Sozialdatenschutz und zur Datensicherheit im Zusammenhang mit der Bundesagentur für Arbeit und den Jobcentern (Nachfrage zur Antwort der Bundesregierung auf die Kleine Anfrage auf Bundestagsdrucksache 19/3412)

Ist der in der Antwort zu den Fragen 2 und 3 (hier und im Folgenden wird stets auf die jeweiligen Antworten auf Bundestagsdrucksache 19/3412 verwiesen) genannte § 50 Absatz 2 SGB II, nach dem die Weisungsbefugnis für die Verarbeitung von Sozialdaten bei den Jobcentern gE liege und nicht bei der BA, auch vor dem Hintergrund zutreffend, dass in § 50 Absatz 3 SGB II die BA als verantwortliche Stelle für die zentral verwalteten Verfahren der Informationstechnik (also auch für die eAkte, VerBIS und ALLEGRO) genannt wird?

Wie grenzt die Bundesregierung die beiden genannten Regelungen sowie die des § 44b Absatz 3 SGB II voneinander ab?

Wie bewertet die Bundesregierung die Auffassung der BA, dass es in der Verantwortung jedes einzelnen Jobcenters liegt, ob und welche Unterlagen gescannt und gespeichert werden, unabhängig davon, ob das Scannen aus Sicht der BA notwendig ist oder nicht?

Sieht die Bundesregierung hier einen Regelungsänderungsbedarf aus datenschutzrechtlicher Sicht, um vor dem Hintergrund der Digitalisierung eine einheitliche Vorgehensweise im ganzen Bundesgebiet zu ermöglichen?

Wie bewertet die Bundesregierung das Fehlen einer einheitlichen Weisung, welche Unterlagen (nicht) in einem von der BA zentral verwalteten Verfahren erhoben und genutzt werden dürfen, insbesondere unter Berücksichtigung des § 80 Absatz 1 Satz 1 Ziffer 3 SGB X?

Ist gegenüber der zuständigen Rechts- und Fachaufsichtsbehörde angegeben worden, dass die BA keine Weisungsbefugnis habe, das unberechtigte Scannen und Speichern von Dokumenten auf ihren Servern und mit Hilfe ihrer Dienstleistungen zu untersagen?

Wo ist das in der Antwort zu Frage 4 genannte „Rollen- und Berechtigungskonzept“ zu finden (bitte Internetquelle angeben oder Text anhängen)?

Wie benennt sich der „IT-Geschäftsprozess“, der die Zugriffsrechte verwaltet?

Wo sind die in den Antworten zu den Fragen 8, 14 und 17 genannten „Berechtigungskonzepte“ zu finden, und welche sonstigen weiteren „Berechtigungskonzepte“ gibt es in der BA und den Jobcentern (bitte jeweils Internetquellen angeben oder Texte anhängen, insbesondere das „fachliche Berechtigungskonzept für das Fachverfahren eAkte“ sowie zu den IT-Verfahren ERP-SAP, STEP, VerBIS, zPDV sowie ALLEGRO)?

Wie bekommen die Beschäftigten in den Jobcentern die zentral in den Rechenzentren gespeicherten Daten der leistungsberechtigten Personen auf ihren Bildschirmen angezeigt, wenn diese Daten laut Antwort der Bundesregierung zu Frage 6 nicht übermittelt (i. S. v. übertragen, gesendet, transportiert) werden?

Wie werden diese Daten von den Rechenzentren zu den lokalen Jobcentern übermittelt (i. S. v. übertragen, gesendet, transportiert)?

Hat die BA hierfür eine eigene materielle Infrastruktur (Kabel o. ä.), die alle Jobcenter und Dienststellen vernetzt, oder nutzt die BA die Infrastruktur des Internets?

Falls die Infrastruktur des Internets genutzt wird, wie werden die Daten während der Übermittlung verschlüsselt?

Ist nach Kenntnis der Bundesregierung eine Zertifizierung mit dem „Deutschen IT-Sicherheitszertifikat des BSI“ (Antwort der Bundesregierung zu Frage 7) auf Basis des IT-Grundschutzes, der auf „Standard-Sicherheitsmaßnahmen“ für eine „angemessene Basis-Sicherheit“ (www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/allgemein/einstieg/01001.html) zielt, geeignet, sichere und qualifizierte Aussagen über die Gewährleistung des Sozialdatenschutzes nach dem Zweiten Kapitel SGB X zu treffen (bitte Antwort mit Belegen begründen)?

Wurde im Rahmen der o. g. Zertifizierung eine Schutzbedarfsanalyse gemäß BSI TR-03138 (RESISCAN) (siehe www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03138/TR-03138.pdf?__blob=publicationFile&v=4) durchgeführt?

Falls ja, welchen Klassen wurde das Schriftgut, z. B. Kontoauszüge oder Wohngeldbescheide, zugeordnet?

Ist es möglich, im IT-Verfahren ALLEGO oder im IT-Verfahren eAkte sogenannte virtuelle Mitarbeiter (vMA) anzulegen und mit Berechtigungen zum lesenden und/oder schreibenden Datenzugriff zu versehen?

Warum ist es derzeit möglich, im IT-Fachverfahren VerBIS über die Anmeldung als vMA unzulässig ohne Berechtigung und somit auch ohne persönlich zuordnungsfähige Protokollierung des Zugriffs auf personenbezogene Daten von Leistungsbeziehenden zuzugreifen (siehe Weisung 201804009 vom 20. April 2018 der BA)?

Vertritt die Bundesregierung der Auffassung, dass, wie in der Antwort zu Frage 11 formuliert wird, den Jobcentern und Arbeitsagenturen bezüglich der Fristen zur Löschung von Daten zur Inanspruchnahme von Dienstleistungen, Geldleistungen und Sachleistungen nach dem SGB II und dem SGB III sowie von Daten, die der Finanzverwaltung zu melden sind, ein Ermessen zumindest für atypische Fälle eingeräumt wird („soll“)?

Und wie verhält sich diese Auffassung zu § 84 SGB X, aus der nach Auffassung der Fragestellenden kein Ermessen hervorgeht („sind zu löschen“) (bitte begründen)?

Wer kontrolliert nach Kenntnis der Bundesregierung, ob die Fristen zur Löschung von Daten gesetzesgemäß umgesetzt werden, und wie dicht ist die Kontrolle (bezogen auf einzelne Jobcenter und auf ehemals Leistungsbeziehende)?

Werden bei festgestellten Verstößen die davon betroffenen ehemaligen Leistungsbeziehenden informiert?

Und falls nein, warum nicht?

Warum „sollen“ Daten zur Inanspruchnahme von Dienstleistungen, Geld- und Sachleistungen nach SGB II zehn Jahre nach Beendigung des Falls gelöscht werden (siehe Antwort zu Frage 11), während die zuständige Aufsichtsstelle für den Datenschutz, die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), in ihren uns bekannten Berichten zu datenschutzrechtlichen Beratung- und Kontrollbesuchen (insg. 11 Berichte, verfügbar über https://fragdenstaat.de/anfrage/kontrollbericht11-jobcentern-landkreis-starnberg-frankfurt-am-main-merzig-wadern-mannheim-stormarndusseldorfulm-stadt-kassel-region-hannover-leipzig-landkreis-ahrweiler/95407/anhang/KontrollberichteJC.pdf) regelmäßig einen Zeitraum von fünf Jahren (60 Monaten) empfiehlt?

Ist der Bundesregierung bekannt, welche Haltung die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zur Verdopplung der von ihr empfohlenen Frist hat?

Welche (dienst-)rechtlichen Konsequenzen haben die Jobcenter bzw. deren Geschäftsführungen zu erwarten, wenn die Fristen zur Löschung von Daten nicht eingehalten werden (zu frühe bzw. zu späte Löschung von Daten)?

Verfügt die Bundesregierung über eine Einschätzung fachkundiger Bediensteter, wie viele der gemeinsamen Einrichtungen von der Möglichkeit Gebrauch machen, eigene Servicecenter einzurichten?

Ist der Bundesregierung mindestens ein Jobcenter gE bekannt, das kein SGB-II-Servicecenter durch die BA beauftragt hat (wenn ja, bitte diese Jobcenter benennen)?

Haben die Beschäftigten der SGB-II-Servicecenter lesenden Zugriff auf eingescannte Unterlagen, z. B. eingereichte Gehaltsabrechnungen oder Kontoauszüge (soweit diese eingescannt wurden)?

Nach welchen Kriterien richtet sich der Preis, den die Jobcenter für die „Einkaufsdienstleistung“ Servicecenter bezahlen, und wie hoch ist dieser Preis (bitte auch nach Jobcentern, Regionen sowie nach Jahren 2010 bis 2017 differenziert ausweisen)?

Hat die BA nach Kenntnis der Bundesregierung im Rahmen der Auftragserteilung nach § 80 SGB X geprüft, wie viel kostengünstiger die beauftragten privaten Unternehmen für die in der Antwort zu Frage 16 genannten 120 000 Einziehungsfälle Unterstützungsleistungen bei der Einziehung erbringen können (bitte in absoluten Zahlen sowie in Prozent der vermuteten Einsparung angeben)?

Teilt die Bundesregierung die Auffassung der BA, dass diese erwarteten Einsparungen so hoch sind, dass dafür die Weitergabe von Namen, Geburtsdaten, alten Adressen und die Höhe der Forderungen der BA von sozialversicherten Personen an private Dritte berechtigt ist, anstatt die neuen Adressen selbst zu ermitteln (bitte begründen)?

Nach welchen Kriterien richtet sich der Preis, den die Jobcenter für die „Einkaufsdienstleistung“ Inkasso-Service bezahlen, und wie hoch ist dieser Preis (bitte auch ggf. nach Jobcentern und Regionen sowie nach Jahren 2010 bis 2017 differenziert ausweisen)?

Wie genau definieren sich die „Kompetenzgruppen“ in der eAkte, auf die in der Antwort zu Frage 20 verwiesen wird (bitte Link auf entsprechende Weisung bzw. Text der BA der Antwort beifügen)?

Wie ist die Diskrepanz zwischen der Aussage in der Antwort zu Frage 20, dass Kontoauszüge und Lohnabrechnungen nicht durch die Integrationsfachkräfte einsehbar wären, und der Aussage in der Antwort zu den Fragen 22 und 23, dass Kontoauszüge in der Regel nicht digitalisiert würden, zu verstehen?

Teilt die Bundesregierung die Auffassung der Fragestellenden, dass die Aussage, dass Kontoauszüge „in der Regel“ nicht digitalisiert werden, so zu verstehen ist, dass in der Praxis der Jobcenter eingereichte Kontoauszüge in der überwiegenden Mehrheit der Fälle doch digitalisiert werden, wie beispielsweise die uns bekannten Berichte zu datenschutzrechtlichen Beratungs- und Kontrollbesuchen der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (https://fragdenstaat.de/anfrage/kontrollbericht11-jobcentern-landkreis-starnberg-frankfurt-am-main-merzig-wadern-mannheim-stormarndusseldorfulm-stadt-kassel-region-hannover-leipzig-landkreis-ahrweiler/95407/anhang/KontrollberichteJC.pdf) nahelegen (bitte Antwort begründen)?

Gab es nach Kenntnis der Bundesregierung im Rahmen der Planung und Einführung der eAkte rechtliche Gutachten zur Wahrung von Datenschutz und Datensicherheit?

Wenn ja, welche (bitte erreichbare Quellen angeben; die Frage wurde wortgleich auf Bundestagsdrucksache 19/2916 (Frage 2) bereits gestellt, jedoch leider nicht beantwortet oder vergessen)?

Vertritt die Bundesregierung die Auffassung, dass „eine Zertifizierung durch einen externen Prüfer“ für das eAkten-Dokumenten-Management-System (DMS) nach den Anforderungen für die Prüfkriterien für Dokumentenmanagementlösungen (PK-DML; siehe Antwort zu Frage 21) in der Lage ist, eine qualifizierte Aussage zur Wahrung des Datenschutzes, insbesondere des Schutzes von Sozialdaten gemäß des Zweiten Kapitels des SGB X, zu treffen?

Welche Prüfkriterien des PK-DML befassen sich konkret mit der Wahrung des Sozialdatenschutzes (bitte aufzählen und ggf. ausführen)?

Werden die Scanzentren, in denen das bei der BA und den Jobcentern gE eingehende Schriftgut digitalisiert wird, von der Deutschen Post AG betrieben, wie in der Antwort zu den Fragen 22 und 23 mitgeteilt wird, oder von der Deutschen Post E-POST Solutions GmbH, wie die Zertifizierung auf der Webseite des Bundesamtes für Sicherheit in der Informationstechnik (BSI; www.bsi.bund.de/DE/Themen/ZertifizierungundAnerkennung/Management systemzertifizierung/Zertifizierung27001/ErteilteZertifikate/iso27001_zertifikate.html) nahelegt?

Hat die BA im Rahmen der Auftragserteilung nach § 80 SGB II geprüft, wie viel kostengünstiger das beauftragte private Unternehmen die Aufgaben der in der Antwort zu den Fragen 22 und 23 genannten Scanzentren erbringen kann als die BA selbst (bitte in absoluten Zahlen sowie in Prozent der erwarteten Einsparung angeben)?

Wie viel bezahlt die BA (nur BA und Familienkasse) und wie viel bezahlen die Jobcenter (insgesamt bzw. je Jobcenter) für die Dienstleistungen rund um das Einscannen des eingehenden Schriftguts (Transport, Scannen, Entsorgung etc.) an die Deutsche Post AG bzw. Tochterfirmen der Post (bitte nach Jahren 2014 bis aktuell aufschlüsseln und Schätzungen für 2018 bis 2020 beifügen)?

Wie werden diese Kosten auf die Jobcenter verteilt?

Teilt die Bundesregierung die Auffassung der BA, dass diese erwarteten Einsparungen so hoch sind, dass dafür sensible Sozialdaten an private Dritte, die zudem Beschäftigte von Tochter- und Zeitarbeitsunternehmen einsetzen, weitergegeben werden, anstatt die Aufgaben selbst zu erledigen (bitte begründen)?

Hat die Bundesregierung darüber Kenntnis, wer (welche Stelle bzw. Abteilung) praktisch in den Jobcentern für die Entscheidung, welche Unterlagen an die Scanzentren übergeben werden, zuständig ist (siehe Antwort zu den Fragen 22 und 23)?

Welche Stelle bzw. Abteilung erstellt in den Jobcentern den „Verarbeitungsauftrag“ für die Scanzentren (siehe Antwort zu Frage 27)?

Wurden diese Stellen bzw. Abteilungen im Rahmen der Umstellung auf die eAkte personell aufgestockt?

Wenn ja, inwieweit (bitte Veränderung in Stellen je Jobcenter oder in Stellen je 1 000 Bedarfsgemeinschaften beziffern und ausführen)?

Falls Stellen in diesen Abteilungen aufgestockt wurden, wurden diese Stellen durch Umbesetzung bzw. Einsparungen an anderen Stellen in den Jobcentern besetzt oder durch Neueinstellungen bzw. zusätzliche Stellen?

Welche Qualifikation und Kompetenz haben die Beschäftigten dieser Stellen bzw. Abteilungen, um einzuschätzen, ob die fachlich zuständige Leistungs- oder Vermittlungsabteilung das jeweils eingereichte Schriftgut, z. B. einen Kontoauszug oder eine Kopie eines Scheidungsurteils, für eine spätere Entscheidung benötigen, damit entschieden werden kann, ob dieses Schriftstück somit zum Scannen weiterzuleiten ist oder nicht (siehe Antwort zu den Fragen 22 und 23)?

Sind die Beschäftigten dieser Stellen bzw. Abteilungen dazu befugt oder angehalten, teilweise Schwärzungen durchzuführen, ehe die eingereichten Unterlagen zum Scannen weitergeleitet werden, z. B. Schwärzung des Namens und der Anschrift des Arbeitgebers auf Lohnabrechnungen oder Schwärzung des Namens, der Anschrift und der Kontoverbindung des Vermieters auf Mietverträgen?

Was geschieht mit dem Schriftgut, das nicht zum Scannen weitergeleitet wird?

Wird für dieses Schriftgut eine parallele Papierakte (neu) angelegt?

Gibt es parallele Papierakten für nicht zu scannende, aber aufzubewahrende Unterlagen, wie z. B. Kopien von Kontoauszügen, Mietverträgen oder Betriebswirtschaftlichen Auswertungen (BWA)?

Wie werden (anonyme) Anzeigen, die laut dem der Antwort beigefügten Auszug aus der Arbeitshilfe der BA „Hinweise zum Aufbau und Führen einer Leistungsakte“, Anlage 3, in einem „verschlossenen Umschlag“ in der Leistungsakte aufzubewahren sind, in der eAkte gespeichert?

Wie wird die Vergabe von Berechtigungen zur Bearbeitung und Einsicht sensibler Sozialdaten im Rollen- und Berechtigungskonzept DiBAS (siehe Antwort zu Frage 24) geregelt (bitte Link auf entsprechendes Konzept angeben oder Konzept als Text anhängen)?

Werden Leiharbeiterinnen und Leiharbeiter in das Rollen- und Berechtigungskonzept DiBAS mit eingebunden?

Wie werden die Beschäftigten, die in den Scanzentren eingesetzt werden, vor ihrem Einsatz überprüft (Vorstrafen, Interessenkonflikte etc.)?

Wie sichert die BA, dass beim Einsatz von Drittfirmen, also von Personen, die weder bei der BA noch bei der Deutschen Post AG arbeiten, der Sozialdatenschutz gemäß dem Zweiten Kapitel SGB X tatsächlich eingehalten und in demselben Umfang geheim gehalten wird (vgl. § 78 SGB X)?

Prüft die BA, ob in den Scanzentren Personen eingesetzt werden (auch über Zeitarbeitsfirmen), die bereits wegen Verstößen gegen Datenschutz, z. B. wegen Verkaufs von personenbezogenen Daten, belangt wurden?

Wenn ja, wie?

Sind die im ersten Absatz in der Antwort zu Frage 26 genannten Prüfungen und Audits Datenschutzaudits im Sinne des § 73c SGB X?

Welche näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter waren dabei zu beachten (bitte gesetzliche Grundlagen, insbesondere das „besondere Gesetz“ nach § 87c Satz 2 SGB X, benennen sowie konkret für die Scanzentren ausführen)?

Kontrollieren und prüfen die in der Antwort zu Frage 26 genannten Prüfungen, Audits und ISO-Normen nach Kenntnis der Bundesregierung zuverlässig die Einhaltung der Standards des Sozialdatenschutzes gemäß dem Zweiten Kapitel SGB X oder eher die „Ordnungsmäßigkeit und Sicherheit (Revisionssicherheit) des Prozesses Digitalisierung BA Schriftgut“?

Bei wem sind die Personen, die die gescannten Unterlagen kontrollieren („Qualitätssicherung“, siehe Antwort zu Frage 27) sowie die Personen, die mit der manuellen Erfassung bestimmter Fachdaten beauftragt sind („Nachbearbeitungskräfte“, siehe Antwort zu Frage 28), beschäftigt?

Werden in diesen beiden Bereichen auch Beschäftigte, die weder bei der Deutschen Post AG noch bei der BA angestellt sind, eingesetzt?

Werden in diesen Bereichen auch Leiharbeiterinnen und Leiharbeiter eingesetzt?

Wie viele „Signaturmitarbeiter in der BA“ gibt es (siehe Antwort zu Frage 27) zurzeit, und für wie viele stichprobenartige Überprüfungen wie vieler digitalisierter Dokumente sind diese zuständig (bitte auch Anzahl digitalisierter Dokumente für alle Scanzentren sowie je Scanzentrum je Monat angeben)?

Haben die Bundesregierung und die BA ein Interesse daran (siehe Antwort zu Frage 31, nach der die Datenschutzbeauftragten der Jobcenter nur auf lokaler Ebene berichten), beispielsweise im Rahmen eines Benchmarkings, besonders vorbildliche und besonders schlechte Jobcenter in Sachen Datenschutz zu identifizieren, und damit einen Wettbewerb in Bezug auf einen besonders vorbildlichen Datenschutz in den Jobcentern zu starten bzw. „Best Practice“-Vorbilder für den Datenschutz zu schaffen?

Wenn nein, warum nicht?

Haben die Bundesregierung oder die BA Bedenken, wenn für Datenschutzverstöße in den Jobcentern lediglich eine Beschäftigte bzw. ein Beschäftigter des jeweiligen Jobcenters zuständig ist, und diese bzw. dieser bei Verstößen lediglich der Geschäftsleitung (die ggf. selbst Ursache für die Verstöße ist) berichtet?

Entspricht diese Praxis nach Einschätzung der Bundesregierung den Grundsätzen einer guten Verwaltungspraxis?

Welchen Umfang der Freistellungen der Beauftragten für den Datenschutz hält die Bundesregierung und die BA für mindestens notwendig (bitte sämtliche Kriterien angeben)?

Wurden die empfohlenen Umfänge der Freistellungen der Beauftragten für den Datenschutz im Rahmen der Einführung der eAkte erhöht?

Sieht die Bundesregierung neben den in der Antwort zu Frage 33 genannten drei Punkten weitere Änderungs- und Entwicklungsbedarfe, damit die Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten (Artikel 5 DSGVO), insbesondere bezüglich der Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie der Integrität und Vertraulichkeit in der BA und der Jobcenter, insbesondere in Bezug auf die eAkte, die Scanzentren, die Servicecenter und die Inkassoservices, verlässlich gesichert werden?