Fragen zum Sozialdatenschutz und zur Datensicherheit im Zusammenhang mit der Bundesagentur für Arbeit und den Jobcentern

Sind der Bundesregierung die „Hinweise zum Aufbau und Führen einer Leistungsakte & verbindliche Regelungen zu den Aufbewahrungsfristen im Rechtskreis SGB II“ der BA bekannt, und wie verbindlich sind die darin aufgeführten Hinweise?

Welche persönlichen Dokumente von Antragstellenden und Leistungsbeziehenden dürfen als Kopien oder Scans nach Kenntnis der Bundesregierung ausdrücklich in Leistungsakten gespeichert werden, und welche nicht?

Wie wird nach Kenntnis der Bundesregierung durch die BA sichergestellt, dass Kopien von Dokumenten, deren Speicherung nicht zulässig oder notwendig ist, nicht in schriftlichen oder elektronischen Leistungsakten gespeichert werden?

Wie (Software) und wo (Hardware) werden die erhobenen Daten von ALG-II-Beziehenden nach Kenntnis der Bundesregierung gespeichert? Wer kann auf die Daten zugreifen? Gibt es unterschiedliche Zugriffsrechte, und wer verwaltet diese?

Wie werden die Server der BA nach Kenntnis der Bundesregierung gehostet? Unterhält die BA eigene Rechenzentren oder sind die Server in Rechenzentren kommerzieller Anbieter untergebracht?

Wie werden nach Kenntnis der Bundesregierung die Daten von den Servern an die Agenturen und Jobcenter übermittelt? Kann über das Internet auf die Daten von Erwerbslosen und Arbeitsuchenden zugegriffen werden? Welche Sicherheitsvorkehrungen werden getroffen, um die Daten nach außen bei der Übertragung vor dem Zugriff unbefugter Dritter zu schützen?

Welche Sicherheitsvorkehrungen werden nach Kenntnis der Bundesregierung getroffen, um auf den Servern befindliche Daten zum Beispiel durch Verschlüsselung vor dem Zugriff Unbefugter zu schützen?

Welche Sicherheitsvorkehrungen werden nach Kenntnis der Bundesregierung innerhalb der BA getroffen, um diese Daten vor dem Zugriff unbefugter Mitarbeiterinnen und Mitarbeiter der Agenturen, der Jobcenter und beauftragter Dritter zu schützen? Nach welchen Kriterien treffen die BA und die Jobcenter die Entscheidung, welche Mitarbeiterinnen und Mitarbeiter auf welche Daten von Leistungsberechtigten Zugriff haben? Werden Zugriffe auf sensible Daten von Leistungsberechtigten protokolliert? Falls es unterschiedliche Zugriffsrechte und Protokollierungen nach Datenarten gibt, nach welchen Kriterien wird entschieden, welche Daten als besonders sensibel zu betrachten sind?

Wie viele Mitarbeiterinnen und Mitarbeiter der BA haben nach Kenntnis der Bundesregierung über BA-interne EDV-Systeme Zugang zu sensiblen personenbezogenen Daten von Erwerbslosen und Arbeitsuchenden?

Welche Leitfäden, (Dienstan-)Weisungen oder sonstige Regelungen von Seiten der BA gibt es nach Kenntnis der Bundesregierung für Jobcenter hinsichtlich der Erhebung, Verarbeitung und Nutzung personenbezogener Daten, und welchen Inhalt bezüglich der Erhebung, Verarbeitung und Nutzung der Daten haben diese? Berücksichtigen diese Leitfäden, (Dienstan-)Weisungen oder sonstige Regelungen die aktuelle Rechtslage nach SGB X? Und wenn nein, wie beurteilt die Bundesregierung dies?

Nach welcher Frist werden sensible Daten und eingereichte Unterlagen von Erwerbslosen, Arbeitsuchenden und ALG-II-Beziehenden durch die BA und die Jobcenter (gE) nach Kenntnis der Bundesregierung gelöscht? Nach welcher Frist werden von den Agenturen für Arbeit und den Jobcentern erstellte schriftliche wie elektronische Datensätze über (ehemalige) Leistungsbeziehende gelöscht?

Welche Sozialdaten werden nach Kenntnis der Bundesregierung von der BA beziehungsweise den Jobcentern an Dritte weitergegeben und zu welchem Grund? Wie werden diese Sozialdaten übermittelt, und welche Sicherheitsvorkehrungen werden getroffen, um Sozialdaten vor dem Zugriff Unbefugter zu schützen?

Wie viele von der BA und den Jobcentern beauftragte „Servicecenter“ für Fragen von Leistungsberechtigten gibt es in Deutschland, und wie viele Beschäftigte gibt es dort? Wer ist der Arbeitgeber der Mitarbeitenden dieser Servicecenter?

Welche Zugriffsrechte auf Daten von Erwerbslosen, Arbeitsuchenden und ALG-II-Beziehenden haben „Servicecenter“-Beschäftige nach Kenntnis der Bundesregierung? Arbeiten die „Servicecenter“ rechtskreisübergreifend für SGB-II- und SGB-III-Fragen oder getrennt nach Rechtskreisen? Arbeiten die einzelnen „Servicecenter“ nur für bestimmte Jobcenter oder für alle Jobcenter bundesweit? Übernehmen einzelne „Servicecenter“ bei Ausfällen oder Überlastungen anderer „Servicecenter“ deren Anrufe? Haben diese vertretenden „Servicecenter“ dann auch Zugriff auf die Datensätze dieser Jobcenter?

Beauftragt die BA über ihre eigenen „Servicecenter“ hinaus noch weitere Callcenter, die nicht von der BA selbst betrieben werden? Ist der Bundesregierung bekannt, wie viele Beschäftigte in diesen Callcentern mit der Bearbeitung von Angelegenheiten der BA beschäftigt sind? Können gegebenenfalls Beschäftige BA-externer Callcenter nach Kenntnis der Bundesregierung auf Daten von Erwerbslosen, Arbeitsuchenden und ALG-II-Beziehenden zugreifen?

Wie viele von der BA und den Jobcentern beauftragte „Inkasso-Services“ gibt es nach Kenntnis der Bundesregierung in Deutschland, und wie viele Beschäftigte gibt es dort? Wer ist der Arbeitgeber der Mitarbeitenden dieser Inkasso-Services (www3.arbeitsagentur.de/web/content/DE/Detail/index.htm?dfContentId=L6019022DSTBAI744098)? Werden in den „Inkasso-Services“ Leih- und/oder Werkvertragsnehmer eingesetzt?

Welche personenbezogenen Daten haben bzw. bekommen diese „Inkasso-Services“ nach Kenntnis der Bundesregierung von aktuellen und ehemaligen leistungsberechtigten Personen? Wie und auf welchem Weg werden diese Daten von den Jobcentern und lokalen Agenturen für Arbeit an die Inkasso-Services übermittelt?

Welche personenbezogenen Daten haben bzw. bekommen die beauftragenden Jobcentern und lokalen Agenturen für Arbeit nach Kenntnis der Bundesregierung von diesen „Inkasso-Services“ von aktuellen und ehemaligen leistungsberechtigten Personen? Wie und auf welchem Weg werden diese Daten von den Inkasso-Services an die Jobcenter und lokalen Agenturen für Arbeit übermittelt?

Gibt es nach Kenntnis der Bundesregierung Agenturen für Arbeit und Jobcenter, die keinen „Inkasso-Service“ der BA nutzen? Wenn ja, welche sind das, und wie werden dort Rückforderungen eingetrieben? Gibt es Jobcenter, die private Unternehmen mit diesem Service beauftragt haben, und wenn ja, wen haben diese Jobcenter beauftragt?

Können Arbeitsvermittler („persönliche Ansprechpartner“, Fallmanagerinnen und Fallmanager, Mitarbeiter im Arbeitgeber-Service u. Ä.) der Jobcenter auf Daten aus der Leistungsbearbeitung (z. B. Kontoauszüge, Lohnabrechnungen) zugreifen? Werden diese Zugriffe protokolliert? Können Leistungsbearbeiterinnen und Leistungsbearbeiter der Jobcenter auf Daten aus der Arbeitsvermittlung (z. B. Zuweisungen in Maßnahmen, Einschränkungen in der Vermittlung) zugreifen? Werden diese Zugriffe protokolliert?

Wie viele der bundesweiten Jobcenter haben nach Kenntnis der Bundesregierung bereits die elektronische Akte („eAkte“) eingeführt? Gab es nach Kenntnis der Bundesregierung im Rahmen der Planung und Einführung der eAkte rechtliche Gutachten zur Wahrung von Datenschutz und Datensicherheit? Wenn ja, welche (bitte erreichbare Quellen angeben)?

Von welchen Einrichtungen aus und von wem werden Unterlagen, die an Jobcenter übermittelt werden und ggf. sensible personenbezogene Sozialdaten enthalten, z. B. Lohnabrechnungen oder Kontoauszüge, nach Kenntnis der Bundesregierung für die eAkte eingescannt?

Von wem werden diese Scan-Einrichtungen nach Kenntnis der Bundesregierung betrieben?

Wie wird nach Kenntnis der Bundesregierung sichergestellt, dass in den Scan-Einrichtungen sensible Daten nur von befugten Personen eingesehen werden können? Welche Kontrollverfahren gibt es? Wer ist nach Kenntnis der Bundesregierung befugt, sensible personenbezogene Sozialdaten wie Kontoauszüge von leistungsbeantragenden Personen einzusehen, und wo ist dabei die Grenze gegenüber Dritten?

Werden nach Kenntnis der Bundesregierung in diesen Scan-Einrichtungen Leih- und Werkvertragsnehmer eingesetzt? Ist es nach Kenntnis der Bundesregierung statthaft, in diesen Scan-Einrichtungen Leih- und Werkvertragsnehmer einzusetzen?

Wer kontrolliert wie und in welchem Turnus die Einhaltung der Datenschutzbestimmungen bei den beauftragten Scan-Einrichtungen?

Sind die einzuscannenden Dokumente nach Kenntnis der Bundesregierung nach dem Scannen maschinenlesbar, und welche Qualitätssicherung findet hierbei statt, um Erkennungsfehler zu vermeiden?

Bekommen die gescannten Dokumente nach Kenntnis der Bundesregierung durch die scannenden Einrichtungen weitere Daten zugeordnet (z. B. elektronische Vermerke zum Scandatum, zu BG- oder Kundennummern, zum Datum des Eingangs des Dokuments), und wenn ja, welche genau? Wer gibt diese Daten ein, falls diese nicht auf dem Dokument selbst maschinenlesbar vermerkt sind? Werden ggf. zusätzliche Daten gescannten Dokumenten aus bestehenden Quellen zugeordnet, z. B. eine BG-Nummer aus der bestehenden eAkte der absendenden Person? Wenn ja, wie kommt die eingebende Person im Scancentrum an diese Daten?

Wie wird nach Kenntnis der Bundesregierung mit eingereichten Kopien von persönlichen Dokumenten, deren Speicherung nicht zulässig oder notwendig ist, wie Personal-, Schwerbehinderten- und Sozialversicherungsausweisen, EC- und Krankenversicherungskarten, Mütterpässen oder Scheidungsurteilen, in den Scan-Zentren verfahren? Trifft es nach Kenntnis der Bundesregierung zu, dass diese Dokumente gescannt und gespeichert werden? Was passiert nach Kenntnis der Bundesregierung im Anschluss an den Scanvorgang mit den eingereichten Dokumenten? Werden diese gelöscht oder aufbewahrt, und wie wird nach Kenntnis der Bundesregierung sichergestellt, dass Unbefugte keinen Zugang zu diesen Dokumenten haben?

Welche Verstöße gegen Datenschutzgesetze – absichtlich oder unabsichtlich – bei der BA und den Jobcentern sind der Bundesregierung bekannt? Werden Verstöße bzw. Meldungen von Verstößen z. B. von Betroffenen gesammelt und zentral bei der BA statistisch aufbereitet und systematisch auf ihre Prüfung und ggf. Behebung geprüft? Wenn nein, warum findet das nicht statt?

Wie viele Datenschutzbeauftragte gibt es nach Kenntnis der Bundesregierung bei der BA und wie viele in den gemeinsamen Einrichtungen? Wie steht die Anzahl der Datenschutzbeauftragten im Verhältnis zu der Anzahl der Jobcentern? Wie sind diese Datenschutzbeauftragten hierarchisch in den Jobcentern verankert? Welche Aufgaben und Befugnisse haben diese Datenschutzbeauftragten nach Kenntnis der Bundesregierung? Wem erstatten die Datenschutzbeauftragten Bericht? Sind diese Datenschutzbeauftragten für Fragen und Beschwerden der Leistungsberechtigten zuständig, und wenn ja, wie sind diese Datenschutzbeauftragten für die Leistungsberechtigten erreichbar?

In welchem Umfang und wie häufig finden nach Kenntnis der Bundesregierung Datenschutzschulungen statt? Wer führt diese durch?

Welche organisatorischen und prozessualen Änderungen in der BA und den Jobcentern wurden nach Kenntnis der Bundesregierung konkret vorgenommen, um den Grundsätzen in Bezug auf die Verarbeitung personenbezogener Daten (Artikel 5 der Datenschutz-Grundverordnung), insbesondere bezüglich der Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie der Integrität und Vertraulichkeit, Sorge zu tragen?