1221/J XXV. GP

Eingelangt am 27.03.2014
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind möglich.

Anfrage

der Abgeordneten Dr. Harald Walser, Freundinnen und Freunde an die Bundesministerin für Bildung und Frauen

betreffend Beantwortung der dringlichen Anfrage zu einem angeblichen „Datenleck“ im BIFIE und der Absage sämtlicher nationaler und internationaler Bildungsstandardtestungen vom 18.3.2014 (1055/J)

BEGRÜNDUNG

In der Nationalratssitzung am 18.3.2014 haben Sie die oben genannte Dringliche Anfrage beantwortet. Auf einige Fragen haben Sie jedoch nur unvollständige oder gar keine Antworten gegeben bzw. haben sich aus der Beantwortung weitere Fragen ergeben.

Die unterfertigenden Abgeordneten stellen daher folgende

ANFRAGE

1) ad Frage 4 (Dringliche Anfrage 1055/J, im Folgenden D.A.): „Welche Personen und Einrichtungen wurden von Ihnen zu welchem Zeitpunkt über das Problem informiert?“ Ihre Antwort lautete: „Es wurde den zuständigen Sektionen I und III überantwortet, diese Überprüfung zu machen.“

Was konkret haben die beiden Sektionen überprüft und zu welchem Ergebnis haben die Überprüfungen geführt?

2) ad Frage 6 (D.A.): „In welcher Form und auf welcher Rechtsgrundlage haben Sie dafür gesorgt, dass das BIFIE die vorgesehenen Testungen sowie die Durchführung der „Zentralmatura“ in den kommenden Monaten nicht durchführt?“

Ihre Antwort: „Und: Die Prüfung der Datensicherheit bezüglich der standardisierten Reifeprüfung läuft. Ich hatte es schon erwähnt: Wir erwarten

Ende nächster Woche das Ergebnis. Die Aufgabenpakete stehen auf jeden Fall zur Verfügung, die bei uns im Ressort mit Experten/Expertinnen auch erarbeitet wurden.“

Welche Aufgabenpakete wurden von wem in Ihrem Ressort erarbeitet? Welche Aufgabenpakete wurden von den von Ihnen zu Frage 46 in der D.A. genannten Expertinnen und Experten erarbeitet?

3) ad Frage 8 (D.A.): „Stimmt die Meldung der Tageszeitung „Die Presse“ vom 17.3.2014, dass der Aufsichtsrat des BIFIE in einem Sonderaufsichtsrat am 6.März einstimmig beschlossen hat, dass das Bildungsinstitut „die gesetzlichen Kernaufgaben im beschlossenen Umfang und Zeitplan unter der Voraussetzung der Datensicherung durchzuführen“ habe und somit die Tests in geplanter Form weiterzuführen sind?“

Da sich der Aufsichtsrat einstimmig für die Fortführung der Testungen ausgesprochen hat, haben mit dem stellvertretenden Sektionschef Mag. August Kern und Sektionschef Kurt Nekula auch zwei für die Angelegenheiten des BIFIE federführend befasste Beamte Ihres Ministeriums für die Fortführung der Testungen gestimmt. Heißt dies, dass Ihre Entscheidung im Widerspruch zu den Empfehlungen Ihrer direkt mit dem BIFIE befassten Mitarbeitern steht?

4) ad Frage 9 (D.A.): „Die OECD-Direktorin für Bildungswesen und Chefin der weltweiten PISA-Testungen, Barbara Ischinger, wird am 14.3.2014 in der Tageszeitung „Kurier“ wie folgt zitiert: „Wir stehen in Kontakt mit Wien. Und gehen davon aus, dass man alle Probleme, die es derzeit gibt, rechtzeitig beheben kann, damit der PISA-Test 2015 auch in Österreich durchgeführt werden kann. Hat es Kontakt mit Ihnen oder MitarbeiterInnen Ihres Ministeriums gegeben? Wenn ja, was waren die Ergebnisse?“

Wir ersuchen neuerlich um Beantwortung dieser Frage!

5) ad Frage 12/13 (D.A.): „Ist es korrekt, dass sich aus den ungesicherten Daten am rumänischen Entwicklungsserver ausschließlich die Mail-Adressen der Lehrer/innen und Schulleiter/innen, mit denen sich diese im Zeitraum von 25. März 2011 bis 30. Dezember 2012 auf der Plattform zur Informellen Kompetenzmessung angemeldet haben, auslesen lassen?“

Sie bestätigen in Ihrer Antwort, dass sich am rumänischen Testserver nicht mehr als die Mail-Adressen der LehrerInnen auslesen ließen. Was bewog Sie dazu, aufgrund dessen den Teststopp zu verhängen und diesen aufrecht zu halten, obwohl es keinerlei Anhaltspunkte gab und gibt, dass weitere Daten betroffen waren beziehungsweise sind, und obwohl die betroffenen Daten von der Fa. Kapsch selbst auf den Server gestellt und somit nicht entwendet wurden?

6) ad Frage 18 (D.A): „Welche Erklärung gibt es dafür, dass die Firma zoe solutions Kenntnis von diesem „Datenleck“ haben konnte?“

Ihre Antwort: „Ja, so wurde es mir gesagt, noch von Kapsch – das können wir dann noch einmal besprechen –, als dieser Server offline gestellt wurde. Das heißt nicht, dass wir je zu diesen Daten Sicherheit hatten.“

Was konkret bedeutet diese Aussage?
a) Bedeutet dies, dass die Daten nie sicher waren?
b) Wenn ja, was ist unter „diese Daten“ konkret gemeint?

7) ad Frage 19 (D.A): „Was ist der Grund, warum der Firma zoe solutions die Verwaltung der BIFIE-Daten entzogen und die Firma Kapsch BusinessCom damit beauftragt wurde?“

Ihre Antwort: „Aufgrund eines Gutachtens eines gerichtlich beeideten IT-Sachverständigen unter Ausübung der Redepflicht des Wirtschaftsprüfers beim Jahresabschluss 2011 des BIFIE wurden gravierende Mängel bei der von zoe solutions zu verantwortenden IT- Plattform festgestellt. Anschließend wurde vom BIFIE umgehend die Sanierung veranlasst.“

a) Welche Mängel wurden auf der IT-Plattform konstatiert?
b) Was konkret wurde wie und von wem „saniert“?

8) Der Standard schreibt am 1.3.2014: „Es ging ins neue Jahr – ohne Antwort aus Klagenfurt mit konkreten Hinweisen auf ein Leck. Also formulierten Wiesner und Netzer am 4. Februar wieder Post an Zoe Solutions-CEO Stefan Fekonja. Dessen Frau war eine Zeitlang Mitarbeiterin am Bifie Wien, das die IKM betreute. Dieses Dienstverhältnis wurde nach Lucyshyns Abgang, als intern bekannt wurde, dass sie auch Gesellschafterin der Zoe Solutions, die die IKM-Daten verwalten sollte, ist, beendet. Unvereinbar, sagten interne Kritiker.“

Inwieweit waren die hier genannten personellen Verstrickungen ausschlaggebend für die Vertragsauflösung mit der Fa. zoe solutions?

9) ad Frage 21 (D.A): „Nach welchen Kriterien erfolgte die Entscheidung, die Fa. Kapsch BusinessCom mit der Verwaltung der BIFIE-Daten zu beauftragen?“

Wo wurde die Ausschreibung verlautbart und wie lautete der Ausschreibungstext?

10) ad Frage 22 (D.A): „Welche Kosten werden durch den Wechsel des IT-Dienstleisters verursacht?“

Wodurch genau wurden die von Ihnen angegebenen Kosten von 390.000.- verursacht und an wen wurden sie überwiesen?

11) ad Frage 23 (D.A): „Werden Sie hinsichtlich dieser Kosten gegenüber dem bisherigen Dienstleister Schadenersatzansprüche geltend machen?“

Ihre Antwort: „Diese Frage wird vom BIFIE noch geprüft.“

Wann genau sind die oben genannten Kosten von 390.000.- fällig geworden?

12) ad Frage 24 (D.A): „Wurde seit dem Wechsel zur Firma Kapsch BusinessCom von einem Organ des BIFIE jemals ins Auge gefasst, die Sicherheit der Datenverwaltung einer Überprüfung zu unterziehen?
a) Wenn nein, warum nicht?
b) Wenn ja, von welchem Organ?
c) Wenn ja, hat es diese Überprüfung gegeben?

d) Wenn ja, wann war diese und von wem wurde sie mit welchem Ergebnis durchgeführt?“

Ihre Antwort: „Wie mir berichtet wurde, hat der Aufsichtsrat des BIFIE im Herbst 2013 die Direktoren angewiesen, für eine Überprüfung der Datensicherheit zu sorgen. Entsprechende Vorarbeiten wurden geleistet. Die große, unabhängige, umfassende Überprüfung der Datensicherheit wird nun vom BMBF, von meinem Ressort, direkt beauftragt.“

a) Welche konkreten Schritte zur Überprüfung wurden ab der Beauftragung im Herbst gesetzt?

b) Was haben die Überprüfungen ergeben?

13) Entspricht es den Tatsachen, dass das Direktorium des BIFIE bereits im September 2013 dem Aufsichtsrat einen Plan zur Überprüfung der IT-Sicherheit vorgelegt hat und dieser vorrangig von Vertretern des BMUKK mit Hinweis auf die zu hohen Kosten von geschätzten 400.000,- € abgelehnt wurde und erst im Februar 2014 ein Angebot mit deutlich reduzierten Kosten von geschätzten 200.000,- € angenommen wurde?

a) Wenn ja, was sind die Unterschiede in der Leistungsbeschreibung der beiden Angebote?

b) Was ist der Unterschied in der Leistungsbeschreibung zwischen der von Ihnen im März 2014 angeordneten Überprüfung und der vom Aufsichtsrat des BIFIE im Februar beschlossenen?

14) ad Frage 25 (D.A): „Was waren die Beweggründe für die Auslagerung der Daten der Informellen Kompetenzmessung an die Firma Kapsch BusinessCom?“

Ihre Antwort: „Laut BIFIE handelte es sich um eine Störungsanfälligkeit der Plattform von zoe solutions. Das BIFIE verfügte nicht über den Quellcode – heißt: keinen Zugriff auf die Datenbank.“

Bedeutet das, dass MitarbeiterInnen des BIFIE keinen Zugriff auf die von zoe solutions verwalteten Daten hatten?
Falls ja, bedeutet das, dass die MitarbeiterInnen des BIFIE keinerlei (rechtmäßigen) Zugriff auf die dann von zoe solutions an die Fa. Kapsch übertragenen Daten hatten?

15) ad Frage 26 (D.A): „Welche vertraglichen Vereinbarungen wurden mit der Firma Zoe Solutions und der Firma Kapsch BusinessCom bezüglich Datensicherheit getroffen und wie sehen die Vereinbarungen im Schadensfall – wie er nun eingetreten ist – aus?“

Wir ersuchen neuerlich um Beantwortung dieser Frage!

16) ad Frage 30 (D.A): „Was ist der Grund dafür, dass Sie im Zusammenhang mit den „Standardtestungen“ die Option, die Tests durchzuführen und die Daten nicht sofort, sondern erst nach garantierter Datensicherheit zu digitalisieren und auszuwerten, nicht in Betracht gezogen haben?“

Sie schließen eine Durchführung der Feldtestungen für PISA mit „Papier und Bleistift“ mit dem Argument aus: „Zudem wurde mir berichtet, dass sich das Ressort vor einem Jahr – das hatte ich auch schon erwähnt – entschlossen hatte, auf elektronische Überprüfungen für PISA umzusteigen.“

Heißt dies, dass Beschlüsse, die vor einem Jahr gefällt worden sind, unumstößlich sind, auch wenn sie sich, wie im vorliegenden Fall, als nicht praktikabel erweisen?

17) ad Frage 31 (D.A): „Ist bei der OECD angefragt worden, ob die Feldtests und die Hauptuntersuchung für PISA 2015 wie bisher als „Papier und Bleistift“-Test durchgeführt werden kann?
a) Wenn nein, warum nicht?
b) Wenn ja, welche Antwort gab es seitens der OECD?“

Wir ersuchen neuerlich um Beantwortung dieser Frage!

18) ad Frage 32 (D.A): „Sie lehnten das Angebot des Instituts für Erziehungswissenschaft an der Universität Salzburg, die Tests durchzuführen, mit dem Argument ab: ‚Es wäre unseriös, jetzt eine Datenschnittstelle zu schaffen und das einem externen Institut anzuvertrauen.‘ Welche Daten wären durch die Datenschnittstelle konkret betroffen?“

Ihre Antwort: „Alle erhobenen Daten wären von einer Datenschnittstelle betroffen. Ich denke, sowohl die Antworten der SchülerInnen als auch die Inhalte der Kontextfragebögen wären somit durch das Transferieren unsicher geworden. Dieser Unsicherheit konnte ich nicht mit dem Ja zu einer anderen Überprüfung stattgeben.“

a) Ist es richtig, dass bei einem Feldtest mit etwa 1.000 SchülerInnen und etwa 30 Schulen (Zahlen 2008) alle (!) beim BIFIE liegenden Daten betroffen wären?
b) Gibt es konkrete Hinweise, dass die von Ihnen oben genannten Daten betroffen sind oder entspricht dies den tatsächlichen Gegebenheiten?

19) ad Frage 33 (D.A): „Haben Sie konkrete Anhaltspunkte, den Server der Universität Salzburg und/oder die MitarbeiterInnen des Instituts für Erziehungswissenschaften für nicht vertrauenswürdig zu halten? Wenn ja, warum?“

Wir ersuchen neuerlich um Beantwortung dieser Frage!

20) ad Frage 35 (D.A.): „Die Ergebnisse aus der letzten E8-Testung zeigten, dass SchülerInnen der NMS im österreichischen Durchschnitt (mit Ausnahme Wien) zum Teil signifikant schlechtere Resultate aufwiesen als jene von Hauptschulen. Aus einer Einzeltestung (in einem Fach) können nun bekanntermaßen keine endgültigen Aussagen über die Ursachen dieser Problematik getroffen werden. Die für Mai geplante D8-Testung haben Sie jedoch ebenfalls abgesagt. Welche konkreten Evaluierungsmaßnahmen werden Sie nun zeitnah setzen, um die Ursachen für dieses unbefriedigende Resultat zu eruieren?“

Ihre Antwort: „Dennoch hat es die Neue Mittelschule geschafft, mit der neuen Lernkultur diese Kinder signifikant besser zu fördern. Der Mädchen-Burschen-Unterschied ist geringer als in der Hauptschule. Migrationshintergrund oder nicht: Wenn hier der soziale Status ausgeschlossen, weggedacht wird, gibt es quasi keinen Unterschied beim Erlernen einer Fremdsprache sprich Englisch. Auch der Leistungsunterschied zwischen Schülerinnen und Schülern aus bildungsfernen Familien und Schülerinnen und Schülern aus bildungsnahen Familien ist in der Neuen Mittelschule wesentlich kleiner als in der Hauptschule.“

a) Woraus konkret (bitte um Nennung der genauen Quelle) schließen Sie Ihre Aussagen?
b) Wie können Sie Leistungen messen, wenn Sie den sozialen Status „wegdenken“?

21) ad Frage 36 (D.A.): „Haben Sie sich in Ihrer Entscheidung, die Standardtestungen für 2014/2015 abzusagen, von außenstehenden ExpertInnen beraten lassen?
a) Wenn nein, warum nicht?
b) Wenn ja, von wem konkret und wer davon hat die Absage für richtig erachtet?“

Ihre Antwort: „Die ursprünglich kommunizierte Testpause – ich hatte sie angesprochen – für 2015 wurde selbstverständlich mit den Direktoren, mit ExpertInnen abgesprochen.“

Wir ersuchen erneut um Beantwortung dieser Frage!

22) ad Frage 38 (D.A.): „Sie werden in diversen Medien damit zitiert, dass Sie die Testpause dafür nützen wollen zu überprüfen, an welchen Studien Österreich zukünftig überhaupt noch teilnehmen wolle. Haben Sie einen Hinweis darauf, dass Überprüfungen stattgefunden haben, auf die Österreich ohne nachhaltigen Schaden verzichten kann?
a. Falls nein, worauf begründet sich die Überprüfungsabsicht?
b. Falls ja, welche Überprüfungen sind dies konkret?“

a) Auf welche Studien könnte aus Ihrer Sicht verzichtet werden beziehungsweise bei welchen Studien haben Sie Zweifel an der Sinnhaftigkeit?
b) Aus welchen konkreten Fakten begründet sich Ihre Absicht zu überprüfen, an welchen Studien Österreich überhaupt noch teilnehmen werde?

23) ad Frage 41 (D.A.): „Wie hoch sind die Kosten für die nun angeordneten Überprüfungen der Datensicherheit durch externe Firmen/Institutionen?“

Sie haben die Kosten für die Überprüfung der Datensicherheit für die Zentralmatura durch TÜV Austria mit 59.000.- € beziffert. Welche Kosten entstehen für die nun angekündigte „große“ Überprüfung?

24) ad Frage 42 (D.A.): „Sollten die Überprüfungen zum Ergebnis führen, dass die Datensicherheit in der Vergangenheit nicht nach dem bestmöglichen Standard gewährleistet war: Wer konkret haftet für den finanziellen Schaden, der nun der Republik Österreich entstanden ist?“

a) Welchen Zusammenhang gibt es für den potentiellen (!) Fall, dass die Überprüfungen zum Ergebnis führen sollten, dass die Datensicherheit in der

Vergangenheit nicht nach dem bestmöglichen Standard gewährleistet war und unserer daraus folgenden Frage, wer im Schadensfall haftet und Ihrem Hinweis, „Die laufenden Ermittlungen sind noch nicht abgeschlossen. Daher kann ich keine Aussage dazu tätigen.“?
b) Gibt es hierfür vertraglich festgelegte Regelungen?
c) Wenn ja, wie lauten diese?

25) ad Frage 44 (D.A.): „In der Pressestunde am 16.3.2014 meinten Sie: ‚ ...und es wird noch eine große Prüfung demnächst passieren, und die wird über Monate dauern.‘“

In Ihrer Anfragebeantwortung erläuterten Sie, dass die Überprüfung bis zum Jahresende dauern würde, was über das geläufige Verständnis von „ein paar Monaten“ deutlich hinausgeht. Haben sich zwischen dem 16.3. und dem 18.3. neue Tatsachen ergeben, sodass Sie den von Ihnen avisierten Zeithorizont erweitern mussten?

26) ad Frage 45 (D.A.): „Wie Sie selbst gemeint haben, ist eine ordnungsgemäße Durchführung der ‚Zentralmatura‘ nicht gefährdet. Dies begründen Sie damit, dass im Ernstfall Ersatzfragen zur Verfügung stünden. Sind diese Ersatzfragen bereits ausgearbeitet?
a) Wenn nein, warum nicht?
b) Wenn ja, wie können Sie hier garantieren, dass diese Fragen sicher gelagert sind, wenn Sie dies gleichzeitig bei allen anderen Daten nicht können?“

Sie meinten, die Fragen für die Zentralmatura seien nicht am BIFIE-Server gelagert. Auf welchem Server liegen diese Fragen?

27) ad Frage 52 (D.A.): „Gab es seitens der OECD – etwa durch den PISA-Koordinator Andreas Schleicher – in Sachen „Rettung der PISA-Testung in Österreich“ Kontaktaufnahme mit Ihnen?

a) Wenn ja, durch wen?

b) Wenn ja, welche Position hat die OECD eingenommen?“

Sie sagen, es hätte Kontakte seitens MitarbeiterInnen Ihres Kabinetts mit der OECD gegeben. Welche Position hat die OECD bzgl. Stopp der Testungen in diesen Gesprächen eingenommen?

28) ad Frage 53 (D.A.): „Haben Sie von sich aus versucht, mit der OECD und speziell mit PISA-Koordinator Andreas Schleicher in Kontakt zu treten und eine Lösung der Problematik zu finden, um die PISA-Testungen durchführen zu können, nachdem dieser erklärt hat, dass die OECD alles tun werde, um Österreich bei der Durchführung zu unterstützen?
a) Wenn nein, warum nicht?
b) Wenn ja, zu welchem Zeitpunkt und mit welcher Ansprechperson?
c) Wenn ja, was waren die Ergebnisse dieser Kontaktaufnahme?“

Wir ersuchen erneut um Beantwortung dieser Frage!

29) ad Frage 55 (D.A.): „Wenn ja, hat es seitens der OECD unabhängig von einer allfälligen Kontaktaufnahme durch Sie Vorschläge für eine ordnungsgemäße und datensichere Durchführung der PISA-Studie gegeben?“