BÜRGERSCHAFT DER FREIEN UND HANSESTADT HAMBURG Drucksache 21/13520 21. Wahlperiode 29.06.18 Schriftliche Kleine Anfrage der Abgeordneten Dr. Carola Ensslen (DIE LINKE) vom 21.06.18 und Antwort des Senats Betr.: Wie gestaltet sich die Einführung der elektronischen Akte bei der Agentur für Arbeit Hamburg und im Jobcenter t.a.h.? Das Bundesministerium für Arbeit und Soziales (BMAS) hat Anfang 2016 die flächendeckende Einführung der elektronischen Akte (eAkte) im Bereich SGB II genehmigt. Danach sollte ab August 2016 die eAkte sukzessive in allen gemeinsamen Einrichtungen (gE) eingeführt werden. Geplant war die Fertigstellung der Flächeneinführung nach insgesamt sechs „Wellen“ im Mai/Juni 2018. In dieser sechsten und letzten „Welle“ sollte die Einführung bei den Jobcentern stattfinden. Ziel der eAkte seien der Abbau von Papieren in den Akten (Archiveinsparungen ), der zentrale Zugriff auf die Daten, um schneller reagieren zu können (Suchen von Akten fällt weg), schnellere Auskünfte an Fragende, kürzere Lauf-, Such- und Transportwege sowie künftige kundenfreundliche Online- Angebote. Laut Bundesagentur für Arbeit wird dem Datenschutz höchste Priorität eingeräumt. Die Digitalisierung der Akten wird durch den Scan-Dienstleister Deutsch Post AG in einem Scan-Zentrum in Berlin durchgeführt. Laut Medienberichten mussten einzelne Jobcenter tageweise schließen, solange die Akten digitalisiert wurden. Vor diesem Hintergrund frage ich den Senat: Der Senat beantwortet die Fragen teilweise auf Grundlagen von Jobcenter team.arbeit.hamburg (Jobcenter) und Agentur für Arbeit (Agentur) wie folgt: 1. Ist die Umstellung auf die eAkte in allen Hamburger Jobcentern abgeschlossen ? a. Falls nicht, wann wird die Umstellung vollständig abgeschlossen sein? b. Falls teilweise, welche Standorte fehlen noch? c. Falls ja oder teilweise, wann war die Umstellung an den einzelnen Standorten abgeschlossen? Ja, die Umstellung war in allen Standorten am 18.06.2018 abgeschlossen. 2. Wie lange hatten die einzelnen Standorte jeweils keinen Zugriff auf die Akten? Wann und wie lange mussten die einzelnen Standorte aufgrund der Umstellung schließen? Drucksache 21/13520 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 2 3. Welche weiteren Beeinträchtigungen gab und gibt es für Kunden/-innen und Mitarbeiter/-innen an den einzelnen Standorten durch die Umstellung ? Welche weiteren Beeinträchtigungen werden erwartet? Es gab keine weiteren Beeinträchtigungen und es werden auch keine weiteren erwartet . 4. Gab es Komplikationen während der Umstellung? Wenn ja, welche? Nein, es gab keine Komplikationen während der Umstellung. 5. In welchem Umfang gibt es Schulungen für die Mitarbeiterinnen und Mitarbeiter im Umgang mit der eAkte? In welchem Umfang sind Schulungen geplant? Alle Mitarbeiterinnen und Mitarbeiter von Jobcenter wurden bereits vor Aufschaltung der eAkte geschult. Weitere Schulungen werden für neu eingestellte Beschäftigte im Rahmen der Grundschulungen durchgeführt. 6. Gemäß § 25 Absatz 3 Satz 2 SGB X kann eine Behörde in elektronische Akten Akteneinsicht gewähren, indem sie a) Unterlagen ganz oder teilweise ausdruckt, b) elektronische Dokumente auf einem Bildschirm wiedergibt, c) elektronische Dokumente zur Verfügung stellt oder d) den elektronischen Zugriff auf den Inhalt der Akte gestattet. a. Wie ist die derzeitige Praxis bei Akteneinsichtsverlangen in bereits digitalisierte Akten? b. Welche Verfahrensweise ist für die Jobcenter in Hamburg vorgesehen ? Die Regelungen ergeben sich aus § 25 Absatz 5 Satz 2 SGB X. Akteneinsicht wird auf Wunsch und bei vorheriger Terminvereinbarung in den Räumen der Agentur für Arbeit gewährt. Die Akte wird entweder in Papierform (Ausdruck der elektronischen Akte) vorgelegt oder die elektronischen Dokumente werden auf einem Bildschirm zur Verfügung gestellt. Im Jobcenter kann die Akteneinsicht wie bisher direkt am Monitor des jeweiligen Standortes beziehungsweise Bereiches von Jobcenter erfolgen. Es besteht auch die Möglichkeit , Akteninhalte im Bedarfsfall auszudrucken c. Gibt es eine Unterscheidung zwischen anwaltlich vertretenen und nicht vertretenen Kunden/-innen? Wenn ja, welche? Das Recht auf Auskunft steht grundsätzlich nur dem Betroffenen selbst zu, daher ist die Prüfung der Identität (Authentifizierung) vor Erteilung der Auskunft zwingend erforderlich . Andernfalls kann es sich um eine unbefugte Offenbarung von Sozialdaten handeln. Der Betroffene kann sich vertreten lassen, was in der Regel eine entsprechende Vollmacht, die sich ausdrücklich auf die Auskunftserteilung beziehen muss, voraussetzt. Die Auskunftserteilung über Gesundheitsdaten muss ausdrücklich von der Vollmacht umfasst sein. Die Akteneinsicht ist gemäß § 25 SGB X in geeigneter Weise zu gewährleisten, daher sind Akten an Rechtsanwälte als Organe der Rechtspflege zu übersenden, die eAkte wird von der Agentur in ausgedruckter Form übersandt. Jobcenter unterscheidet nicht zwischen anwaltlich vertretenen und nicht vertretenen Kundinnen und Kunden. d. Gibt es entsprechende Fachanweisungen beziehungsweise sind Fachanweisungen geplant? Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode Drucksache 21/13520 3 Wenn ja, welche? Da eine eindeutige Regelung durch die Gesetzgebung (§§ 12, 13 und 25 SGB X) besteht, sind zusätzliche Fachanweisungen für den Bereich der Agentur nicht notwendig und geplant. Die Regelungen zur Akteneinsicht wurden vom Jobcenter in der internen Handlungsanweisung 3/2006 „Anlage, Aufbau und Führung von Leistungsakten; Regelungen zu Aufbewahrungsfristen im Rechtskreis SGB II“ unter Punkt 2.3.2 festgelegt. Dieser Punkt gilt analog für die eAkte. e. Welche Kosten entstehen jeweils für die Kunden/-innen? Es entstehen den Kundinnen und Kunden weder bei der Agentur noch bei Jobcenter Kosten. f. Wie viele Akteneinsichtsverlangen gab es bei den Hamburger Jobcentern im Jahr 2017, wie viele im Jahr 2018 bis dato? In wie vielen Fällen fand die Akteneinsicht jeweils tatsächlich statt? Akteneinsichtsverlangen werden statisch nicht erfasst. Hierfür wäre eine Einzelauswertung mehrerer Tausend Akten von Jobcenter erforderlich. Dies ist in der für die Beantwortung einer Parlamentarischen Anfrage zur Verfügung stehenden Zeit nicht möglich. 7. Wer hat Zugriff auf die eingescannten Dokumente bei der Agentur für Arbeit Hamburg und Jobcenter t.a.h.? Ist ein übergreifender Zugriff auch von sogenannten Nicht-Hauptverantwortlichen in den Systemen in der Agentur für Arbeit Hamburg und bei Jobcenter t.a.h. möglich? Gibt es ein entsprechendes Berechtigungskonzept beziehungsweise ist ein solches Konzept in Planung? Wenn ja, bitte darstellen. Grundsätzlich werden nur die Rechte vergeben, die die Anwenderin und der Anwender für die sachgerechte Erledigung seiner ihm übertragenen Aufgaben unabdingbar benötigen. Durch eine restriktive Zuordnung der Rechte muss grundsätzlich sichergestellt werden , dass Art und Umfang des jeweiligen Rechts sich ausschließlich nach dem für die Aufgabenerledigung der Anwenderin und der Anwender unabdingbar Erforderlichen richtet. Auf die bestehenden Rechte und Pflichten des örtlichen Datenschutzbeauftragten beziehungsweise der Ansprechpartner/-innen für Datenschutzangelegenheiten im Sinne des § 4g BDSG wird ausdrücklich hingewiesen. Für den SGB-III-Bereich und SGB-II-Bereich gibt es jeweils ein fachliches Berechtigungskonzept für das Fachverfahren eAkte. In diesen Dokumenten werden die sachgerechten und fachlichen Anforderungen an die Berechtigungsstrukturen des Fachverfahrens eAkte im Mandanten SGB II und SGB III in der Form von Einzelrechten, Verfahrensprofilen und BA-Rollen beschrieben. Dem fachlichen Berechtigungskonzept liegt das technische Berechtigungskonzept zugrunde, welches die technischen Grundlagen für die Realisierung der fachlichen Berechtigungen beschreibt. Das fachliche Berechtigungskonzept zum Fachverfahren eAkte stimmt mit den Grundsätzen des BA- Rollenmodells überein. Durch die Vergabe von Zugriffsrechten, die entweder den Aufgabenbereichen oder direkt den BA-Rollen zuzuordnen sind, wird geregelt, auf welche Funktionen und welche Daten in den Fachverfahren die Anwenderin und der Anwender wie zugreifen darf. Bei Jobcenter haben alle Mitarbeiterinnen und Mitarbeiter der operativen Bereiche jeweils für ihren Tätigkeitsbereich Zugriff auf die eingescannten Dokumente. Regelungen im Rahmen der Zugriffsberechtigungen erfolgten aufgrund des vorgegebenen Berechtigungskonzepts, entsprechend der Tätigkeits- und Kompetenzprofile bei Jobcenter . 8. Wie wird sichergestellt, dass keine Unbefugten auf die Dateien zugreifen können? Drucksache 21/13520 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 4 a. Gibt es einen Passwortschutz für einzelne eAkten? b. Sind die einzelnen Dateien verschlüsselt? c. Wurde die Sicherheit des internen IT-Systems verbessert? Wenn ja, wie? d. Wurden sonstige Maßnahmen getroffen? Wenn ja, welche? Der Zugriff auf die eAkte erfordert physikalischen Zugriff auf Bestandteile der geschlossenen BA-IT-Infrastruktur sowie Anmeldeinformationen (Benutzerkennung und Passwort) für ein BA-Benutzerkonto. Zusätzlich müssen die Anwenderin und der Anwender über eine spezielle Fachverfahrensberechtigung für den jeweiligen Mandanten verfügen. Hierzu werden die Funktions- und Zugriffsrechte einer Anwenderin und eines Anwenders nach dienststellen-, aufgaben- und funktionsbezogenen Aspekten konkret festgelegt und in Form eines Verfahrensprofils und von Kompetenzgruppen in einem gesonderten Berechtigungssystem für Fachverfahrensrechte zentral hinterlegt. Dort werden diese mit seinem BA-Benutzerkonto und seiner organisatorischen Verortung verknüpft. Grundsätzlich wird dabei ein Zugriff nur für Akten innerhalb einer Dienststelle und eines konkreten Aufgabengebiets (zum Beispiel Leistungssachbearbeitung) erteilt. Anwendern, die lediglich Auskunfts- und Prüfaufgaben ausführen, dürfen nur lesende Funktionsrechte zugewiesen werden. Die Datenschutzbeauftragten können Stichprobenprüfungen durchführen. 9. Gerade ist bekannt geworden, dass es massenweise Hackerangriffe auf das Hamburger Stromnetz gibt. Wie bewertet der Senat beziehungsweise die zuständige Behörde die Gefahr von Hackerangriffen bei der eAkte ? Das tägliche Handeln der Informationssicherheit in der BA ist auf Prävention, Reaktion , Nachhaltung und Sensibilisierung zum Schutz der BA anvertrauten Sozialdaten und personenbezogenen Daten ausgerichtet. In diesem Rahmen werden die gesetzlichen Vorschriften und rechtlichen Auflagen erfüllt. Die Informationssicherheit wird bei der Verarbeitung von Sozialdaten, personenbezogenen Daten und schützenswerten Informationen in der BA sichergestellt. Um die Informationssicherheit zu gewährleisten , wird sie stetig an neue Erfordernisse angepasst. Dazu sind eine Aufbau- und Ablauforganisation mit funktionierenden und etablierten Prozessen sowie aktuelle Dokumentationen der Informationssicherheit unabdingbar. Datenschutzrechtliche Anforderungen werden in der IT durch entsprechende Maßnahmen der Informationssicherheit umgesetzt. Der Schutzbedarf der im IT-Verfahren verarbeiteten Informationen wird hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit vom fachlichen Verfahrensverantwortlichen (FW) festgelegt. Dieser Schutzbedarf bildet die Grundlage für passgenau umzusetzende Maßnahmen der Informationssicherheit. Zu den Hackerangriffen liegen der Agentur keine Informationen vor. Der zuständigen Behörde liegen darüber hinaus keine Erkenntnisse vor. Der Senat hat sich mit der Thematik nicht befasst.