bitte nach zuständigen Ministerien/Behörden und Serverstandort (Bundesland , Staat) detailliert aufschlüsseln. Werden zu Sicherungs- oder anderen Datenverarbeitungszwecken Daten von saarländischen Bürgerinnen und Bürgern an Serverstandorte in andere Bundesländer übertragen? Wenn ja, wie wird die Datensicherheit an diesen Standorten (bitte nach Bundesland, Staat aufschlüsseln) gewährleistet ? Zu den Fragen 5 und 6: Die Übertragung von Daten saarländischer Bürgerinnen und Bürger zu Datenverarbeitungszwecken erfolgt u.a. wegen gesetzlicher Vorgaben in einer Vielzahl von Fällen im Verbund mit anderen Bundesländern. Die Gewährleistung der Datensicherheit liegt in allen Fällen in der Verantwortung der speichernden öffentlichen Stelle und erfolgt nach den geltenden Datenschutzgesetzen sowie den Grundsätzen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Die Kommunikation der Bundesländer und des Bundes untereinander erfolgt auf Grundlage des geschlossenen Verbindungsnetzes „Deutschland Online Infrastruktur“ (DOI). Drucksache 15/720 (15/660) Landtag des Saarlandes - 15. Wahlperiode - - 5 - Beispielsweise laufen im Bereich Steuern alle Datenübertragungen zwischen den Bundesländern , Unternehmen, Organisationen, Bürgerinnen und Bürgern über die bei den Rechenzentren der Finanzverwaltungen der Länder Bayern und Nordrhein-Westfalen eingerichteten Clearingstellen (Verfahren ELSTER). Im gleichen Kontext werden die Lohnsteuerabzugsmerkmale aller in Deutschland wohnhaften Arbeitnehmer („elektronische Lohnsteuerkarte“) beim Bundeszentralamt für Steuern zentral gespeichert und für den Zugriff von Finanzämtern, Arbeitgebern und Bürgern bereit gestellt. Gleiches gilt für die zentrale Datenbank der steuerlichen Identifikationsnummern, auf die neben den Finanzämtern auch alle Städte und Gemeinden zugreifen. Andere Beispiele sind der Datenaustausch im Rahmen des Bundesausbildungsförderungsgesetzes mit der Oberfinanzdirektion Karlsruhe, der Datenaustausch mit der Bundesbank, der Austausch statistischer Daten mit dem Statistischen Bundesamt und Statistischen Landesämtern, die Speicherung von Daten des Personalabrechnungsverfahrens in der Kooperation mit dem Land Baden-Württemberg, der Datenaustausch mit dem Bundeszentralregister und dem staatsanwaltschaftlichen Verfahrensregister beim Bundesamt für Justiz, mit dem Testaments- und Vorsorgeregister bei der Bundesnotarkammer oder Bekanntmachungen zum Vollstreckungsportal, zu Insolvenz - und Zwangsversteigerungsverfahren bzw. zum Handelsregister im Landesrechenzentrum des Landes Nordrhein-Westfalen. In folgenden Ressorts werden Daten auf Behördensystemen in anderen Bundesländern bzw. in anderen Staaten verarbeitet: Ministerium für Wirtschaft Arbeit, Energie und Verkehr: Niedersachsen; Ministerium für Finanzen und Europa: BadenWürttemberg , Bayern, Nordrhein-Westfalen, Belgien; Ministerium für Inneres und Sport: Rheinland-Pfalz, Nordrhein-Westfalen; Ministerium für Soziales, Gesundheit, Frauen und Familie: Baden-Württemberg; Ministerium der Justiz: Nordrhein-Westfalen; Ministerium für Umwelt und Verbraucherschutz: Bayern, Brandenburg. Hat die saarländische Landesregierung in der jüngeren Vergangenheit (letzten 10 Jahre) Daten zur Speicherung und/oder Verarbeitung/Nutzung auf Servern innerhalb der USA, Großbritannien oder anderen Ländern gespeichert? Falls ja, bitte nach betroffenen Ministerien und Art der betroffenen Daten aufschlüsseln. Zu Frage 7: Mit Ausnahme des Serverstandortes in der Vertretung des Saarlandes bei der EU in Brüssel erfolgte keine unmittelbare Speicherung von Daten außerhalb des Staatsgebiets der Bundesrepublik Deutschland. Lediglich bei der gem. Verordnung (EG) Nr. 1828/2006 verpflichtenden Übermittlung von meldepflichtigen Unregelmäßigkeiten an das Europäische Amt für Betrugsbekämpfung (OLAF) über das europaweit verbindlich eingeführte System IMS werden personenbezogene Daten unmittelbar an eine Dienststelle außerhalb Deutschlands übertragen. Drucksache 15/720 (15/660) Landtag des Saarlandes - 15. Wahlperiode - - 6 - Welche Art von (personenbezogenen) Daten speichern saarländische Kommunen außerhalb des Saarlandes? Bitte jeweils nach Kommune /Bundesland/Staat aufschlüsseln. Zu Frage 8: Da die in der Frage angesprochenen Kommunen (Gemeinden und Gemeindeverbände ) keine der Landesregierung nachgeordneten Behörden, sondern rechtlich selbständige juristische Personen des öffentlichen Rechts sind, nehmen die Kommunen die ihnen obliegenden Aufgaben, so auch die Speicherung von Daten, in eigener Verantwortung unter Bindung an die Gesetze war. Es besteht keine unmittelbare oder mittelbare Zuständigkeit der Landesregierung für die IT-Organisation der Kommunen. Auf die kommunale Selbstverwaltung nach Artikel 28 Absatz 2 GG und Artikel 118 SVerf wird verwiesen. Ob und ggf. welche Arten von Daten von den saarländischen Kommunen außerhalb des Saarlandes gespeichert werden, entzieht sich der Kenntnis der Landesregierung. Wegen der Vielzahl der bei den Kommunen gelagerten Datenarten würde die geforderte Umfrage einen erheblichen Mehraufwand bedeuten. Durch welche Maßnahmen stellt die Landesregierung sicher, dass Daten ihrer Ministerien und untergeordneten Behörden auf den Übertragungswegen untereinander und zu den Speicher- bzw. Verarbeitungsorten vor unbefugtem Zugriff geschützt sind? Zu Frage 9: Auf die Vorbemerkung wird verwiesen. Das Ministerium für Finanzen und Europa ist gerne bereit, in nicht-öffentlicher Sitzung im zuständigen Landtagsausschuss über technische und organisatorische Details zu berichten.