1 SCHLESWIG-HOLSTEINISCHER LANDTAG Drucksache 18/3513 18. Wahlperiode 11/11/15 Kleine Anfrage des Abgeordneten Dr. Patrick Breyer (PIRATEN) und Antwort der Landesregierung - Ministerpräsident Aufzeichnung der Internetnutzung bei Dataport 1. Wie lange wird bei Dataport die Nutzung von E-Mail und Internet durch Mitarbeiter von Landesbehörden, Landtag und Justiz protokolliert? E-Mail-Nutzung: Bei der E-Mail Nutzung muss zwischen zentralen Postfächern auf dem System bei Dataport und dezentralen Postfächern bei den einzelnen Behörden unterschieden werden: Entsprechend der vertraglichen Vereinbarung mit Dataport stehen beim zentralen System endgültig aus dem Postfach gelöschte Elemente bis zu 30 Tage nach Löschung zur Verfügung; Inhalte gelöschter Postfächer können binnen 30 Tagen wiederhergestellt werden. Auf Protokollierungen und Wiederherstellungszeiten bei dezentralen E-Mail Systemen hat Dataport keinen Zugriff. Verkehrsdaten von E-Mails sowohl aus zentralen als auch aus dezentralen Systemen , die über die Dataport Firewall versendet werden, werden zudem an der Firewall protokolliert. Diese Protokollierung wird täglich anonymisiert und nach 10 Tagen gelöscht. Inhaltsdaten der E-Mail werden an der Firewall nicht protokolliert. Drucksache 18/3513 Schleswig-Holsteinischer Landtag - 18. Wahlperiode 2 Dienststellen, die einen eigenen E-Mail-Server betreiben und diesen über Dataport an das Internet anbinden, bekommen zusätzlich eine Auswertung mit dem gesamten E-Mail-Volumen von und zum Internet sowie eine Aufstellung der verwendeten E-Mail Domains und dem E-Mail-Volumen pro Domain. Internet-Nutzung: Die Protokollierung der Internet-Nutzung wird täglich anonymisiert und nach 10 Tagen bei Dataport gelöscht. Dataport bietet Auswertungen über die Nutzung des Internet. Die StandardLeistungen umfassen monatliche anonymisierte Auswertungen, die per Mail versandt werden. Zur Verfügung des Zentralen IT-Management (ZIT SH) werden folgende Auswertungen erzeugt und zugesandt: das gesamte Daten-Volumen aller Dienststellen durch Internet-Zugriffe mit der Gesamtzahl der Zugriffe, Top 30 der besuchten WWW-Server mit Anzahl der durchschnittlichen Zugriffe je Adresse, Top 30 des übertragenen Datenvolumens je Adresse, mit durchschnittlicher Anzahl der Besucher. Je Ressortbereich werden folgende Auswertungen erzeugt und dem jeweiligen Ministerium zugesandt: das Daten-Volumen durch Internet-Zugriffe mit der Zahl der Zugriffe, Top 30 der besuchten WWW-Server je Ressort mit Anzahl der durchschnittlichen Zugriffe je Adresse, Top 30 des übertragenen Datenvolumens je Adresse, mit durchschnittlicher Anzahl der Besucher aus dem Ressortbereich. 2. Wie häufig wurden diese Daten im vergangenen Jahr genutzt und zu welchen Zwecken? Dataport nutzt die Daten ausschließlich im Rahmen der Problem- und Störungsbehebung (Durchschnitt 2 – 3 Mal monatlich). Landesdienststellen sichten die ihnen monatlich anonymisiert zur Verfügung gestellten Auswertungen der Daten über die Internetnutzung aus Gründen der Arbeitsorganisation . Schleswig-Holsteinischer Landtag - 18. Wahlperiode Drucksache 18/3513 3 3. Wie häufig wurden solche Daten im vergangenen Jahr übermittelt, an wen und zu welchen Zwecken? Im vergangen Jahr 2014 wurden durch Dataport keine solche Daten an Dritte übermittelt . 4. Welche der folgenden Vorkehrungen zur Sicherung der Daten werden getroffen : a) Speicherung auf physisch getrennten und vom Internet entkoppelten Rechnern, ja b) asymmetrische kryptografische Verschlüsselung unter getrennter Verwahrung der Schlüssel, nein c) Vier-Augen-Prinzip für den Zugriff auf die Daten verbunden mit fortschrittlichen Verfahren zur Authentifizierung für den Zugang zu den Schlüsseln, nein d) revisionssichere Protokollierung des Zugriffs auf die Daten und deren Löschung , ja e) Einsatz von automatisierten Fehlerkorrektur- und Plausibilitätsverfahren? nein 5. Es wird gebeten, die vorstehenden Fragen auch für die Nutzung der Internetpräsenzen von Landesbehörden, Landtag und Justiz durch Bürger zu beantworten . Bei Nutzung der Internetpräsenz www.schleswig-holstein.de wird verfahrensseitig eine Logdatei erzeugt, die gespeicherten Informationen werden nach einer Stunde durch Löschen der IP-Adresse anonymisiert. Die anonymisierten Informationen werden drei Monate gespeichert. Im Auftrag der Zentralredaktion in der Staatskanzlei führt Dataport statistische Auswertungen durch und stellt diese monatlich der Zentralredaktion bereit. Zur Auswertung des Nutzungsverhaltens wird PIWIK gemäß den Empfehlungen des ULD eingesetzt. Die IP-Adressen werden durch Löschen der beiden letzten Oktette anonymisiert. Die anonymisierten Daten werden ein Jahr vorgehalten und für redaktionelle und technische Veränderungen genutzt. Vorkehrungen zur Sicherung der Daten werden entsprechend 4 d) getroffen. Drucksache 18/3513 Schleswig-Holsteinischer Landtag - 18. Wahlperiode 4 6. Mit welchen US-amerikanischen Anbietern ist Dataport durch Kooperationsoder Rahmenverträge verbunden? Dataport hat keine Kooperations- oder Rahmenverträge mit US-amerikanischen Unternehmen . Im Wesentlichen handelt es sich bei den bestehenden Verträgen um solche mit selbständigen oder deutschen Tochterunternehmen US-amerikanischer Unternehmen . Im Rahmen der Vergabeverfahren hat Dataport eine der No-Spy-Klausel des BMI entsprechende Klausel in die Vergabeunterlagen aufgenommen, die von den Unternehmen in Vergaben, die hauptsächlich die Verarbeitung personenbezogener Daten zum Gegenstand haben, zu unterzeichnen sind. Verwiesen wird insoweit auf die verschiedenen Dokumente und Diskussionen im Innen - und Rechtsausschuss zur Einbindung des Unternehmens CSC-Deutschland in den Jahren 2013/2014.