Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums für Arbeit und Soziales vom 31. August 2018 übermittelt. Die Drucksache enthält zusätzlich – in kleinerer Schrifttype – den Fragetext. Deutscher Bundestag Drucksache 19/4149 19. Wahlperiode 04.09.2018 Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Jessica Tatti, Susanne Ferschl, Doris Achelwilm, weiterer Abgeordneter und der Fraktion DIE LINKE. – Drucksache 19/3690 – Sozialdatenschutz und zur Datensicherheit im Zusammenhang mit der Bundesagentur für Arbeit und den Jobcentern (Nachfrage zur Antwort der Bundesregierung auf die Kleine Anfrage auf Bundestagsdrucksache 19/3412) V o r b e m e r k u n g d e r F r a g e s t e l l e r Mit der Kleinen Anfrage auf Bundestagsdrucksache 19/2916 wollten sich die Fragesteller einen Überblick über die aktuelle Lage des Datenschutzes und der Datensicherheit bei der Bundesagentur für Arbeit (BA) und den Jobcentern gE verschaffen. Die Antwort der Bundesregierung auf die Kleine Anfrage auf Bundestagsdrucksache 19/3412 war für die Fragestellerinnen und Fragesteller nicht befriedigend, da in vielen Teilen sehr allgemein, vage und ausweichend formuliert wurde. Ein Zusammenhang zwischen den Fragen und Antworten wurde den Fragestellern nicht an allen Stellen deutlich. Zudem ergeben sich aufgrund der Antworten konkretisierende Nachfragen. Arbeitssuchende und Erwerbslose sind eine besonders schutzbedürftige Personengruppe . Der Schutz von Sozialdaten sollte einen besonderen Stellenwert innerhalb der Bundesagentur für Arbeit und der Jobcenter einnehmen. Das verdeutlichen auch die gesonderten Regelungen zum Schutz von Sozialdaten im Zweiten Kapitel des Zehnten Buches Sozialgesetzbuch (SGB X). Daher sehen sich die Fragestellerinnen und Fragesteller veranlasst, erneut von ihrem parlamentarischen Fragerecht Gebrauch zu machen. V o r b e me r k u n g d e r B u n d e s r e g i e r u n g Die nachfolgenden Antworten der Bundesregierung beziehen sich nur auf die Jobcenter in Form der gemeinsamen Einrichtungen (gE) und Agenturen für Arbeit . Zur Begründung wird auf die Vorbemerkung der Antwort der Bundesregierung auf Bundestagsdrucksache 19/3412 verwiesen. Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/4149 – 2 – Deutscher Bundestag – 19. Wahlperiode 1. Ist der in der Antwort zu den Fragen 2 und 3 (hier und im Folgenden wird stets auf die jeweiligen Antworten auf Bundestagsdrucksache 19/3412 verwiesen ) genannte § 50 Absatz 2 SGB II, nach dem die Weisungsbefugnis für die Verarbeitung von Sozialdaten bei den Jobcentern gE liege und nicht bei der BA, auch vor dem Hintergrund zutreffend, dass in § 50 Absatz 3 SGB II die BA als verantwortliche Stelle für die zentral verwalteten Verfahren der Informationstechnik (also auch für die eAkte, VerBIS und ALLEGRO) genannt wird? Wie grenzt die Bundesregierung die beiden genannten Regelungen sowie die des § 44b Absatz 3 SGB II voneinander ab? Die gE ist nach § 50 Absatz 2 des Zweiten Buches Sozialgesetzbuch (SGB II) verantwortliche Stelle für die Verarbeitung von Sozialdaten. Die Verantwortlichkeit umfasst den Umgang mit Daten im Rahmen der schriftlichen und elektronischen Aktenführung (vgl. Antwort der Bundesregierung zu den Fragen 2 und 3 der Kleinen Anfrage der Fraktion DIE LINKE. auf Bundestagsdrucksache 19/3412). Verantwortliche Stelle für die zentral verwalteten Verfahren der Informationstechnik ist nach § 50 Absatz 3 Satz 3 SGB II die Bundesagentur für Arbeit (BA). Die Verantwortung umfasst die Bereitstellung und technische Anwendung der einzelnen IT-Verfahren. Nicht umfasst von § 50 Absatz 3 Satz 3 SGB II sind damit Fragen, die den Umgang mit einzelnen Sozialdaten betreffen. In § 44b Absatz 3 SGB II ist geregelt, inwieweit es den Trägern möglich ist, die gE bei ihrer Aufgabenerfüllung zu kontrollieren und zu steuern. Die Leistungsträger bleiben für die ihnen nach § 6 Absatz 1 SGB II zugeordneten Aufgaben verantwortlich. Die Verantwortung bezieht sich auf die Rechtmäßigkeit und Zweckmäßigkeit der Aufgabenerfüllung, also auch auf die zweckmäßige Ausfüllung von Ermessensspielräumen. Eine Abgrenzung von § 44b Absatz 3 SGB II und § 50 Absatz 3 SGB II ist mangels einer Konkurrenz der Normen nicht möglich . Beide Normen betonen die Verantwortlichkeit der jeweiligen Leistungsträger . 2. Wie bewertet die Bundesregierung die Auffassung der BA, dass es in der Verantwortung jedes einzelnen Jobcenters liegt, ob und welche Unterlagen gescannt und gespeichert werden, unabhängig davon, ob das Scannen aus Sicht der BA notwendig ist oder nicht? In gEen obliegt jedem Träger die Verantwortung für die recht- und zweckmäßige Erbringung seiner Leistungen. Hierzu gehört auch das Scannen und Speichern von Unterlagen. In ihrem Aufgabenbereich haben die Träger ein Weisungsrecht gegenüber der gE. Dies gilt nicht im Verantwortungsbereich der Trägerversammlung . Es ist deshalb im Einzelfall zu fragen, ob Unterlagen ausschließlich dem Aufgabenbereich eines Trägers zugeordnet werden können oder für Leistungen beider Träger relevant sind und deshalb in die Zuständigkeit der Trägerversammlung fallen. Letzteres dürfte in der Praxis der Regelfall sein. Die dargestellte Auffassung der BA entspricht daher der geltenden Rechtslage. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 3 – Drucksache 19/4149 3. Sieht die Bundesregierung hier einen Regelungsänderungsbedarf aus datenschutzrechtlicher Sicht, um vor dem Hintergrund der Digitalisierung eine einheitliche Vorgehensweise im ganzen Bundesgebiet zu ermöglichen? 4. Wie bewertet die Bundesregierung das Fehlen einer einheitlichen Weisung, welche Unterlagen (nicht) in einem von der BA zentral verwalteten Verfahren erhoben und genutzt werden dürfen, insbesondere unter Berücksichtigung des § 80 Absatz 1 Satz 1 Ziffer 3 SGB X? Ist gegenüber der zuständigen Rechts- und Fachaufsichtsbehörde angegeben worden, dass die BA keine Weisungsbefugnis habe, das unberechtigte Scannen und Speichern von Dokumenten auf ihren Servern und mit Hilfe ihrer Dienstleistungen zu untersagen? Die Fragen 3 und 4 werden gemeinsam beantwortet. Eine Weisung für ein einheitliches Verwaltungshandeln ist auf Grundlage des geltenden Rechts nicht möglich (siehe Antwort zu Frage 2). Regelungsbedarf besteht nach Auffassung der Bundesregierung nicht. Die Jobcenter sind an geltendes Recht gebunden. Die innerhalb dieses Rahmens durch die dezentrale Verantwortung und die besondere Struktur der Verwaltungsorganisation bedingte Diversität ist vom Gesetzgeber gewollt. Nach § 80 Absatz 1 des Zehnten Buches Sozialgesetzbuch (SGB X) hat der Verantwortliche die Erteilung eines Auftrags im Sinne des Artikels 28 der Verordnung (EU) 2016/679 zur Verarbeitung von Sozialdaten seiner Rechts- oder Fachaufsichtsbehörde rechtzeitig vor der Auftragserteilung schriftlich oder elektronisch anzuzeigen. Auf die fehlende Weisungsbefugnis gegenüber den gEen war nicht hinzuweisen, da sich diese aus den gesetzlichen Regelungen ergibt. 5. Wo ist das in der Antwort zu Frage 4 genannte „Rollen- und Berechtigungskonzept “ zu finden (bitte Internetquelle angeben oder Text anhängen)? Wie benennt sich der „IT-Geschäftsprozess“ eindeutig, der die Zugriffsrechte verwaltet? 6. Wo sind die in den Antworten zu den Fragen 8, 14 und 17 genannten „Berechtigungskonzepte “ zu finden, und welche sonstigen weiteren „Berechtigungskonzepte “ gibt es in der BA und den Jobcentern (bitte jeweils Internetquellen angeben oder Texte anhängen, insbesondere das „fachliche Berechtigungskonzept für das Fachverfahren eAkte“ sowie zu den IT-Verfahren ERP-SAP, STEP, VerBIS, zPDV sowie ALLEGRO)? Die Fragen 5 und 6 werden gemeinsam beantwortet. Die Berechtigungskonzepte der IT-Verfahren bzw. ein Auszug dieser fachlichen Berechtigungskonzepte enthalten sicherheitsrelevante Informationen zur Informationstechnik der BA. Unter Abwägung zwischen dem Auskunftsanspruch des Deutschen Bundestages einerseits und dem Schutz der Funktionsfähigkeit der Informationstechnik der BA andererseits hat die Bundesregierung die erfragten Informationen als Verschlusssache „VS-Vertraulich“ eingestuft und der Geheimschutzstelle des Deutschen Bundestages zur Einsichtnahme übermittelt.* Das IT-Verfahren zPDV wurde durch STEP vollständig abgelöst und ist nicht mehr im Einsatz. * Das Bundesministerium für Arbeit und Soziales hat die Antwort als „VS – Vertraulich“ eingestuft. Die Antwort ist in der Geheimschutzstelle des Deutschen Bundestages hinterlegt und kann nach Maßgabe der Geheimschutzordnung eingesehen werden. Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/4149 – 4 – Deutscher Bundestag – 19. Wahlperiode 7. Wie bekommen die Beschäftigten in den Jobcentern die zentral in den Rechenzentren gespeicherten Daten der leistungsberechtigten Personen auf ihren Bildschirmen angezeigt, wenn diese Daten laut Antwort der Bundesregierung zu Frage 6 nicht übermittelt (i. S. v. übertragen, gesendet, transportiert ) werden? Wie werden diese Daten von den Rechenzentren zu den lokalen Jobcentern übermittelt (i. S. v. übertragen, gesendet, transportiert)? Hat die BA hierfür eine eigene materielle Infrastruktur (Kabel o. ä.), die alle Jobcenter und Dienststellen vernetzt, oder nutzt die BA die Infrastruktur des Internets? Falls die Infrastruktur des Internets genutzt wird, wie werden die Daten während der Übermittlung verschlüsselt? Nach den der Bundesregierung vorliegenden Informationen der BA kommunizieren die zentralen Anwendungen mit den Clientarbeitsplätzen über das BA-Intranet . Das BA-Intranet besteht in den Dienst- und Geschäftsstellen aus BA-eigenen Local Area-Networks (LAN) mit BA-eigener Infrastruktur und aus dem dienststellen - und geschäftsstellenübergreifenden Weitverkehrsnetz (Wide Area-Network = WAN). Das WAN, an dem die BA-Dienststellen direkt angebunden sind, wird von einem Netzwerk-Provider betrieben und nutzt die Infrastruktur des Internets . Die Kommunikation ist mittels sog. Transportverschlüsselung (TLS/SSL) geschützt. 8. Ist nach Kenntnis der Bundesregierung eine Zertifizierung mit dem „Deutschen IT-Sicherheitszertifikat des BSI“ (Antwort der Bundesregierung zu Frage 7) auf Basis des IT-Grundschutzes, der auf „Standard-Sicherheitsmaßnahmen “ für eine „angemessene Basis-Sicherheit“ (www.bsi.bund.de/DE/ Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/allgemein/ einstieg/01001.html) zielt, geeignet, sichere und qualifizierte Aussagen über die Gewährleistung des Sozialdatenschutzes nach dem Zweiten Kapitel SGB X zu treffen (bitte Antwort mit Belegen begründen)? Wurde im Rahmen der o. g. Zertifizierung eine Schutzbedarfsanalyse gemäß BSI TR-03138 (RESISCAN) (siehe www.bsi.bund.de/SharedDocs/Downloads/ DE/BSI/Publikationen/TechnischeRichtlinien/TR03138/TR-03138.pdf?__ blob=publicationFile&v=4) durchgeführt? Falls ja, welchen Klassen wurde das Schriftgut, z. B. Kontoauszüge oder Wohngeldbescheide, zugeordnet? Die nach dem BSI-Grundschutz erstellten IT-Sicherheitskonzepte orientieren sich am festgestellten Schutzbedarf der Daten. Der Schutzbedarf von Sozialdaten ist grundsätzlich „hoch“ eingestuft. Dadurch werden neben dem IT-Grundschutz in den IT-Sicherheitskonzepten weitere entsprechende IT-Sicherheitsmaßnahmen ergriffen (BSI-Grundschutzkataloge und eigene IT-Sicherheitsmaßnahmen) und umgesetzt, um den erforderlichen Schutzbedarf zu gewährleisten. Gemäß den Vorgaben des BSI hat die BA den Schutzbedarf für die Scandienstleistung „hoch“ eingestuft. Die Zertifizierung bezieht sich auf die BSI-Zertifizierung des beauftragten Scandienstleisters Deutsche Post. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 5 – Drucksache 19/4149 9. Ist es möglich, im IT-Verfahren ALLEGO oder im IT-Verfahren eAkte sogenannte virtuelle Mitarbeiter (vMA) anzulegen und mit Berechtigungen zum lesenden und/oder schreibenden Datenzugriff zu versehen? Warum ist es derzeit möglich, im IT-Fachverfahren VerBIS über die Anmeldung als vMA unzulässig ohne Berechtigung und somit auch ohne persönlich zuordnungsfähige Protokollierung des Zugriffs auf personenbezogene Daten von Leistungsbeziehenden zuzugreifen (siehe Weisung 201804009 vom 20. April 2018 der BA)? Nach Auskunft der BA ist in den IT-Verfahren ALLEGRO und eAkte eine Anmeldung als virtueller Mitarbeiter bzw. dessen Anlage nicht möglich. Im IT-Fachverfahren VerBIS wurde die Funktionalität mit der Programmversion am 13. Juli 2018 technisch unterbunden und steht somit nicht mehr zur Verfügung . Ein Zugriff auf personenbezogene Daten ist damit über einen virtuellen Mitarbeiter nicht mehr möglich. 10. Vertritt die Bundesregierung der Auffassung, dass, wie in der Antwort zu Frage 11 formuliert wird, den Jobcentern und Arbeitsagenturen bezüglich der Fristen zur Löschung von Daten zur Inanspruchnahme von Dienstleistungen , Geldleistungen und Sachleistungen nach dem SGB II und dem SGB III sowie von Daten, die der Finanzverwaltung zu melden sind, ein Ermessen zumindest für atypische Fälle eingeräumt wird („soll“)? Und wie verhält sich diese Auffassung zu § 84 SGB X, aus der nach Auffassung der Fragestellenden kein Ermessen hervorgeht („sind zu löschen“) (bitte begründen)? Sofern die Voraussetzungen zur Löschung von personenbezogenen Daten vorliegen , ist der betreffende Datensatz zu löschen (Artikel 5 Absatz 1 Buchstabe c und e sowie ggf. Artikel 17 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG [Datenschutz-Grundverordnung] – DSGVO). Ob die Löschvoraussetzungen tatsächlich gegeben sind, ist im Einzelfall zu prüfen. Dabei handelt es sich nicht um die Ausübung von Ermessen, sondern um die Prüfung von Tatbestandsvoraussetzungen, ob ein Vorgang tatsächlich abgeschlossen ist oder nicht, z. B. ob der Widerruf oder die Rücknahme eines Verwaltungsaktes in Betracht kommt. Zudem muss geprüft werden, ob die Daten aufgrund einer rechtlichen Verpflichtung (z. B. Aufbewahrungsvorschriften) des Verantwortlichen nur nach einer bestimmten Frist gelöscht werden dürfen. 11. Wer kontrolliert nach Kenntnis der Bundesregierung, ob die Fristen zur Löschung von Daten gesetzesgemäß umgesetzt werden, und wie dicht ist die Kontrolle (bezogen auf einzelne Jobcenter und auf ehemals Leistungsbeziehende )? Werden bei festgestellten Verstößen die davon betroffenen ehemaligen Leistungsbeziehenden informiert? Und falls nein, warum nicht? Die Verfahren der BA werden vor Inbetriebnahme auch in Bezug auf technische Löschkonzepte geprüft, bei denen festgelegte Löschfristen implementiert werden, nach denen aufgrund technischer Parameter gelöscht wird. Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/4149 – 6 – Deutscher Bundestag – 19. Wahlperiode In den Agenturen für Arbeit werden die Fristen zur Löschung von Daten stichprobenartig von der Datenschutzbeauftragten der BA kontrolliert. Darüber hinaus werden Altbestände stichprobenweise ausgewertet. Die Jobcenter haben eigene behördliche Datenschutzbeauftragte, die den Datenbestand vor Ort kontrollieren. Nach Artikel 34 Absatz 1 DSGVO hat ein Verantwortlicher die betroffene Person unverzüglich von einer Verletzung des Schutzes personenbezogener Daten zu informieren , wenn die Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der natürlichen Personen zur Folge hat. Soweit im Einzelfall eine Prüfung ergibt, dass voraussichtlich ein solch hohes Risiko besteht , werden die (ehemaligen) Leistungsbeziehenden vom Verantwortlichen informiert . 12. Warum „sollen“ Daten zur Inanspruchnahme von Dienstleistungen, Geldund Sachleistungen nach SGB II zehn Jahre nach Beendigung des Falls gelöscht werden (siehe Antwort zu Frage 11), während die zuständige Aufsichtsstelle für den Datenschutz, die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), in ihren uns bekannten Berichten zu datenschutzrechtlichen Beratung- und Kontrollbesuchen (insg. 11 Berichte, verfügbar über https://fragdenstaat.de/anfrage/kontrollbericht11-jobcenternlandkreis -starnberg-frankfurt-am-main-merzig-wadern-mannheim-stormarndusseldorfulm -stadt-kassel-region-hannover-leipzig-landkreis-ahrweiler/ 95407/anhang/KontrollberichteJC.pdf) regelmäßig einen Zeitraum von fünf Jahren (60 Monaten) empfiehlt? Ist der Bundesregierung bekannt, welche Haltung die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zur Verdopplung der von ihr empfohlenen Frist hat? Es ist zutreffend, dass die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) für die Löschung von Daten einen Zeitraum von fünf Jahren empfiehlt. Die Bundesregierung hält eine Frist von zehn Jahren für erforderlich , die auf der gesetzlichen Möglichkeit der Rückforderung von Leistungen beruht , wenn in diesem Zeitraum bekannt wird, dass Leistungen zu Unrecht gewährt wurden. Das Bundesministerium für Arbeit und Soziales (BMAS) befindet sich zu den unterschiedlichen Auffassungen in Abstimmung mit der BfDI. 13. Welche (dienst-)rechtlichen Konsequenzen haben die Jobcenter bzw. deren Geschäftsführungen zu erwarten, wenn die Fristen zur Löschung von Daten nicht eingehalten werden (zu frühe bzw. zu späte Löschung von Daten)? Es stehen die allgemeinen arbeits- und beamtenrechtlichen Instrumente zur Ahndung von Pflichtverletzungen zur Verfügung. Welches Instrument in Betracht kommt, hängt von der Schwere des Pflichtverstoßes und den Gesamtumständen des Einzelfalls ab. Dabei ist stets auch der Verhältnismäßigkeitsgrundsatz zu wahren. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 7 – Drucksache 19/4149 14. Verfügt die Bundesregierung über eine Einschätzung fachkundiger Bediensteter , wie viele der gemeinsamen Einrichtungen von der Möglichkeit Gebrauch machen, eigene Servicecenter einzurichten? Ist der Bundesregierung mindestens ein Jobcenter gE bekannt, das kein SGB-II-Servicecenter durch die BA beauftragt hat (wenn ja, bitte diese Jobcenter benennen)? Die Bundesregierung hat keine Kenntnis darüber, wie viele gEen eigene Service Center betreiben. Von den insgesamt 303 gEen haben 119 gEen die Dienstleistung Service Center nicht eingekauft (siehe Anlage). 15. Haben die Beschäftigten der SGB-II-Servicecenter lesenden Zugriff auf eingescannte Unterlagen, z. B. eingereichte Gehaltsabrechnungen oder Kontoauszüge (soweit diese eingescannt wurden)? Soweit eingescannte Unterlagen in einer Akte abgespeichert werden, auf die die Service Center-Mitarbeiterinnen und -Mitarbeiter zur Erfüllung ihrer Aufgaben generell Zugriff haben, können diese die Unterlagen einsehen. 16. Nach welchen Kriterien richtet sich der Preis, den die Jobcenter für die „Einkaufsdienstleistung “ Servicecenter bezahlen, und wie hoch ist dieser Preis (bitte auch nach Jobcentern, Regionen sowie nach Jahren 2010 bis 2017 differenziert ausweisen)? Die BA kalkuliert den Kostensatz für die Serviceleistung Service Center aus dem für die Erbringung der Serviceleistung notwendigen Personal. Diese Personalund Sachkosten werden auf die Anzahl der betreuten Bedarfsgemeinschaften umgelegt . Dadurch wird ein Kostensatz pro Bedarfsgemeinschaft berechnet, der gegenüber der gE abgerechnet wird. Kostensätze: 2010 3,91 Euro pro Bedarfsgemeinschaft und Monat 2011 3,13 Euro pro Bedarfsgemeinschaft und Monat 2012 3,43 Euro pro Bedarfsgemeinschaft und Monat Mit dem Inkrafttreten der Verwaltungskostenfeststellungsverordnung im Jahr 2012 wurden ab dem Folgejahr Staffelkostensätze ermittelt. Je nachdem für welchen Zeitraum eine gE die Serviceleistung in Anspruch nimmt (ein, zwei oder drei Jahre), ergeben sich unterschiedliche Kostensätze. Im Jahr 2017 wurde zudem eine Komponente in die Kalkulation aufgenommen, die eine verursachergerechte Abrechnung ermöglicht. Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/4149 – 8 – Deutscher Bundestag – 19. Wahlperiode Kostensätze für ein-, zwei- oder drei-Jahresvereinbarungen: 2013 3,72 3,62 3,55 Euro pro Bedarfsgemeinschaft und Monat 2014 3,93 3,82 3,74 Euro pro Bedarfsgemeinschaft und Monat 2015 3,95 3,84 3,76 Euro pro Bedarfsgemeinschaft und Monat 2016 4,06 3,95 3,87 Euro pro Bedarfsgemeinschaft und Monat 2017 2,96 2,88 2,82 Euro pro Bedarfsgemeinschaft und Monat zuzüglich 0,66 Euro pro Gesprächsminute Die genannten Kostensätze gelten bundeseinheitlich für alle gEen. Separate Kostensätze für einzelne gEen oder Regionen werden von der BA nicht kalkuliert. 17. Hat die BA nach Kenntnis der Bundesregierung im Rahmen der Auftragserteilung nach § 80 SGB X geprüft, wie viel kostengünstiger die beauftragten privaten Unternehmen für die in der Antwort zu Frage 16 genannten 120 000 Einziehungsfälle Unterstützungsleistungen bei der Einziehung erbringen können (bitte in absoluten Zahlen sowie in Prozent der vermuteten Einsparung angeben)? Teilt die Bundesregierung die Auffassung der BA, dass diese erwarteten Einsparungen so hoch sind, dass dafür die Weitergabe von Namen, Geburtsdaten , alten Adressen und die Höhe der Forderungen der BA von sozialversicherten Personen an private Dritte berechtigt ist, anstatt die neuen Adressen selbst zu ermitteln (bitte begründen)? Die BA hat nach § 76 Absatz 1 des Vierten Buches Sozialgesetzbuch (SGB IV) Einnahmen rechtzeitig und vollständig zu erheben. Die Beauftragung Dritter als Verwaltungshelfer im Rahmen der Auftragsverarbeitung gem. § 80 Absatz 3 SGB X ist zulässig zur Entlastung des Inkasso-Service von Aufgaben, die nicht zwingend durch eigene Mitarbeiterinnen und Mitarbeiter erledigt werden müssen. Die beauftragten Verwaltungshelfer unterstützen die BA, bestandkräftig niedergeschlagene Forderungen wieder in die Bearbeitung zu nehmen. Dahinter steht die Absicht, das Einziehungsergebnis für den Rechtskreis des Dritten Buches Sozialgesetzbuch (SGB III) weiter zu verbessern und Forderungen, die die Versichertengemeinschaft rechtmäßig gegen (ehemalige ) Leistungsempfängerinnen und Leistungsempfänger hat, dem Versichertenhaushalt als Einnahmen wieder zuzuführen. Ungeachtet dessen wurde nach Auskunft der BA abgewogen, ob die Übertragung eines Teils der Verwaltungsaufgaben im Einziehungsprozess (u. a. Anschreiben/ Zahlungserinnerung, Adressermittlung) wirtschaftlich ist. Die Bilanz der bisherigen Vereinbarungsdauer zeigt, dass die zusätzlichen Einnahmen die Aufwände der BA deutlich übersteigen und sich damit die Annahmen, die der Entscheidung zugrunde lagen, als zutreffend erwiesen haben bzw. noch übertroffen wurden. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 9 – Drucksache 19/4149 18. Nach welchen Kriterien richtet sich der Preis, den die Jobcenter für die „Einkaufsdienstleistung “ Inkasso-Service bezahlen, und wie hoch ist dieser Preis (bitte auch ggf. nach Jobcentern und Regionen sowie nach Jahren 2010 bis 2017 differenziert ausweisen)? Die BA kalkuliert den Kostensatz für die Serviceleistung Inkasso aus dem für die Erbringung der Serviceleistung notwendigen Personal. Diese Personal- und Sachkosten werden auf die Anzahl der zahlungsgestörten Belege umgelegt. Dadurch wird ein Kostensatz pro zahlungsgestörtem Beleg berechnet, der gegenüber den gEen abgerechnet wird. Kostensätze: 2010 21,58 Euro pro Schuldnerkonto 2011 9,34 Euro pro Annahmeanordnung 2012 5,75 Euro pro zahlungsgestörtem Beleg Mit dem Inkrafttreten der Verwaltungskostenfeststellungsverordnung im Jahr 2012 wurden ab dem Folgejahr Staffelkostensätze ermittelt. Je nachdem für welchen Zeitraum die gE die Serviceleistung in Anspruch nimmt (ein, zwei oder drei Jahre), ergeben sich unterschiedliche Kostensätze. Kostensätze für ein-, zwei- oder drei-Jahresvereinbarungen: 2013 6,26 6,08 5,96 Euro pro zahlungsgestörtem Beleg 2014 4,27 4,15 4,07 Euro pro zahlungsgestörtem Beleg 2015 4,44 4,31 4,23 Euro pro zahlungsgestörtem Beleg 2016 5,08 4,93 4,83 Euro pro zahlungsgestörtem Beleg 2017 21,84 21,21 20,80 Euro pro zahlungsgestörtem Beleg Der Anstieg des Kostensatzes vom Jahr 2016 auf das Jahr 2017 beruht auf der Einführung eines „Collections Management (CM)“ im Verfahren ERP zur Unterstützung eines effizienteren Mahnsystems. Hieraus resultiert eine geringere Anzahl abzurechnender zahlungsgestörter Belege bei sonst nahezu gleichbleibenden Kosten. Die genannten Kostensätze gelten bundeseinheitlich für alle gEen. Separate Kostensätze für einzelne gEen oder Regionen kalkuliert die BA nicht. 19. Wie genau definieren sich die „Kompetenzgruppen“ in der eAkte, auf die in der Antwort zu Frage 20 verwiesen wird (bitte Link auf entsprechende Weisung bzw. Text der BA der Antwort beifügen)? Eine Kompetenzgruppe enthält einen oder mehrere Aktentypen (= Art der Fachakte , z. B. ALG II). Anwenderinnen und Anwender, denen die Berechtigung für eine Kompetenzgruppe vergeben wurde, haben Zugriff auf alle Akten der in dieser Kompetenzgruppe enthaltenen Aktentypen innerhalb ihrer Heimatdienststelle . Für eine Anwenderin oder einen Anwender können auch mehrere Kompetenzgruppen vergeben werden, wenn dies fachlich erforderlich ist. Die Entscheidung , welchen Kompetenzgruppen die Anwenderin oder der Anwender zugeordnet wird, trifft in dezentraler Verantwortung die jeweilige gE. Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/4149 – 10 – Deutscher Bundestag – 19. Wahlperiode Eine Übersicht über die Zuordnung von Aktentypen zu Kompetenzgruppen ergibt sich aus dem fachlichen Berechtigungskonzept eAkte Mandant SGB II, Anhang 2 „Übersicht Kompetenzgruppen“. Diese Unterlage wurde von der Bundesregierung als Verschlusssache „VS-Vertraulich“ eingestuft und der Geheimschutzstelle des Deutschen Bundestages zur Einsichtnahme übermittelt (es wird auf die Begründung in der Antwort zu den Fragen 5 und 6 verwiesen). 20. Wie ist die Diskrepanz zwischen der Aussage in der Antwort zu Frage 20, dass Kontoauszüge und Lohnabrechnungen nicht durch die Integrationsfachkräfte einsehbar wären, und der Aussage in der Antwort zu den Fragen 22 und 23, dass Kontoauszüge in der Regel nicht digitalisiert würden, zu verstehen? Teilt die Bundesregierung die Auffassung der Fragestellenden, dass die Aussage , dass Kontoauszüge „in der Regel“ nicht digitalisiert werden, so zu verstehen ist, dass in der Praxis der Jobcenter eingereichte Kontoauszüge in der überwiegenden Mehrheit der Fälle doch digitalisiert werden, wie beispielsweise die uns bekannten Berichte zu datenschutzrechtlichen Beratungs- und Kontrollbesuchen der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (https://fragdenstaat.de/anfrage/kontrollbericht11-jobcenternlandkreis -starnberg-frankfurt-am-main-merzig-wadern-mannheim-stormarndusseldorfulm -stadt-kassel-region-hannover-leipzig-landkreis-ahrweiler/ 95407/anhang/KontrollberichteJC.pdf) nahelegen (bitte Antwort begründen)? Kontoauszüge sind in der Regel nicht zu digitalisieren, da ein Vermerk über die Vorlage und Prüfung von Kontoauszügen oft ausreichend ist. Das Scannen und Speichern von Kontoauszügen ist jedoch zulässig, wenn diese Tatsachen enthalten , die sich unmittelbar auf den Leistungsanspruch auswirken (z. B. wenn sich aus den Unterlagen ein weiterer Ermittlungsbedarf oder eine Änderung in der Leistungshöhe ergibt). Insofern kann die Frage, ob Kontoauszüge zur Akte zu nehmen sind, nicht pauschal beurteilt werden, sondern ist in jedem Einzelfall individuell zu entscheiden. Die elektronische Akte beinhaltet verschiedene Aktentypen . Zur Akte genommene Kontoauszüge und Lohnabrechnungen werden im Aktentyp 9001 (ALG II) gespeichert. Auf diesen Aktentyp haben Integrationsfachkräfte keinen Zugriff, eine Einsichtnahme aller darin enthaltenen Dokumente ist für diesen Mitarbeiterkreis ausgeschlossen. Integrationskräfte erhalten auf den Aktentyp 9001 (ALG II) nur Zugriff, wenn diese auch die Leistungssachbearbeitung übernehmen. 21. Gab es nach Kenntnis der Bundesregierung im Rahmen der Planung und Einführung der eAkte rechtliche Gutachten zur Wahrung von Datenschutz und Datensicherheit? Wenn ja, welche (bitte erreichbare Quellen angeben; die Frage wurde wortgleich auf Bundestagsdrucksache 19/2916 (Frage 2) bereits gestellt, jedoch leider nicht beantwortet oder vergessen)? Die BA hat die Gesamtlösung unter Beachtung des Datenschutzes und der Datensicherheit in Begleitung und Abstimmung mit der BfDI entwickelt. Die Datenschutzaufsicht hat in diesem Zusammenhang zu zahlreichen Rechtsfragen Stellung genommen und Verbesserungswünsche geäußert, denen die BA nachgekommen ist. Spezielle datenschutzrechtliche Gutachten hat die BA nicht in Auftrag gegeben. Im Übrigen wird auf die Antwort der Bundesregierung zu Frage 21 der Kleinen Anfrage der Fraktion DIE LINKE. auf Bundestagsdrucksache 19/3412 verwiesen. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 11 – Drucksache 19/4149 22. Vertritt die Bundesregierung die Auffassung, dass „eine Zertifizierung durch einen externen Prüfer“ für das eAkten-Dokumenten-Management-System (DMS) nach den Anforderungen für die Prüfkriterien für Dokumentenmanagementlösungen (PK-DML; siehe Antwort zu Frage 21) in der Lage ist, eine qualifizierte Aussage zur Wahrung des Datenschutzes, insbesondere des Schutzes von Sozialdaten gemäß des Zweiten Kapitels des SGB X, zu treffen? Welche Prüfkriterien des PK-DML befassen sich konkret mit der Wahrung des Sozialdatenschutzes (bitte aufzählen und ggf. ausführen)? Die Einhaltung des Datenschutzes wird nicht alleine über die Zertifizierung nach den PK-DML geprüft. Auch der Bereich JDC – Justiziariat, Datenschutz, Compliance in der BA prüft im Zusammenwirken mit der BfDI regelmäßig die Verfahren der BA. Bei der Weiterentwicklung von IT-Verfahren prüft JDC in der verpflichtenden Vorabkontrolle, die im Rahmen der Meldungen für das Verfahrensverzeichnis nach § 4g i. V. m. §§ 18, 4e und 9 des Bundesdatenschutzgesetzes (BDSG) stattfindet, ob der Datenschutz eingehalten wird. Die prüfende Stelle „TÜV Informationstechnik GmbH“ ist aufgrund ihrer Akkreditierungen /Zertifizierungen für die Durchführung der Prüfung geeignet. Die Zertifizierung aufgrund der Prüfkriterien der PK-DML stellt eine qualifizierte Aussage für die Einhaltung des Datenschutzes dar. Die Prüfung nach den PK-DML umfasst die Kernkriterien Ordnungsmäßigkeit, Vollständigkeit, Nachvollziehbarkeit, Unveränderbarkeit und Verfügbarkeit. Für den Datenschutz ist insbesondere das Kernkriterium „Ordnungsmäßigkeit“ von Bedeutung, da hier die Sicherstellung der Vertraulichkeit („Dokumente und Daten können nur von berechtigten Benutzern eingesehen und bearbeitet werden “) geprüft wird. 23. Werden die Scanzentren, in denen das bei der BA und den Jobcentern gE eingehende Schriftgut digitalisiert wird, von der Deutschen Post AG betrieben , wie in der Antwort zu den Fragen 22 und 23 mitgeteilt wird, oder von der Deutschen Post E-POST Solutions GmbH, wie die Zertifizierung auf der Webseite des Bundesamtes für Sicherheit in der Informationstechnik (BSI; www.bsi.bund.de/DE/Themen/ZertifizierungundAnerkennung/Management systemzertifizierung/Zertifizierung27001/ErteilteZertifikate/iso27001_ zertifikate.html) nahelegt? Der verantwortliche Vertragspartner der BA ist die Deutsche Post AG. Im Vergabeverfahren wurde die Deutsche Post E-Post Solutions GmbH als direkter Subunternehmer der Deutsche Post AG für die wesentliche Leistung „Implementierung Digitalisierungslösung, Durchführung der Digitalisierungslösung und Lagerung , Betrieb der Scanzentren und Nachbearbeitungsstandorte“ angemeldet. Dieser Bereich wurde, neben dem Informationsverbund Logistik, in einen eigenen Informationsverbund abgegrenzt und als solcher zertifiziert. Dieses Zertifikat der ISO27001 nach BSI Grundschutz ist auf das betreibende Unternehmen, die Deutsche Post E-Post Solutions GmbH, ausgestellt. Die Deutsche Post E-Post Solutions GmbH ist eine 100 prozentige Tochter mit Beherrschungsvertrag und somit Teil des Konzerns Deutsche Post AG. Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/4149 – 12 – Deutscher Bundestag – 19. Wahlperiode 24. Hat die BA im Rahmen der Auftragserteilung nach § 80 SGB II geprüft, wie viel kostengünstiger das beauftragte private Unternehmen die Aufgaben der in der Antwort zu den Fragen 22 und 23 genannten Scanzentren erbringen kann als die BA selbst (bitte in absoluten Zahlen sowie in Prozent der erwarteten Einsparung angeben)? Wie viel bezahlt die BA (nur BA und Familienkasse) und wie viel bezahlen die Jobcenter (insgesamt bzw. je Jobcenter) für die Dienstleistungen rund um das Einscannen des eingehenden Schriftguts (Transport, Scannen, Entsorgung etc.) an die Deutsche Post AG bzw. Tochterfirmen der Post (bitte nach Jahren 2014 bis aktuell aufschlüsseln und Schätzungen für 2018 bis 2020 beifügen)? Wie werden diese Kosten auf die Jobcenter verteilt? Teilt die Bundesregierung die Auffassung der BA, dass diese erwarteten Einsparungen so hoch sind, dass dafür sensible Sozialdaten an private Dritte, die zudem Beschäftigte von Tochter- und Zeitarbeitsunternehmen einsetzen, weitergegeben werden, anstatt die Aufgaben selbst zu erledigen (bitte begründen )? Es wird davon ausgegangen, dass in der Frage die Regelung in § 80 SGB X gemeint ist. Vor der Auftragsvergabe hat die BA im Rahmen des Projekts eAkte eine Untersuchung durchgeführt, in der die Varianten Eigenbetrieb und Fremdbetrieb der Digitalisierung betrachtet wurden. Durch das Projekt wurde eine Gegenüberstellung dieser Szenarien und eine gewichtete Bewertung vorgenommen. Diese Bewertung zeigt insgesamt einen deutlichen Vorteil für den Fremdbetrieb. Hierbei hat die BA nicht nur wirtschaftliche Gesichtspunkte berücksichtigt, sondern auch Kriterien wie z. B. Personalsituation, rechtliche Situation, Akzeptanz und Machbarkeit . Aufgrund der damaligen Annahmen eines Seitenpreises von 10,5 ct für den Eigenbetrieb und 6,5 ct für den Fremdbetrieb resultierte eine jährliche Differenz von ca. 9,3 Mio. Euro. Die erwähnte Untersuchung hat die BA bereits im Jahr 2006 vorgenommen. Vor der Einführung im SGB II wurde keine neue grundsätzliche Entscheidung getroffen , da durch die Mandantenfähigkeit der Verträge die Aufnahme des weiteren Rechtskreises in die vorhandene Lösung möglich war. Durch das Vorprojekt zur Pilotierung der eAkte in sechs Pilot-Jobcentern wurde die Flächentauglichkeit der Lösung für den Rechtskreis SGB II bestätigt. Das BMAS hat die Einführung der eAkte SGB II mit Schreiben vom 20. Januar 2016 genehmigt. Eine Aufstellung über die an den Scandienstleister gezahlten Summen getrennt nach Rechtskreisen und den Jahren 2014 bis 2020 kann in der Geheimschutzstelle des Deutschen Bundestages eingesehen werden. Bei den angegebenen Zahlungen handelt es sich um schützenswerte Informationen im Interesse der Deutsche Post AG. Unter Abwägung zwischen dem Auskunftsanspruch des Deutschen Bundestages einerseits und dem Schutz von Betriebs- und Geschäftsgeheimnissen der Deutsche Post AG andererseits hat die Bundesregierung die abgefragten Informationen als Verschlusssache „VS-Vertraulich“ eingestuft und der Geheimschutzstelle des Deutschen Bundestages übermittelt. Bei den Zahlen für das Jahr 2018 handelt es sich um eine lineare Hochrechnung. Für die Jahre 2019 und 2020 wurden die Beträge aus dem Haushaltsaufstellungsverfahren 2019 zu Grunde gelegt. Eine Aufteilung nach Jobcentern (hier gEen) ist nicht möglich. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 13 – Drucksache 19/4149 Wie oben beschrieben hat die BA nicht rein aus wirtschaftlichen Gesichtspunkten entschieden. Es war der BA bewusst, dass sich bei einem Fremdbetrieb die Umsetzung von rechtlichen Anforderungen z. B. bezüglich des Datenschutzes schwieriger gestalten als bei einem Eigenbetrieb. Die BA hat bei der Entscheidung berücksichtigt, dass die Übernahme der Aufgabe durch einen erfahrenen Dienstleister erheblich zur Risikominimierung beiträgt. Durch konkrete Anforderungen an den Dienstleister und eine entsprechende Vertragsgestaltung wird die Einhaltung der Datenschutzmaßnahmen sichergestellt. Zu einzelnen Datenschutzmaßnahmen wird auf die Antworten zu den Fragen 31 ff. verwiesen. 25. Hat die Bundesregierung darüber Kenntnis, wer (welche Stelle bzw. Abteilung ) praktisch in den Jobcentern für die Entscheidung, welche Unterlagen an die Scanzentren übergeben werden, zuständig ist (siehe Antwort zu den Fragen 22 und 23)? Welche Stelle bzw. Abteilung erstellt in den Jobcentern den „Verarbeitungsauftrag “ für die Scanzentren (siehe Antwort zu Frage 27)? Es gibt nach Auskunft der BA drei Scanauftragsarten („Verarbeitungsaufträge“), mit denen gEen ihre Unterlagen zur Digitalisierung an die Scanzentren geben: Digitalisierung von Tagespost – wird i. d. R. von Mitarbeiter/innen erstellt, die Poststellentätigkeiten wahrnehmen Digitalisierung von Ablageaufträgen – wird i. d. R. von Mitarbeiter/innen erstellt , die die Bearbeitung durchführen werden oder durchgeführt haben (z. B. Arbeitsvermittlung, Leistungsgewährung) Digitalisierung von Sachbearbeitungsdokumenten – wird i. d. R. von Mitarbeiter /innen erstellt, die die Bearbeitung durchgeführt haben (z. B. Arbeitsvermittlung , Leistungsgewährung). 26. Wurden diese Stellen bzw. Abteilungen im Rahmen der Umstellung auf die eAkte personell aufgestockt? Wenn ja, inwieweit (bitte Veränderung in Stellen je Jobcenter oder in Stellen je 1 000 Bedarfsgemeinschaften beziffern und ausführen)? Falls Stellen in diesen Abteilungen aufgestockt wurden, wurden diese Stellen durch Umbesetzung bzw. Einsparungen an anderen Stellen in den Jobcentern besetzt oder durch Neueinstellungen bzw. zusätzliche Stellen? Im Rahmen der Umstellung auf die eAkte wurden die Prozesse zur Poststeuerung in den gEen angepasst. Nach § 44c Absatz 2 SGB II ist für personalwirtschaftliche Angelegenheiten die Trägerversammlung der gE verantwortlich. Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/4149 – 14 – Deutscher Bundestag – 19. Wahlperiode 27. Welche Qualifikation und Kompetenz haben die Beschäftigten dieser Stellen bzw. Abteilungen, um einzuschätzen, ob die fachlich zuständige Leistungsoder Vermittlungsabteilung das jeweils eingereichte Schriftgut, z. B. einen Kontoauszug oder eine Kopie eines Scheidungsurteils, für eine spätere Entscheidung benötigen, damit entschieden werden kann, ob dieses Schriftstück somit zum Scannen weiterzuleiten ist oder nicht (siehe Antwort zu den Fragen 22 und 23)? Die BA hat den gEen die Arbeitshilfe „Sortierhilfe für Mitarbeiter/innen, die Poststellentätigkeiten wahrnehmen“ zur Verfügung gestellt. Darin sind alle Poststücke (Sendungen/Dokumente) leicht verständlich beschrieben, die nicht direkt zum Scannen gegeben werden, sondern auszusortieren und in die zuständige Sachbearbeitung bzw. an den jeweiligen Adressaten weiterzuleiten sind. 28. Sind die Beschäftigten dieser Stellen bzw. Abteilungen dazu befugt oder angehalten , teilweise Schwärzungen durchzuführen, ehe die eingereichten Unterlagen zum Scannen weitergeleitet werden, z. B. Schwärzung des Namens und der Anschrift des Arbeitgebers auf Lohnabrechnungen oder Schwärzung des Namens, der Anschrift und der Kontoverbindung des Vermieters auf Mietverträgen? Poststücke, die erfahrungsgemäß eine fachliche Würdigung erfordern, sind in der Arbeitshilfe „Sortierhilfe für Mitarbeiter/innen, die Poststellentätigkeiten wahrnehmen “ aufgeführt. Bei diesen Dokumenten hat die jeweils zuständige Sachbearbeitung fachlich zu würdigen, ob Teile zu schwärzen sind. 29. Was geschieht mit dem Schriftgut, das nicht zum Scannen weitergeleitet wird? Wird für dieses Schriftgut eine parallele Papierakte (neu) angelegt? Gibt es parallele Papierakten für nicht zu scannende, aber aufzubewahrende Unterlagen, wie z. B. Kopien von Kontoauszügen, Mietverträgen oder Betriebswirtschaftlichen Auswertungen (BWA)? Für Poststücke, die an die zuständige Sachbearbeitung zur fachlichen Würdigung weitergeleitet wurden, gibt es grundsätzlich drei Szenarien: Die fachliche Würdigung ergibt, dass das Poststück Tatsachen enthält, die sich unmittelbar auf den Leistungsanspruch auswirken. Das Poststück wird anschließend (ggf. unter Vornahme von Schwärzungen) gescannt und gespeichert . Die fachliche Würdigung ergibt, dass das Poststück Urkundencharakter hat und Tatsachen enthält, die sich unmittelbar auf den Leistungsanspruch auswirken (z. B. Postzustellungsurkunden, Unterhaltstitel). Das Poststück ist im Original aufzubewahren und wird daher in Papierform in einer Handakte datenschutzkonform aufbewahrt. Die fachliche Würdigung ergibt, dass das Poststück nur wenige oder gar keine Tatsachen enthält, die sich unmittelbar auf den Leistungsanspruch auswirken. Es ist ein Vermerk über die Vorlage des Poststückes und ggf. den enthaltenen leistungsrelevanten Tatsachen zu erstellen und zur Akte zu nehmen. Das Poststück wird anschließend an den Einsender zurückgeschickt, sofern es für dessen weiteren Verwendung erforderlich erscheint (z. B. im Original eingereichte Bescheinigungen). Sofern eine Rücksendung nicht erforderlich erscheint (z. B. bei Kopien eingereichter Bescheinigungen), wird das Poststück anschließend datenschutzkonform vernichtet. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 15 – Drucksache 19/4149 30. Wie werden (anonyme) Anzeigen, die laut dem der Antwort beigefügten Auszug aus der Arbeitshilfe der BA „Hinweise zum Aufbau und Führen einer Leistungsakte“, Anlage 3, in einem „verschlossenen Umschlag“ in der Leistungsakte aufzubewahren sind, in der eAkte gespeichert? Zur Akte genommene (anonyme) Anzeigen sind auszublenden. Für ausgeblendete Dokumente werden nur noch einige wenige Metadaten (z. B. Posteingangsdatum ) angezeigt, die Anzeige des konkreten Dokumenteninhalts ist jedoch für niemanden mehr möglich. Erst nach dem Einblenden, das nur im Vier-Augen- Prinzip möglich ist, kann der Dokumenteninhalt grundsätzlich wieder aufgerufen werden. 31. Wie wird die Vergabe von Berechtigungen zur Bearbeitung und Einsicht sensibler Sozialdaten im Rollen- und Berechtigungskonzept DiBAS (siehe Antwort zu Frage 24) geregelt (bitte Link auf entsprechendes Konzept angeben oder Konzept als Text anhängen)? Werden Leiharbeiterinnen und Leiharbeiter in das Rollen- und Berechtigungskonzept DiBAS mit eingebunden? Wie werden die Beschäftigten, die in den Scanzentren eingesetzt werden, vor ihrem Einsatz überprüft (Vorstrafen, Interessenkonflikte etc.)? Die Vergabe der Rollen ist an Aufgaben geknüpft, die Vergabe der Berechtigungen einer Rolle wiederum an die für die Erfüllung dieser Aufgabe notwendigen Berechtigungen. Jeder Benutzer wird gemäß seiner Aufgabe in den dafür erforderlichen Rollen autorisiert. Das bedeutet, dass die BA Berechtigungen für die Mitarbeiterin oder den Mitarbeiter nach dem Minimalprinzip vergibt. Die Berechtigungsvergabe sieht zur Aufrechterhaltung des Vier-Augen-Prinzips auch „unverträgliche “ Rollen vor. So dürfen an Support-Mitarbeiterinnen und -Mitarbeiter zum Beispiel keine Rollen im operativen Prozess vergeben werden. Ein großer Teil der Mitarbeiterinnen und Mitarbeiter, der zum Beispiel in der Arbeitsvorbereitung tätig ist, bekommt zwar Zugriff auf das physische Schriftgut, das sie oder er in ihrer oder seiner Aufgabe aufbereiten muss, erhält jedoch keinen Zugriff auf Daten in den IT-Systemen (wie z. B. die Bilddateien nach dem Scanprozess), da diese Daten für die Erfüllung der Aufgabe nicht erforderlich sind. Die Beschreibung findet sich im fachlichen Berechtigungskonzept eAkte Mandant SGB II. Dieses wird der Geheimschutzstelle des Deutschen Bundestages übermittelt (siehe dazu die Antwort zu den Fragen 5 und 6). Die BA steuert die Vergabe der Berechtigungen über das sogenannte „User Account Management“. Die korrekte Vergabe der Berechtigungen wird über den Prozess „User Account Control“ regelmäßig überprüft. Alle Mitarbeiterinnen und Mitarbeiter, die mit der produktiven Verarbeitung der Daten betraut sind (unabhängig davon, ob diese rein physisch oder IT-gestützt sind), unterliegen folgenden Kriterien: Vorlage eines polizeilichen Führungszeugnisses, Unterzeichnung einer mit dem Auftraggeber abgestimmten Verpflichtungserklärung zur Einhaltung der gesetzlichen Vorschriften und des Datenschutzes, regelmäßige jährliche Belehrungen im Datenschutz und Belehrung und Unterzeichnung einer Verpflichtungserklärung nach dem Gesetz über die förmliche Verpflichtung nichtbeamteter Personen. Die hier beschriebenen Maßnahmen gelten für alle Personen, die mit der produktiven Verarbeitung des Schriftguts der BA betraut sind. Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/4149 – 16 – Deutscher Bundestag – 19. Wahlperiode 32. Wie sichert die BA, dass beim Einsatz von Drittfirmen, also von Personen, die weder bei der BA noch bei der Deutschen Post AG arbeiten, der Sozialdatenschutz gemäß dem Zweiten Kapitel SGB X tatsächlich eingehalten und in demselben Umfang geheim gehalten wird (vgl. § 78 SGB X)? Prüft die BA, ob in den Scanzentren Personen eingesetzt werden (auch über Zeitarbeitsfirmen), die bereits wegen Verstößen gegen Datenschutz, z. B. wegen Verkaufs von personenbezogenen Daten, belangt wurden? Wenn ja, wie? Für alle zum Einsatz kommenden Mitarbeiterinnen und Mitarbeiter der Deutsche Post AG oder deren Subunternehmern kommen die in der Antwort zu Frage 31 beschriebenen Regelungen zur Anwendung. Mitarbeiterinnen und Mitarbeiter mit Eintragungen im polizeilichen Führungszeugnis über Verstöße gegen Datenschutzbestimmungen dürfen in der Verarbeitung DiBAS nicht eingesetzt werden. Die Verträge zur Auftragsverarbeitung sind von der BA vorgegeben, gelten sowohl für die Deutsche Post AG als auch für deren Subunternehmer und sind wesentlicher Vertragsbestandteil. Die zur Verarbeitung personenbezogener Daten beauftragten Auftragsverarbeiter sind im Rahmen des Vertrages zur Auftragsverarbeitung zur Geheimhaltung und Vertraulichkeit verpflichtet (Artikel 28 Absatz 3 lit. b DSGVO). Der Auftragsverarbeiter führt an seinen Standorten und auch bei seinen Subunternehmern regelmäßig Datenschutz-Audits durch. Die BA hat sich das vertragliche Recht eingeräumt, Datenschutzbegehungen bei der Deutsche Post AG oder bei deren Subunternehmern durchzuführen oder dies an Aufsichtsgremien zu delegieren . Die BA führt diese Kontrollen regelmäßig (einmal im Jahr pro Scanzentrum ) durch. 33. Sind die im ersten Absatz in der Antwort zu Frage 26 genannten Prüfungen und Audits Datenschutzaudits im Sinne des § 73c SGB X? Welche näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter waren dabei zu beachten (bitte gesetzliche Grundlagen, insbesondere das „besondere Gesetz“ nach § 87c Satz 2 SGB X, benennen sowie konkret für die Scanzentren ausführen )? Kontrollieren und prüfen die in der Antwort zu Frage 26 genannten Prüfungen , Audits und ISO-Normen nach Kenntnis der Bundesregierung zuverlässig die Einhaltung der Standards des Sozialdatenschutzes gemäß dem Zweiten Kapitel SGB X oder eher die „Ordnungsmäßigkeit und Sicherheit (Revisionssicherheit ) des Prozesses Digitalisierung BA Schriftgut“? Die in der Antwort der Bundesregierung zu Frage 26 der Kleinen Anfrage der Fraktion DIE LINKE. auf Bundestagsdrucksache 19/3412 genannte Wahrnehmung der Kontrollrechte durch den Auftraggeber ist keine Maßnahme nach § 78c SGB X, der hier offenbar gemeint ist. Die Durchführung von Datenschutzaudits im Sinne des zum 26. Mai 2018 aufgehobenen § 78c SGB X war in der Vergangenheit nicht möglich. Die nach dem damaligen § 78c Satz 2 SGB X zunächst erforderlichen gesetzlichen Regelungen zu den näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung von Gutachtern für die Prüfung und Bewertung von technischen Einrichtungen wurden nie geschaffen. Mit dem Inkrafttreten der DSGVO wurde § 78c SGB X aufgehoben , weil die Regelung vor dem Hintergrund der DSGVO keine Relevanz hat. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 17 – Drucksache 19/4149 Mit den in der Antwort der Bundesregierung zu Frage 26 der Kleinen Anfrage der Fraktion DIE LINKE. auf Bundestagsdrucksache 19/02916 genannten Maßnahmen werden die Einhaltung des Sozialdatenschutzes und die Ordnungsmäßigkeit und Sicherheit des Prozesses Digitalisierung BA Schriftgut überprüft. 34. Bei wem sind die Personen, die die gescannten Unterlagen kontrollieren („Qualitätssicherung“, siehe Antwort zu Frage 27) sowie die Personen, die mit der manuellen Erfassung bestimmter Fachdaten beauftragt sind („Nachbearbeitungskräfte “, siehe Antwort zu Frage 28), beschäftigt? Werden in diesen beiden Bereichen auch Beschäftigte, die weder bei der Deutschen Post AG noch bei der BA angestellt sind, eingesetzt? Werden in diesen Bereichen auch Leiharbeiterinnen und Leiharbeiter eingesetzt ? Die genannten Aufgaben gehören zum Zuständigkeitsbereich der Deutsche Post AG. Auch in diesen Bereichen können Mitarbeiterinnen und Mitarbeiter in Arbeitnehmerüberlassung zum Einsatz kommen. Für diese Mitarbeiterinnen und Mitarbeiter gelten die gleichen Kontrollen wie für die Mitarbeiterinnen und Mitarbeiter der Deutsche Post AG (siehe Antwort zu Frage 31). 35. Wie viele „Signaturmitarbeiter in der BA“ gibt es (siehe Antwort zu Frage 27) zurzeit, und für wie viele stichprobenartige Überprüfungen wie vieler digitalisierter Dokumente sind diese zuständig (bitte auch Anzahl digitalisierter Dokumente für alle Scanzentren sowie je Scanzentrum je Monat angeben)? Die qualifizierten elektronischen Signaturen bringen als hoheitliche Aufgabe 77 Mitarbeiterinnen und Mitarbeiter der BA in vier Scanzentren des Scandienstleisters auf. Der Stichprobenumfang beträgt mindestens 2 Prozent. Der Signaturprozess besteht aus dem Sichtvergleich zwischen dem elektronischen Abbild und dem Papieroriginal sowie dem Aufbringen der Signatur. Mit der qualifizierten elektronischen Signatur wird bestätigt, dass das elektronische Dokument bildlich und inhaltlich mit dem Papieroriginal übereinstimmt. Im Zeitraum von August 2017 bis Juli 2018 wurden in den vier Scanzentren rund 138,1 Mio. Dokumente gescannt. Dies entspricht einem monatlichen Durchschnitt von rund 11,5 Millionen Dokumenten. Je Scanzentrum und Monat wurden im Durchschnitt knapp 2,9 Millionen Dokumente eingescannt. 36. Haben die Bundesregierung und die BA ein Interesse daran (siehe Antwort zu Frage 31, nach der die Datenschutzbeauftragten der Jobcenter nur auf lokaler Ebene berichten), beispielsweise im Rahmen eines Benchmarkings, besonders vorbildliche und besonders schlechte Jobcenter in Sachen Datenschutz zu identifizieren, und damit einen Wettbewerb in Bezug auf einen besonders vorbildlichen Datenschutz in den Jobcentern zu starten bzw. „Best Practice“-Vorbilder für den Datenschutz zu schaffen? Wenn nein, warum nicht? Die Bundesregierung und die BA sind nicht befugt, den behördlichen Datenschutzbeauftragten Vorgaben zu machen. Da diese fachlich weisungsfrei sind, besteht ihnen gegenüber auch keine Weisungsbefugnis. Eine Überprüfung durch Benchmarking kommt daher nicht in Betracht. Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/4149 – 18 – Deutscher Bundestag – 19. Wahlperiode 37. Haben die Bundesregierung oder die BA Bedenken, wenn für Datenschutzverstöße in den Jobcentern lediglich eine Beschäftigte bzw. ein Beschäftigter des jeweiligen Jobcenters zuständig ist, und diese bzw. dieser bei Verstößen lediglich der Geschäftsleitung (die ggf. selbst Ursache für die Verstöße ist) berichtet? Entspricht diese Praxis nach Einschätzung der Bundesregierung den Grundsätzen einer guten Verwaltungspraxis? Liegen die Voraussetzungen des Artikel 37 Absatz 1 DSGVO vor, benennt der Verantwortliche (also hier die Geschäftsleitung) einen Datenschutzbeauftragten. Stellung und Aufgaben des Datenschutzbeauftragten sind in Artikel 38 und 39 DSGVO geregelt. Nach Artikel 33 der DSGVO hat ein Verantwortlicher im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Datenschutzaufsichtsbehörde (BfDI) zu melden, es sei denn, dass die Verletzung voraussichtlich nicht zu einem Risiko für die Recht und Freiheiten natürlicher Personen führt. Ergänzend zu den Meldepflichten gemäß den Artikeln 33 und 34 der DSGVO hat eine in § 35 des Ersten Buches Sozialgesetzbuch genannte Stelle die Verletzung des Schutzes von Sozialdaten auch der Rechts- oder Fachaufsichtsbehörde zu melden (§ 83a SGB X). Damit sind die Aufsichtsbehörden über Datenschutzverstöße regelmäßig informiert. 38. Welchen Umfang der Freistellungen der Beauftragten für den Datenschutz hält die Bundesregierung und die BA für mindestens notwendig (bitte sämtliche Kriterien angeben)? Wurden die empfohlenen Umfänge der Freistellungen der Beauftragten für den Datenschutz im Rahmen der Einführung der eAkte erhöht? Nach § 5 Absatz 1 BDSG hat jede öffentliche Stelle eine behördliche Datenschutzbeauftragte oder einen behördlichen Datenschutzbeauftragten zu benennen . Die öffentliche Stelle unterstützt die Datenschutzbeauftragte oder den Datenschutzbeauftragten bei der Erfüllung ihrer oder seiner Aufgaben, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung ihres oder seines Fachwissens erforderlichen Ressourcen zur Verfügung stellt (§ 6 Absatz 2 BDSG). Aus der Unterstützungspflicht folgt die Pflicht zu einer angemessenen Freistellung von anderen dienstlichen Tätigkeiten. Für den Umfang der Freistellung hat die öffentliche Stelle die wachsende Komplexität der Aufgabe zu berücksichtigen. Wesentlich ist als Kriterium auch die Größe der Dienststelle, für die die oder der Datenschutzbeauftragte benannt ist. Ein gesetzlicher Mindestumfang besteht nicht. Die einzelnen Stellen melden der Bundesregierung nicht den Umfang der Freistellung . Welchen Einfluss die Einführung der eAkte auf den Umfang hatte, ist der Bundesregierung nicht bekannt. Die gEen berücksichtigen die Freistellungen im Rahmen der Personalbedarfsermittlung, um die notwendigen Stellen für die Aufgabenerledigung zu erhalten. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 19 – Drucksache 19/4149 39. Sieht die Bundesregierung neben den in der Antwort zu Frage 33 genannten drei Punkten weitere Änderungs- und Entwicklungsbedarfe, damit die Grundsätze in Bezug auf die Verarbeitung personenbezogener Daten (Artikel 5 DSGVO), insbesondere bezüglich der Zweckbindung, Datenminimierung , Richtigkeit, Speicherbegrenzung sowie der Integrität und Vertraulichkeit in der BA und der Jobcenter, insbesondere in Bezug auf die eAkte, die Scanzentren, die Servicecenter und die Inkassoservices, verlässlich gesichert werden? Änderungs- und Entwicklungsbedarfe werden in einem ständigen Abstimmungsprozess mit der zuständigen Datenschutzaufsichtsbehörde entwickelt und umgesetzt . Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/4149 – 20 – Deutscher Bundestag – 19. Wahlperiode Anlage 1 Tabelle zu Frage 14 Gemeinsame Einrichtungen, die die Dienstleistung O.7 Service Center nicht eingekauft haben: 1 Vorpommern-Greifswald Nord 2 Vorpommern-Greifswald Süd 3 Mecklenburgische Seenplatte-Süd 4 Mecklenburgische Seenplatte-Nord 5 Bad Doberan 6 Parchim-Ludwigslust 7 Prignitz 8 Dessau-Roßlau, Stadt 9 Sächsische Schweiz Osterzgebirge 10 Mittelsachsen 11 Ilm-Kreis 12 Sömmerda 13 Weimar, Stadt 14 Weimar, Landkreis 15 Gotha 16 Unstrut-Hainich-Kreis 17 Saalfeld-Rudolstadt 18 Kyffhäuserkreis 19 Suhl, Stadt 20 Hildburghausen 21 Sonneberg 22 Pinneberg 23 Flensburg, Stadt 24 Steinburg 25 Plön 26 Ostholstein 27 Goslar 28 Celle 29 Northeim 30 Hildesheim 31 Oldenburg, Stadt 32 Osnabrück, Stadt 33 Heinsberg 34 Leverkusen, Stadt 35 Oberbergischer Kreis 36 Rheinisch-Bergischer Kreis 37 Bielefeld, Stadt 38 Bonn, Stadt 39 Rhein-Erft 40 Gelsenkirchen, Stadt 41 Bottrop, Stadt 42 Herford 43 Märkischer Kreis 44 Mönchengladbach, Stadt 45 Oberhausen, Stadt 46 Paderborn Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 21 – Drucksache 19/4149 Gemeinsame Einrichtungen, die die Dienstleistung O.7 Service Center nicht eingekauft haben: 47 Höxter 48 Siegen-Wittgenstein 49 Soest 50 Wesel 51 Wetteraukreis 52 Kassel, Stadt 53 Kassel, Landkreis 54 Werra-Meißner-Kreis 55 Waldeck-Frankenberg 56 Schwalm-Eder-Kreis 57 Kreis Limburg-Weilburg 58 Birkenfeld 59 Kaiserslautern, Stadt 60 Pirmasens, Stadt 61 Cochem-Zell 62 Westerwaldkreis 63 Germersheim 64 Südliche Weinstraße 65 Altenkirchen, Landkreis 66 Neuwied 67 Bernkastel-Wittlich 68 Bitburg-Prüm 69 Trier-Saarburg 70 Breisgau-Hochschwarzwald 71 Emmendingen 72 Heidelberg, Stadt 73 Heilbronn, Stadt 74 Karlsruhe, Landkreis 75 Mannheim, Stadt 76 Tübingen 77 Hohenlohekreis 78 Neckar-Odenwald-Kreis 79 Main-Tauber-Kreis 80 Ulm, Stadt 81 Alb-Donau-Kreis 82 Schwarzwald-Baar-Kreis 83 Rottweil 84 Ansbach, Stadt 85 Weißenburg-Gunzenhausen 86 Roth 87 Aschaffenburg, Stadt 88 Miltenberg 89 Bayreuth, Stadt 90 Bayreuth, Landkreis 91 Kulmbach 92 Hof, Landkreis 93 Coburg, Stadt 94 Coburg, Landkreis 95 Kronach Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/4149 – 22 – Deutscher Bundestag – 19. Wahlperiode Gemeinsame Einrichtungen, die die Dienstleistung O.7 Service Center nicht eingekauft haben: 96 Lichtenfels 97 Bamberg, Stadt 98 Bamberg, Landkreis 99 Schwabach, Stadt 100 Regensburg, Stadt 101 Cham 102 Haßberge 103 Kitzingen 104 Main-Spessart 105 Donau-Ries 106 Freising 107 Eichstätt 108 Pfaffenhofen a.d.Ilm 109 Kempten (Allgäu), Stadt 110 Lindau (Bodensee) 111 Ostallgäu 112 Memmingen, Stadt 113 Unterallgäu 114 Dingolfing-Landau 115 München, Landeshauptstadt 116 Freyung-Grafenau 117 Passau, Landkreis 118 Bad Tölz-Wolfratshausen 119 Garmisch-Partenkirchen Vorabfassung - w ird durch die lektorierte Version ersetzt. Satz: Satzweiss.com Print, Web, Software GmbH, Mainzer Straße 116, 66121 Saarbrücken, www.satzweiss.com Druck: Printsystem GmbH, Schafwäsche 1-3, 71296 Heimsheim, www.printsystem.de Vertrieb: Bundesanzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de ISSN 0722-8333