1221/J XXV. GP
Eingelangt am 27.03.2014
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind
möglich.
Anfrage
der Abgeordneten Dr. Harald Walser, Freundinnen und Freunde an die Bundesministerin für Bildung und Frauen
betreffend Beantwortung der dringlichen Anfrage zu einem angeblichen „Datenleck“ im BIFIE und der Absage sämtlicher nationaler und internationaler Bildungsstandardtestungen vom 18.3.2014 (1055/J)
In der Nationalratssitzung am 18.3.2014 haben Sie die oben genannte Dringliche Anfrage beantwortet. Auf einige Fragen haben Sie jedoch nur unvollständige oder gar keine Antworten gegeben bzw. haben sich aus der Beantwortung weitere Fragen ergeben.
Die unterfertigenden Abgeordneten stellen daher folgende
1)
ad Frage 4 (Dringliche Anfrage 1055/J, im Folgenden
D.A.): „Welche Personen und Einrichtungen wurden von Ihnen zu welchem
Zeitpunkt über das Problem informiert?“ Ihre Antwort lautete:
„Es wurde den zuständigen Sektionen I und III
überantwortet, diese Überprüfung zu machen.“
Was konkret haben die beiden Sektionen überprüft und zu welchem
Ergebnis haben die Überprüfungen geführt?
2)
ad Frage 6 (D.A.): „In
welcher Form und auf welcher Rechtsgrundlage haben Sie dafür gesorgt, dass
das BIFIE die vorgesehenen Testungen sowie die Durchführung der
„Zentralmatura“ in den kommenden Monaten nicht durchführt?“
Ihre Antwort: „Und: Die Prüfung der
Datensicherheit bezüglich der standardisierten Reifeprüfung
läuft. Ich hatte es schon erwähnt: Wir erwarten
Ende
nächster Woche das Ergebnis. Die Aufgabenpakete stehen auf jeden Fall zur
Verfügung, die bei uns im Ressort mit Experten/Expertinnen auch erarbeitet
wurden.“
Welche Aufgabenpakete wurden von wem in Ihrem Ressort erarbeitet? Welche
Aufgabenpakete wurden von den von Ihnen zu Frage 46 in der D.A. genannten
Expertinnen und Experten erarbeitet?
3)
ad Frage 8 (D.A.): „Stimmt
die Meldung der Tageszeitung „Die Presse“ vom 17.3.2014, dass der
Aufsichtsrat des BIFIE in einem Sonderaufsichtsrat am 6.März einstimmig
beschlossen hat, dass das Bildungsinstitut „die gesetzlichen Kernaufgaben
im beschlossenen Umfang und Zeitplan unter der Voraussetzung der Datensicherung
durchzuführen“ habe und somit die Tests in geplanter Form
weiterzuführen sind?“
Da sich der Aufsichtsrat einstimmig für die Fortführung der Testungen
ausgesprochen hat, haben mit dem stellvertretenden Sektionschef Mag. August
Kern und Sektionschef Kurt Nekula auch zwei für die Angelegenheiten des
BIFIE federführend befasste Beamte Ihres Ministeriums für die
Fortführung der Testungen gestimmt. Heißt dies, dass Ihre
Entscheidung im Widerspruch zu den Empfehlungen Ihrer direkt mit dem BIFIE
befassten Mitarbeitern steht?
4)
ad Frage 9 (D.A.): „Die OECD-Direktorin
für Bildungswesen und Chefin der weltweiten PISA-Testungen, Barbara
Ischinger, wird am 14.3.2014 in der Tageszeitung „Kurier“ wie folgt
zitiert: „Wir stehen in Kontakt mit Wien. Und gehen davon aus, dass man
alle Probleme, die es derzeit gibt, rechtzeitig beheben kann, damit der PISA-Test
2015 auch in Österreich durchgeführt werden kann. Hat es Kontakt mit
Ihnen oder MitarbeiterInnen Ihres Ministeriums gegeben? Wenn ja, was waren
die Ergebnisse?“
Wir ersuchen neuerlich um Beantwortung dieser Frage!
5)
ad Frage 12/13 (D.A.): „Ist
es korrekt, dass sich aus den ungesicherten Daten am rumänischen
Entwicklungsserver ausschließlich die Mail-Adressen
der Lehrer/innen und
Schulleiter/innen, mit denen sich diese im Zeitraum von 25. März 2011 bis
30. Dezember 2012 auf der Plattform zur Informellen Kompetenzmessung angemeldet
haben, auslesen lassen?“
Sie bestätigen in Ihrer Antwort, dass sich am rumänischen Testserver
nicht mehr als die Mail-Adressen der LehrerInnen auslesen ließen. Was
bewog Sie dazu, aufgrund dessen den Teststopp zu verhängen und diesen
aufrecht zu halten, obwohl es keinerlei Anhaltspunkte gab und gibt, dass
weitere Daten betroffen waren beziehungsweise sind, und obwohl die betroffenen
Daten von der Fa. Kapsch selbst auf den Server gestellt und somit nicht
entwendet wurden?
6)
ad Frage 18 (D.A): „Welche
Erklärung gibt es dafür, dass die Firma zoe solutions Kenntnis von
diesem „Datenleck“ haben konnte?“
Ihre Antwort: „Ja, so wurde es mir gesagt, noch von
Kapsch – das können wir dann noch einmal besprechen –, als
dieser Server offline gestellt wurde. Das heißt nicht, dass wir je zu
diesen Daten Sicherheit hatten.“
Was
konkret bedeutet diese Aussage?
a) Bedeutet dies, dass die Daten nie sicher waren?
b) Wenn ja, was ist unter „diese Daten“ konkret gemeint?
7)
ad Frage 19 (D.A): „Was ist der Grund, warum
der Firma zoe solutions die Verwaltung der BIFIE-Daten
entzogen und die Firma Kapsch BusinessCom damit beauftragt wurde?“
Ihre Antwort: „Aufgrund eines Gutachtens eines
gerichtlich beeideten IT-Sachverständigen unter Ausübung der
Redepflicht des Wirtschaftsprüfers beim Jahresabschluss 2011 des BIFIE
wurden gravierende Mängel bei der von zoe solutions zu verantwortenden IT-
Plattform festgestellt. Anschließend wurde vom BIFIE umgehend die
Sanierung veranlasst.“
a) Welche Mängel wurden auf der
IT-Plattform konstatiert?
b) Was konkret wurde wie und von wem „saniert“?
8)
Der Standard schreibt am 1.3.2014: „Es ging ins neue Jahr – ohne Antwort aus Klagenfurt mit konkreten
Hinweisen auf ein Leck. Also formulierten Wiesner und Netzer am 4. Februar wieder
Post an Zoe Solutions-CEO Stefan Fekonja. Dessen Frau war eine Zeitlang
Mitarbeiterin am Bifie Wien, das die IKM betreute. Dieses Dienstverhältnis
wurde nach Lucyshyns Abgang, als intern bekannt wurde, dass sie auch
Gesellschafterin der Zoe Solutions, die die IKM-Daten verwalten sollte, ist,
beendet. Unvereinbar, sagten interne Kritiker.“
Inwieweit waren die hier genannten personellen Verstrickungen ausschlaggebend
für die Vertragsauflösung mit der Fa. zoe solutions?
9)
ad Frage 21 (D.A): „Nach
welchen Kriterien erfolgte die Entscheidung, die Fa. Kapsch BusinessCom mit der
Verwaltung der BIFIE-Daten zu beauftragen?“
Wo wurde die Ausschreibung verlautbart und wie lautete der
Ausschreibungstext?
10) ad Frage 22 (D.A): „Welche Kosten werden
durch den Wechsel des IT-Dienstleisters verursacht?“
Wodurch genau wurden die von Ihnen angegebenen Kosten von 390.000.- verursacht
und an wen wurden sie überwiesen?
11) ad Frage 23 (D.A): „Werden Sie hinsichtlich dieser Kosten
gegenüber dem bisherigen Dienstleister Schadenersatzansprüche geltend
machen?“
Ihre Antwort: „Diese Frage wird vom BIFIE noch
geprüft.“
Wann genau sind die oben genannten Kosten von 390.000.- fällig geworden?
12)
ad Frage 24 (D.A):
„Wurde seit dem Wechsel zur Firma Kapsch BusinessCom von einem Organ des
BIFIE jemals ins Auge gefasst, die Sicherheit der Datenverwaltung einer
Überprüfung zu unterziehen?
a) Wenn nein, warum nicht?
b) Wenn ja, von welchem Organ?
c) Wenn ja, hat es diese Überprüfung gegeben?
d) Wenn ja, wann war diese
und von wem wurde sie mit welchem Ergebnis durchgeführt?“
Ihre Antwort: „Wie mir berichtet wurde, hat der Aufsichtsrat des BIFIE im
Herbst 2013 die Direktoren angewiesen, für eine Überprüfung der
Datensicherheit zu sorgen. Entsprechende Vorarbeiten wurden geleistet. Die
große, unabhängige, umfassende Überprüfung der
Datensicherheit wird nun vom BMBF, von meinem Ressort, direkt
beauftragt.“
a) Welche konkreten Schritte zur Überprüfung wurden ab der Beauftragung im Herbst gesetzt?
b) Was haben die Überprüfungen ergeben?
13) Entspricht es den Tatsachen, dass das Direktorium des BIFIE bereits im September 2013 dem Aufsichtsrat einen Plan zur Überprüfung der IT-Sicherheit vorgelegt hat und dieser vorrangig von Vertretern des BMUKK mit Hinweis auf die zu hohen Kosten von geschätzten 400.000,- € abgelehnt wurde und erst im Februar 2014 ein Angebot mit deutlich reduzierten Kosten von geschätzten 200.000,- € angenommen wurde?
a) Wenn ja, was sind die Unterschiede in der Leistungsbeschreibung der beiden Angebote?
b) Was ist der Unterschied in der Leistungsbeschreibung zwischen der von Ihnen im März 2014 angeordneten Überprüfung und der vom Aufsichtsrat des BIFIE im Februar beschlossenen?
14) ad Frage 25 (D.A): „Was waren die
Beweggründe für die Auslagerung der Daten der Informellen
Kompetenzmessung an die Firma Kapsch BusinessCom?“
Ihre Antwort: „Laut BIFIE handelte es sich um eine
Störungsanfälligkeit der Plattform von zoe solutions. Das BIFIE
verfügte nicht über
den Quellcode – heißt: keinen Zugriff auf die Datenbank.“
Bedeutet das, dass MitarbeiterInnen des BIFIE keinen Zugriff auf die von zoe
solutions verwalteten Daten hatten?
Falls ja, bedeutet das, dass die MitarbeiterInnen des BIFIE keinerlei
(rechtmäßigen) Zugriff auf die dann von zoe solutions an die Fa.
Kapsch übertragenen Daten hatten?
15) ad Frage 26 (D.A): „Welche vertraglichen
Vereinbarungen wurden mit der Firma Zoe Solutions und der Firma Kapsch
BusinessCom bezüglich Datensicherheit getroffen und wie
sehen die Vereinbarungen im Schadensfall – wie er nun eingetreten
ist – aus?“
Wir ersuchen neuerlich um Beantwortung dieser Frage!
16) ad Frage 30 (D.A): „Was ist der Grund
dafür, dass Sie im Zusammenhang mit den „Standardtestungen“
die Option, die Tests durchzuführen und die Daten nicht sofort, sondern
erst nach garantierter Datensicherheit zu digitalisieren und auszuwerten, nicht
in Betracht gezogen haben?“
Sie
schließen eine Durchführung der Feldtestungen für PISA mit
„Papier und Bleistift“ mit dem Argument aus: „Zudem wurde mir berichtet, dass sich das Ressort vor einem Jahr –
das hatte ich auch schon erwähnt – entschlossen hatte, auf
elektronische Überprüfungen für PISA umzusteigen.“
Heißt dies, dass Beschlüsse, die vor einem Jahr gefällt worden
sind, unumstößlich sind, auch wenn sie sich, wie im vorliegenden
Fall, als nicht praktikabel erweisen?
17) ad Frage 31 (D.A): „Ist bei der OECD angefragt worden, ob die
Feldtests und die Hauptuntersuchung für PISA 2015 wie bisher als
„Papier und Bleistift“-Test durchgeführt werden kann?
a) Wenn nein, warum nicht?
b) Wenn ja, welche Antwort gab es seitens der OECD?“
Wir ersuchen neuerlich um Beantwortung dieser Frage!
18) ad Frage 32 (D.A): „Sie lehnten das Angebot
des Instituts für Erziehungswissenschaft an der Universität Salzburg,
die Tests durchzuführen, mit dem Argument ab: ‚Es wäre
unseriös, jetzt eine Datenschnittstelle zu schaffen und das einem externen
Institut anzuvertrauen.‘ Welche Daten wären durch die
Datenschnittstelle konkret betroffen?“
Ihre Antwort: „Alle erhobenen
Daten wären von einer Datenschnittstelle betroffen. Ich denke, sowohl die
Antworten der SchülerInnen als auch die Inhalte der Kontextfragebögen
wären somit durch das Transferieren unsicher geworden. Dieser Unsicherheit
konnte ich nicht mit dem Ja zu einer anderen Überprüfung
stattgeben.“
a) Ist es richtig, dass bei einem Feldtest mit etwa 1.000
SchülerInnen und etwa 30 Schulen (Zahlen 2008) alle (!) beim BIFIE liegenden
Daten betroffen wären?
b) Gibt es konkrete Hinweise, dass die von Ihnen oben genannten Daten
betroffen sind oder entspricht dies den tatsächlichen Gegebenheiten?
19) ad Frage 33 (D.A): „Haben Sie konkrete Anhaltspunkte, den Server
der Universität Salzburg und/oder die MitarbeiterInnen des Instituts
für Erziehungswissenschaften für nicht vertrauenswürdig zu
halten? Wenn ja, warum?“
Wir ersuchen neuerlich um Beantwortung dieser Frage!
20) ad Frage 35 (D.A.): „Die Ergebnisse aus der
letzten E8-Testung zeigten, dass SchülerInnen der NMS im
österreichischen Durchschnitt (mit Ausnahme Wien) zum Teil signifikant
schlechtere Resultate aufwiesen als jene von Hauptschulen. Aus einer
Einzeltestung (in einem Fach) können nun bekanntermaßen keine
endgültigen Aussagen über die Ursachen dieser Problematik getroffen
werden. Die für Mai geplante D8-Testung haben Sie jedoch ebenfalls
abgesagt. Welche konkreten Evaluierungsmaßnahmen werden Sie nun zeitnah
setzen, um die Ursachen für dieses unbefriedigende Resultat zu
eruieren?“
Ihre
Antwort: „Dennoch hat es die Neue Mittelschule
geschafft, mit der neuen Lernkultur diese Kinder signifikant besser zu
fördern. Der Mädchen-Burschen-Unterschied ist geringer als in der
Hauptschule. Migrationshintergrund
oder nicht: Wenn hier der soziale Status ausgeschlossen, weggedacht wird, gibt
es quasi keinen Unterschied beim Erlernen einer Fremdsprache sprich Englisch.
Auch der Leistungsunterschied zwischen Schülerinnen und Schülern aus
bildungsfernen Familien und Schülerinnen und Schülern aus
bildungsnahen Familien ist in der Neuen Mittelschule wesentlich kleiner als in
der Hauptschule.“
a) Woraus konkret (bitte um Nennung der genauen Quelle) schließen Sie
Ihre Aussagen?
b) Wie können Sie Leistungen messen, wenn Sie den sozialen Status
„wegdenken“?
21) ad Frage 36 (D.A.): „Haben Sie sich in Ihrer
Entscheidung, die Standardtestungen für 2014/2015 abzusagen, von
außenstehenden ExpertInnen beraten lassen?
a) Wenn nein, warum nicht?
b) Wenn ja, von wem konkret und wer davon hat die Absage für richtig
erachtet?“
Ihre Antwort: „Die
ursprünglich kommunizierte Testpause – ich hatte sie angesprochen
– für 2015 wurde selbstverständlich mit den Direktoren, mit
ExpertInnen abgesprochen.“
Wir ersuchen erneut um Beantwortung dieser Frage!
22) ad Frage 38 (D.A.): „Sie werden in diversen
Medien damit zitiert, dass Sie die Testpause dafür nützen wollen zu
überprüfen, an welchen Studien Österreich zukünftig
überhaupt noch teilnehmen wolle. Haben Sie einen Hinweis darauf, dass
Überprüfungen stattgefunden haben, auf die Österreich ohne
nachhaltigen Schaden verzichten kann?
a. Falls nein, worauf begründet sich die
Überprüfungsabsicht?
b. Falls ja, welche Überprüfungen sind dies
konkret?“
a) Auf welche Studien könnte aus Ihrer Sicht
verzichtet werden beziehungsweise bei welchen Studien haben Sie Zweifel an der
Sinnhaftigkeit?
b) Aus welchen konkreten Fakten begründet sich Ihre Absicht zu
überprüfen, an welchen Studien Österreich überhaupt noch
teilnehmen werde?
23) ad Frage 41 (D.A.): „Wie hoch sind die
Kosten für die nun angeordneten Überprüfungen der
Datensicherheit durch externe Firmen/Institutionen?“
Sie haben die Kosten für die Überprüfung der Datensicherheit
für die Zentralmatura durch TÜV Austria mit 59.000.- € beziffert.
Welche Kosten entstehen für die nun angekündigte
„große“ Überprüfung?
24) ad Frage 42 (D.A.): „Sollten die
Überprüfungen zum Ergebnis führen, dass die Datensicherheit in der
Vergangenheit nicht nach dem bestmöglichen Standard gewährleistet
war: Wer konkret haftet für den finanziellen Schaden, der nun der Republik
Österreich entstanden ist?“
a) Welchen Zusammenhang gibt es für den
potentiellen (!) Fall, dass die Überprüfungen zum Ergebnis
führen sollten, dass die Datensicherheit in der
Vergangenheit
nicht nach dem bestmöglichen Standard gewährleistet war und unserer
daraus folgenden Frage, wer im Schadensfall haftet und Ihrem Hinweis, „Die laufenden Ermittlungen sind noch nicht abgeschlossen. Daher kann
ich keine Aussage dazu
tätigen.“?
b) Gibt es hierfür vertraglich festgelegte Regelungen?
c) Wenn ja, wie lauten diese?
25) ad Frage 44 (D.A.): „In der Pressestunde am 16.3.2014 meinten
Sie: ‚ ...und es wird noch eine große Prüfung demnächst
passieren, und die wird über Monate dauern.‘“
In Ihrer Anfragebeantwortung erläuterten Sie, dass die
Überprüfung bis zum Jahresende dauern würde, was über das
geläufige Verständnis von „ein paar Monaten“ deutlich
hinausgeht. Haben sich zwischen dem 16.3. und dem 18.3. neue Tatsachen ergeben,
sodass Sie den von Ihnen avisierten Zeithorizont erweitern mussten?
26) ad Frage 45 (D.A.): „Wie Sie selbst gemeint
haben, ist eine ordnungsgemäße Durchführung der ‚Zentralmatura‘
nicht gefährdet. Dies begründen Sie damit, dass im Ernstfall
Ersatzfragen zur Verfügung stünden. Sind diese Ersatzfragen bereits
ausgearbeitet?
a) Wenn nein, warum nicht?
b) Wenn ja, wie können Sie hier garantieren, dass diese Fragen
sicher gelagert sind, wenn Sie dies gleichzeitig bei allen anderen Daten nicht
können?“
Sie meinten, die Fragen für die Zentralmatura seien
nicht am BIFIE-Server gelagert. Auf welchem Server liegen diese Fragen?
27) ad Frage 52 (D.A.): „Gab es seitens der OECD – etwa durch den PISA-Koordinator Andreas Schleicher – in Sachen „Rettung der PISA-Testung in Österreich“ Kontaktaufnahme mit Ihnen?
a) Wenn ja, durch wen?
b) Wenn ja, welche Position hat die OECD eingenommen?“
Sie sagen, es hätte Kontakte seitens MitarbeiterInnen Ihres Kabinetts mit
der OECD gegeben. Welche Position hat die OECD bzgl. Stopp der Testungen in
diesen Gesprächen eingenommen?
28) ad Frage 53 (D.A.): „Haben Sie von sich aus versucht, mit der
OECD und speziell mit PISA-Koordinator Andreas Schleicher in Kontakt zu treten
und eine Lösung der Problematik zu finden, um die PISA-Testungen
durchführen zu können, nachdem dieser erklärt hat, dass die OECD
alles tun werde, um Österreich bei der Durchführung zu
unterstützen?
a) Wenn nein, warum nicht?
b) Wenn ja, zu welchem Zeitpunkt und mit welcher Ansprechperson?
c) Wenn ja, was waren die Ergebnisse dieser Kontaktaufnahme?“
Wir ersuchen erneut um Beantwortung dieser Frage!
29) ad Frage 55 (D.A.): „Wenn ja, hat es seitens
der OECD unabhängig von einer allfälligen Kontaktaufnahme durch Sie
Vorschläge für eine ordnungsgemäße und datensichere
Durchführung der PISA-Studie gegeben?“
Sie
antworteten, das sei Ihnen „bis dato nicht
bekannt“.
a) Heißt dies, dass Sie zum damaligen Zeitpunkt nicht wussten, ob
die OECD derartige Vorschläge gemacht hat?
b) Ist Ihnen zum jetzigen Zeitpunkt bekannt, ob die OECD entsprechende
Vorschläge gemacht hat?
30) Mit welchen Arbeiten werden die MitarbeiterInnen des BIFIE betraut werden, wenn mit dem Teststopp zumindest in der nächsten Zeit wesentliche Aufgabenbereiche des BIFIE ersatzlos wegfallen werden?