16020/J XXIV. GP
Eingelangt am 25.09.2013
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind
möglich.
Anfrage
der Abgeordneten Peter Pilz, Freundinnen und Freunde an die Bundesministerin für Inneres
betreffend SAP Systeme im BMI
In den vergangenen Jahren wurden im öffentlichen Bereich eine Reihe von SAP-Anwendungen eingeführt. SAP ist eine Software zur Abwicklung von Geschäftsprozessen wie zB Buchführung, Controlling, Einkauf, Produktion, Lagerhaltung und Personalwesen. Für die jeweiligen Bereiche gibt es jeweils eigene Module. Neben der Haushaltsverwaltungssoftware HV-SAP wurde insbesondere auch die Personalverwaltung in den Bundesministerien auf das System PM-SAP umgestellt.
Der Umstellungsprozess erfolgte dabei gegenüber den Personalvertretungen in vielen Fällen intransparent. Es ist nicht erkennbar, welche Benutzer Zugriff auf die Daten der öffentlich Bediensteten haben, und wie zum Beispiel Personal in sensiblen Bereichen etwa bei Polizei und Bundesheer hinsichtlich persönlicher Daten geschützt werden soll.
Bedenken bestehen hier insbesondere deshalb, da SAP auch die Speicherung von Daten in externen Datenzentren anbietet, und Unklarheit über das Ausmaß der Inanspruchnahme derartiger Praktiken bei den Anwendungen im öffentlichen Bereich herrscht. Der NSA Skandal hat die Risiken externer Speicherung sensibler Daten aufgezeigt.
Die unterfertigenden Abgeordneten stellen daher folgende
1) In welchen Tätigkeitsbereichen des Bundesministeriums für Inneres wurden welche Systeme/Module eingeführt bzw. werden noch eingeführt werden?
2) Können die Systeme/Module miteinander vernetzt werden?
3) Können die Systeme/Module über Ministeriengrenzen hinaus vernetzt/abgefragt werden?
4) Können die Systeme/Module und Datenbestände aus dem Ausland abgefragt werden?
5) Werden externe Datenspeicher zur Verwaltung, Sicherung oder Auslagerung der Datenbestände verwendet?
6) Falls ja: wo befinden sich diese externen Datenspeicher und wer betreibt sie?
7) Gibt es eine Verbindung zwischen den Datenspeichersystemen und dem Internet?
8) Wenn ja, wofür wird diese Verbindung benötigt und wie ist sie (z. B. gegen Hackerangriffe) abgesichert?
9) Wie sieht der Schutz von MitarbeiterInnen und deren Daten in besonders sensiblen Bereich aus? Das sind zB im Bereich des Innenministeriums die Mitarbeiter von BVT und LVTs, verdeckte Fahnder, Einsatzkommando Cobra, oder WEGA.
10) Gibt es weitere Bereiche, in denen besonders schutzwürdige MitarbeiterInnen beschäftigt sind und für die besondere Schutzvorkehrungen getroffen wurden?
11) Wenn ja, welche und welchen Schutz gibt es für sie?
12) Gibt es eine Melderoutine bzw. Protokollierungspflichten bei Zugriff auf Daten von Personen, die besonders schutzwürdig sind?
13) Gibt es eine Melderoutine bzw. Protokollierungspflichten bei Zugriff auf Daten der anderen Personenkreise?
14) Wenn Buchungen von Dienstreisen über den Stammportal-Zugang getätigt werden, wer hat Zugriff auf die Buchungsdaten (Reisewege, Reisezeiten, Aufenthalte etc.) bzw. die Abrechnungen?
15) Welche und wie viele Personen/Personenkreise dürfen Datenabfragen aufgeschlüsselt nach Bereichen bzw. aufgeschlüsselt nach Inland und Ausland durchführen?
16) Welche Art von Abfragen dürfen diese durchführen?
17) Welche unterschiedlichen Abfrageberechtigungen gibt es?
18) Wer kontrolliert diese Berechtigungen auf Notwendigkeit/Aktualität?
19) Wie werden Abfrageberechtigte sicherheitsmäßig überprüft?
20) Wer führt diese Überprüfungen in welchen Abständen und in welcher Tiefe durch?
21) Wo lagern die jeweiligen Datenbestände der Dienststellen oder anderen Organisationseinheiten des BMI (zB ausgegliederte Betriebe mit hoheitlichen Aufgaben bzw. Beamten, VB, BundesdienstnehmerInnen) (Einerseits im Inland und andererseits im Ausland?)
22) Wie sind diese Daten vor einem Zugriff vor Ort geschützt?
23) Wie sieht der Meldeweg eines unbefugten Zugriffs aus?
24) Welche Maßnahmen sind für den Fall eines unbefugten Zugriffs vorgesehen?
25) Welche Daten/-sätze werden von welchen Dienststellen/ anderen Organisationseinheiten (auch Ausgegliederte, Outgesourcte...) eingespielt/eingespeichert bzw. abgefragt?
26) Welche Daten/-sätze sind zum Betrieb der Systeme/Module unbedingt notwendig?
27) Welche Daten/-sätze werden darüber hinaus gesammelt und gespeichert?
28) Zu welchem Zweck werden diese darüberhinausgehenden Daten/-sätze gesammelt?
29) Wann und in welcher Form wurden die ArbeitnehmerInnenvertreterInnen bei Einführung der Speicherung der Daten/-sätze eingebunden bzw. deren Zustimmung eingeholt?
30) Welche Berechtigungen erhalten die ArbeitnehmerInnenvertreter (Betriebsrat, Personalvertretungen, Dienststellenausschüsse)?
31) Gibt es eine Liste der Reports, deren Aufruf NICHT protokolliert wird?
32) Bestehen im Rahmen der Zeiterfassungsfunktionalität Verknüpfungen etwa zu automationsunterstützten Zutrittssystemen (zB Berechtigungskarten etc.), welche Rückschlüsse auf die Arbeitsleistung erlauben und wenn ja auf welcher Rechtsgrundlage beruhen diese?
33) Welche Gesamtkosten hat die Einführung der SAP Systeme bisher verursacht?
34) Welche Kostenersparnis ist mit der Einführung der SAP Systeme verbunden?
35) Welche Kontroll- und Evaluierungsmechanismen wurden vorgesehen, um die Wirksamkeit und Effizienz der eingeführten SAP Systeme und Module zu überprüfen?