1143/AB XXV. GP
Eingelangt am 27.05.2014
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind
möglich.
BM für Bildung und Frauen
Anfragebeantwortung
|
|
|
|
|
|
|
Frau Präsidentin des Nationalrates Mag. Barbara Prammer Parlament 1017 Wien
|
Wien, 27. Mai 2014
Die schriftliche parlamentarische Anfrage Nr. 1221/J-NR/2014 betreffend Beantwortung der dringlichen Anfrage zu einem angeblichen "Datenleck" im BIFIE und der Absage sämtlicher nationaler und internationaler Bildungsstandardtestungen vom 18.3.2014 (1055/J), die die Abg. Dr. Harald Walser, Kolleginnen und Kollegen am 27. März 2014 an mich richteten, wird wie folgt beantwortet:
Zu Frage 1:
Die Sektion I hat eine genaue Bestandsaufnahme des Ablaufs der Datenproblematik erarbeitet (wann wurde wer, wie, informiert, wie wurde reagiert; welche Schritte wurden seitens des Ministeriums und des Bundesinstituts für Bildungsforschung, Innovation und Entwicklung des österreichischen Schulwesens seit 18. Dezember 2013 gesetzt) sowie ferner geklärt, wie sich die Situation hinsichtlich der Durchführung von Erhebungen von nationalen und internationalen Assessments Ende Februar 2014 darstellte. Die Sektion I verfügt über keine Möglichkeiten selbst eine entsprechende technische Prüfung des Bundesinstituts für Bildungsforschung, Innovation und Entwicklung des österreichischen Schulwesens (BIFIE) vorzunehmen. Die Ergebnisse dieser Recherchen wurden dann von mir bei meiner Bewertung der Situation, neben der Einbeziehung der Expertise des BIFIE, herangezogen. Weiters wurden seitens der Sektion I wesentliche Personen und Institutionen, die mit den geplanten Erhebungen (PISA, Bildungstandards) befasst waren, zeitnah über die Entwicklungen informiert.
Seitens der Sektion III wurde unter dem Aspekt des Datenschutzrechts umgehend eine Stellungnahme vom BIFIE angefordert. Diese Stellungnahme seitens des BIFIE ging am 15. Jänner 2014 im Bundesministerium ein, in ihr stellten die Direktoren dar, welche Schritte sie bereits in der Angelegenheit unternommen hatten und weiters planen.
Zu Fragen 2 und 26:
Zu den angesprochenen Ersatz-Aufgabenpakten wird bemerkt, dass mit deren Ausarbeitung Lehrerinnen und Lehrern befasst waren, die bereits zuvor in die Erarbeitung der Aufgabenstellungen für die standardisierte Reifeprüfung einbezogen waren und dabei eng mit dem BIFIE kooperiert haben. Das Bundesministerium für Bildung und Frauen hätte sohin über Ersatz-Aufgaben sowie über entsprechende Expertise und Erfahrung zur Erstellung der Aufgaben verfügt. Bereits fertig gestellte und jederzeit zu verwendende Aufgabenpakete lagen jedoch nicht auf Servern des Bundesministeriums für Bildung und Frauen. Die Option einer zentralen Zurverfügungstellung von Ersatz-Aufgaben wurde zum damaligen Zeitpunkt angedacht, jedoch musste davon nicht Gebrauch gemacht werden, zumal die Überprüfung der Sicherheit der vom BIFIE durchgeführten standardisierten Reifeprüfung durch den TÜV positiv abgeschlossen werden konnte.
Zu Frage 3:
Nach den vorliegenden Informationen wurde im Rahmen der in Rede stehenden Sitzung jeweils von mehreren Aufsichtsratsmitgliedern betont, dass eine Fortführung der Kernaufgaben des BIFIE „unter der Voraussetzung der Datensicherheit“ wünschenswert erscheint. Auch kündigte der in der Fragestellung namentlich genannte Herr Sektionschef Nekula bereits in dieser Sitzung eine „Überprüfung der Datensicherheit durch BMBF“ an.
Ferner wird darauf hingewiesen, dass es vor dem Hintergrund der Zuständigkeit des Aufsichtsrates gemäß § 11 Abs. 6 und ergänzend Abs. 9 BIFIE-Gesetz 2008 nicht Aufgabe des Aufsichtsrates ist Position zu den Entscheidungen der Ressortleitung zu beziehen. Der in Rede stehende Beschluss kann daher nur so verstanden werden, dass sich der Aufsichtsrat die Fortführung der angesprochenen Arbeiten unter der Voraussetzung wünscht, dass dem Datenschutzrecht ausreichend Rechnung getragen wird. Damit stellt sich keines der Aufsichtsratsmitglieder in Widerspruch zu Maßnahmen, die bei der Ausübung der staatlichen Aufsicht (§ 24 BIFIE-Gesetz 2008) getroffen wurden.
Zu Frage 4:
Es wurde aus dem Kabinett der Frau Bundesministerin mit der Bildungsdirektion der OECD sowie über die österreichische Botschaft bei der OECD in Paris über den Stand kommuniziert. Ein endgültiges Ergebnis der Gespräche lag zum Zeitpunkt der Anfragestellung nicht vor.
Zu Frage 5:
Der Datenschutz ist ein Grundrecht. Daher ist ein vorläufiger Teststopp bis zur Verschaffung eines endgültigen Überblicks selbst dann legitim, wenn die bislang durchgeführten Erhebungen auf keine Verstöße gegen den Datenschutz hinweisen, zumal es Hinweise auf kriminelle Handlungen gegeben hat, sodass die Bundeskriminalpolizei aufgrund einer Sachverhaltsdarstellung der BIFIE-Direktoren Ermittlungen aufgenommen hat. Im Rahmen meiner politischen Verantwortung strebe ich höchstmögliche Sicherheit bezüglich des Datenschutzes an, ehe Vorhaben wieder aufgenommen werden.
Zu Frage 6:
Eingangs wird auf die Ausführungen im Rahmen der Beantwortung der Parlamentarischen Anfrage Nr. 868/J-NR/2014 hingewiesen. Seitens des BIFIE und des Bundesministeriums konnte und musste davon ausgegangen werden, dass die Firma Zoe Solutions GmbH als Vertragspartner des BIFIE, ebenso wie Kapsch BusinessCom AG, alle einschlägigen datenschutzrechtlichen Verpflichtungen einhält. Im Zuge der seit 25. Februar 2014 laufenden Ermittlungen stellte sich heraus, dass die Datensicherheit möglicherweise in Folge krimineller Handlungen nicht gegeben war.
Zu Frage 7:
Nach den vorliegenden Informationen haben die gravierenden Mängel die iiEFS-Plattformen der Firma Zoe Solutions GmbH betroffen: Die Plattform wurde sowohl für die Informelle Kompetenzmessung (IKM) als auch für die Entwicklung der Aufgaben für die Standardisierte kompetenzorientierte Reife- und Diplomprüfung (SRDP) eingesetzt. Beide Plattformen liefen in der Verantwortung der Firma Zoe Solutions GmbH und es wurden in zwei getrennten Gutachten 2012 schwere Mängel in der Leistungsfähigkeit der Hardware und in der Ausfallsicherheit festgestellt. Aus Sicht des Zustandes der Strom- und Netzwerk-Verkabelung wurde ua. hinsichtlich äußerst mangelhafter Montage und Beschriftung eine eindeutige und grobe Abweichung von Rechenzentrums-Standards festgestellt. Auf Basis der in den Gutachten beschriebenen Beobachtungen wurde ein potentiell hoher Grad der Gefährdung eines stabilen und sicheren Betriebes der physischen Infrastruktur der SRDP- und IKM-Plattformen festgestellt.
Auch der Wirtschaftsprüfer beschäftigte sich nach den vorliegenden Informationen intensiv mit der Beauftragung der Firma Zoe Solutions GmbH. In einer Besprechung mit der damaligen stellvertretenden Vorsitzenden des Aufsichtsrates sowie mit den Direktoren des BIFIE kam der Wirtschaftsprüfer im Mai 2013 zu dem Schluss: „Keine weiteren Beauftragungen mehr an ZOE wegen ernsthafter qualitativer Bedenken und intransparenter Vertragskonstruktionen“.
Nach den vorliegenden Informationen konnte die Firma Zoe Solutions GmbH die festgestellten Mängel nur teilweise beheben. Das BIFIE musste deshalb auch eigene Maßnahme zur Absicherung treffen. Daher wurde entschieden, dass beide Plattformen im Auftrag des BIFIE neu entwickelt werden und die iiEFS-Plattformen ersetzen sollen. Es wurde die schnellstmögliche Beendigung der Zusammenarbeit mit Zoe Solutions GmbH angestrebt.
Zu Frage 8:
Nach den vorliegenden Informationen war die in der Fragestellung Genannte Gesellschafterin von Zoe Solutions GmbH und gleichzeitig am Zentrum Wien des BIFIE beschäftigt. In ihrer Funktion betreute die Genannte die iiEFS-Plattformen im BIFIE. Da es sich bei iiEFS um ein lizenzpflichtige Applikation handelte, welche auf Betreiben des BIFIE und vor allem mit BIFIE-Know-How weiterentwickelt wurde, war sie vor allem auch in die Abklärung von Aufträgen an die eigene Firma involviert. Die personelle Verstrickung war ebenfalls ein wesentlicher Bestandteil der Auflösung des Vertragsverhältnisses mit der Genannten.
Zu Frage 9:
Die Firma Kapsch BusinessCom AG wurde mit der Neuprogrammierung einer Plattform für die IKM beauftragt, da sich der Dienstleister bei einer Ausschreibung zu einer anderen Plattform des BIFIE zuvor beteiligt hatte, sodass mit der Bezugnahme auf eine Ausschreibung im Rahmen der mündlichen Beantwortung vom 18. März 2014 angenommen wurde, dass ein Zusammenhang mit der Beauftragung zur Neuprogrammierung einer Plattform für die IKM bestand. Das BIFIE hat aufgrund des positiven Auffallens des Dienstleisters im Zuge der Beteiligung zuvor um ein Angebot zur Neuprogrammierung der IKM-Plattform aufgefordert. Eine neuerliche Ausschreibung seitens des BIFIE war vergaberechtlich nicht geboten.
Zu Frage 10:
Nach den vorliegenden Informationen belaufen sich die Kosten von 2009 bis 2013, die durch das Betreiben der iiEFS-Plattform für IKM als ein Lizenzprodukt durch die Firma Zoe Solutions GmbH angefallen sind, auf EUR 259.370. Die Kosten der iiEFS-Plattform als Lizenzprodukt für die Aufgabenentwicklung für die SRDP in den Fächern Mathematik und Deutsch belaufen sich ab 2009 bis 2013 für das BIFIE auf EUR 129.155. Beide Verträge zum Lizenzprodukt iiEFS wurden durch den mit Ende März 2012 abberufenen Direktor des BIFIE abgeschlossen. Durch die Neuprogrammierung ergibt sich eine Ersparnis für das BIFIE durch den Wegfall der regelmäßigen Lizenzgebühren und Wartungskosten an die Firma Zoe Solutions GmbH.
Zu Frage 11:
Nach den vorliegenden Informationen handelte sich bei den iiEFS-Plattformen um ein Lizenzprodukt von Zoe Solutions GmbH, das gegen Bezahlung genutzt wurde und bei dem die Zusammenarbeit schließlich aufgrund gravierender Qualitätsmängel eingestellt wurde. Die Kosten für Betriebsführung und Wartung der Zoe-Solutions-Plattformen sind regelmäßig im laufenden Vertragsverhältnis im Zeitraum 2009 bis 2013 angefallen, die Lizenzen wurden jährlich bzw. halbjährlich bezahlt.
Zu Frage 12:
Die Firma Kapsch BusinessCom AG hat als Dienstleister des BIFIE nach den vorliegenden Informationen ein sogenanntes „Non-Disclosure-Agreement“ (NDA) sowohl für den Datenschutz als auch für die Datensicherheit unterzeichnet. Die Firma Kapsch BusinessCom AG erhielt lediglich eine Datenbank mit alten „Daten“ für Verifikationszwecke und diese wurde in die neu programmierte Applikation/Plattform nicht eingespielt. Die Applikation ist eine komplette Neuentwicklung durch die Firma Kapsch BusinessCom AG mit einer neuen, effizienten und skalierbaren Datenbankstruktur. Eine Überprüfung des Dienstleisters bezüglich Datenverwaltung war aus dieser Sicht nicht notwendig.
Gleichzeitig hat nach den vorliegenden Informationen das Direktorium gemeinsam mit dem Aufsichtsrat des BIFIE eine größere Datensicherheitsprüfung aller im BIFIE eingesetzten Plattformen sowie der internen IT-Infrastruktur bereits im Herbst 2013 konkret erörtert. Bis Februar 2014 wurde ein Audit-Plan erstellt sowie die Möglichkeit der Vergabe des Audits an die Firma TÜV mittels Bundesbeschaffung GmbH abgeklärt. Der Abruf wäre aus einer Rahmenvereinbarung der Bundesbeschaffung GmbH möglich. Auf Basis des Audit-Plans hätten nach Februar 2014 konkrete Angebote der Firma TÜV eingeholt werden sollen. Dazu kam es dann nicht mehr, da in Folge direkt durch das Bundesministerium für Bildung und Frauen Überprüfungen angeordnet wurden.
Zu Frage 13:
Nach den vorliegenden Informationen liegt der Unterschied der 2013 im Aufsichtsrat des BIFIE überlegten Varianten in der Leistungsbeschreibung darin, dass die erste Variante um rund EUR 400.000 eine Überprüfung aller IT-Systeme des BIFIE beinhaltet hat und die Variante um rund EUR 200.000 speziell eine Überprüfung der SRDP darstellt, wodurch selbstverständlich durch viele Überschneidungen gleichzeitig Synergien angefallen wären und auch große Teile des IT-Systems der Bildungsstandards mit überprüft worden wären. Weitere Überprüfungen wären dann in das Jahr 2015 verlagert worden, sodass die angesprochene „Leistungsreduktion“ eigentlich eine Aufteilung der Überprüfung in das Jahr 2014 und 2015 betroffen hätte.
Die nunmehrige angeordnete Überprüfung soll sich stärker auf potentielle Probleme im Umgang mit Daten, wie sie durch die seit dem 25. Februar 2014 aufgetretene Datenproblematik aufgekommen sind, konzentrieren. Ein weiterer Unterschied ist, dass die Auftraggebereigenschaft dieser Überprüfung (also auch Prozesssteuerung, Berichtslegung usw.) nun direkt beim Bundesministerium für Bildung und Frauen gelegen sein wird.
Zu Frage 14:
Nach den vorliegenden Informationen sind die iiEFS-Applikationen Lizenzprodukte, der Quellcode der Applikation ist durch Zoe Solutions verschlüsselt, auch die Schnittstelle zur Datenbank. Der Quellcode war dem BIFIE nicht bekannt. In Folge dessen konnte das BIFIE die Daten einsehen, hatte jedoch keinen Zugriff auf die Datenstruktur.
Zu Frage 15:
Nach den vorliegenden Informationen ist bezüglich der Firma Kapsch BusinessCom AG im Rahmen des sogenannten „Non-Disclosure-Agreement“ (NDA) festgehalten, dass „der Auftragnehmer … gegenüber dem BIFIE durch missbräuchliche oder grob fahrlässige Verwendung der Informationen entstandene Schäden und Folgeschäden, wie z.B. durch Rechtsverletzungen im Sinne des Datenschutzes.“ haftet.
Für die Firma Zoe Solutions GmbH ist nach den vorliegenden Informationen keine derartige vertragliche Vereinbarung vorgelegen. Jedenfalls gilt auch hier § 11 DSG 2000 – Pflichten des Dienstleisters.
Zu Frage 16:
Prinzipiell werden Beschlüsse nicht als unumstößlich erachtet, wenn sich ihre Anwendung als nicht praktikabel erweisen; im Fall von PISA 2015 war aber nach der Priorität der Datensicherheit zu entscheiden.
Zu Frage 17:
Anlassfall für den Stopp aller Erhebungen waren die Probleme bezüglich der Datensicherheit. Da auch im Fall, dass Schülerinnen und Schüler ihre Antworten zu den Testaufgaben und den Kontexterhebungen auf Papier geben, im Zuge der Aufarbeiten der Daten diese sehr rasch elektronisch erfasst werden müssen, stellt sich die Frage der Datensicherheit in IT-Systemen erneut. Eine diesbezügliche Anfrage an die OECD hätte an diesen Umständen nichts geändert.
Zu Frage 18:
In welcher Form das BIFIE Daten abspeichert und sichert, ist Gegenstand einer aktuell laufenden Prüfung und kann daher hier nicht angegeben werden.
Zu Frage 19:
Die Anforderungen der erforderlichen Arbeitsschritte und des Zeitplans einer PISA-Erhebung sind bekannt, und daher erschien es zum damaligen Zeitpunkt als äußerst unrealistisch, dass alle erforderlichen Arbeitsschritte unter Wahrung der erforderlichen Datensicherheit in kurzer Zeit nachgeholt werden können.
Zu Frage 20:
Zunächst wird auf die im Bundesergebnisbericht zur Standardüberprüfung Englisch 8, 2013 (S. 51) und in den Landesergebnisberichten E 8, 2013 publizierte Ergebnisse hingewiesen. Mit dem zitierten „Wegdenken“ des sozialen Status ist ein Leistungsvergleich von jeweils Gruppen mit gleichem Sozialstatus vermeint. Jugendliche mit Migrationshintergrund schneiden in Englisch im Schnitt etwa gleich gut ab wie Jugendliche ohne Migrationshintergrund, wenn diese jeweils den gleichen Sozialstatus aufweisen (vgl. den Bundesergebnisbericht Englisch 8 – 2013, abrufbar unter https://www.bifie.at/system/files/dl/01_BiSt-E_E8_2013_Bundesergebnisbericht_gesamt.pdf).
Zu Frage 21:
Die Neukonzeption der Bildungsstandard-Überprüfung sah einen fünfjährigen Zyklus vor – mit einer Überprüfungspause im Jahr 2015, um den neuen Zyklus einleiten zu können. Diese Neukonzeption wurde mit dem Direktorium des BIFIE vereinbart und vom wissenschaftlichen Beirat des BIFIE besprochen und für die Schul- und Unterrichtsentwicklung als zweckmäßig erachtet. Auch stehe ich nicht zuletzt in diesen Fragen in direktem Kontakt mit dem wissenschaftlichen Beirat des BIFIE.
Zu Frage 22:
Es ist zu früh, Ergebnisse von Beratungen bekannt zu geben, bevor diese vorliegen.
Zu Frage 23:
Die Kosten für die umfassende Gesamtprüfung stehen noch nicht fest, werden aber möglichst kostenschonend über die Bundesbeschaffung GmbH abgewickelt. Es ist eine Größenordnung zwischen EUR 250.000 und EUR 350.000 zu erwarten.
Zu Frage 24:
Zunächst muss ein finanzieller Schaden für die Republik Österreich entstanden sein. Ergibt die Überprüfung, dass beim BIFIE in Bezug auf die Datensicherheit nachgerüstet werden muss, sind die aus diesem Grund notwendigen Ausgaben kein Schaden, sondern erforderliche Investitionen in die Infrastruktur.
Ist tatsächlich ein finanzieller Schaden eingetreten, haftet der, der den Schaden schuldhaft verursacht hat. Die Frage des Verschuldens muss allenfalls gerichtlich nach genauer Prüfung des Sachverhalts geklärt werden. Das geschieht sowohl vor dem Hintergrund vertraglicher Bestimmungen als auch der einschlägigen vertragsrechtlichen Regelungen. Sollte schuldhaftes Handeln vorliegen, kommen bei Schäden aufgrund datenschutzrechtlicher Verstöße in erster Linie der Auftraggeber bzw. der/die Dienstleister in Betracht. Auch Verschuldensteilung kann vorliegen.
Auf die Ausführungen zu Frage 15 betreffend sogenanntes „Non-Disclosure-Agreement“ (NDA) mit der Firma Kapsch BusinessCom AG und § 11 DSG 2000 – Pflichten des Dienstleisters bezüglich der Firma Zoe Solutions GmbH darf hingewiesen werden.