b) Besprechung gemäß 21 Abs. 3 GO Abghs Realisierung von Cloud-Computing im Land Berlin (auf Antrag der Fraktion Bündnis 90/Die Grünen)

Transkript

1 Plenar- und Ausschussdienst Wortprotokoll Öffentliche Sitzung Ausschuss für Digitale Verwaltung, Datenschutz und Informationsfreiheit 16. Sitzung Beginn: Schluss: Vorsitz: Uhr Uhr Alexander Morlang (PIRATEN) Punkt 1 der Tagesordnung Siehe Inhaltsprotokoll. Aktuelle Viertelstunde Punkt 2 der Tagesordnung a) Vorlage zur Kenntnisnahme Drucksache 17/0435 Stellungnahme des Senats zum Bericht des Berliner Beauftragten für Datenschutz und Informationsfreiheit für das Jahr 2011 (auf Antrag der Fraktion Bündnis 90/Die Grünen und der Fraktion Die Linke) hier: Cloud-Computing (S. 35 ff., Ziff. 2.1) (Besprechung nach Vereinbarung aller Fraktionen) b) Besprechung gemäß 21 Abs. 3 GO Abghs Realisierung von Cloud-Computing im Land Berlin (auf Antrag der Fraktion Bündnis 90/Die Grünen) 0055 ITDat 0011 ITDat Redaktion: Dr. W. Burger, Tel bzw. quer

2 Seite 2 Wortprotokoll ITDat 17/16 c) Besprechung gemäß 21 Abs. 3 GO Abghs Cloud-Computing im Land Berlin und im Bund (auf Antrag der Fraktion der SPD und der Fraktion der CDU) 0051 ITDat Hierzu: Anhörung Vorsitzender Alexander Morlang: Zur Anhörung wurden folgende Personen eingeladen: Herr Kandziora vom ITDZ Berlin, Herr Best, hier als Netzaktivist geführt, und Herr Adam von der KDAB GmbH. Herzlich willkommen! Kann auf die Begründung des Besprechungsbedarfs zu 2 a verzichtet werden? Ich höre keinen Widerspruch. Dann verfahren wir so. Dann kommen wir zur Begründung des Besprechungsbedarfs zu 2 b durch die Fraktion Bündnis 90/Die Grünen. Vorher will ich den Anzuhörenden noch mitteilen: Wir haben, wie Sie sicherlich mitgekriegt haben, einen Stream. Das sage ich Ihnen, damit Sie es wissen. Es wäre schön, wenn Sie vor Ihren Redebeiträgen Ihren Namen noch mal laut und deutlich sagen, damit auch die nicht im Raum anwesenden Zuhörer und das Protokoll das gut mitkriegen. Wir kommen zur Begründung des Besprechungsbedarfs durch die Fraktion Bündnis 90/Die Grünen. Wer möchte? Herr Birk, Sie haben das Wort! Thomas Birk (GRÜNE): Wir konnten zur Kenntnis nehmen, dass mindestens seit 2010 das ITDZ im Bunde mit dem Land Berlin eine Private Cloud plant und es jetzt auch eine entsprechende Ausschreibung gegeben hat. Wir wollen heute die Anhörung nutzen, um zu beginnen, viele Fragen, die sich da für uns auftun, zu klären. Wir haben vorher auch den Fragenkatalog an alle Fraktionen verschickt genauso wie an Herrn Kandziora, der uns heute insbesondere sicher einiges an Informationen geben wird. Uns interessiert natürlich alles rund um die Frage der Finanzierung, inwieweit das ITDZ und/oder auch Partner hier in Vorleistung gehen. Wir interessieren uns für die Einbindung in die weiteren Projekte wie Ausweitung von E-Government und das Projekt E-Akte und auch für die aus unserer Sicht wünschenswerte Einbindung in eine Open-Source-Strategie, soweit sie in dem Fall vorhanden ist. Wir möchten gern wissen, inwieweit es die Kooperation mit der lokalen mittelständischen Wirtschaft gibt. Uns drängte sich allerdings auch ein Stück weit der Eindruck auf, dass es sich hier um ein SAP-Projekt handeln könnte. Und wir würden gern wissen, inwieweit die Kunden im Vorhinein eingebunden worden sind, insbesondere die Bezirke, denn schließlich wird hier eine größere Investition getätigt, die sich amortisieren soll, und das Ganze soll ja dann schließlich auch genutzt werden. Insofern sind wir sehr daran interessiert zu erfahren, inwieweit in die Testphase auch die Kunden eingebunden worden sind, wie weit ihre Anregungen dann auch Berücksichtigung fanden und welche Modifikationen aus dieser Einbindung resultierten. Schließlich: Weil wir ja auch den Datenschutzbeauftragten hier haben und den Datenschutzbericht einbeziehen, wollen wir gern wissen, inwieweit die Hinweise, die er hier gegeben hat, insbesondere zum Landesdatenschutzgesetz, berücksichtigt werden. Es gibt ja auch eine Handreichung, eine Orientierungshilfe vom Bund und den Ländern zu Cloud-Computing, die sicher auch als Grundlage der Überlegungen hier im Land Berlin gedient hat. Es sind ja teilweise auch Textbausteine wiederfindbar in der Vorlage, die wir dankenswerterweise vorher

3 Seite 3 Wortprotokoll ITDat 17/16 vom ITDZ bekommen haben. Wir werden noch viele Fragen anschließen, aber das reicht vielleicht zur Einführung. Danke! Vorsitzender Alexander Morlang: Gut! Jetzt bitte ich um die Begründung des Besprechungsbedarfs zu 2 c durch die Koalition. Wer macht es? Herr Kohlmeier! Sven Kohlmeier (SPD): Ich will es relativ kurz machen. Wir haben dieses Thema nicht nur angemeldet, weil der Datenschutzbeauftragte mit seinem Datenschutzbereicht dazu Stellung nimmt, sondern weil es ein Thema ist, das sowohl das Land Berlin als auch die Wirtschaftsunternehmen betreffen wird. Wir sehen hier zum einen einen Wirtschaftsfaktor für die Unternehmen, die Cloud-Computing anbieten, aber auf der anderen Seite auch die Schwierigkeiten, die hinsichtlich des Datenschutzes damit verbunden sind, insbesondere dann, wenn die Clouds nicht unter europäisches oder deutsches Datenschutzrecht fallen, weil sie außerhalb Europas gelagert oder gehostet werden. Deshalb ist es für uns als Koalition hier wenn ich es so sagen darf ein erster Aufschlag, sich für dieses Thema fitzumachen auch dank unserer Experten, die heute da sind und sich die Vor- und Nachteile darstellen zu lassen und dann in eine Diskussion zu kommen: Was wollen wir im Land Berlin konkret, und mit welchen Chancen und Risiken ist das verbunden? Vorsitzender Alexander Morlang: Vielen Dank! Wird die Anfertigung eines Wortprotokolls gewünscht? Ich sehe, das ist der Fall. Dann gibt es ein Wortprotokoll. Herr Kandziora hat am 1. November 2012 eine schriftliche Stellungnahme eingereicht, die Ihnen am selben Tag per übersandt worden ist. Die Fraktion Bündnis 90/Die Grünen hat einige Fragen für die Anhörung vorab dem Ausschussbüro zugesandt, die allen Beteiligten am 2. November per Mail zur Verfügung gestellt wurden. Wir kommen jetzt zur Anhörung. Ich schlage vor, wir fangen mit Herrn Kandziora an. Konrad Kandziora (ITDZ Berlin): Mein Name ist Konrad Kandziora. Ich komme vom ITDZ Berlin und bin dort Vorstand. Ich möchte zunächst einige Ausführungen zur Ausgangssituation machen. Das ITDZ Berlin schreibt zurzeit einen Rahmenvertrag für eine integrierte Cloud-Betriebsumgebung aus. Vorteil dieser Lösung ist, dass die Cloud-Computing- Infrastruktur skalierbar sein wird, das heißt, dass wir sie sukzessive aufbauen werden. Nach den Bedarfen, die im Land Berlin entstehen, wollen wir hier mit einer Startkonfiguration anfangen, nachdem wir die Ausschreibung abgeschlossen haben. Das wird Anfang 2013, im ersten Halbjahr, sein. Wir denken, dass wir damit die Möglichkeiten haben, eine effiziente Betriebsumgebung zu schaffen, die uns zunächst die Bündelung der Infrastruktur, die wir in Berlin benötigen, in dieser Cloud-Umgebung zur Verfügung stellt. Was meine ich damit? Das sind zunächst die Server, die wir in diese Cloud-Umgebung integrieren, das werden die Netzkomponenten sein, und es werden die Speicher sein. Das heißt also, der erste Schritt wird die Bereitstellung dieser Infrastruktur sein in einer Cloud- Umgebung, die wir aus Sicht des ITDZ dringend benötigen, um die Serverkonsolidierung, die wir in Berlin sehr intensiv begonnen haben, in dieser Cloud wiederzufinden. Wie soll die Cloud im Land Berlin finanziert werden? Das ITDZ Berlin beabsichtigt, diese Cloud vorzufinanzieren. Wir haben im Wirtschaftsplan 2012 und in der Anmeldung 2013

4 Seite 4 Wortprotokoll ITDat 17/16 Mittel eingestellt, und wir beabsichtigen, diese Vorfinanzierung über die laufenden Betriebskosten der folgenden Jahre über die jeweiligen Nutzer zu refinanzieren. Wie erfolgt die Integration in E-Governmentprojekte, z. B. die E-Akte? Wir haben die Planung, dass wir E-Governmentprojekte, also Dienste, in dieser Cloud entwickeln und aufbauen werden. Ein schönes Beispiel dafür ist ein Projekt, das wir in einem Wettbewerb beim Bund gewonnen haben mit Partnern aus Berlin, wo wir uns darum beworben haben, eine Anwendung für eine Cloud-Entwicklung von der Anwendungsseite her in den nächsten drei Jahren zu entwickeln. Wir haben dort Fördermittel in der Größenordnung von knapp 3 Millionen Euro bekommen, die wir einsetzen, um eine Cloud-Anwendungslösung in Berlin aufzubauen.

5 Seite 5 Wortprotokoll ITDat 17/16 Hinsichtlich der Kooperation mit der lokalen mittelständischen Wirtschaft: Wir haben die Cloud-Ausschreibung europaweit realisiert, das heißt also, jeder konnte sich auf diese Ausschreibung bewerben. Dort ist also Wettbewerb integriert worden. Beim Thema Anwendungsentwicklung mit diesem Bundesförderprogramm haben wir Firmen aus der Berliner Wirtschaft an unserer Seite. Wir haben die Wissenschaft ganz stark eingebunden, auch Fraunhofer ist in dieses Projekt integriert, das wir gemeinsam durchführen unter der Bedingung, dass wir mittelstandsfreundliche Vergabe in Berlin realisieren. Wir haben von Anfang an die Berliner Behörden, Bezirke und Einrichtungen eingebunden. Das heißt, es ist in Berlin Ende 2010, Anfang 2011 eine Testinstallation im ITDZ zur Verfügung gestellt worden. In diese Testinstallation konnten sich Nutzer aus der Berliner Verwaltung einwählen und dort erste Cloud-Versuche unternehmen, sich also Server, Speicher usw. zuordnen. Wir haben aus diesen praktischen Erfahrungen die entsprechenden Schlussfolgerungen für die Ausschreibung, für die Pflichtenhefte gezogen. Das heißt, dass auch die Rahmenbedingungen aus den Erfahrungen, die wir 2010 und 2011 gemacht haben, in die Ausschreibungsunterlagen miteingeflossen sind. Es gibt seit gut anderthalb Jahren in allen Veranstaltungen, die das ITDZ durchführt, eine breite Information der Senats- und Bezirksverwaltungen, der Kolleginnen und Kollegen, in welchen Schritten wir dort vorgehen wollen und warum diese Cloud aus unserer Sicht notwendig ist, warum es notwendig ist, sich vorzubereiten auf diesen Schritt der Zentralisierung von Technik, insbesondere auf die Thematiken Server, Speicher und Netze. Zum Thema Datenschutz: Da haben wir uns ganz eng an den Bericht des Datenschutzbeauftragten des Landes Berlin angelehnt. Das heißt also, wir werden keine öffentliche, sondern eine geschlossene Cloud im Land Berlin aufbauen, die Zugang zum Berliner Landesnetz hat das ja einen Hochsicherheitsstatus hat, mit den Rechenzentren, die wir im ITDZ Berlin zur Verfügung stellen. Die Vorgaben hinsichtlich des Datenschutzes haben in der Vorbereitung der Infrastrukturkonzepte, der Betriebsführungskonzepte, der Sicherheitskonzepte, des Datensicherungskonzeptes dieser Cloud Einfluss genommen und sind Rahmenbedingungen, die sich in den Pflichtenheften, die wir für die Ausschreibung vorbereitet haben, wiedergefunden haben. Unsere Erfahrung, die bisher in dieser Ausschreibung erzielt wurde, ist, dass wir Anbieter haben, die uns solch ein System mit den Sicherheitsanforderungen, die wir für eine private Cloud für Berlin benötigen, zur Verfügung stellen. Ich gehe davon aus, dass wir mit den Angeboten, die bei uns im Haus zurzeit bearbeitet werden, noch in diesem Jahr einen Zuschlag erteilen werden, um Anfang kommenden Jahres solch ein System in Berlin zur Verfügung zu stellen, um die Nutzung von Infrastruktur in dieser Cloud zu ermöglichen. Vorsitzender Alexander Morlang: Vielen Dank! Dann bitte ich Herrn Adam um seine Stellungnahme. Till Adam (KDAB GmbH): Guten Tag! Mein Name ist Till Adam. Ich bin Geschäftsführer der KDAB. Wir sind ein kleiner, aber international tätiger Softwaredienstleister. Erst mal vielen Dank für die Einladung! Grundsätzlich bin ich persönlich und sind wahrscheinlich auch weite Teile der IT-Industrie in der Stadt, für die ich mir nicht anmaße zu sprechen von der Idee begeistert. Eine Private Cloud für Berlin macht Sinn. Ich gehe von einer Definition von

6 Seite 6 Wortprotokoll ITDat 17/16 Cloud Cloud-Computing ist ein sehr schwammiger Begriff aus, die sehr allgemein ist, also ein zentralisierter, virtualisierter, flexibilisierter und skalierbarer, wie wir gerade gehört haben, IT-Infrastrukturbetrieb. Ich denke, das deckt sich ungefähr mit dem, was das ITDZ als Definitionsbasis nimmt. Man kann wohlwollend erwarten, dass eine Verbesserung der Infrastrukturflexibilität und die Einführung von vereinheitlichten Schnittstellen dazu führt, dass kleinere und lokale Anbieter von IT-Dienstleistungen wie wir z. B. eher in der Lage sind, diese Nischenkompetenzen sinnvoll anzubieten, auch z. B. durch Bündelung überhaupt erst wirtschaftlich sinnvoll umzusetzen und an den Mann zu bringen in die einzelnen Verwaltungen. Zwei Aspekte würde ich gern unterstreichen, die wichtig sind, damit sich diese Hoffnung erfüllen kann. Das eine ist: Die Technologien und Standards, die dort eingesetzt werden, müssen so weit wie möglich offen und interoperabel gestaltet werden. Nur wenn diese Schnittstellen zum Zugriff auf die Infrastruktur dokumentiert sind, produkt- und herstellerunabhängig sind, ist es kleinen Anbietern aus der Stadt und der Region überhaupt möglich, da wirtschaftlich sinnvolle Angebote zu machen und diese Infrastruktur zu nutzen. Das ist hoffentlich keine kontroverse Forderung und im Zusammenhang mit der ganzen Open-Data-Debatte und -Initiative in der Stadt hoffentlich sowieso Thema und hoffentlich auch nicht schwierig. Der andere Punkt ist vielleicht etwas kontroverser. Wir würden als kleines Berliner IT- Unternehmen dringend den Einsatz von freier Software manche sagen auch Open Source empfehlen, und zwar so weit wie möglich. Das hat abstrakte, allgemeine Vorteile die möchte ich nicht auswalzen, das ist, denke ich, schon zur Genüge passiert in Bezug auf Qualitätssicherheit, Unabhängigkeit usw. Aber mir ist wirtschaftspolitisch und als Unternehmer in Berlin wichtig, dass durch den Einsatz von freier Software oder Open Source insbesondere Hürden beseitigt werden, die es Unternehmen wie uns sonst unmöglich machen, sinnvoll mitzuspielen. Wenn eine Lösung dergestalt aufgebaut wird, dass wir erst mal Lizenzgebühren in der Größenordnung unseres Jahresumsatzes bezahlen müssen, um überhaupt sinnvoll entwickeln zu können, dann hindert uns das effektiv daran, überhaupt Lösungen anzubieten. Das heißt, der Einsatz von freier Software ermöglicht es uns, überhaupt sinnvoll mit den Infrastrukturen zu arbeiten. Das andere ist: Als Berliner Steuerzahler habe ich, wie wir alle hoffentlich, ein Interesse daran, dass möglichst weite Teile dieser Budgets in der Stadt bleiben. Wenn weite Teile der Budgets für Lizenzkosten im Betrieb, bei den Kunden und auch beim ITDZ direkt in den Lizenzkosten anderswo landen, dann können insbesondere wir damit in Berlin keine Gehälter bezahlen und unsere Mitarbeiter dementsprechend auch nicht konsumieren. Das heißt, wenn man Lizenzkosten an der Stelle vermeidet, kann man sehr viel weitergehend die Budgets in der Stadt lassen, und sie können dann auch entsprechende wirtschaftliche Hebeleffekte erzielen, was hoffentlich dem Standort auch langfristig dann dient. Vorsitzender Alexander Morlang: Ich danke! Herr Best! Jens Best (Netzaktivist): Mein Name ist Jens Best. Ich bin u. a. Mitglied beim Open-Data- Network, beim Open-Data-Stammtisch von Berlin, der ja auch bei der Öffnung von Open Data in den letzten Jahren viel gemacht hat, und noch bei zwei, drei anderen Gruppen. Des-

7 Seite 7 Wortprotokoll ITDat 17/16 wegen, glaube ich, kann man die Zusammenfassung Netzaktivist so stehen lassen mit dem Fokus auf Offenheit natürlich! Viel ist schon gesagt worden. Ich finde es gut, dass erwähnt worden ist, dass es im Berliner Raum durchaus schon Kooperationen verschiedenster Art zwischen Wirtschaft und Wissenschaft gab. Die eine wurde erwähnt. Sicherlich könnte man noch erwähnen, dass es sowohl an der TU als auch an der FU bereits seit mehreren Jahren Forschungsaufträge oder -institute gibt, die sich mit dem Thema Cloud beschäftigen, dass man mit Xinnovations e. V. einen Verein hat, der sich u a. mit dem Thema Cloud für den Mittelstand intensiv beschäftigt. Insofern denke ich, dass hier schon etwas vorbereitet wurde, wenn man das Potenzial der Wirtschaft in Berlin ansprechen will, um auch in der Wirkung erfolgreich zu sein. Der Bereich öffentliche Verwaltung wurde erwähnt. Dass hier eine Vorreiterrolle für webbasierte Serviceorientierung angefangen wurde, dass nichtsdestotrotz aber noch viel zu machen ist, das ist klar. Im Tourismus, bei Verkehrssystemen, im Gesundheitssystem auch natürlich unter strenger Beachtung der Datenschutzfragen! Insofern fand ich es wichtig, dass Dr. Dix auch hier noch mal die pseudonymisierte Benutzung erwähnt hat, denn es ist eine Sache, von europäischer Seite amerikanische Konzerne darauf hinzuweisen, dass wir in Deutschland und Europa ein anderes Verständnis von Datenschutz haben, aber die Frage ist natürlich auch, wie wir dieses konkret umsetzen, sprich: wie wir, wenn wir für eine pseudonymisierte Nutzung kämpfen, die Anreize gestalten, damit diejenigen Firmen, die das dann in Europa anbieten, dementsprechend das auch als Anreiz bekommen, um ihre Dienste in der Bevölkerung besser anzubieten. Das klingt jetzt sehr abstrakt. Ich will es ein bisschen runterbrechen. Konkret ein Beispiel: Wenn an einer Schule irgendwann Google Docs verwendet wird, ob als Tabellenverarbeitung oder Word-Dokument, dann ist der Moment erreicht, wo man darauf warten kann, dass einzelne Eltern sagen: Kann es sein, dass gerade die Daten meiner Kinder auf amerikanischen Servern gehostet werden? Ist das überhaupt okay für eine Berliner Schule? Das heißt, wir haben sehr konkrete Momente, wo sich der wirtschaftlich arbeitende Bürger, der bildungsarbeitende Bürger oder einfach nur der ganz normale Bürger, wenn er mit dem Internet in Berührung kommt, gar nicht deutlich macht, was hier an Cloud-Service passiert. Das heißt: Die Vorbereitung ist gut. Dass hier Wirtschaft, Wissenschaft und auch in Teilen die Zivilgesellschaft eingebunden wurden sowohl bei der Öffnung, bei Open Data usw. und auch im Cloud-Bereich, ist gut. Da sollte aber noch mehr getan werden, denn ich sehe ein großes Problem darin abgesehen von den Problemen, die Herr Dr. Dix angesprochen hat mit Safe Harbor, dass wir hier eine klarere Linie fahren müssen. Aber das ist eher ein Kampf, der auf einer anderen Ebene geführt wird. Es geht darum, 2013 auch daran zu denken, dass das, was hier an Services entsteht, für den Bürger verständlich ist. Jetzt haben wir das Internet. Das Internet ist, wenn man den grafischen Browser nimmt, Tage alt. Der Satz: Was Hänschen nicht lernt, lernt Hans nimmermehr ist insofern gültig, als wir eine Bevölkerung haben, die soziokulturell noch gar nicht die Chancen begreifen kann, die man als Bürger haben kann, und deswegen auch häufig, vor allen Dingen, wenn die Diskussion sehr holzschnittartig geführt wird, eher Angst bekommt, digitale Chancen zu nutzen. Das heißt, hier ist noch eine große Aufgabe zu bewältigen, die allerdings in Berlin vorstellbar ist mit den Bezirken. Es gibt überall mehr Leute, die

8 Seite 8 Wortprotokoll ITDat 17/16 gern dafür in die Bütt steigen und Verantwortung übernehmen würden, als man vielleicht denkt. Insofern würde ich jetzt abschließend für den ersten Moment dafür plädieren, dass vonseiten der Politik darauf geachtet wird, dass die Zivilgesellschaft in die Prozesse, die hier angeführt wurden, noch mehr eingebunden wird und dass wir uns auch immer die Frage stellen: Was kann der Bürger davon nutzen? Ein letzter Satz: Deutsche Digitale Bibliothek! Das wird ein nicht so schöner Zwischenbericht werden. Aber, wie gesagt, Tage Internet, auch die Deutsche Digitale Bibliothek ist ein Prozess. Wir haben viele Berliner Museen und viele Berliner Bibliotheken, und da ist jede Menge Potenzial an Bildung und Kultur, das darauf wartet, in einer Public Cloud oder Private Cloud das wäre noch zu besprechen für den Bürger viel präsenter zu sein und damit auch die Chancen der Kulturvermittlung und der Bildung zu erhöhen. Das nur als Zusatzbemerkung. Ansonsten bin ich auch noch bereit für Fragen. Vorsitzender Alexander Morlang: Wir kommen zur Stellungnahme des Senats und des Berliner Beauftragten für Datenschutz. Wer von Ihnen möchte? Herr Statzkowski! Staatssekretär Andreas Statzkowski (SenInnSport): Herr Vorsitzender! Meine sehr geehrten Damen und Herren! Wir haben die Vorteile des Cloud-Computing von den einzelnen Anzuhörenden vernommen. Sie bestehen insbesondere darin, dass sich der einzelne Nutzer nicht mehr um Lizenzen, um Fragen der Installation, des Speicherplatzes oder der Datensicherung kümmern muss, sondern dass die Software und die Datenverarbeitung eben nicht unbedingt auf dem eigenen Rechner, sondern in der externen Infrastruktur vorhanden ist bzw. dort bereitgestellt, bearbeitet und auch gespeichert wird. Voraussetzung für derartige Dienste ist ein hoher Grad von Standardisierung und Automatisierung. Was ist problematisch? Die geringe individuelle Anpassung des Dienstes, insbesondere bei Public-Cloud-Diensten, der mangelnde Datenschutz und die mangelnde Zuverlässigkeit der Cloud-Dienstleistungen. Insbesondere für die öffentliche Verwaltung relevant sind die fehlende Kontrollierbarkeit und das Problem der Absicherung gegen den unberechtigten Zugriff auf fremden Servern. Deshalb ist auch die Nutzung der Public Cloud für die Berliner Verwaltung nicht geplant. Herr Best hat die beiden Begriffe Public Cloud und Private Cloud kurz angesprochen. Die Berliner Verwaltung setzt auf Private Cloud. Das heißt, dass hier eben nicht einer breiteren Öffentlichkeit der Zugriff auf die Daten ermöglicht wird. Die Grundlage für erfolgreiche Cloud-Computing-Geschäftsmodelle bilden partnerschaftliche Beziehungsgeflechte auf der Basis von Vertrauen. Deswegen hat das Bundesministerium für Wirtschaft und Technologie auch ein Förderprojekt ausgerufen. Es nennt sich: Sichere Internet-Dienste, Sicheres Cloud Computing für Mittelstand und öffentlichen Sektor (Trusted Cloud). Es gibt auch ein Berliner Konsortium, das sich erfolgreich daran beteiligt hat, nämlich das Projekt goberlin. Dieses Konsortium besteht aus dem ITDZ, dem Fraunhofer- Institut FOKUS, der HSH Soft- und Hardware Vertriebs GmbH, der Atos IT Solutions und Services GmbH und der Senatsverwaltung für Inneres und Sport. Erstmals in Deutschland sollen vertrauenswürdige und bürgerorientierte Cloud-Dienste auf einer Plattform mit öffentlichen Dienstleistungen, kombiniert mit gewerblichen Angeboten, realisiert werden. Die Hauptziele des Vorhabens sind die Entwicklung und Pilotierung eines vertrauenswürdigen, auf Cloud-Technologie basierenden Onlinedienst-Marktplatzes für Bür-

9 Seite 9 Wortprotokoll ITDat 17/16 ger, Wirtschaft und Verwaltung im Großraum Berlin, die Implementierung integrierter Dienstleistungen von Verwaltung und Gewerbe zur Unterstützung von Lebenslagen wie Umzug oder Anmeldung einer Wohnung, kombiniert mit Angeboten wie privaten Dienstleistungen und die Weiterentwicklung öffentlicher IT-Dienstleister von Infrastruktur zu Plattformanbietern auf Grundlage der Cloud-Technologie. Am 6. Februar 2012 ist der Konsortialvertrag unterschrieben worden. Die Laufzeit des Projekts beträgt 30 Monate und hat immerhin ein Gesamtvolumen von 5,5 Millionen Euro. In einem weiteren Cloud-Projekt bereitet das ITDZ die produktive Einführung von Private- Cloud-Services für die Berliner Verwaltung im ersten Halbjahr 2013 vor. Die angestrebte Cloud-Plattform soll über weitergehende Automatisierungsmöglichkeiten für unterschiedliche Betriebssysteme, Server und Desktopvirtualisierungsprodukte, Applikationsserverprodukte sowie Datenbank- und ERP-Produkte eingesetzt werden. Praktisch nutzbar für die Berliner Verwaltung sind diese Cloud-Dienste des ITDZ beispielsweise zur Serverkonsolidierung und zur Bereitstellung standardisierter IT-Arbeitsplätze, also zwei Standardthemen, mit denen wir uns hier im Ausschuss auch immer wieder zu beschäftigen haben. Sie leisten damit neben der Senkung des Kostendrucks auch einen Beitrag zur Bewältigung des zunehmenden IT-Fachkräftemangels und des demografischen Wandels in der Berliner Verwaltung. So weit erst mal die Stellungnahme des Berliner Senats zum Thema Cloud-Computing. Vorsitzender Alexander Morlang: Vielen Dank! Herr Dix! Dr. Alexander Dix (Berliner Datenschutzbeauftragter): Vielen Dank! Zunächst begrüße ich es natürlich sehr, dass der Senat, wie Herr Statzkowski gerade dargestellt hat, und auch das ITDZ das Konzept einer Private Cloud für Berlin favorisieren. Das entspricht auch genau unserer Vorstellung, wie man Cloud-Dienste nutzt, die natürlich erhebliche Kosteneinsparungsund Synergieeffekte haben werden und sich letztlich durchsetzen werden, da habe ich keinen Zweifel. Aber sie werden sich andererseits auch nur dann durchsetzen, wenn das Vertrauen der Nutzer in die Sicherheit der Dienste, die dort angeboten werden, gewährleistet ist. Ich will noch kurz das Gegenbeispiel erwähnen, das in unserem Jahresbericht am Ende auftaucht. Wir erleben es immer häufiger, dass große amerikanische Anbieter wie etwa Google nach wie vor ihre Dienste relativ aggressiv an Schulen oder anderen öffentlichen Einrichtungen in Berlin anbieten, indem sie Einsparungseffekte versprechen, dabei aber unter den Tisch fallen lassen, welche Probleme dadurch aufgeworfen werden. Ich erinnere an das dänische Beispiel. Die Stadt Odense, die zweitgrößte Stadt in Dänemark, hat darüber nachgedacht, ihre gesamte Datenverarbeitung auf eine Google-Wolke auszulagern. Das hat die dänische Datenschutzbehörde unterbunden, und es ist schon daran gescheitert, dass Google nicht bereit war, der Stadt Odense als Auftraggeber Auskunft darüber zu geben, wo die Daten physikalisch verarbeitet werden. Das ist eine Haltung, die große amerikanische Unternehmen häufiger an den Tag legen. Sie sagen, sie wollen gern ihre Computer, ihre Servernetze jeweils optimal auslasten. Daher entscheiden sie von Fall zu Fall, wo die Daten lagern. Das kann ein deutscher oder europäischer Auftraggeber nicht hinnehmen, weil er wissen muss, welchem Zugriff diese Daten an welcher Stelle ausgesetzt sein können. In den USA besteht das prinzipielle Problem, dass die Zugriffsmöglichkeiten der Sicherheitsbe-

10 Seite 10 Wortprotokoll ITDat 17/16 hörden nach dem Patriot Act so sind, dass sie europäischen Vorgaben jedenfalls nicht entsprechen. Das hat auch schon dazu geführt, dass amerikanische Unternehmen ihrerseits ihre Regierung danach fragen: Wie kann es sein, dass sich europäische Unternehmen mittlerweile im Rahmen der europäischen Cloud-Strategie, die die Kommission ja auch initiiert hat, größere Marktanteile sichern können, weil amerikanische Anbieter diese kritischen Fragen nicht befriedigend beantworten können? Da zeigt sich, wie wichtig es ist, eine vertrauenswürdige Cloud-Lösung in Berlin, in Deutschland und in Europa anzubieten. Nach allem, was ich bisher gehört habe, ist der Berliner Senat da auf einem guten Weg. Vorsitzender Alexander Morlang: Vielen Dank! Wir kommen zur Aussprache und beginnen mit Herrn Birk. Thomas Birk (GRÜNE): Vielen Dank an die Anzuhörenden, insbesondere an Herrn Adam, der sehr kurzfristig noch zugesagt hat, weil wir diesen Aspekt doch auch hier noch einmal betonen wollen! Ich komme noch darauf zurück. Ich möchte in drei Schritten vorgehen. Zunächst zu der Ausschreibung und zu dem Projekt: Sie haben ja dankenswerterweise in Ihrem Beitrag für alle zum Verständnis noch mal ausgeführt, dass es mehrere Services geben kann im Rahmen einer Cloud Infrastruktur, Plattform und Software. Sie beginnen jetzt mit der Infrastruktur, wenn ich das richtig verstanden habe. Gleichzeitig wurde aber auch noch mal deutlich gemacht, dass hier mit dem Fokus rund um Meldung und Umzug begonnen werden soll. Vielleicht können Sie noch mal sagen, wie dann geplant ist, sich weiterzuentwickeln. 5,5 Millionen Euro haben wir jetzt als Summe gehört. Wir wissen, bei solchen Großprojekten ist das sicher nur der Einstieg. Vielleicht können Sie noch mal den Rahmen beschreiben, wie sich das ausweiten wird und was das dann im Betrieb heißt. In Verbindung damit stellt sich die Frage, inwieweit sich das aus Ihrer Sicht refinanziert. Ich komme gleich noch mal zu den Kunden. Zur Frage der Finanzierung: Finanzieren Sie das selber, oder machen Sie das mit Partnern? Ich habe vorhin das Stichwort SAP genannt. Inwieweit ist hier SAP direkt bei der Finanzierung mit im Boot? Dann wird das Ganze auch vom Bundesministerium für Wirtschaft und Technologie gefördert. Gibt es da auch noch irgendwelche Möglichkeiten der Finanzierung aufgrund dieses Projekts, das ja, glaube ich, Ende 2014 ausläuft? Zum Zweiten: Wie sieht die Ausschreibung ganz genau aus? Hier sind die Stichworte offene Standards bzw. dann sogar freie Software gefallen. Ist das in der Ausschreibung berücksichtigt oder sogar als Voraussetzung genannt worden? Traumhaft wäre es natürlich, wenn wir den Ausschreibungstext oder zumindest eine Zusammenfassung bekommen könnten. Wir haben leider die Phase verpasst, wo man das vielleicht öffentlich hätte einsehen können. Insofern wäre es toll, wenn Sie uns da was zur Verfügung stellen könnten. In dem Zusammenhang komme ich dann auch gleich noch mal zu den Kunden. Sie schreiben, es gibt sechs Kunden. Da würde uns natürlich sehr interessieren: Wer sind diese sechs? Inwieweit ist die Testphase vorher genutzt worden? Haben das wenige genutzt, haben das viele genutzt? Es ist ja wichtig, inwieweit Sie Hinweise, die gegeben wurde, berücksichtigen konn-

11 Seite 11 Wortprotokoll ITDat 17/16 ten. Natürlich ist dann auch die Frage an den Senat und nicht nur an das ITDZ: Inwieweit sind tatsächlich die Kunden, die Bezirke, die Senatsverwaltungen, die nachgeordneten Behörden eingebunden in diese Strategie? Da frage ich den Senat: Es laufen ja viele weitere Projekte, es werden viele Projekte ausgeschrieben. Allein in der Bestands- und Entwicklungsplanung haben wir gesehen, dass jede Menge Virtualisierungen geplant sind. Wird darauf hingewiesen, dass dieses Projekt läuft? Ist das strategisch miteinander verbunden? Hat das Einfluss auf die Finanzierung dieser Projekte, oder laufen da wieder, wie so oft im Land Berlin, verschiedene Züge nebeneinander her, und am Schluss kriegt man es nicht zusammengebunden? Wie wird das z. B. mit dem Rat der Bürgermeister diskutiert, in der Staatssekretärsrunde? Wie ist es eingebunden? Hinsichtlich der Partner, die Sie aufgezählt haben, würde mich interessieren: Sind das alle Partner, oder gibt es noch weitere? Welche Kriterien gab es zur Auswahl dieser Partner? Ich glaube, das sind schon so viele Fragen, dass ich hier erst mal einen Punkt mache. Vorsitzender Alexander Morlang: Vielen Dank! Das Wort hat Herr Kohlmeier. Sven Kohlmeier (SPD): Herzlichen Dank, Herr Ausschussvorsitzender! Ich bedanke mich zunächst bei den Anzuhörenden für die Zeit, die sie uns heute schenken und für die Erkenntnisse, die sie uns mitteilen. Ich sage das dazu, weil es ein relativ neues Thema ist, wo wir alle ein Stück weit neu denken müssen und zumindest für meine Fraktion kann ich das sagen noch keine Patentrezepte für sämtliche Fragestellungen, die damit im Zusammenhang stehen, haben. Ich habe folgende Fragen an die Anzuhörenden und versuche, die jeweils personell zuzuordnen, sodass sie wissen, wer dann was beantworten kann. Meine erste Frage geht an Herrn Kandziora. Sie haben gesagt, der Rahmenvertrag ist ausgeschrieben. Anfang 2013 soll mit einem wenn ich so sagen darf Berliner Cloud-Hosting-Netz begonnen werden. Wie stellen Sie sicher, dass die Cloud auch zukünftig ausschließlich in Deutschland gehostet wird und nicht durch Partnerschaften, Firmenverflechtungen oder wie auch immer die Datenschutzprobleme auftauchen, die Herr Best und Herr Dr. Dix genannt haben? Zweite Frage, ebenfalls an Sie: Wenn ich Sie und auch den Senat richtig verstanden habe, soll es sich um eine Private Cloud handeln, das heißt, dass der Zugriff von Bürgern oder anderen nicht möglich ist. In diesem Zusammenhang habe ich zwei konkrete Fragen. Erstens: Ist vorstellbar, dass z. B. auf einzelne Akten oder Aktenbestandteile ein Zugriff möglich wird, z. B. bei Akteneinsichtsersuchen von Rechtsanwälten oder Notaren oder öffentlichen Stellen zu bestimmten Akteninhalten? Zweitens: Ist zu erwarten, dass z. B. öffentliche Stellen wie die Justiz Zugriff auf diese Cloud bekommen, und wie kann man das entsprechend verhindern? Das wäre vielleicht auch eine Fragestellung an Herrn Adam und Herrn Best: Wie verhindert man, dass Daten, die in der Cloud sind, dann weitreichend für Strafverfolgungsmaßnahmen oder Ähnliches genutzt werden? Dann habe ich die Frage: Herr Best hat gesagt, man müsse den Bürger da einbinden oder ihn entsprechend mitnehmen. Ich würde es ähnlich wie Herr Best einschätzen, dass es da offensichtlich eine hohe Unsicherheit in der Bevölkerung und vielleicht auch eine hohe Unkenntnis gibt. Ich habe gehört und war ganz erstaunt: In der Tagesschau in der letzten Woche wurde

12 Seite 12 Wortprotokoll ITDat 17/16 darüber berichtet, dass die Bundesregierung wohl ein Portal zum Cloud-Computing oder zu Clouds eingerichtet hat. Ist so was Ähnliches aus Ihrer Expertensicht für Berlin notwendig, und wie schafft man es, die Bürger dazu zu bewegen, sich der Sache anzunehmen oder ihr offen gegenüberzustehen? Oder muss man so was doch eher aus Sicherheitsgründen vorsichtig genießen? Zumindest meine Auffassung ist derzeit, dass ich nichts in der Cloud ablegen würde, was mir persönlich wichtig ist, weil ich Sorge habe oder keine Ahnung habe, wer da womöglich von außen zugreifen kann und wie welche Sicherheitsmechanismen umgangen werden können. Wenn ich es mir im analogen Leben vorstelle: Ein Buch aus meinem Bücherregal würde ich bei mir im Hausflur ablegen, meinen Terminkalender würde ich nicht im Hausflur ablegen, weil ich Sorge habe, dass dort zu viele Leute darauf Zugriff haben. Also wie kann die Sicherheit garantiert werden? Eine letzte Frage: Ich weiß nicht, ob da eine Unschärfe in der Beantwortung ist. Herr Statzkowski hat deutlich gemacht, dass auch Einsparungen für Softwareupdates usw. möglich sind. Was ist denn nun geplant? Ist nun eine Cloud für die Nutzung von Software und Softwareupdates vorgesehen, die man dann über Browsertechniken oder wie auch immer nutzt, oder handelt es sich um eine Cloud so habe ich Herrn Kandziora verstanden, wo Dokumente der Berliner Verwaltung abgelegt werden? Das wäre ein Unterschied. Also welche Planungen bestehen da seitens des Senats? Vorsitzender Alexander Morlang: Vielen Dank! Als Nächster Herr Doering, bitte! Uwe Doering (LINKE): Danke schön! Auch mein Dank an die Anzuhörenden für Ihre Vorträge! Ich möchte auch Herrn Best sagen: Mir hat es ausgesprochen wohlgetan, dass Sie darauf hingewiesen haben, dass viele Bürgerinnen und Bürger noch Schwierigkeiten im Umgang mit digitalen Systemen haben und dass Misstrauen vorherrscht. Ich gestehe auch für mich selbst, dass sich mir die Dimensionen, was es da für Möglichkeiten gibt, langsam immer mehr erschließen, und in der Tat kann man auch manchmal Angst davor bekommen, wenn einem bewusst wird, wie mit Daten umgegangen werden kann, wenn man nicht aufpasst. Deshalb hatten wir auch als Besprechungspunkt den Bericht des Datenschutzbeauftragten, hier konkret den Punkt Cloud-Computing, aufgerufen, weil mir der Hinweis des Senats auf die Stellungnahme des Datenschutzbeauftragten nicht ausgereicht hat, indem er nur geschrieben hat: Die Hinweise des Datenschutzbeauftragten werden berücksichtigt. Da wäre meine Frage: Umfassend, vollständig oder wie? Ich danke auch dem ITDZ für die schriftliche Vorlage, die es uns heute gegeben hat, weil da viele meiner Frage, die ich diesbezüglich hatte, beantwortet werden und gerade dem Datenschutz auch umfangreich Platz zur Verfügung gestellt wurde. Auf diesen Punkt möchte ich mich gern beziehen, weil Sie das beim Thema Datenschutz anführen: Wenn der Kunde z. B. ein Beamter oder Mitarbeiter im öffentlichen Dienst vor Ort mit bestimmten Daten umgeht, die für ihn keine größere Relevanz haben, die aber in der Cloud zur Verfügung gestellt werden, dann könnte ein entsprechendes Zusatzwissen schon zu einer Kombination von Daten führen. Da war meine Frage, wie Sie mit diesem Problem, das Sie ja als erkannt beschrieben haben, umgehen.

13 Seite 13 Wortprotokoll ITDat 17/16 Liegt die Lösung des Problems in dem Vorgang, den Sie beschrieben haben, dann darin, dass der Nutzer nicht nur die Daten bei Ihnen lagert und Ihnen zur Verfügung stellt, sondern letztendlich der Nutzer selber der Bearbeiter der Vorgänge ist und damit die Verantwortung auch datenschutzrechtlich bei Ihnen bleibt und das ITDZ nur der Dienstleister ist, indem er das System zur Verfügung stellt? Ist das der Weg, den Sie vorschlagen? Ist das der Weg, den Sie andenken? Der zweite Punkt, auch bezogen auf Nutzer: Die Frage der Grünen bezog sich ja mehr auf die Ausschreibung des Systems und der Software selber. Meine Frage geht eher in die Richtung: Wird dieses geschlossene Cloud-System nur für den öffentlichen Dienst sein, oder wird es auch ein Angebot für kleinere und mittelständische Unternehmen geben? Herr Staatssekretär! Sie benutzten den Begriff Großraum Berlin. Da stellte sich mir sofort die Frage: Meint er jetzt die Stadt Berlin, in der das System angeboten wird, oder meint er tatsächlich den Großraum, also Berlin mit dem Speckgürtel, und wird da tatsächlich an kleinere und mittlere Unternehmen gedacht? Nächster Punkt: Es ist ja an mehreren Stellen in den Vorträgen heute deutlich geworden, aber auch in dem Papier des ITDZ, das uns vorliegt, wird darauf hingewiesen, dass eine Cloud auch ermöglicht, personalintensive Vorgänge einzuschränken, und dass auch die Standardisierung von IT-Arbeitsplätzen usw. dazugehört. Auf der anderen Seite steht aber zunächst aus meiner Sicht das Mitnehmen der Mitarbeiterinnen und Mitarbeiter im öffentlichen Dienst, die mit diesem System arbeiten sollen. Man muss ja erst mal eine Aufgeschlossenheit dafür bekommen. Da wäre meine Frage: Wie werden die mitgenommen? Ist da an Schulungen gedacht? Hier wurde auch gesagt: Es gibt einen Fachkräftemangel bei IT-Spezialisten. Also wie umfangreich wird das sein, bis hin zu der Frage Datenschutz? Und wenn man an das Ergebnis denkt und daran, was die Zielvorstellung ist, wäre meine Frage: An welche Zeiträume denkt man dabei? Bis wann soll der Zustand, dass personalintensive Bereiche aufgelöst werden durch IT-Technik, erreicht werden, und wie sieht es da mit dem personellen und finanziellen Aufwand aus also nicht bezüglich der Anschaffung, sondern der Umsetzung und der Wirkung? Vorsitzender Alexander Morlang: Vielen Dank! Herr Weiß! Dr. Simon Weiß (PIRATEN): Danke! Ich denke, man muss hier klar trennen zwischen Public und Private Cloud. Ich persönlich habe immer das Gefühl, dass der Begriff Cloud schon ein bisschen inflationär genutzt wird. Er ist relativ schwammig, aber die Unterscheidung an der Stelle ist klar. Ich habe auch positiv zur Kenntnis genommen, dass es vom Senat keine Planungen gibt, quasi private oder Cloud-Dienste über das Internet in Anspruch zu nehmen, um schützenswerte Daten zu verarbeiten. Die damit zusammenhängenden datenschutzrechtlichen und sicherheitstechnischen Probleme sind ja auch von Herrn Dr. Dix schon ausgeführt worden. Bei dem Projekt des ITDZ ist das natürlich etwas anderes. Das ist sicherlich vom Umfang her innovativ, aber auch nichts grundsätzlich Neues, weder was technische, noch was sicherheitstechnische Aspekte angeht, und insofern auf der Ebene wohl nicht so problematisch, solange man alle Bestimmungen einhält und auch den Datenschutzbeauftragten einbindet.

14 Seite 14 Wortprotokoll ITDat 17/16 Der Aspekt, der allerdings bei dem Thema Public Cloud relevant ist was von Herrn Best auch angesprochen wurde, wäre immer noch der Verbraucherschutz bzw. die Vermittlung von Medienkompetenz. Ich möchte nachfragen das betrifft sowohl den Datenschutzbeauftragten als auch den Senat, was es da an konkreten Maßnahmen möglicherweise gibt. Auch in Bezug auf den konkreten Fall der Schule und Google Documents das war ja auch nicht aus der Luft gegriffen, das stammt ja auch aus dem Datenschutzbericht als Beispiel würde mich interessieren: Was haben sich daraus für Konsequenzen ergeben? Gibt es da eine Handreichung des Senats für solche Fälle im Schulbereich? Sicherlich gibt es auch noch andere Bereiche, wo man aufpassen muss. Zum Cloud-Projekt des ITDZ: Eine wichtige Frage hatte Herr Birk schon angesprochen sie wurde ursprünglich von Herrn Adam aufgeworfen, und zwar die nach den offenen Standards. Da muss man wohl auch noch mal differenzieren, was da eigentlich gemeint ist. Einerseits habe ich auch die Frage, die Herr Doering schon richtigerweise aufgeworfen hatte: Wer genau kann eigentlich diese Dienstleistungen dann in Anspruch nehmen? Aber es stellt sich auch die Frage: Wer kann dann für diese Cloud, die auch wiederum relativ weit gefasst ist, auf welcher Grundlage auch Anwendungen entwickeln? Da gibt es ja zahlreiche Möglichkeiten, und da sind natürlich offene Standards auch wichtig. Das ist also die Frage sowohl nach der Ausschreibung als auch nach dem, was dann in der Praxis geplant ist. Was mich da auch noch konkret interessieren würde: Ein Aspekt der Cloud-Technik ist ja auch eine flexible Bereitstellung von Ressourcen. Ein Vorteil, den man als Cloud-Anwender von privater Seite hat, ist, dass man nicht auf eine bestimmte Leistung beschränkt ist, die auf irgendeinem physischen Server ist, sondern sich im Zweifel auch Leistung dazunehmen kann, wenn man mal mehr braucht. Die Frage wäre: Ist in diesem Einsatzfeld Verwaltung damit zu rechnen, dass das häufig beansprucht wird? Wenn ja, wie hat man sich das dann praktisch mit der Ressourcenverteilung vorzustellen? Läuft das dann rein nach Marktmechanismen das kostet eben so viel, und jede Verwaltung muss den entsprechenden Preis bezahlen? Oder gibt es da noch andere Verteilungskriterien? Vorsitzender Alexander Morlang: Zum Abschluss Herr Dregger! Burkard Dregger (CDU): Vielen Dank, Herr Vorsitzender! Vielen Dank auch an die Anzuhörenden für die Ausführungen, auch an den Senat und den Datenschutzbeauftragten! Ich freue mich zu hören, dass das, was das ITDZ aufbaut, jedenfalls als Konzept auch den Anforderungen des Datenschutzbeauftragten entspricht. Ich habe drei Fragen, eine an jeden der drei Anzuhörenden. Die erste geht an Herrn Kandziora. Ich habe verstanden, dass das ITDZ eine Private Cloud für Dienstleistungen der Berliner Verwaltung aufbaut. Ist es denkbar, dass das ITDZ mit den gleichen Sicherheitsniveaus auch Private Clouds für Unternehmen anbietet, die ein entsprechendes Sicherheitsbedürfnis haben, dass ihre Daten entsprechend den Datenschutzrichtlinien verwaltet werden und dieses Niveau erfüllt wird? Es wäre ja möglicherweise auch ein interessanter Wirtschaftsfaktor, wenn wir am Standort Berlin nicht nur für die Verwaltung, sondern auch für Unternehmen etwas anbieten können, was es möglicherweise anderswo noch nicht gibt. Vielleicht überschätze ich es aber auch. Ich bitte da einfach mal um eine realistische Einschätzung. Die zweite Frage geht an Herrn Adam. Es gibt nun das unterschiedlich Datenschutzniveau innerhalb Deutschlands und außerhalb Deutschlands. Sie sind Unternehmer, und ich frage

15 Seite 15 Wortprotokoll ITDat 17/16 mich, ob diese unterschiedlichen Datenschutzniveaus es Ihnen schwerer oder vielleicht sogar leichter machen im internationalen Wettbewerb. Wenn ich mir vorstelle, dass Sie Cloud- Lösungen erarbeiten müssen, die weltweit nachgefragt werden, dann könnte es ja auch sein, dass ein besonderes Datenschutzniveau ein Aspekt ist für ein Unternehmen, das ja ein Sicherheitsbedürfnis hat, sich für eine solche Lösung zu entscheiden. Oder empfinden Sie als Unternehmer die Fesseln des deutschen Datenschutzrechts eher als Behinderung? Ich will das einfach mal offen verstehen, denn ich glaube, uns liegt auch einiges daran, dass der Wirtschaftsund IT-Standort Berlin Perspektiven hat. Es wäre schön, wenn ich aus dem Bereich eine ehrliche Antwort bekäme. Die dritte Frage an Herrn Best: Das Thema Risiken der Public Cloud habe ich gut verstanden. Inwieweit sehen Sie die Notwendigkeit, den Verbraucher bzw. den Endnutzer aufzuklären, sofern er möglicherweise in der Zukunft auch das Potenzial von Public Clouds nutzen möchte? Ich glaube, das ist allenfalls in der Entstehung begriffen für eine Privatperson, einen Verbraucher, aber das wird sicherlich kommen. Sehen Sie die Aufklärungspflichten oder -notwendigkeiten bereits ausreichend erfüllt, und wenn nicht, wo sehen Sie den Ansatz, das zu verbessern? Vielen Dank! Vorsitzender Alexander Morlang: Vielen Dank! Das Wort hat Herr Staatssekretär Statzkowski. Staatssekretär Andreas Statzkowski (SenInnSport): Meine sehr geehrten Damen und Herren! Zunächst wollte ich darauf hinweisen, dass wir am Beginn beider Entwicklungen stehen, wie ich sie hier skizziert habe. Der Konsortialvertrag ist im Februar unterschrieben worden und läuft 30 Monate. Herr Birk hat ausgerechnet, wie lange das Projekt noch geht, nämlich Pi mal Daumen bis August In der Frage des zweiten Projekts, der Erarbeitung eines Private-Cloud-Service für die Berliner Verwaltung, gehen wir davon aus, dass wir bzw. das ITDZ im ersten Halbjahr 2013 in der Lage sein werden, dementsprechende Angebote zu machen. Was den Konsortialvertrag angeht, gab es, wie Herr Kandziora ausgeführt hat, eine europaweite öffentliche Ausschreibung. Dementsprechend ist auch diese Ausschreibung einsehbar und kann auch an Sie weitergegeben werden, wenn das Interesse besteht. Herr Kandziora hat schon sehr deutlich gemacht das können wir vonseiten des Senats ausdrücklich unterstreichen, dass Themen des E-Government bzw. auch die Einführung der E-Akte natürlich auch diese Entwicklung der Private Cloud mitberücksichtigen und in Anwendung gebracht werden. Das heißt, es gibt kein Nebeneinander, sondern ein Miteinander an der Stelle. Das sagt sowohl der Geschäftsführer des ITDZ als auch der für IT-Fragen zuständige Staatssekretär. Das ist, so hoffen wir jedenfalls, dann auch so ausreichend. Dann wurde von Herrn Doering, teilweise auch von Herrn Dregger, gefragt: Wie sieht das für die Wirtschaft aus? Da muss man unterscheiden. Ich sagte ja, es gibt zwei Vorhaben. In dem ersten Vorhaben ist es ausdrücklich erwünscht und auch erwähnt, dass hier auch die Wirtschaft mit tätig werden kann da hatte ich auch den Begriff Großraum Berlin gewählt, im zweiten Bereich nicht. Da ist es tatsächlich eine für die Verwaltung zu erarbeitende Private Cloud. Ich habe noch die Information im Ohr, dass es letztens sogar mal ein Unternehmen gegeben hat, das nachgefragt hat, ob es sich an der Private Cloud für die Verwaltung beteiligen bzw. da auch Daten ablegen könne. Darauf hat Herr Kandziora, finde ich, sehr

16 Seite 16 Wortprotokoll ITDat 17/16 überzeugend reagiert, indem er gesagt hat: Nein! Da gibt es eine klare Trennung. Das heißt, Daten von Geschäftsfirmen werden auf dieser Private Cloud, die für den öffentlichen Dienst in der Form da ist, zukünftig nicht lagern, sodass also noch nicht mal ansatzweise die Gefahr besteht, dass es da einen Zugriff auf öffentliche Daten, wie auch immer, geben könnte. Also da gibt es eine klare Trennung einmal zwischen dem Projekt, das vom Bundesministerium für Wirtschaft und Technologie in Gang gesetzt worden ist das ist das Projekt goberlin, und dem zweiten Projekt, der Erarbeitung der Private Cloud für die Berliner Verwaltung. Was die Frage nach der Bildungsverwaltung angeht, verweise ich darauf, dass wir eine dezentrale Fach- und Ressourcenverantwortung haben. Das heißt, diese Frage kann Ihnen nur die Senatsverwaltung für Bildung beantworten, das können nicht wir. Deswegen würde ich bitten, dass Sie diese Frage im Zweifelsfall im Rahmen einer Aktuellen Viertelstunde oder welche Rechtsform Ihnen als Abgeordneten sonst zur Verfügung steht noch mal den Kollegen der Bildungsverwaltung stellen. Vorsitzender Alexander Morlang: Herr Kandziora bitte! Konrad Kandziora (ITDZ Berlin): Ich beginne mit der Frage: Ist SAP in diese Cloud- Strategie miteingebunden? Weder in der Finanzierung noch in der Planung ist die Firma SAP heute mit dabei. Wir finanzieren den Aufbau dieser technischen Infrastruktur für die Cloud des Landes Berlin zu 100 Prozent durch das ITDZ Berlin und gehen mit absoluter Sicherheit davon aus, dass sich das refinanzieren wird, denn wir liefern heute Server ich glaube, die Zahl ist gefallen, um die stehen im ITDZ, und natürlich können wir weiter Einzelserver beschaffen, aber das wollen wir nicht. Wir sagen: Wir wollen das in der Zukunft mit standardisierten Diensten in dieser Infrastruktur Cloud tun. Herr Birk! Sie haben mich gebeten, das noch mal ein Stück abzugrenzen. Ich glaube, bei der Infrastruktur-Cloud ist das klar. Dahinter steckt die Technik, die wir in Berlin einsetzen. Das zweite Thema, das unter Cloud zu sehen ist, ist die Plattform. Bei der Plattform wollen wir das in dem Bundesprojekt, dem Förderprojekt, ein Stück öffnen. Das heißt also, dass die Wirtschaft wie HSH, wie ImmoScout in der Lage ist, auf einer Plattform Dienste anzubieten, die sich mit den Diensten aus der Berliner Verwaltung koppeln. Also wenn ich mich in Berlin für eine Wohnung anmelde, dann kann man sich vorstellen, dass an diese Anmeldung der Wohnung ein Interesse geknüpft ist, Wohnungen zu verkaufen, in einen bestimmten Standort oder Stadtbezirk zu ziehen, also dass diese Themen verknüpft werden mit dieser Plattform- Cloud, wo die Möglichkeit bestehen wird, aus der Wirtschaft heraus Möglichkeiten und Entwicklungen zu schaffen, die an diese Dienste aus der Verwaltung anknüpfen. Das Thema Anwendung, also Programme oder browserbasierte Verfahren zur Entwicklung, ist ein komplexes. Wir haben zurzeit in Berlin keine Anwendung, die cloudfähig ist, die in einer Cloud aufgesetzt werden kann. Das wird in dem Projekt goberlin entwickelt werden, indem also die Firma HSH, die mit dem Meldewesen stark verknüpft ist, so eine Anwendung programmieren und entwickeln wird, die wir in dieser Cloud installieren können. Sie haben gefragt: Wie ist das abrechnungstechnisch? Natürlich werden wir die Dienste, die wir anbieten, entsprechend der jeweiligen Nutzung der Ressourcen zur Abrechnung bringen. Das ist mit den Haushaltsmitteln, die zur Verfügung stehen, nicht so ganz einfach. Ich kann mir vorstellen, dass man eine Verwaltung, die im Haushalt einen bestimmten Betrag einge-

17 Seite 17 Wortprotokoll ITDat 17/16 stellt hat, vierteljährlich damit überrascht, dass diese Verbrauche nicht gekommen sind und dass wir aus dem ITDZ Geld zurückgeben. Also nicht ganz einfach! Zurzeit sind die Kunden daran interessiert, eine klare Linie in der Abrechnung zu haben. Sie wollen also wissen, was auf sie zukommt, wenn das abrechnungstechnisch so gestaltet wird, und wir werden in der Cloud Lösungen dafür schaffen, dass exakt der Verbrauch dem Kunden in Rechnung gestellt wird, den er im Prinzip nimmt. Wenn ich auf die Serverlandschaft in Berlin gucke, dann haben wir pro Server ungefähr 30 bis 40 Prozent Kapazitäten, die frei sind. Wenn man das hochrechnet für eine Infrastruktur- Cloud, dann, denke ich, ist es absolut im Interesse der Berliner Verwaltung, die freien Kapazitäten in dieser Cloud optimal zu nutzen. Durch eine gemeinsame Nutzung der Verwaltung kann man das mit Sicherheit erreichen. Zur Ausschreibung hat Herr Staatssekretär Statzkowski schon etwas gesagt. Gern können wir die Informationen zur Verfügung stellen. Inwieweit sind Schnittstellen offen gestaltet? Natürlich arbeiten wir gerade in der Ausschreibung mit der Möglichkeit, die Schnittstellen offenzulegen. Ein ganz wesentliches Kriterium in dem Förderprojekt des Bundes ist, dass wir alle Schnittstellen beschreiben müssen und dass diese Schnittstellen offenzulegen sind. Das heißt, man bekommt diese Fördermittel nur, wenn sie geöffnet sind, wenn das nach außen beschrieben ist und wenn wir das entsprechend in diesem Bundesprojekt darstellen. Ein weitere Frage von Ihnen, Herr Birk, war: Welche Kunden sind an diesem Prozess des Tests beteiligt gewesen? Es waren drei Bezirksämter und drei große Senatsverwaltungen, die bei dieser Thematik dabei gewesen sind. Ich will ganz offen sagen, dass das von uns angepowert werden musste, dass das benutzt wird. Es ist zum Jahresende gewesen, November, Dezember. Jeder weiß, dass da in der Verwaltung viel los ist. Aber wir haben es trotzdem geschafft, dort in einen Dialog mit den Verwaltungen zu gehen, und hilfreiche Informationen bekommen, die in die Pflichtenhefte der Ausschreibung mit eingeflossen sind. Zum Hosting in Deutschland oder in Berlin: Wir gehen davon aus, dass diese Cloud in Berlin hostet, in den Rechenzentren des ITDZ Berlin, in einer absolut geschützten Umgebung, dass es aber über definierte Schnittstellen die Öffnung in Richtung von Anbietern aus der Wirtschaft geben wird. Zugriffe für Bürger in diese Cloud direkt kann ich mir nicht vorstellen. Aber dass es eine Schnittstelle gibt, die Bürgern den Zugriff ermöglicht, das kann ich mir vorstellen. Wenn ich auf die Zentralisierung von Daten gucke: Bereits heute gibt es in den Rechenzentren des ITDZ Berlin die Daten der Justiz, die Daten der Polizei, die Steuerdaten, also alle diese Daten sind verfügbar, aber sie sind in getrennten Systemen. Das ist so seit Mitte der 80er-Jahre. In virtuellen Bereichen werden diese Daten definiert, und Übergaben von Daten aus der Justiz zur Polizei gehen über definierte, genehmigte, offengelegte Schnittstellen. Das heißt also, dort ist kein unkontrollierter Zugriff von Behörde zu Behörde möglich. Über die Schnittstellen, die in den jeweiligen Fachverfahren definiert und beschrieben sind, werden Daten übergeben. Ein Durchgriff auf Systeme von der einen oder anderen Seite wird in der Cloud nicht möglich sein und ist auch heute in den Systemen nicht verfügbar.

18 Seite 18 Wortprotokoll ITDat 17/16 Zum Thema Einsparung von Software : Auch dort sehe ich Potenziale. Wenn man heute Einzelserver beschafft, muss ich Einzelsoftwarelizenzen kaufen und diese auch bezahlen. Das stellt sich in einem Cloud-System günstiger dar. Da kann man also Synergieeffekte erzielen, indem wir deutlich weniger Server einkaufen und damit auch weniger Lizenzen haben, weil wir das optimaler benutzen können. Das soll es erst mal von meiner Seite sein. Vorsitzender Alexander Morlang: Vielen Dank! Herr Adam! Till Adam (KDAB): Vielen Dank! Zur Frage von Herrn Kohlmeier nach dem Zugriff durch Unbefugte oder nicht vollständig Befugte: Vielleicht kann ich eine Parabel anbringen. Cloud, kann man sich ganz gut vorstellen, das ist der Unterschied zwischen: Ich habe einen Server, von dem ich weiß, wie er aussieht und wo er steht, und der Server steht irgendwo in Berlin. Das wäre der Fall Private Cloud. Da sind auch nur Server dieser Art. Und Public Cloud wäre: Der Server steht irgendwo. Das heißt, nur weil der Server in einem Rechenzentrum steht und ich nicht genau weiß, welche Kiste jetzt meine ist, heißt das nicht, dass das nicht genau derselbe Server wie vorher ist. Physikalisch liegen die Daten auf exakt derselben Maschine, ich weiß als Abnehmer nur vorher nicht, welche ich nun genau kriege, sondern es obliegt demjenigen, der das Rechenzentrum fährt, mir die Ressourcen dynamisch zuzuweisen. Das heißt, es ist so, dass die Daten bereits jetzt auf denselben Systemen oder in physikalischer Nähe liegen und schon jetzt sichere Mechanismen da sind, um zu verhindern, dass Zugriff über die Grenzen hinweg passiert. Trotzdem ist es so: Man kann sich diese Virtualisierung oder diese Cloud-Idee so ein bisschen wie Car-Sharing vorstellen. Die Idee ist, dass ich ein Auto wesentlich effizienter nutzen kann, wenn mehrere Leute den Schlüssel haben und in der Lage sind, es zu nutzen. Das heißt, ich muss insgesamt nicht mehr so viele Autos haben. Das ist ganz banal die Grundidee. Wenn jetzt jemand in das Auto einsteigt und dort seine Geldbörse liegenlässt, dann hat der, der danach einsteigt, natürlich Zugriff darauf. Das heißt, es gibt eine neue Qualität. Das bedeutet, dass man auf einem höheren Anwendungsniveau sicherstellen muss, dass so was eben nicht passiert. Kann man natürlich, man kann die Übergabepunkte saubermachen, also man kann, wenn jemand aussteigt, sicherstellen, dass das Auto leer ist. Das muss man aber sehr wohl tun. Das heißt, es ist nicht einfach so, dass durch die Virtualisierung keine zusätzliche Dimension von Bedrohung entsteht. Die kann man aber sehr wohl managen. Das ist auch ein Problem, das nicht neu ist, sondern das können Rechenzentrumsbetreiber schon länger lösen. Ich traue denen das grundsätzlich zu. Ich glaube nicht, dass da wirklich eine erhebliche neue Bedrohung oder eine neue Kategorie von Bedrohung auf uns zukommt. Zur Frage von Herrn Dregger: Es ist sicher so das ist auch in anderen Beiträgen angeklungen, dass ein Unternehmen allein, ob es nun klein oder groß ist, so eine Cloud-Infrastruktur nicht aufbauen kann. Trotzdem wollen Unternehmen solche Infrastrukturen nutzen, weil genau dieser Car-Sharing-Effekt auch in anderen Zusammenhängen Sinn macht. Das heißt, grundsätzlich ist es zu begrüßen, wenn es so eine Infrastruktur gibt und die eben nicht nur durch die Verwaltung nutzbar ist, sondern auch durch Unternehmen, weil wir die z. B. allein nie finanzieren können würden. Die kritische Masse, die so eine Verwaltung liefert und bringt, ermöglicht es, solche Infrastrukturen zu bauen. Meiner Meinung nach wäre es sehr sinnvoll, wenn die sich dann auch für eine andere Nutzung öffnen würde, sofern die entsprechenden Sicherheitsprobleme vernünftig gelöst werden Mandantenfähigkeit nennt man so

19 Seite 19 Wortprotokoll ITDat 17/16 was, glaube ich, indem die Systeme sauber getrennt sind. Das lässt sich aber wohl technisch durchaus realisieren. Was das Datenschutzniveau in Deutschland angeht: Wir empfinden das eher als Standortvorteil. Ich sitze im Verwaltungsrat eines Herstellers von Patientenmanagementsystemen in England, der NHS. Die Tatsache, dass diese Software in Deutschland entwickelt wird, wird als Qualitätsmerkmal wahrgenommen, weil allseits bekannt ist, und zwar weltweit, dass wir hier sehr hohe Niveaus haben, und erwartet wird, dass Leute, die gewohnt sind, diese sehr hohen Niveaus zu erfüllen, hoffentlich auch entsprechend qualitativ hochwertig in anderen Jurisdiktionen und Domänen arbeiten. Das heißt, es trägt zur Wertwahrnehmung unserer Dienstleistungen und Produkte bei. Wir müssen vielleicht ein bisschen härter arbeiten als anderswo, aber das hat bekanntlich noch nie geschadet. Also ich würde es eher als Vorteil sehen. Nun sind wir kein Produktanbieter. Wenn man ein Produktanbieter ist, hat man natürlich zusätzliche Kosten dadurch, dass man diese hohen Anforderungen erfüllen muss. Im Niedrigpreissegment kann man in Deutschland aber sowieso nichts mehr werden, wenn es um Software geht. Das heißt, man muss sich sowieso über Qualität differenzieren, und da hat man dann eher Vorteile davon, wenn die Anforderungen hoch sind. Abgesehen davon, würde ich es als Bürger sehr begrüßen, wenn sie sich nicht aufweichen. Vorsitzender Alexander Morlang: Vielen Dank! Und jetzt Herr Best! Jens Best (Netzaktivist): Einige Fragen waren ja sehr ähnlich. Ich werde versuchen, die ein bisschen zusammenzufassen. Erst mal zur Verhinderung der Nutzung für Strafmaßnahmen: Peter Schaar hat nach dem internationalen Datenschutztreffen in Uruguay vorletzte Woche gesagt: Im Vergleich mit anderen Arten der Datenverarbeitung darf Cloud-Computing nicht zur Absenkung der Datenschutzstandards führen. Damit ist klar gesagt, was hier Sache ist, nämlich dass auch die Frage der Zugriffe von Strafverfolgungsbehörden geregelt werden muss entsprechend den hohen Standards, die wir nach wie vor aufrechtzuerhalten versuchen. Ich bin mir ziemlich sicher, dass sowohl aus dem Datenschutzbereich als auch aus der aktiven Zivilgesellschaft ein kritischer Blick darauf fallen wird, ob der richterliche Vorbehalt reichen wird, bei welchen Verbrechen hier überhaupt eine Öffnung möglich ist oder nicht usw. Es muss natürlich klar sein, dass ich mich, wenn ich mich als Nutzer in Teilen in die Cloud begebe, dort genauso wohlfühlen kann wie in meinem digitalen Wohnzimmer, sprich: auf meinem Computer zu Hause. Wenn das in Gefahr ist, dann wird es sicherlich auch wieder rappeln in der Kiste. Da bin ich mir sicher. Ich habe aber das Gefühl, dass wir vonseiten Berlins dann auf der richtigen Seite stehen werden. Notfalls werden wir die Regierung daran erinnern. Die viel wichtigere Frage ist: Wie machen wir das konkret, wenn keine Straftaten begangen werden, sprich: den Großteil unserer Sachen? Man muss sich klarmachen, dass das Internet des Jahres 2012/2013 ein anderes ist als das aus dem Jahr Wir hatten das im Jahr 2000 sicherlich viel dezentraler gelagert. Wenn man noch ein bisschen zurückgeht und sich überlegt, dass der erste Server Japans bei Joi Ito im Badezimmer stand Also es gibt sicher Entwicklungen. Wenn man sich 2012 anschaut, herrscht jetzt eine Konzentration der digitalen Ökosysteme auf Plattformen, die ja generell so schön unter diesem Begriff AGFA verwendet werden, also Amazon, Google, Facebook und Apple. Das heißt, wir haben hier eine Konzentration in den Ökosystemen, und wie wir schon aus der Ökologie wissen, sind Monokultu-

20 Seite 20 Wortprotokoll ITDat 17/16 ren immer anfälliger als vielfältige Kulturen, insbesondere leidet auch hier ist, glaube ich, etwas, was sowohl die soziale als auch die wirtschaftliche Frage betrifft die Innovationskraft. Wenn sich die Innovationskraft auf einige wenige Plattformen reduziert, dann haben wir in Berlin davon sehr wenig. Aber wir müssen das mal ein bisschen rumdrehen. Der immer etwas müde Spruch: Wir werden bestimmt kein Google in Deutschland bekommen, weil hier alles so schwierig ist. hält natürlich auf. Vor allen Dingen vergisst man dann, was es tatsächlich an Innovationskraft insbesondere in Berlin gibt, denn Berlin hat ja, auch weil es in Europa liegt, diesen Datenschutzvorteil. Wer mich kennt, weiß, dass ich nicht so der Hardcorefanatiker bin, was die Geschlossenheit von Daten angeht. Aber an diesem Punkt ist es so, dass ich die Entwicklung begrüße, dass die Datenschutzstandards, die wir in Europa und damit in Berlin haben, langsam zu etwas werden, was man auch international schätzt. Das wurde gerade schon beschrieben. Berlin hat noch einen zusätzlichen Vorteil, auf den wir achten sollten, nämlich dass wir hier eine kreative Bevölkerung haben, also Programmierer und andere Kreativschaffende, die mit diesen Dingen umgehen können, und dass wir auch eine klein- und mittelständische Wirtschaft haben, die in diesem Bereich sehr aktiv ist. Es gibt ja nicht nur goberlin, es gibt im Sinne der Vielfalt im wirtschaftlichen Wettbewerb mittlerweile auch die Capital Cloud, wenn ich das richtig im Kopf habe. Es gibt verschiedene Bemühungen von Xinnovations zusammen mit dem Hasso-Plattner-Institut um mal die großen Zusammenschlüsse zu nennen. Es gibt da auch viele kleine Bewegungen. Insofern bin ich da guter Dinge, aber nichtsdestotrotz sollte es die Aufgabe einer Wirtschaftspolitik sein, hier auch darauf zu achten, dass diese gute Entwicklung sich fortsetzt, dass man da noch was tun kann und den Menschen zuhört, die in diesem Bereich aktiv sind. Mitnehmen der Bürger danach haben mehrere von Ihnen gefragt : Die Smartphones durchdringen ja immer mehr den physischen Raum. Das Internet ist jetzt wirklich langsam ubiquitär, es ist einfach überall anwesend. Das heißt, die Bedeutung der Cloud wird immer größer. Ich habe gerade, während ich hier sitze, gelesen, dass die Bild -Zeitung ihr 151. Volksprodukt verkündet hat, nämlich ein Volks-Smartphone. Wegen dieses Begriffs kann man kotzen oder nicht, nichtsdestotrotz ist es so, dass Bild jetzt also ein Smartphone anbieten wird. Das Weihnachtsgeschäft kommt. Das heißt, wir werden eine weitere Vertiefung der Smartphonenutzung in der Bevölkerung erfahren. Durch mein Vielfahren im öffentlichen Nahverkehr weiß ich, dass die Menschen nicht nur spielen auf diesen Dingern, sondern sie auch anwenden. Dass da noch mehr angewendet wird, dass man den Menschen auch zeigt, dass mehr geht als nur Gaming auf diesen Dingern, das ist schon auch eine Aufgabe der Politik, nämlich sozusagen im vorgesetzlichen Bereich etwas ein bisschen zu fördern. Wie kann man das fördern? Wir haben jetzt einen Wettbewerb Apps and the City. Der kommt aus der Open-Data-Bewegung, daten.berlin.de wäre das Stichwort. Apps and the City hat die öffentlichen Nahverkehrdaten jetzt bekommen. Das ist alles immer noch sehr klein. Das sind Menschen, die sich damit länger beschäftigen, und dann hat man hier und da mal einen Artikel. Es wäre also zu wünschen, dass die Nutzung von offenen Standards auch bei der Bevölkerung wächst, das heißt dann z. B. Creative Commons.