Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums für Arbeit und Soziales vom 12. Juli 2018 übermittelt. Die Drucksache enthält zusätzlich – in kleinerer Schrifttype – den Fragetext. Deutscher Bundestag Drucksache 19/3412 19. Wahlperiode 13.07.2018 Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Jessica Tatti, Susanne Ferschl, Doris Achelwilm, weiterer Abgeordneter und der Fraktion DIE LINKE. – Drucksache 19/2916 – Fragen zum Sozialdatenschutz und zur Datensicherheit im Zusammenhang mit der Bundesagentur für Arbeit und den Jobcentern V o r b e m e r k u n g d e r F r a g e s t e l l e r Die Bundesagentur für Arbeit (BA) und die Jobcenter gerieten in den vergangenen Jahren immer wieder mit Meldungen über mangelnden Datenschutz und mangelnde Datensicherheit in die Schlagzeilen (vgl. beispielsweise Bundestagsdrucksachen 17/14327 und 19/2417). Mittlerweile wurde in den Jobcentern (gemeinsame Einrichtungen) flächendeckend die „eAkte“ eingeführt, zudem wurden neue Computerlösungen (z. B. „Allegro“) implementiert. Einige Jobcenter experimentieren mit elektronischen Dienstleistungen wie der Online-Terminvergabe oder einer Anzeige aktueller Wartezeiten in den Eingangszonen (beispielsweise mit Vorreiterrolle das Jobcenter Düsseldorf, siehe www.jobcenter-duesseldorf.de/). Auch in den lokalen Arbeitsagenturen wurden die „eServices“ ausgebaut. Die Dienststellen der Bundesagentur für Arbeit und die Jobcenter lagern zunehmend spezifische Aufgaben an (interne) zentrale und/oder externe Dienste aus, z. B. an Callcenter, Scancenter, IT-Service-Haus und zur Beauftragung bzw. Kontrolle von Maßnahmen die Regionaldirektionen und die BA-Service-Haus. Seit dem 25. Mai 2018 trat die Überarbeitung des Sozialdatenschutzes im Zehnten Buch Sozialgesetzbuch (SGB X) mit Anpassungen an europäische Datenschutzbestimmungen in Kraft. Mit dieser Kleinen Anfrage möchten sich die Fragesteller einen Überblick über die aktuelle Lage des Datenschutzes und der Datensicherheit bei der Bundesagentur für Arbeit und den Jobcentern (gE) verschaffen. V o r b e me r k u n g d e r B u n d e s r e g i e r u n g Leistungen der Grundsicherung für Arbeitsuchende werden entweder von den Trägern – der Bundesagentur für Arbeit (BA) und den kreisfreien Städten und Kreisen (kommunale Träger) – gemeinsam in einer Einrichtung (gemeinsame Einrichtung) oder in alleiniger Verantwortung von den zugelassenen kommunalen Trägern erbracht (§ 6 Absatz 1 Satz 1 des Zweiten Buches Sozialgesetzbuch – Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/3412 – 2 – Deutscher Bundestag – 19. Wahlperiode SGB II). Beide Formen führen die Bezeichnung Jobcenter (§ 6d SGB II). Das Bundesministerium für Arbeit und Soziales führt die Rechts- und Fachaufsicht über die BA, soweit dieser ein Weisungsrecht gegenüber den gemeinsamen Einrichtungen zusteht (§ 47 Absatz 1 SGB II). Die Aufsicht über die zugelassenen kommunalen Träger führen die zuständigen Landesbehörden (§ 47 Absatz 2 SGB II). Die nachfolgenden Antworten der Bundesregierung beziehen sich daher nur auf die Jobcenter in Form der gemeinsamen Einrichtungen und Agenturen für Arbeit. 1. Sind der Bundesregierung die „Hinweise zum Aufbau und Führen einer Leistungsakte & verbindliche Regelungen zu den Aufbewahrungsfristen im Rechtskreis SGB II“ der BA bekannt, und wie verbindlich sind die darin aufgeführten Hinweise? Die Hinweise der BA sind der Bundesregierung bekannt. Sie wurden im Jahr 2016 überarbeitet und getrennt in: 1. „Hinweise zum Aufbau und Führen einer Leistungsakte“, die in Form einer unverbindlichen Arbeitshilfe zur Verfügung stehen, da die Aktenführung in den Zuständigkeitsbereich der Trägerversammlung fällt. 2. „Verbindliche Regelungen zu den Aufbewahrungsfristen im Rechtskreis SGB II“, die als Weisung zu beachten und verbindlich umzusetzen sind. Die gesetzlichen Bestimmungen zu den Aufbewahrungsfristen wurden in der Weisung zusammengefasst. 2. Welche persönlichen Dokumente von Antragstellenden und Leistungsbeziehenden dürfen als Kopien oder Scans nach Kenntnis der Bundesregierung ausdrücklich in Leistungsakten gespeichert werden, und welche nicht? 3. Wie wird nach Kenntnis der Bundesregierung durch die BA sichergestellt, dass Kopien von Dokumenten, deren Speicherung nicht zulässig oder notwendig ist, nicht in schriftlichen oder elektronischen Leistungsakten gespeichert werden? Die Fragen 2 und 3 werden gemeinsam beantwortet. Jede gemeinsame Einrichtung ist verantwortliche Stelle für die Verarbeitung von Sozialdaten. Sie hat damit sicherzustellen, dass die entsprechenden datenschutzrechtlichen Vorschriften eingehalten werden (§ 50 Absatz 2 SGB II). Eine Weisungsbefugnis der BA besteht hier nicht (vgl. Antwort zu Frage 1). Für eine korrekte Entscheidung, was zur eAkte zu nehmen ist und grundsätzlich nicht zur eAkte zu nehmen ist, hat die BA den gemeinsamen Einrichtungen Hilfsmittel zur Verfügung gestellt. Darunter fallen insbesondere die Anlagen 2 und 3 der „Hinweise zum Aufbau und Führen einer Leistungsakte“. In diesen tabellarischen Übersichten sind getrennt nach der Bearbeitung von Anträgen und laufender Aktenbearbeitung alle in Betracht kommenden Unterlagen mit Hinweisen zu ihrer jeweiligen Aufbewahrung enthalten. Diese Hinweise gelten auch für die Aufbewahrung der Unterlagen in der eAkte SGB II. Für den Rechtskreis SGB III gelten die entsprechenden fachlichen Weisungen und kassenrechtlichen Bestimmungen der BA. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 3 – Drucksache 19/3412 4. Wie (Software) und wo (Hardware) werden die erhobenen Daten von ALG- II-Beziehenden nach Kenntnis der Bundesregierung gespeichert? Wer kann auf die Daten zugreifen? Gibt es unterschiedliche Zugriffsrechte, und wer verwaltet diese? Die BA hat ihre Software zentralisiert und betreibt eigene Rechenzentren innerhalb Deutschlands. Der Zugriff auf die Daten wird aufgrund eines Rollen- und Berechtigungskonzeptes gewährt, das gesetzlich erforderliche datenschutzrechtliche Anforderungen beachtet. Die Rolleninhaberin bzw. der Rolleninhaber erhält nur die Berechtigung zum Zugriff auf die Daten, die sie oder er für die Aufgabenerledigung benötigt. Die Zugriffrechte werden über einen IT-Geschäftsprozess mit unterschiedlichen Rolleninhabern verwaltet. 5. Wie werden die Server der BA nach Kenntnis der Bundesregierung gehostet? Unterhält die BA eigene Rechenzentren oder sind die Server in Rechenzentren kommerzieller Anbieter untergebracht? Die Server der BA werden nicht gehostet. Die BA unterhält eigene Rechenzentren in eigenen und angemieteten Gebäuden. 6. Wie werden nach Kenntnis der Bundesregierung die Daten von den Servern an die Agenturen und Jobcenter übermittelt? Kann über das Internet auf die Daten von Erwerbslosen und Arbeitsuchenden zugegriffen werden? Welche Sicherheitsvorkehrungen werden getroffen, um die Daten nach außen bei der Übertragung vor dem Zugriff unbefugter Dritter zu schützen? Die BA übermittelt keine Daten an die Agenturen für Arbeit und gemeinsamen Einrichtungen, da diese zentral in den Rechenzentren verarbeitet und gespeichert werden. Zur Verhinderung eines Zugriffes aus dem Internet auf Daten im Intranet der BA besteht ein mehrstufiges System der Informationssicherheit. Die am Intranet angeschlossenen Agenturen für Arbeit und gemeinsamen Einrichtungen nutzen für die Datenübertragung die transportverschlüsselte Informationsinfrastruktur der BA. 7. Welche Sicherheitsvorkehrungen werden nach Kenntnis der Bundesregierung getroffen, um auf den Servern befindliche Daten zum Beispiel durch Verschlüsselung vor dem Zugriff Unbefugter zu schützen? Die Daten auf den Servern werden nach den Vorgaben des IT-Grundschutzes des Bundesamtes für Sicherheit der Informationstechnik (BSI) mit entsprechenden IT-Sicherheitsmaßnahmen geschützt. Die Angemessenheit dieser IT-Sicherheitsmaßnahmen wird durch das verliehene Deutsche IT-Sicherheitszertifikat des BSI bestätigt. Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/3412 – 4 – Deutscher Bundestag – 19. Wahlperiode 8. Welche Sicherheitsvorkehrungen werden nach Kenntnis der Bundesregierung innerhalb der BA getroffen, um diese Daten vor dem Zugriff unbefugter Mitarbeiterinnen und Mitarbeiter der Agenturen, der Jobcenter und beauftragter Dritter zu schützen? Nach welchen Kriterien treffen die BA und die Jobcenter die Entscheidung, welche Mitarbeiterinnen und Mitarbeiter auf welche Daten von Leistungsberechtigten Zugriff haben? Werden Zugriffe auf sensible Daten von Leistungsberechtigten protokolliert ? Falls es unterschiedliche Zugriffsrechte und Protokollierungen nach Datenarten gibt, nach welchen Kriterien wird entschieden, welche Daten als besonders sensibel zu betrachten sind? Zur Frage nach den Zugriffsberechtigungen wird auf die Antwort zu Frage 4 verwiesen . Die Zugriffe auf die Verfahren sind nur mit entsprechenden Berechtigungen möglich . Diese werden durch die zuständigen Führungskräfte unter Berücksichtigung zentral vorgegebener Berechtigungskonzepte verwaltet (genehmigt). Darin sind auch Regelungen für unterschiedliche Aufgabenbereiche und Datenarten enthalten . Im fachlichen Berechtigungskonzept für das Fachverfahren eAkte ist z. B. festgelegt, dass durch eine restriktive Zuordnung der Rechte vor Ort sicherzustellen ist, dass Art und Umfang des jeweiligen Rechts sich ausschließlich nach dem für die Aufgabenerledigung der Anwenderin und der Anwender unabdingbar Erforderlichen richten. Bei der Rechtevergabe ist der örtliche Datenschutzbeauftragte entsprechend seiner Rechte und Pflichten im Sinne der DSGVO sowie § 7 BDSG einzubinden. Zugriffe auf sensible Daten werden unter Beachtung der gesetzlichen Rahmenbedingungen datenschutzkonform protokolliert. Unterschiedliche Zugriffsrechte und Protokollierungen ergeben sich aus dem Schutzbedarf der erhobenen, verarbeiteten und genutzten Daten. 9. Wie viele Mitarbeiterinnen und Mitarbeiter der BA haben nach Kenntnis der Bundesregierung über BA-interne EDV-Systeme Zugang zu sensiblen personenbezogenen Daten von Erwerbslosen und Arbeitsuchenden? Alle Mitarbeiterinnen und Mitarbeiter, die Kundenanliegen bearbeiten, haben Zugriff auf die Daten der Personen, für die sie zuständig sind. In der BA und den gemeinsamen Einrichtungen haben insgesamt ca. 90 000 BA-Mitarbeiter Zugriff auf personenbezogene Daten von Erwerbslosen und Arbeitsuchenden in ihrem jeweiligen Zuständigkeitsbereich. Davon entfallen ca. 60 000 Mitarbeiterinnen und Mitarbeiter auf den Rechtskreis SGB II und ca. 30 000 auf den Rechtskreis SGB III. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 5 – Drucksache 19/3412 10. Welche Leitfäden, (Dienstan-)Weisungen oder sonstige Regelungen von Seiten der BA gibt es nach Kenntnis der Bundesregierung für Jobcenter hinsichtlich der Erhebung, Verarbeitung und Nutzung personenbezogener Daten , und welchen Inhalt bezüglich der Erhebung, Verarbeitung und Nutzung der Daten haben diese? Berücksichtigen diese Leitfäden, (Dienstan-)Weisungen oder sonstige Regelungen die aktuelle Rechtslage nach SGB X? Und wenn nein, wie beurteilt die Bundesregierung dies? Auf die Antwort zu Frage 1 wird verwiesen. In Bezug auf die Verarbeitung personenbezogener Daten stehen den Mitarbeiterinnen und Mitarbeitern als generelle Information die Datenschutzbestimmungen der BA zur Verfügung. Diese beinhalten auf über 90 Seiten u. a. Ausführungen zu den allgemeinen Grundsätzen des Datenschutzes (Verbot mit Erlaubnisvorbehalt , Datenvermeidung, Datensparsamkeit, Erforderlichkeitsgrundsatz, Transparenzgebot , Zweckbindungsprinzip, Verhältnismäßigkeits- und Ersterhebungsgrundsatz ), Definition und Verarbeitungsfragen von Sozialdaten sowie Übermittlungsgrundsätze und auch Zusammenarbeitsfragen mit der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Die hier abgebildeten Grundsätze gelten auch im Hinblick auf das neue SGB X fort. Speziellen Änderungen des SGB X (§§ 83, 83a SGB X) hat die BA über eine geänderte Weisungslage für den Rechtskreis SGB III sowie mit Informationen für den Rechtskreis SGB II Rechnung getragen. 11. Nach welcher Frist werden sensible Daten und eingereichte Unterlagen von Erwerbslosen, Arbeitsuchenden und ALG-II-Beziehenden durch die BA und die Jobcenter (gE) nach Kenntnis der Bundesregierung gelöscht? Nach welcher Frist werden von den Agenturen für Arbeit und den Jobcentern erstellte schriftliche wie elektronische Datensätze über (ehemals) Leistungsbeziehende gelöscht? Daten zur Inanspruchnahme von Dienstleistungen, Geld- und Sachleistungen nach dem SGB III sollen fünf Jahre nach Beendigung des Falles gelöscht werden. Ein Fall ist beendet, wenn eine sozialversicherungspflichtige Beschäftigung aufgenommen wurde, ein Leistungsbezieher oder eine Leistungsbezieherin sich in selbständige Tätigkeit abgemeldet hat oder die Person aus sonstigen Gründen nicht mehr durch die Agentur für Arbeit betreut wird (z. B. Rente, Elternzeit etc.), es sei denn, es werden besondere Förderleistungen gewährt oder Rechtsstreitigkeiten sind noch nicht abgeschlossen. Die fünf Jahre dienen Rechnungslegungszwecken nach den Grundsätzen der Bundeshaushaltsordnung. Daten, die der Finanzverwaltung zu melden sind, sollen nach sieben Jahren gelöscht werden. Daten zur Inanspruchnahme von Dienstleistungen, Geld- und Sachleistungen nach dem SGB II sollen zehn Jahre nach Beendigung des Falles gelöscht werden. Ein Fall ist in diesem Zusammenhang beendet, wenn die Hilfebedürftigkeit weggefallen ist oder aus anderen Gründen kein Anspruch mehr auf Leistungen besteht , es sei denn, es werden besondere Förderleistungen gewährt oder Rechtsstreitigkeiten sind noch nicht abgeschlossen. Die Frist von zehn Jahren beruht auf der gesetzlichen Möglichkeit der Rückforderung von Leistungen, wenn in diesem Zeitraum bekannt wird, dass Leistungen zu Unrecht gewährt wurden. Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/3412 – 6 – Deutscher Bundestag – 19. Wahlperiode In Förderfällen durch den Europäischen Sozialfonds werden die Daten 13 Jahre nach Beendigung des Falles gelöscht. Bis zu diesem Zeitpunkt sind sie aus Gründen der Rechnungslegung gegenüber der EU aufzubewahren (Artikel 140 der Verordnung (EU) Nr. 1303/2013). Hat die BA eine offene Forderung gegenüber einer (auch nicht mehr betreuten) Leistungsbezieherin oder einem Leistungsbezieher (Rückforderung/Erstattungsbescheid /Darlehen), werden die Daten gemäß den Vorschriften der Zivilprozessordnung und des Bürgerlichen Gesetzbuches 30 Jahre lang aufbewahrt und anschließend gelöscht (Ablauf der Verjährungsfrist). Wurden der Ärztliche Dienst oder der Berufspsychologische Service der BA beteiligt , werden die bei diesen Fachdiensten angefallenen Daten entsprechend der jeweiligen Berufsordnung nach zehn Jahren gelöscht. 12. Welche Sozialdaten werden nach Kenntnis der Bundesregierung von der BA beziehungsweise den Jobcentern an Dritte weitergegeben und zu welchem Grund? Wie werden diese Sozialdaten übermittelt, und welche Sicherheitsvorkehrungen werden getroffen, um Sozialdaten vor dem Zugriff Unbefugter zu schützen? Folgende Datenkategorien werden von der BA verarbeitet: a) Stammdaten inkl. Kontaktdaten (z. B. Kundennummer, Bedarfsgemeinschaftsnummer , Name, Vorname, Geburtsdatum, Geburtsort, Anschrift, Telefonnummer (freiwillige Angabe), E-Mail-Adresse (freiwillige Angabe), Benutzername und Kennwort (bei Nutzung der Online-Angebote), Familienstand, Staatsangehörigkeit , Aufenthaltsstatus, Renten-/Sozialversicherungsnummer, Bankverbindung ) b) Daten zur Leistungsgewährung (z. B. Einkommensnachweise, Daten zu Unterhaltsansprüchen /Regressansprüchen und zur Krankenversicherung) c) Daten zur Berufsberatung sowie zur Vermittlung/Integration in Arbeit (z. B. Lebenslauf, Nachweise über Abschlüsse und Qualifikationen (schulische und berufliche), Daten zu Stellenangeboten) d) Gesundheitsdaten (z. B. Daten für die Betreuung im Reha-Bereich, Begutachtungen oder Stellungnahmen durch den Ärztlichen Dienst der BA) e) Meldedaten der Arbeitgeber zur Überprüfung von Beitragszahlungen an die Arbeitslosenversicherung f) Forschungs- (Befragungsdaten) und Statistikdaten g) Daten im Erlaubnisverfahren nach dem Arbeitnehmerüberlassungsgesetz (AÜG). Zum Zwecke der gesetzlichen Aufgabenerledigung der BA können im Einzelfall bei Vorliegen der gesetzlichen Voraussetzungen zur Übermittlung einzelne der oben aufgeführten Daten an Dritte übermittelt werden, wie beispielsweise andere Sozialleistungsträger (z. B. Deutsche Rentenversicherung, Krankenversicherung ), Arbeitgeber oder Ausbildungsbetriebe. Gesetzliche Übermittlungsbefugnisse ergeben sich aus dem Sozialgesetzbuch (insbesondere aus dem SGB II, III und X). Die Daten werden überwiegend postalisch übermittelt, aber auch per Fax, mithilfe des elektronischen Gerichts- und Verwaltungspostfaches, innerhalb des IT-Verfahrens eAkte, per Telefon, über einen Webservice oder mit verschlüsselter Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 7 – Drucksache 19/3412 E-Mail. Die Wahl des Kommunikationsmittels ist in erster Linie abhängig von dem Dritten, mit dem kommuniziert werden soll. Die Sozialdaten werden insbesondere durch die technischen Eigenschaften der jeweiligen Kommunikationsmittel (z. B. Authentifizierungsverfahren bei Telefon und Webservice) geschützt. Das Institut für Arbeitsmarkt- und Berufsforschung (IAB) stellt Sozialdaten auf Grundlage von § 75 SGB X nach vorheriger Genehmigung des Bundesministeriums für Arbeit und Soziales für die Forschung i. d. R. über das Forschungsdatenzentrum der BA im IAB (FDZ) zur Verfügung. Ziel des FDZ ist es, den Zugang zu den Mikrodaten der BA und des IAB für die nicht-kommerzielle Forschung mit transparenten und standardisierten Regeln zu ermöglichen. Datenzugänge sind etwa möglich an Gastarbeitsplätzen, d. h. an speziell gesicherten Arbeitsplätzen in den FDZ, oder über eine Datenfernverarbeitung, bei der die Forschenden Sozialdaten im FDZ auswerten können, ohne selbst vor Ort zu sein. Forschungsdatensätze , die sehr stark anonymisiert sind (sog. faktische Anonymisierung), aber dennoch Analysepotential aufweisen, dürfen auch in anderen wissenschaftlichen Einrichtungen vor Ort ohne vorherige Genehmigung des Bundesministeriums für Arbeit und Soziales analysiert werden. 13. Wie viele von der BA und den Jobcentern beauftragte „Servicecenter“ für Fragen von Leistungsberechtigten gibt es in Deutschland, und wie viele Beschäftigte gibt es dort? Wer ist der Arbeitgeber der Mitarbeitenden dieser Servicecenter? Die BA betreibt in Deutschland 15 SGB II- und 27 SGB III-Service Center. Zudem können die gemeinsamen Einrichtungen eigene Service Center einrichten. Der Bundesregierung liegen keine Informationen dazu vor, wie viele der gemeinsamen Einrichtungen von dieser Möglichkeit Gebrauch gemacht haben. Mit Stand Mai 2018 sind umgerechnet in Vollzeitanteilen 1 304 Beschäftigte bundesweit in allen SGB II-Service Centern und 2 815 Beschäftigte in allen SGB III-Service Centern der BA eingesetzt. Die Mitarbeiterinnen und Mitarbeiter sind Beschäftigte der BA; die Dienstaufsicht über diese Beschäftigten übt die Agentur für Arbeit, in der das Service Center seinen Sitz hat, aus. 14. Welche Zugriffsrechte auf Daten von Erwerbslosen, Arbeitsuchenden und ALG-II-Beziehenden haben „Servicecenter“-Beschäftige nach Kenntnis der Bundesregierung? Arbeiten die „Servicecenter“ rechtskreisübergreifend für SGB-II- und SGB-III-Fragen oder getrennt nach Rechtskreisen? Arbeiten die einzelnen „Servicecenter“ nur für bestimmte Jobcenter oder für alle Jobcenter bundesweit? Übernehmen einzelne „Servicecenter“ bei Ausfällen oder Überlastungen anderer „Servicecenter“ deren Anrufe? Haben diese vertretenden „Servicecenter“ dann auch Zugriff auf die Datensätze dieser Jobcenter? Die Zugriffsrechte für das Stammdatenerfassungs- und Pflegesystem (STEP) sowie das IT-Fachverfahren Vermittlungs-, Beratungs- und Informationssystem (VerBIS) sind in einem Berechtigungskonzept geregelt. Der Zugriff beschränkt sich auf die Daten, die die Service Center SGB II und SGB III für ihre Aufgabenerledigung benötigen; dieser Zugriff besteht bundesweit. Auf das IT-Fachverfahren Alg II-Leistungsverfahren Grundsicherung Online (ALLEGRO) haben die Service Center SGB II bundesweit lesenden Zugriff. Die Zugriffsrechte auf die Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/3412 – 8 – Deutscher Bundestag – 19. Wahlperiode elektronische Leistungsakte sind auf die jeweilige Region beschränkt und werden je nach Erfordernis zentral vergeben. Sofern Anrufe auf ein anderes Service Center umgesteuert werden müssen, werden die erforderlichen Zugriffe vergeben und im Anschluss wieder entzogen. Das Organisationsmodell einer rechtskreisübergreifenden Aufgabenerledigung wurde lediglich am Standort Braunschweig eingeführt. An diesem Standort werden Amtshilfekräfte im Rechtskreis SGB II und bei der Familienkasse eingesetzt. Bei der SGB II-Telefonie handelt es sich um eine sogenannte „Einkaufsdienstleistung “. Die Jobcenter können entscheiden, ob sie die Dienstleistung „Service Center“ einkaufen. Nur dann werden die Service Center SGB II tätig. Die Service Center SGB II arbeiten für bestimmte Jobcenter in der Region und somit nicht bundesweit. Ob Service Center bei Ausfällen oder Überlastungen für andere Service Center mittelefonieren, wird im Einzelfall zentral entschieden. Je nach Dauer des Ausfalles können Anrufe umgeleitet werden. Allerdings werden die Anrufe nicht bundesweit verteilt, sondern in eine andere Region gelenkt. Ob Zugriffsberechtigungen geändert werden, wird im Einzelfall entschieden. 15. Beauftragt die BA über ihre eigenen „Servicecenter“ hinaus noch weitere Callcenter, die nicht von der BA selbst betrieben werden? Ist der Bundesregierung bekannt, wie viele Beschäftigte in diesen Callcentern mit der Bearbeitung von Angelegenheiten der BA beschäftigt sind? Können gegebenenfalls Beschäftige BA-externer Callcenter nach Kenntnis der Bundesregierung auf Daten von Erwerbslosen, Arbeitsuchenden und ALG-II-Beziehenden zugreifen? Nein. 16. Wie viele von der BA und den Jobcentern beauftragte „Inkasso-Services“ gibt es nach Kenntnis der Bundesregierung in Deutschland, und wie viele Beschäftigte gibt es dort? Wer ist der Arbeitgeber der Mitarbeitenden dieser Inkasso-Services (www3.arbeitsagentur.de/web/content/DE/Detail/index.htm?dfContentId =L6019022DSTBAI744098)? Werden in den „Inkasso-Services“ Leih- und/oder Werkvertragsnehmer eingesetzt ? Die BA betreibt einen eigenen Inkasso-Service, der zu ihrer Gesamtorganisation gehört. Sie ist Arbeitgeberin der dort beschäftigten Mitarbeiterinnen und Mitarbeiter . Forderungen aus dem Rechtskreis SGB III und der Familienkasse werden als eigene Forderungen der BA durch den Inkasso-Service der BA eingezogen. Der Einzug von Forderungen des Bundes ist eine hoheitliche Verwaltungstätigkeit; private Inkasso-Unternehmen können in diesem Zusammenhang nur als Verwaltungshelfer und allenfalls für Unterstützungshandlungen eingesetzt werden. Die BA hat im Rahmen der Auftragsverarbeitung nach § 80 SGB X zwei Unternehmen damit beauftragt, für insgesamt 120 000 Einziehungsfälle Unterstützungsleistungen bei der Einziehung zu erbringen. Die Auftragnehmer handeln hierbei lediglich als Verwaltungshelfer und sind eng an die Weisungen der BA gebunden. Ihre Aufgaben bestehen insofern u. a. in der Ermittlung und Aktualisierung von Adressdaten, der Erinnerung an die weiterhin bestehende Forderung gegenüber Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 9 – Drucksache 19/3412 dem Schuldner und dem Erstellen von Entscheidungsvorschlägen zum weiteren Vorgehen im Einziehungsverfahren. Entscheidungen über Niederschlagungen, Stundungen, Vergleiche oder Erlasse trifft allein der Inkasso-Service der BA. Forderungen aus dem Rechtkreis SGB II werden nur dann vom Inkasso-Service der BA eingezogen, wenn eine gemeinsame Einrichtung die Wahrnehmung dieser Aufgabe gemäß § 44b Absatz 4 SGB II auf die BA übertragen hat. Im Rechtskreis SGB II werden keine externen Dienstleister beauftragt. Für die Einziehung von Forderungen aus allen Rechtskreisen (SGB II, SGB III und der Familienkasse) sind insgesamt 649,5 Vollzeitstellen im Inkasso-Service der BA angesetzt. Leih- oder Werksvertragsarbeitnehmerinnen und -arbeitnehmer werden nicht beschäftigt. 17. Welche personenbezogenen Daten haben bzw. bekommen diese „Inkasso- Services“ nach Kenntnis der Bundesregierung von aktuellen und ehemaligen leistungsberechtigten Personen? Wie und auf welchem Weg werden diese Daten von den Jobcentern und lokalen Agenturen für Arbeit an die Inkasso-Services übermittelt? Der Inkasso-Service der BA nutzt gemeinsam mit den Agenturen für Arbeit und den gemeinsamen Einrichtungen die IT-Anwendungen ERP-SAP und STEP und kann die dort eingegebenen Daten einsehen und bearbeiten. ERP-SAP wird von den Agenturen für Arbeit sowie den gemeinsamen Einrichtungen für die Sollstellung der Forderungen ihres Zuständigkeitsbereichs als Finanzsystem genutzt. Die Stammdaten (siehe Antwort zu Frage 12 Buchstabe a) der leistungsberechtigten Personen werden im Fachverfahren STEP erfasst. Es werden keine weiteren Daten zwischen den Agenturen für Arbeit bzw. den gemeinsamen Einrichtungen und dem Inkasso-Service der BA transferiert. Die (Benutzer-) Rollenkonzepte ERP- SAP und STEP regeln die Zugriffsrechte der Anwender und schränken diese dienststellenbezogen auf das für die Aufgabenerledigung erforderliche Maß ein. Die im Rechtskreis SGB III als Verwaltungshelfer eingesetzten Dienstleister erhalten für den ihnen zur Bearbeitung überstellten Forderungsbestand Bilddateien (Auszüge aus dem Forderungsfachverfahren) mit Angaben zu Name, Geburtsdatum , bisher bekannter Adresse und Höhe der Forderung. Zudem werden ihnen Daten, wie z. B. Zahlungslisten oder Klärlisten, über eine „Web-based Distributed Authoring and Versioning“-Ablage übermittelt. Für größere Excel-Listen oder Rechnungen wird eine „Secure File Transfer Protocol“-Ablage genutzt. Die im Rechtskreis SGB III eingesetzten Verwaltungshelfer haben keinen Zugriff auf ERP-SAP und STEP. 18. Welche personenbezogenen Daten haben bzw. bekommen die beauftragenden Jobcentern und lokalen Agenturen für Arbeit nach Kenntnis der Bundesregierung von diesen „Inkasso-Services“ von aktuellen und ehemaligen leistungsberechtigten Personen? Wie und auf welchem Weg werden diese Daten von den Inkasso-Services an die Jobcenter und lokalen Agenturen für Arbeit übermittelt? Hinsichtlich des Inkasso-Services der BA wird auf die Antwort zu Frage 17 verwiesen . Soweit die von der BA beauftragten Dienstleister Informationen zu aktuellen Adressdaten erhalten, teilen sie dem Inkasso-Service der BA diese neuen Adressen auf dem Postweg mit. Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/3412 – 10 – Deutscher Bundestag – 19. Wahlperiode 19. Gibt es nach Kenntnis der Bundesregierung Agenturen für Arbeit und Jobcenter , die keinen „Inkasso-Service“ der BA nutzen? Wenn ja, welche sind das, und wie werden dort Rückforderungen eingetrieben ? Gibt es Jobcenter, die private Unternehmen mit diesem Service beauftragt haben, und wenn ja, wen haben diese Jobcenter beauftragt? Die gemeinsamen Einrichtungen Cham und Bad Tölz-Wolfratshausen lassen den Forderungseinzug nicht durch den Inkasso-Service der BA wahrnehmen. Sie betreiben den Forderungseinzug selbst. Nach Kenntnis der Bundesregierung setzt keine der beiden genannten gemeinsamen Einrichtungen private Inkasso-Unternehmen als Verwaltungshelfer ein. 20. Können Arbeitsvermittler („persönliche Ansprechpartner“, Fallmanagerinnen und Fallmanager, Mitarbeiter im Arbeitgeber-Service u. Ä.) der Jobcenter auf Daten aus der Leistungsbearbeitung (z. B. Kontoauszüge, Lohnabrechnungen ) zugreifen? Werden diese Zugriffe protokolliert? Können Leistungsbearbeiterinnen und Leistungsbearbeiter der Jobcenter auf Daten aus der Arbeitsvermittlung (z. B. Zuweisungen in Maßnahmen, Einschränkungen in der Vermittlung) zugreifen? Werden diese Zugriffe protokolliert? Integrationsfachkräfte haben nur Einsicht in Leistungsdaten aus dem IT-Leistungsverfahren ALLEGRO, die für den Vermittlungsprozess erforderlich sind (z. B. Leistungshöhe, Anrechnungen, BG-Mitglieder etc.). Kontoauszüge und Lohnabrechnungen können sie nicht einsehen. Einsehbar ist, ob und in welcher Höhe Einkommen vorhanden ist und angerechnet wird. Integrationsfachkräfte sollen bei Bedarf beispielweise die Möglichkeit prüfen können, ob eine Beschäftigung ausgeweitet oder verringert werden kann. Ein umfassender Zugriff auf Leistungsdaten ist für Integrationsfachkräfte nur dann vorgesehen, wenn diese zugleich auch die Leistungssachbearbeitung übernehmen . In diesem Fall ist ein Antrag mit Begründung durch die Führungskraft zu stellen. Beschäftigte in der Leistungssachbearbeitung haben nur insoweit Zugriff auf das interne Vermittlungs-, Beratungs- und Informationssystem der BA (VerBIS), wie es für die Gewährung von Leistungen erforderlich ist. In der eAkte ist der Zugriff über sogenannte Kompetenzgruppen reglementiert. Zur Protokollierung der Zugriffe wird auf die Antwort zu Frage 8 verwiesen. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 11 – Drucksache 19/3412 21. Wie viele der bundesweiten Jobcenter haben nach Kenntnis der Bundesregierung bereits die elektronische Akte („eAkte“) eingeführt? Gab es nach Kenntnis der Bundesregierung im Rahmen der Planung und Einführung der eAkte rechtliche Gutachten zur Wahrung von Datenschutz und Datensicherheit? Wenn ja, welche (bitte erreichbare Quellen angeben)? Die Flächeneinführung der eAkte im Rechtskreis SGB II ist abgeschlossen. Seit dem 18. Juni 2018 arbeiten alle 303 gemeinsamen Einrichtungen mit der eAkte. Für das eAkte-Dokumenten-Management-System (DMS) der BA wurde eine Zertifizierung durch einen externen Prüfer durchgeführt. Es wurde bestätigt, dass das Verfahren die Anforderungen für die Prüfkriterien für Dokumentenmanagementlösungen (PK-DML) des Verbands Organisations- und Informationssysteme e. V. erfüllt. Die Rezertifizierung läuft derzeit. 22. Von welchen Einrichtungen aus und von wem werden Unterlagen, die an Jobcenter übermittelt werden und ggf. sensible personenbezogene Sozialdaten enthalten, z. B. Lohnabrechnungen oder Kontoauszüge, nach Kenntnis der Bundesregierung für die eAkte eingescannt? 23. Von wem werden diese Scan-Einrichtungen nach Kenntnis der Bundesregierung betrieben? Die Fragen 22 und 23 werden gemeinsam beantwortet. Das in der BA eingehende Schriftgut wird durch einen externen Auftragnehmer digitalisiert, die Deutsche Post AG (DPAG). Diese betreibt hierfür vier Scanzentren ausschließlich für die BA und übernimmt den Transport des Schriftgutes zwischen den gemeinsamen Einrichtungen und den Scanzentren. Welche Unterlagen an die Scanzentren übergeben werden, entscheiden die gemeinsamen Einrichtungen . Kontoauszüge werden dabei in der Regel nicht digitalisiert. 24. Wie wird nach Kenntnis der Bundesregierung sichergestellt, dass in den Scan-Einrichtungen sensible Daten nur von befugten Personen eingesehen werden können? Welche Kontrollverfahren gibt es? Wer ist nach Kenntnis der Bundesregierung befugt, sensible personenbezogene Sozialdaten wie Kontoauszüge von leistungsbeantragenden Personen einzusehen, und wo ist dabei die Grenze gegenüber Dritten? Durch die DPAG als Betreiber der Scanzentren wurde auf Anforderung der BA eine Vielzahl von Kontrollen implementiert, die den Datenschutz sicherstellen. Wesentliche Regelungen hierbei sind Zutrittskontrollen für definierte gesicherte Verarbeitungsbereiche in den Scanzentren sowie Zugangs- und Zugriffskontrollen durch die Vergabe von Berechtigungen zur Bearbeitung und Einsicht sensibler Daten. Die Vergabe von Berechtigungen in den DPAG IT-Verfahren und IT- Systemen für die Digitalisierung BA-Schriftgut (DiBAS) wird im Rollen- und Berechtigungskonzept geregelt. Jede Benutzergruppe eines Verarbeitungsprozesses bekommt dabei nur Zugriff auf die für ihre Aufgabenerfüllung notwendigen Daten. Personen werden in entsprechende Benutzergruppen über das sogenannte „User Account Management“ aufgenommen, einem dokumentierten Prozess zur Autorisierung von Benutzern. Wie jeder Prozess in DiBAS unterliegt auch dieser Prozess dem 4-Augen-Prinzip. Das heißt, Antragsteller und zu autorisierende Person Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/3412 – 12 – Deutscher Bundestag – 19. Wahlperiode dürfen nicht identisch sein. Ein zusätzlich aufgesetzter Kontrollprozess prüft u. a. zyklisch, ob ausschließlich autorisierten Benutzern Zugriff auf die zugeordneten Daten erteilt wurde („User Account Control“ Prozess). Bei Abweichungen würde eine Recherche gestartet und der Fehler umgehend behoben werden. Zu den internen Zugriffsberechtigungen wird ergänzend auf die Antwort zu Frage 20 und zu Zugriffsrechten des Scandienstleisters auf die Antwort zu Frage 22 verwiesen. 25. Werden nach Kenntnis der Bundesregierung in diesen Scan-Einrichtungen Leih- und Werkvertragsnehmer eingesetzt? Ist es nach Kenntnis der Bundesregierung statthaft, in diesen Scan-Einrichtungen Leih- und Werkvertragsnehmer einzusetzen? Im Rahmen des DiBAS-Vertrages werden keine Werkvertragsnehmer eingesetzt. In den DiBAS-Verträgen zwischen BA und DPAG gibt es kein Ausschlusskriterium für den Einsatz von Leiharbeitnehmerinnen und Leiharbeitnehmern. Im Rahmen der Verarbeitung DiBAS wurden nach Auskunft der BA Leiharbeitnehmerinnen und Leiharbeitnehmer im Rahmen der Belegverarbeitung (z. B. Vorbereitung , Sannen, Lager) eingesetzt. Die DPAG nutzt diese Möglichkeit, neben kurzfristigen Maßnahmen wie Schichtplananpassung und Nutzung von Über- und Unterzeitkonten, um bei mittelfristigen Veränderungen des Schriftgutaufkommens über die Anzahl der eingesetzten Mitarbeiterinnen und Mitarbeiter auf das tatsächliche Belegaufkommen zu reagieren. 26. Wer kontrolliert wie und in welchem Turnus die Einhaltung der Datenschutzbestimmungen bei den beauftragten Scan-Einrichtungen? Die Einhaltung der Datenschutzbestimmungen wird durch Prüfungen und Audits durch den Auftraggeber (jährliches Datenschutzaudit) und den Auftragnehmer (jährlich, durch DPAG durchgeführte, interne Audits) kontrolliert. Der Auftragnehmer ist verpflichtet, die Ordnungsmäßigkeit und Sicherheit (Revisionssicherheit ) des Prozesses Digitalisierung BA Schriftgut (DiBAS) durch ein jährliches Audit nachzuweisen. Weiterhin gibt es unabhängige Kontrollen und Testate nach den Anforderungen der Internationalen Organisation für Normung (International Organization for Standardization – ISO) wie beispielsweise: ISO 9001 jährliche Überwachungsaudits und Rezertifizierung nach drei Jahren oder ISO 27001 nach BSI Grundschutz, jährliche Überwachungsaudits und Rezertifizierung nach drei Jahren. 27. Sind die einzuscannenden Dokumente nach Kenntnis der Bundesregierung nach dem Scannen maschinenlesbar, und welche Qualitätssicherung findet hierbei statt, um Erkennungsfehler zu vermeiden? Die durch die DPAG gescannten Dokumente liegen nach der Digitalisierung und Übergabe bei der BA in Form von signierten Bilddokumenten vor. Der Inhalt der digitalisierten Dokumente liegt dabei in auf IT-Systemen darstellbarer, jedoch nicht in maschinenlesbarer Form als PDF-Dokument vor (d. h. eine Anzeige über entsprechende Anzeigeprogramme ist möglich). Der vollständige Dokumentinhalt wird nicht extrahiert und übergeben und ist deshalb nicht lesbar. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 13 – Drucksache 19/3412 Eine vollständige Erschließung der Textinhalte mittels OCR-Erkennung wird derzeit geprüft. Dadurch sollen die Lesbarkeit der Dokumente und weitere Funktionen wie eine Volltext-Suche oder das Kopieren von Textinhalten in der eAkte möglich werden. Nach der Digitalisierung werden derzeit ausschließlich bestimmte Fachdaten aus den Informationen der digitalisierten Dokumente extrahiert und in maschinenlesbarer Form an den Auftraggeber übergeben, die für eine Ermittlung der richtigen Akte und der richtigen Zuständigkeit erforderlich sind. Dies sind z. B. der Fachschlüssel (z. B. Nummer der Bedarfsgemeinschaft, Kundennummer des Leistungsempfängers oder von Betrieben), der Dokumenttyp (Klassifikation des Schriftstücks in vorgegebene Dokumenttypen wie z. B. Bescheinigung/Nachweis , Antrag) oder der Aktentyp (Art der Fachakte, z. B. ALG II). Die Qualität der digitalisierten Dokumente wird im Digitalisierungsprozess stichprobenartig geprüft. Zusätzlich wird bei der Erstellung der qualifizierten elektronischen Signatur die Bildqualität durch die Signaturmitarbeiter der BA beurteilt. Die Qualität der extrahierten Daten, also die Einhaltung vereinbarter Fehlerquoten , wird durch eine begleitende Qualitätssicherung durch den Auftragnehmer sichergestellt . Dabei werden die extrahierten Daten stichprobenartig auf ihre Korrektheit geprüft. Der Kontrollprozess wird durch Mitarbeiterinnen und Mitarbeiter der Qualitätssicherung überprüft, die nicht an der operativen Verarbeitung der Daten teilnehmen. Bei Abweichungen werden entsprechende Maßnahmen zur Qualitätsverbesserung ergriffen (z. B. Nachschulung). Die zulässigen Fehlerquoten sind in der Leistungsbeschreibung (Bestandteil der Ausschreibung) definiert und festgelegt und unterscheiden sich je nach Bearbeitungsschritt . Beispielsweise liegt die Logistik-Verspätungsquote bei 1 Prozent. Eine Verspätung liegt vor, wenn Schriftgut nicht an den vereinbarten Tagen oder nicht innerhalb des vereinbarten Zeitfensters abgeholt oder zurückgeliefert wird und kann durch Staus, Routensperrungen oder Fahrzeugausfälle ausgelöst werden . Die Sendungs-/Auftragstrennungsfehlerquote beträgt zum Beispiel 0,04 Prozent . Ein Trennungsfehler liegt vor, wenn eine Sendung/ein Auftrag vollständig einer anderen Sendung/einem anderen Auftrag zugerechnet wird oder einzelne Dokumente oder Seiten einer anderen Sendung/einem anderen Auftrag zugerechnet werden. 28. Bekommen die gescannten Dokumente nach Kenntnis der Bundesregierung durch die scannenden Einrichtungen weitere Daten zugeordnet (z. B. elektronische Vermerke zum Scandatum, zu BG- oder Kundennummern, zum Datum des Eingangs des Dokuments), und wenn ja, welche genau? Wer gibt diese Daten ein, falls diese nicht auf dem Dokument selbst maschinenlesbar vermerkt sind? Werden ggf. zusätzliche Daten gescannten Dokumenten aus bestehenden Quellen zugeordnet, z. B. eine BG-Nummer aus der bestehenden eAkte der absendenden Person? Wenn ja, wie kommt die eingebende Person im Scancentrum an diese Daten? Wie bereits in der Antwort zu Frage 27 ausgeführt, werden zusätzliche Informationen aus den gescannten Dokumenten ermittelt. Dies sind sogenannte Metadaten (Daten, welche aus dem Verarbeitungsprozess heraus entstehen und nicht mit den Inhalten des Schriftstücks in unmittelbarem Zusammenhang stehen) und Inhaltsdaten . Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/3412 – 14 – Deutscher Bundestag – 19. Wahlperiode Metadaten: Diese Daten werden im Verarbeitungsprozess automatisiert ermittelt bzw. aus Auftragsblättern des Verarbeitungsauftrags ausgelesen, die von der BA in maschinenlesbarer Form an die DPAG übergeben werden: Posteingangsdatum bei der BA, welches im Auftrag an die DPAG übergeben wird Scandatum im Scanzentrum, welches im Scanzentrum automatisch ermittelt wird Zeitpunkte des Transports, welche bei der Transportprotokollierung entstehen eindeutige Dokument ID, welche beim Scannen automatisch vergeben wird Prozessinformationen (z. B.: Eingangsart, Verarbeitender Scanstandort). Inhaltsdaten: Diese Daten werden nach der Digitalisierung mittels automatischer Erkennung von Bar- bzw. Matrixcodes, über OCR Technologien, sowie durch die manuelle Erfassung durch Nachbearbeitungskräfte von den Dokumenten gelesen bzw. erfasst : Fachschlüssel (z. B. Nummer der Bedarfsgemeinschaft, Kundennummer des Leistungsempfängers oder von Betrieben). Diese Daten können dem Dokument aus sogenannten Referenzdatentabellen zugeordnet werden. Dabei erfolgt die Zuordnung nach Eingabe z. B. einer Adresse im Hintergrund automatisiert . Die Nachbearbeitungskraft bekommt lediglich einen Hinweis, ob eine eindeutige Zuordnung möglich war. Eine freie Auswahl aus Trefferlisten ist nicht möglich. Dokumenttyp (Klassifikation des Schriftstücks in vorgegebene Dokumenttypen wie z. B. Bescheinigung/Nachweis, Antrag) Aktentyp (Art der Fachakte, z. B. ALG II). 29. Wie wird nach Kenntnis der Bundesregierung mit eingereichten Kopien von persönlichen Dokumenten, deren Speicherung nicht zulässig oder notwendig ist, wie Personal-, Schwerbehinderten- und Sozialversicherungsausweisen, EC- und Krankenversicherungskarten, Mütterpässen oder Scheidungsurteilen , in den Scan-Zentren verfahren? Trifft es nach Kenntnis der Bundesregierung zu, dass diese Dokumente gescannt und gespeichert werden? Was passiert nach Kenntnis der Bundesregierung im Anschluss an den Scanvorgang mit den eingereichten Dokumenten? Werden diese gelöscht oder aufbewahrt, und wie wird nach Kenntnis der Bundesregierung sichergestellt, dass Unbefugte keinen Zugang zu diesen Dokumenten haben? Werden Unterlagen durch die gemeinsamen Einrichtungen an das Scanzentrum zur Digitalisierung gegeben, werden dort nach Auskunft der BA alle eingehenden Dokumente digitalisiert. Es obliegt den Verantwortlichen in den Dienststellen, nicht zu digitalisierendes Schriftgut vor der Abgabe an den Scandienstleister auszusortieren . In Sortierhilfen, die den Mitarbeiterinnen und Mitarbeitern zur Verfügung stehen, ist aufgeführt, welche Unterlagen nicht zum Scannen gegeben werden dürfen. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 15 – Drucksache 19/3412 Das digitalisierte Schriftgut wird für den Mandanten SGB II acht Wochen im Scanzentrum aufbewahrt und dann in einem Vernichtungszeitraum von fünf Wochen datenschutzkonform vernichtet. Auch während der Aufbewahrungszeit greifen die in der Antwort zu Frage 24 beschriebenen Kontrollmechanismen. Zusätzlich kann die BA während des Aufbewahrungszeitraumes die unmittelbare Übersendung von bereits digitalisierten Sendungen anfordern (sogenannte „Originalanforderung “). Mit der Übergabe endet die physische Aufbewahrung dieser Dokumente bei der DPAG. 30. Welche Verstöße gegen Datenschutzgesetze – absichtlich oder unabsichtlich – bei der BA und den Jobcentern sind der Bundesregierung bekannt? Werden Verstöße bzw. Meldungen von Verstößen z. B. von Betroffenen gesammelt und zentral bei der BA statistisch aufbereitet und systematisch auf ihre Prüfung und ggf. Behebung geprüft? Wenn nein, warum findet das nicht statt? Seit Wirksamwerden der DSGVO (25. Mai 2018) obliegt den Dienststellen der BA sowie den Familienkassen die Pflicht zur Meldung aller Sachverhalte an die Zentrale der BA, soweit personenbezogene Daten verloren gegangen, unrechtmäßig verändert oder unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind. Die gleiche Verpflichtung trifft Auftragsverarbeiter . Eine zentrale und systematische Auswertung der Meldungen des Zeitraumes seit 25. Mai 2018 ist geplant; angesichts des kurzen Zeitraumes liegen noch keine statistisch belastbaren Zahlen vor. Häufigstes Beispiel ist die versehentliche falsche Kuvertierung von Kundenpost. Indizien für absichtliche Datenschutzverstöße liegen nicht vor. Den gemeinsamen Einrichtungen obliegt die Meldung von Datenschutzverstößen an die Zentrale der BA nur, soweit die zentral verwalteten Verfahren der Informationstechnik oder eingekaufte Dienstleistungen nach § 44 b Absatz 5 SGB II betroffen sind. In allen anderen Fällen melden die gemeinsamen Einrichtungen in eigener Zuständigkeit direkt an die für die Rechtsaufsicht zuständige Stelle (§ 83a SGB X n. F.) sowie an die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (§ 50 Absatz 4 SGB II). 31. Wie viele Datenschutzbeauftragte gibt es nach Kenntnis der Bundesregierung bei der BA und wie viele in den gemeinsamen Einrichtungen? Wie steht die Anzahl der Datenschutzbeauftragten im Verhältnis zu der Anzahl der Jobcentern? Wie sind diese Datenschutzbeauftragten hierarchisch in den Jobcentern verankert ? Welche Aufgaben und Befugnisse haben diese Datenschutzbeauftragten nach Kenntnis der Bundesregierung? Wem erstatten die Datenschutzbeauftragten Bericht? Sind diese Datenschutzbeauftragten für Fragen und Beschwerden der Leistungsberechtigten zuständig, und wenn ja, wie sind diese Datenschutzbeauftragten für die Leistungsberechtigten erreichbar? Nach § 5 Absatz 1 des Bundesdatenschutzgesetzes muss jede öffentliche Stelle eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten benennen. Bei der BA gibt es eine Datenschutzbeauftragte sowie derzeit einen Stab von nominal Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/3412 – 16 – Deutscher Bundestag – 19. Wahlperiode 10 Mitarbeiterinnen und Mitarbeitern in der Zentrale. In den 10 Regionaldirektionen und 156 Agenturen für Arbeit sind sogenannte Ansprechpartner in Sachen Datenschutz beratend tätig. Die 303 gemeinsamen Einrichtungen bestellen eigenständige behördliche Datenschutzbeauftragte, die weisungsunabhängig sind und keiner Berichtspflicht an die Zentrale der BA unterliegen. Die Datenschutzbeauftragte der BA sowie die Datenschutzbeauftragten der gemeinsamen Einrichtungen haben jeweils die gesetzlichen Befugnisse nach der DSGVO und dem BDSG und berichten direkt der Geschäftsleitung. Sie sind für Fragen und Beschwerden der Leistungsberechtigten zuständig. Die Leistungsberechtigten können sich schriftlich, telefonisch oder per Email an die Datenschutzbeauftragten wenden. 32. In welchem Umfang und wie häufig finden nach Kenntnis der Bundesregierung Datenschutzschulungen statt? Wer führt diese durch? Das Thema Datenschutz wird im Qualifizierungsangebot der BA für alle Mitarbeiterinnen und Mitarbeiter vorgehalten und durch das BA-eigene Lehrpersonal vermittelt. Die Schulungen werden bedarfsorientiert angeboten. Die Zentrale der BA bietet den Ansprechpartnerinnen und Ansprechpartnern in den Regionaldirektionen und Agenturen für Arbeit Schulungen zum Datenschutzrecht an. Den Datenschutzbeauftragten der gemeinsamen Einrichtungen steht die Teilnahme an den Schulungen ebenfalls zur Verfügung. Darüber hinaus stehen Arbeitshilfen für die Mitarbeiterinnen und Mitarbeiter im Intranet zur Verfügung. 33. Welche organisatorischen und prozessualen Änderungen in der BA und den Jobcentern wurden nach Kenntnis der Bundesregierung konkret vorgenommen , um den Grundsätzen in Bezug auf die Verarbeitung personenbezogener Daten (Artikel 5 der Datenschutz-Grundverordnung), insbesondere bezüglich der Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie der Integrität und Vertraulichkeit, Sorge zu tragen? Die Datenschutzerklärungen auf der Website der BA wurden in Bezug auf die Betroffenenrechte (Artikel 13, 14 DSGVO) angepasst. Zudem wurde in Bezug auf das neu strukturierte Auskunftsrecht nach Artikel 15 DSGVO i. V. m § 83 SGB X eine Weisung an die Agenturen für Arbeit erlassen bzw. eine Information an die gemeinsamen Einrichtungen gegeben. Die Weisungslage wurde im Hinblick auf Artikel 33 DSGVO i. V. m. § 83a SGB X aktualisiert. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 17 – Drucksache 19/3412 Anlage 2 Auszug aus der Arbeitshilfe der BA „Hinweise zum Aufbau und Führen einer Leistungsakte“ Anlage 2 – Unterlagen Erst- und Weiterbewilligungsantrag (Datenschutz) Die in der Tabelle getroffenen Aussagen orientieren sich am Regelfall. Im Einzelfall kann unter Beachtung der datenschutzrechtlichen Bestimmungen zur ordnungsgemäßen Sachbearbeitung davon abgewichen werden. Die angegebenen Dokumente orientieren sich an in den Leistungsakten angetroffenen Beispielen aus der Praxis. Daher werden auch Dokumente, deren Vorlage bzw. Kopie aus datenschutzrechtlichen Gründen nicht zulässig ist, hier zur Rechtsklarheit aufgeführt. Werden Originale zunächst für die Entscheidung über einen Antrag einbehalten , ist dies nur mit schriftlicher Einwilligung der Inhaberin oder des Inhabers zulässig und die Originale sind nach der Bewilligung bzw. Ablehnung zurückzusenden. Daten von nichtleistungsberechtigten Dritten sind in den jeweiligen Unterlagen – soweit diese zur Leistungsakte zu nehmen sind – zu schwärzen. Dokument Kopie Bemerkung zur Akte nehmen nicht zulässig / erforder - lich* *) nur im Antrag abhaken oder Vermerk erstellen Persönliche Daten Personalausweis; Reisepass X Ein Vermerk „hat vorgelegen“ ist ausreichend. Pass bei Ausländern X Ein Vermerk „hat vorgelegen“ ist ausreichend. Aufenthaltstitel im Pass/ gesonderte Aufenthaltstitel X Prüfung des Leistungsanspruchs (Leistungsausschluss § 7 Abs. 1 Satz 2 SGB II) Freizügigkeitsbescheinigung X Prüfung des Leistungsanspruchs (Leistungsausschluss § 7 Abs. 1 Satz 2 SGB II) Aufnahmebescheid bei Spätaussiedlern X Visa-Einträge X Nur im begründeten Ausnahmefall: Zur Prüfung des Leistungsausschlusstatbestandes bei ungenehmigter Ortsabwesenheit oder bei dreimonatigem Leistungsausschluss bei Ersteinreise von Ausländern. Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/3412 – 18 – Deutscher Bundestag – 19. Wahlperiode Dokument Kopie Bemerkung zur Akte nehmen nicht zulässig / erforder - lich* *) nur im Antrag abhaken oder Vermerk erstellen Meldebescheinigung des Einwohnermeldeamtes X Nur zur Ermittlung der aktuellen Wohnadresse, soweit sie nicht aus dem Ausweisdokument hervorgeht; in begründeten Ausnahmefällen zum Beleg eines Straftatbestandes (z. B. eines Verstoßes gegen das Meldegesetz – der Lebensmittelpunkt ist nicht im gemeldeten Ort). Sozialversicherungsausweis X EC-Karte/Bank-Karte X gerichtliche Protokolle/ Urteile/Vergleiche/ Beschlüsse allgemein X Betrifft alle Gerichtszweige. Die Erforderlichkeit ist zu prüfen. Scheidungsurteil X Ausnahme: Titel bei übergegangenen Unterhaltsan-sprüchen Persönliche Angaben Arbeitsunfähigkeitsbescheinigung (AUB) X Ausnahmen: Bei einem Verfahren nach § 56 SGB II (Einschaltung des MDK bei Zweifel an der Arbeitsunfähigkeit ) oder aus Beweiszwecken im sozialgerichtlichen Verfahren oder im strafrechtlichen Ermittlungsverfahren (bei Fälschungen) ist die AUB in einem verschlossenen Umschlag zur Akte zu nehmen soweit keine separate OWiG-Akte angelegt wurde („Das Bußgeldverfahren im SGB II Praxishandbuch für die Verfolgung von Ordnungswidrigkeiten im SGB II“ Ziffer I 7). Geburtsbescheinigung X Aufnahme Neugeborener in die Bedarfsgemeinschaft Schulbescheinigung X Ab vollendetem 15. Lebensjahr als Nachweis des Schülerstatus für die Beurteilung der Rentenversicherung erforderlich (Forderung der RV-Träger). Bei Kindern unter 7 Jahren zur Feststellung des Anspruchs auf Schulbedarf erforderlich, da kein VerBIS- Datensatz vorhanden ist (nur bei Zuständigkeit Jobcenter ). Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 19 – Drucksache 19/3412 Dokument Kopie Bemerkung zur Akte nehmen nicht zulässig / erforder - lich* *) nur im Antrag abhaken oder Vermerk erstellen Ärztliche Gutachten (ÄG)/Psychologische Gutachten (PG)/ Atteste (z. B. vom Hausarzt) X ÄG, PG oder Atteste (auch ohne Diagnose) dürfen nur in einem verschlossenen Umschlag (mit Verschlussstreifen ) aufbewahrt werden. Mehrere Dokumente zum gleichen Sachverhalt können gemeinsam verschlossen werden. Ein Vermerk (ohne Diagnose) über das Ergebnis eines ÄG oder PG ist zulässig, wenn es leistungsrelevant ist (z. B. mehr als 6 Monate nicht erwerbsfähig , Mehrbedarf Ernährung). Haushaltsbescheinigung X Hier gilt der strenge datenschutzrechtliche Grundsatz, dass Daten von Nichtleistungsempfängern nicht gespeichert werden dürfen. Die Vordrucke (Anlage HG und VE) berücksichtigen dies entsprechend. Versehentlich gemachte Angaben z. B. unter Punkt 2 der Anlage HG sind zu schwärzen. Feststellungbescheid Erwerbsunfähigkeit X Ein Vermerk „hat vorgelegen und wirkt sich leistungsrechtlich nicht aus“ ist ausreichend Rentenbescheid X Vermerk „hat vorgelegen“ mit Angabe der Rentenhöhe und ggf. weiterer leistungsrechtlich relevanter Angaben (z. B. Dauer der Rente) i. d. R. ausreichend Bescheide zu vorrangigen Leistungen X Feststellung von vorrangigen Leistungen und evtl. Erstattungsansprüchen . Etwaige Berechnungsbögen sind entbehrlich. Angaben für Mehrbedarfe Mutterpass X Entbindungstermin vermerken bzw. abhaken Feststellungbescheid Versorgungsamt X Merkzeichen G vermerken bzw. abhaken Schwerbehinderten ausweis X Merkzeichen G vermerken bzw. abhaken Einkommensverhältnisse Arbeitsvertrag X Nur den leistungsrelevanten Teil und nur bei Arbeitsaufnahme während des Leistungsbezuges (Feststellung der Einkommensverhältnisse). Nicht erforderliche Angaben sind zu schwärzen. Unterhaltszahlungen als Absetzungsbeträge X Gilt sowohl für Unterhaltstitel als auch für Zahlung. Ausnahme: begründete Zweifelsfälle Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/3412 – 20 – Deutscher Bundestag – 19. Wahlperiode Dokument Kopie Bemerkung zur Akte nehmen nicht zulässig / erforder - lich* *) nur im Antrag abhaken oder Vermerk erstellen Lohnabrechnung/ Einkommensbescheinigung X Ist zur Ermittlung der erforderlichen Daten notwendig (Lohnsteuerklasse, Brutto-/Nettoeinkommen). Der Zufluss kann über die Vorlage des Kontoauszuges erhoben werden. Eine Kopie ist nicht erforderlich. Auf die zusätzliche Anforderung der Einkommensbescheinigung sollte dann verzichtet werden, um Daten nicht doppelt zu erheben. Betriebswirtschaftliche Auswertung (BWA) X Die erforderlichen Angaben ergeben sich aus der Anlage EKS. Summensalden-Liste X Braucht nicht vorgelegt zu werden, weil diese für die Einkommensermittlung nicht relevant ist. Versicherungen X Kfz-Haftpflicht, Riester-Zertifizierung: Vorlage der Abrechnung genügt. Kopie ist nicht erforderlich. Vermögensverhältnisse Kfz-Schein, Leasingvertrag X Im Einzelfall zur Wertermittlung erforderlich (z. B. bei Oldtimer oder Unstimmigkeiten). Sparbücher X Nur Bestätigung des im Antrag angegebenen Betrags Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 21 – Drucksache 19/3412 Dokument Kopie Bemerkung zur Akte nehmen nicht zulässig / erforder - lich* *) nur im Antrag abhaken oder Vermerk erstellen Kontoauszüge X Die Vorlage der Kontoauszüge zur Einsichtnahme und Prüfung kann regelmäßig für die letzten 6 Monate gefordert werden. Dieser Zeitraum ist unabhängig vom Erst- oder Weiterbewilligungsantrag. Ein Vermerk über die erfolgte Vorlage und Prüfung reicht regelmäßig aus. Die Speicherung (durch „Kopie zur Akte“/Scan zur eAkte SGB II) von Kontoauszügen ist jedoch nur zulässig, wenn diese Tatsachen enthalten, die sich unmittelbar auf den Leistungsanspruch auswirken. In Betracht kommt daher eine Speicherung von Buchungen oder Auszügen z. B., wenn sich aus den Unterlagen ein weiterer Ermittlungsbedarf oder eine Änderung in der Leistungshöhe ergibt. In begründeten Einzelfällen kann anlassbezogen (z. B. wg. Leistungsmissbrauch) eine Vorlage für den gesamten Bewilligungs- oder Leistungszeitraum erfolgen. Die Kundin bzw. der Kunde ist auf die Schwärzungsmöglichkeit auf der Ausgabenseite hinsichtlich des Verwendungszwecks hinzuweisen (auch im Fall der Feststellung von unwirtschaftlichem Verhalten, da z. B. auch über unverhältnismäßig hohe Handyrechnung belegbar). Notarielle Verträge X Nur den leistungsrelevanten Teil, dies können sein: der Kaufpreis und das Kaufdatum für die Wertermittlung , die Wohnungs-/ Grundstücksgröße soweit Bedarfe der Unterkunft und Heizung betroffen sind und das Wohnrecht ggf. mit Schwärzung Grundbuchauszüge X Kopien nur im Ausnahmefall bei Erforderlichkeit, soweit es sich um mehrere Eigentümer handelt. Schwärzungen sind in Bezug auf die Angaben zu Dritten erforderlich . Lebensversicherungen X Ausnahme: Nachweise zum Verwertungsausschluss Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/3412 – 22 – Deutscher Bundestag – 19. Wahlperiode Dokument Kopie Bemerkung zur Akte nehmen nicht zulässig / erforder - lich* *) nur im Antrag abhaken oder Vermerk erstellen Angaben zur Sozialversicherung Gesundheitskarte X Mitgliedsbescheinigung der Krankenkasse (KK) X Nur soweit keine gültige Gesundheitskarte vorliegt. Angaben zur KDU (ggf. abweichende Weisungen des kommunalen Trägers zur Erhebung der KDU- Unterlagen sind zu beachten, der Bereich Justitiariat/Datenschutz der Bundesagentur für Arbeit vertritt die abgebildete Auffassung). Prinzipiell sind Daten von nichtleistungsberechtigten Dritten in den jeweiligen Unterlagen zu schwärzen. Mietvertrag X Nur Bestätigung des in der Anlage KDU angegebenen Betrags Zins- und Tilgungspläne bei Eigenheim X Angaben für Gewährung KDU erforderlich Heizungs- und Betriebskostenabrech - nung bzw. Bescheide (Jahresabrechnung) X Angaben für Gewährung KDU erforderlich Heizungs- und Betriebskostenabrechnung bzw. Bescheide (Abschläge) X Nur Bestätigung des in der Anlage KDU angegebenen Betrags Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 23 – Drucksache 19/3412 Anlage 3 Auszug aus der Arbeitshilfe der BA „Hinweise zum Aufbau und Führen einer Leistungsakte“ Anlage 3 – Unterlagen Entscheidungen und Bestandsarbeiten (Datenschutz) Dokument Kopie Bemerkungen zur Akte nehmen nicht erforderlich ALLEGRO Bescheide ALLEGRO X Ggf. nur 1. und ggf. 2. Seite. Bei Anforderung der Akte im Klageverfahren sind die Bescheide zu vervollständigen . Zudem ist bei einem offenen Einziehungsverfahren die dem Erstattungsbescheid zu zugrundeliegende Ausgangsentscheidung zur Akte zu nehmen. Schreiben ALLEGRO X Wenn Verfügungen genutzt werden, kann auf den Ausdruck von Schreiben, die in ALLEGRO hinterlegt sind (nicht Bescheide!), verzichtet werden. BK Bescheide BK X Nach Möglichkeit den Bescheid in ALLEGRO (Freie Textauswahl) kopieren (dann nur 1. und ggf. 2. Seite in die Akte). Schreiben BK X Sanktionsbegründende Unterlagen leistungsrechtliche Dokumente (z. B. Anhörung, Sachverhaltsaufklärung, Einladungen) X Sonstige (z. B. Einladung zum Vermittler, Eingliederungsvereinbarung ) X Im Widerspruchs- oder Klageverfahren falls erfor-derlich ergänzen. Sonstiges Berechnungen außerhalb von ALLEGRO X Eingehende Post X Ohne Briefumschläge (Ausnahme: Postrückläufe) und Doppelungen! Vordrucke der Deutschen Rentenversicherung , die zur Erhebung von Versicherungs- oder Anrechnungszeiten dienen X Kopien von ausgefüllten Vordrucken sind zulässig, Originale werden versandt oder zurückgegeben. Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/3412 – 24 – Deutscher Bundestag – 19. Wahlperiode Dokument Kopie Bemerkungen zur Akte nehmen nicht erforderlich Erstattungsformulare von z. B. Deutscher Rentenversicherung, Familienkasse, Sozialamt (SGB XII) X DALG2 X Nur soweit sich eine Rückforderung ergibt. Hinweis: Kopie auch für Owi-Akte Tickets aus dem SC oder der Eingangszone X Nur soweit sich eine Änderung ergibt, ansonsten Dokumentation in VerBIS. Interner Schriftverkehr X Hinweise von Informanten sind gesondert abzulegen (s. a. – anonyme – Anzeigen). (z. B. Außendienstberichte , Vorschläge SGG) (Anonyme) Anzeigen/ Strafanzeigen X Der Informant hat Anspruch auf Geheimhaltung seiner personenbezogenen Daten. Die Rechtsprechung lässt diesen Schutz nur im Falle wissentlich falscher Verdächtigungen entfallen. Daher sollten im Regelfall entsprechende (anonyme) Anzeigen in einem verschlossenen Umschlag in der Leistungsakte aufbewahrt werden. Bei der Gewährung von Akteneinsicht ist dieser zuvor herauszunehmen; anders ist der Sachverhalt zu beurteilen, wenn der Betroffene Ansprüche gegen einen Denunzianten geltend machen will (z. B. Strafantrag wegen übler Nachrede). Drittermittlungen (z. B. Anfragen und Dokumente , die den Zoll betreffen) X Soweit erheblich für die Leistungsgewährung Drittermittlungen in Sonderfällen (BND, Staatsanwaltschaft, Polizei) X Mitteilung an die Betroffene oder den Betroffenen nur mit Zustimmung der ermittelnden Behörde. Kassenzettel bei Gutscheinen X Verfahren bei festgestellten Vermögensschäden X Die im Zusammenhang mit Verfahren bei festgestellten Vermögensschäden anfallenden Unterlagen sind grundsätzlich nicht zur Leistungsakte zu nehmen , sondern wie Personalvorgänge vertraulich zu behandeln und unter Verschluss zu halten. Vorabfassung - w ird durch die lektorierte Version ersetzt. Satz: Satzweiss.com Print, Web, Software GmbH, Mainzer Straße 116, 66121 Saarbrücken, www.satzweiss.com Druck: Printsystem GmbH, Schafwäsche 1-3, 71296 Heimsheim, www.printsystem.de Vertrieb: Bundesanzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de ISSN 0722-8333