Herr Präsident, liebe Kolleginnen und Kollegen! Zum Thema NSA/CSC der Aktuellen Stunde einige Vorbemerkungen meinerseits für die SPD-Bürgerschaftsfraktion!
Erstens: Dass es eine Verbindung zwischen amerikanischen Firmen und amerikanischen Sicherheitsdiensten und Geheimdiensten gibt, ist nichts Neues. Jeder, der das wissen möchte, kann das wissen. Darüber wurde schon im letzten Jahrtausend umfänglich berichtet, das ist also nicht neu.
Es ist auch nicht neu, dass Firmen, wie zum Beispiel Apple, Geheimverträge mit US-Geheimdiensten haben, in denen sinngemäß steht – der Kollege Herr Rupp hat das gerade ausgeführt –: Ihr bekommt eine Hintertür zu unserer Software, sodass die Daten der Menschen, die dort abgespeichert werden, unbemerkt abgegriffen werden können. Es ist bekannt, dass eine Firma wie Microsoft ebenfalls solche Verträge hat. Daher muss man sich also die Frage stellen: Wollen wir zukünftig mit solchen Firmen zusammenarbeiten? Das ist vielleicht eine der Konsequenzen aus dieser Debatte.
Es ist auch bekannt, dass die Firma CSC lange Geschäftstätigkeiten mit US-Geheimdiensten und mit dem US-Militär hat. Sie hat nicht nur IT-Dienstleistungen geliefert, sondern sie hat auch im Rahmen bestimmter Projekte Drogenbekämpfung durchgeführt, sie hat mit einer Tochterfirma Polizeiausbildung und Personenschutzservices betrieben, all das ist bekannt. Das ist eine Folge aus der Zeit von Ronald Reagan, als man staatliche Aufgaben privatisiert hat, und das sind eben die Auswüchse, wenn private Unternehmen staatliche Aufgaben durchführen, und diese privaten Unternehmen sind dann nicht mehr kontrollierbar. Das ist bei staatlichen Beamten anders. Die Frage ist: Will man das zukünftig weiterhin?
Diese Zusammenarbeit ist im letzten Jahr – ich glaube, es war im November – durch die „Süddeutsche Zeitung“ thematisiert worden, und es gab dazu umfangreiche Berichterstattungen in der Tagesschau. Dass die Bundesregierung an dieser Stelle äußerst naiv vorgeht, ist auch zu bemängeln. Wir alle wissen noch, wie Herr Pofalla im letzten Jahr gesagt hat: Alles geklärt, es gibt keine Vorfälle! Innenminister Friedrich hat sinngemäß gesagt: Alles klar, es gibt keine Vorfälle, ich habe meinen Fragenkatalog abgeliefert, das Thema NSA ist kein Thema, wir können uns entspannt zurücklehnen! Dass dem nicht so ist, wissen wir heute.
Die Bundesregierung hat also in der Vergangenheit nichts, aber auch gar nichts getan, um deutsche Daten zu schützen. Das ist eigentlich ein Skandal, aber wir reden nicht so richtig darüber, weil es eher ein technisches Thema ist, und man neigt dazu zu sagen, man sei nicht betroffen, denn wenn man bei Facebook angemeldet sei, sei ohnehin alles öffentlich. Das als kleine Vorbemerkung!
Kommen wir zu einigen konkreten Handlungen! Was können wir hier in Bremen tun? Einiges ist ja schon getan worden, denn in der Antwort des Senats – ich bin der CDU sehr dankbar, dass sie diese Frage aufgenommen hat – steht sinngemäß, dass die Verträge mit der Firma CSC nicht verlängert werden. Wir müssen uns bei der Vergabe solcher Dienstleistungen also wirklich die Frage stellen, mit welchen Firmen man dort zusammenarbeitet, aber auch hier gibt es keine einfache Lösung. Stellt man fest, es gibt eine deutsche Firma, die vertrauensvoll ist und mit der man zusammenarbeiten möchte, dann kann es sein, dass diese im nächsten Jahr von einem US-Konzern gekauft wird. Insofern sollte man sich davor hüten, einfache Lösungen vorzuschlagen.
Privatisierung von staatlichen Aufgaben ist immer ein Problem, gerade wenn es um sensible Dinge wie die Speicherung von Daten geht. Man könnte das unter dem Schlagwort „Bremer speichern in Bremen“ zusammenfassen. Deswegen haben wir einen ITDienstleister wie Dataport, der halbwegs unter Kontrolle ist.
Wir benötigen eigentlich eine Unabhängigkeit von US-Firmen, doch das können wir von Bremen aus nicht leisten, das können wir von Deutschland aus nicht leisten, sondern das ist mit Sicherheit ein europäisches Projekt. Wir müssen es schaffen, solche IT-Dienstleistungen in Deutschland selbst erzeugen zu können. Es ist vorhin ja schon angesprochen worden, in der öffentlichen Verwaltung ist teilweise das Know-how nicht vorhanden. Das haben wir in vielen Bereichen, aber hier ist es kritisch.
Eine weitere Sache, die man angehen könnte, ist, bei der Vergabe von Software-Aufträgen konsequent darauf zu achten – der Kollege Herr Rupp hat es ausgeführt –, dass uns der Quelltext ausgeliefert wird, wenn Software für Bremen erstellt wird. Nur wer den Quelltext, wer den Bauplan der Software hat, ist in der Lage nachzuvollziehen, was die Software wirklich macht. Ja, das ist mit mehr Aufwand verbunden! Ja, das kostet vielleicht Geld! Ja, das schafft Vertrauen!
Wir haben schon im letzten Jahr aus diesem Parlament heraus einen entsprechenden Antrag formuliert, in dem es explizit um Sicherheitssoftware ging, Stichwort Beschaffung im Innenressort. Es zeigt sich, dass wir als rot-grüne Fraktionen mit diesem Antrag schon in die richtige Richtung gegangen sind, wie gesagt, die Diskussion ist nicht neu.
Wir erwarten als SPD-Bürgerschaftsfraktion, dass der Senat mit diesem Thema entsprechend umgeht. Wir erwarten, dass auf Bundesebene etwas geschieht. Wir erwarten zurzeit nicht, dass die Bundesregierung groß etwas unternimmt, ich habe gerade herausgearbeitet, dass die Bundesregierung in der Vergangenheit an diesem Punkt sträflich versagt hat. Damit möchte ich meine Rede beenden. – Vielen Dank!
Herr Präsident, liebe Kolleginnen und Kollegen! Ich war doch sehr verwundert und überrascht, als mich vor zwei Wochen die Medienberichte erreichten, ein mit der NSA kooperierendes Unternehmen beziehungsweise eine seiner Tochterfirmen würde für Bremen beziehungsweise Dataport arbeiten. Beim Stichwort NSA schrillen ohnehin schon sämtliche Alarmglocken.
Wenn man dann das betreffende Unternehmen CSC näher betrachtet, wird es leider nicht wirklich besser. So soll der Mutterkonzern mit Sitz in den Vereinigten Staaten zwischen den Jahren 2003 und 2006 Gefangenentransporte für die CIA organisiert und für die NSA Spionagesoftware entwickelt haben, meine Vorredner haben bereits darüber gesprochen. Dass man angesichts der immer neuen Erkenntnisse des Geheimdienstskandals sowie des erst kürzlichen Scheiterns eines No-Spy-Abkommens nicht gerade in Begeisterung ausbricht, ist also mehr als verständlich.
(Abg. D r. K u h n [Bündnis 90/Die Grü- nen]: Was heißt denn hier scheitern? Wer hat das denn fallen gelassen?)
Die CDU-Fraktion hat deswegen noch am selben Tag des Bekanntwerdens eine Anfrage für die Fragestunde eingereicht, um diesem realen oder vermeintlichen Skandal nachzugehen. Vor einer möglichen Skandalisierung, wie es DIE LINKE hier im Parlament oft versucht, wollten wir Aufklärung und Information. Ich sehe mich im Nachhinein darin bestätigt, dass die Beantragung einer Aktuellen Stunde nicht das richtige Mittel ist, um den Sachverhalt aufzuklären und zu diskutieren. Zum einen lag der Öffentlichkeit außer der bloßen Information, dass es diese Kooperation gab, nichts weiter vor, und zum anderen zeigen die Antworten auf unsere Fragen, dass in diesem konkreten Fall scheinbar kein Gefahrenpotenzial vorlag.
An dieser Stelle möchte ich meinen ausdrücklichen Dank an Herrn Staatsrat Lühr richten, der so freundlich war, uns, der Opposition, sowie allen anderen Fraktionen die Antworten schon vorab zukommen zu lassen. Dafür ein herzliches Dankeschön!
Die Aktuelle Stunde wäre vermutlich auch ganz interessant geworden, wenn man die Antworten nicht schon vorher gehabt hätte.
Tatsächlich möchte ich zu diesem konkreten Fall auch nicht so viel sagen, da unsere Fragen mit der Senatsvorlage ausreichend beantwortet wurden. Wir wissen jetzt, um welche Projekte es sich im Rahmen des E-Government-Rahmenvertrags zwischen CSC und Dataport handelt, wir wissen, dass diese Vereinbarung am 30. September dieses Jahres ausläuft, die Mitarbeitersicherheit überprüft wird und nur ein begrenzter Kreis von Mitarbeitern eine Zugriffsberechtigung hat.
Hinweisen möchte ich dabei auf ein Interview mit der Bremer Datenschutzbeauftragten Frau Dr. Sommer bei „buten un binnen“, in dem sie nebenbei auch selbst angemerkt hat, dass hier Panik fehl am Platz sei. Sie hat aber zwei Fragen aufgegriffen, die auch ich sehr wichtig finde: Erstens, inwieweit darf der Staat aus datenschutzrechtlicher Perspektive auf die Arbeit Dritter zurückgreifen? Zweitens, inwieweit kann der Staat – in unserem Fall konkret Dataport – diese Aufgaben nicht auch selbst übernehmen? In der Praxis sind diese Fragen, das haben wir auch von Herrn Hamann schon gehört, nicht immer ganz so leicht zu beantworten. Ich halte es trotzdem für angebracht, sich damit ruhig länger zu befassen. Ich bin nämlich klar dagegen, Privatunternehmen unter Generalverdacht zu stellen und als Staat nun künftig auf privates Knowhow komplett zu verzichten.
Wenn wir aber eines von Edward Snowden gelernt haben, dann wohl, dass von internen Datenschutzlücken eine vielleicht viel größere Gefahr ausgeht, als wir es uns vorstellen können, denn Edward Snowden selbst hat nie für die NSA gearbeitet, sondern für ein beauftragtes Computerunternehmen. Somit gibt es da durchaus Parallelen zu Bremen. Kürzlich hat er in einem Interview gesagt, dass wahrscheinlich niemand den Datenklau bemerkt hätte, wenn er ihn nicht öffentlich gemacht hätte. Das sollte uns durchaus nachdenklich stimmen.
Natürlich ist der Staat in Bezug auf den Umgang und Schutz von Daten in seiner Obhut in besonderer Weise in der Pflicht, und wenn der Staat zu dem Ergebnis kommt, er wäre allein nicht zur Bewältigung einer Aufgabe in der Lage, dann muss er sich auf die Partner, ihre Mitarbeiter und die eingesetzte Software verlassen können. Ob jemand wie die CSC diese An
forderungen erfüllt, muss dann ehrlicherweise hinterfragt und vor dem Hintergrund des im September auslaufenden Vertrags unter Umständen neu bewertet werden.
Der aktuell vorliegende Fall – ganz so neu, auch das haben wir schon gehört, sind die Erkenntnisse ehrlicherweise nicht – ist vielleicht nicht so skandalträchtig, wie das manch einer gern gesehen hätte, aber die Fragen, die sich daraus ableiten lassen, haben sehr wohl ihre Bedeutung.
Liebe Kollegen von der LINKEN, wenn Sie das nächste Mal ein Thema skandalisieren wollen, warten Sie doch bitte wenigstens erst einmal ab, ob sich das Thema dafür überhaupt eignet! Wir müssen doch klar vor Augen haben, dass die Politik gefordert ist, neues Vertrauen und einheitliche, moderne und europaweit gültige Datenschutzvorschriften zu schaffen, denn die Antwort auf Vertrauensverlust und Verunsicherung kann doch nur Verantwortung und Klarheit sein. – Vielen Dank für Ihre Aufmerksamkeit!
Herr Präsident, meine sehr verehrten Damen und Herren! Verehrte Frau Grobien, vielleicht haben Sie eine andere Wahrnehmung als ich. Für mich ist die Aktuelle Stunde nicht ausschließlich dazu da, Themen zu skandalisieren, sondern ich verstehe sie auch als eine Möglichkeit, aus aktuellem Grund Fragen aufzuwerfen, ohne dass man schon einen Antrag oder eine Anfrage formuliert hat, und hier zu debattieren und deutlich zu machen, dass sich dieses Haus zum Beispiel mit einer drängenden Frage beschäftigt und an einer Lösung arbeitet. Ich persönlich empfinde das nicht als Skandalisierung. Sie werden es mir verzeihen: Wir werden auch weiterhin nicht Ihre Fraktion oder Sie fragen, bevor wir ein aktuelles Thema einreichen.
Ich will zu zwei bis drei Punkten Stellung nehmen! Es wurde gesagt, Dataport sei nicht in der Lage, diese Aufgaben zu bewältigen, aber private Unternehmen wären dazu in der Lage, und sie wären unter anderem deswegen günstiger, weil sie günstigere Stundensätze hätten. Das wage ich zu bezweifeln. Ich arbeite neben meiner Tätigkeit als Abgeordneter in einem Bereich, in dem es auch um Datenverarbeitung und IT-Entwicklung geht, und die Stundensätze, die dort berechnet werden, sind meines Erachtens in der Regel deutlich höher als die Stundensätze, die die Mitarbeiterinnen und Mitarbeiter in der bremischen Verwaltung oder bei Dataport bekommen.
Dessen ungeachtet reden wir bei Dataport ja nicht über die bremische Verwaltung, sondern wir reden über ein durch die Länder gegründetes Unternehmen mit dem speziellen Auftrag, für die Verwaltung der
norddeutschen Länder IT-Unterstützung und zentrale IT-Systeme, so etwas wie Standard-PCs, zur Verfügung zu stellen. Das heißt, wir haben ein Fachunternehmen eingerichtet, und wenn dies nicht in der Lage ist, IT-Produkte selbst zu entwickeln, dann ist es kein Fachunternehmen, sondern es ist dazu in der Lage – –.
Es wird ja bezweifelt, dass dort das Know-how vorhanden ist und die Mitarbeiter dies leisten können. Ich bin der Meinung, Dataport hat das intellektuelle Vermögen und auch die Fachleute, um solche Dinge zu entwickeln. Es kann sein, dass sie nicht die nötigen Kapazitäten haben und einfach zu wenig Mitarbeiter haben, dies zu machen, oder dass es sich nicht lohnt, für eine bestimmte Aufgabe Mitarbeiter einzustellen. Das kann sein, aber ich – –.
Herr Rupp, sind Sie bereit, zur Kenntnis zu nehmen, dass es einen gewissen Unterschied zwischen der Lieferung von Standard-PCs und Standardsoftware und der Entwicklung und Lieferung von Spezialsoftware gibt, die ja in sehr vielen unterschiedlichen Bereichen zum Einsatz kommen kann?
Natürlich bin ich bereit, das zur Kenntnis zu nehmen, das weiß ich, aber Dataport ist kein Einzelhändler, der uns regelmäßig PCs liefert, sondern Dataport hat große unterirdische Server, Back-up-Systeme und Spezialistinnen und Spezialisten, die von dort aus unsere PCs administrieren.
(Abg. D r. G ü l d n e r [Bündnis 90/Die Grünen]: Unterirdisch im eigentlichen oder im übertragenen Sinn?)
Ich bin mir sicher, dass sie auch Mitarbeiter haben, die solche Software entwickeln können. Ich will darauf hinaus, dass es meines Erachtens nicht richtig ist zu sagen, die bremische Verwaltung und Dataport könnten es aus technischen Gründen nicht, ich meine, sie können es deswegen nicht, weil wir sie nicht damit beauftragen oder weil sie möglicherweise nicht die Kapazitäten haben. Dann sind wir in der Situation, dass wir darüber nachdenken müssen, ob wir mehr als bisher bei Dataport ansiedeln können und wie viel wir möglicherweise noch auslagern müssen. Darauf
Es gibt viele Systematiken, die wir offenlegen, zum Beispiel den sogenannten Quellcode, das haben wir schon gesagt. Man kann sich exklusive Rechte sichern, man kann auch bestimmte separate Testumgebungen schaffen, in denen fremde Unternehmen keinen Zugriff auf die eigentlichen Daten haben, all diese Dinge gibt es. Ich fände es ganz wichtig, wenn wir da sensibler wären und auch einmal mit Dataport reden und fragen würden, wie man es dort eigentlich handhabt, wenn sie private Unternehmen beauftragen.