BÜRGERSCHAFT DER FREIEN UND HANSESTADT HAMBURG Drucksache 21/306 21. Wahlperiode 28.04.15 Schriftliche Kleine Anfrage der Abgeordneten Inge Hannemann (DIE LINKE) vom 21.04.15 und Antwort des Senats Betr.: Datenschutzrechtsverletzungen bei der Bundesagentur für Arbeit? Ich frage den Senat: Die Freie und Hansestadt Hamburg (FHH) ist zusammen mit der Agentur für Arbeit Hamburg Trägerin des Jobcenters team.arbeit.hamburg (Jobcenter) als gemeinsame Einrichtung gemäß § 44b des Zweiten Buches Sozialgesetzbuch (SGB II). Für das Jobcenter gilt gemäß § 50 Absatz 4 SGB II das Datenschutzrecht des Bundes. Insofern richten sich sowohl das Jobcenter als auch die Agentur für Arbeit nach den gleichen Regelungen. Die folgenden Angaben beziehen sich jeweils auf das Jobcenter, gelten aber entsprechend auch für die Agentur für Arbeit Hamburg. Dies vorausgeschickt, beantwortet der Senat die Fragen auf Grundlage von Auskünften von Jobcenter und der Bundesagentur für Arbeit (BA) wie folgt: 1. Wer und in welchem Umfang ist für die Entsorgung von internen Daten und Kundendaten, von Arbeitsmaterial oder Dokumenten in der Agentur für Arbeit und in den Jobcentern zuständig? Es ist ein entsprechender Dienstleister damit beauftragt, die Entsorgung mittels verschlossenen Containern für die Entsorgung von datenschutzwürdigem Schriftgut vorzunehmen . Arbeitsmaterial ohne Schutzbedarf, wie zum Beispiel Broschüren, wird per Altpapier über die örtliche Müllentsorgung entsorgt. Jede/r Mitarbeiter/in, die/der mit entsprechend schutzwürdigen Daten umgeht, ist für den datenschutzrechtlich konformen Umgang verantwortlich. Das gilt auch für die Entsorgung. Die Beschäftigten von Jobcenter werden bei ihrer Einstellung gemäß § 5 des Bundesdatenschutzgesetzes (BDSG) auf das Datengeheimnis verpflichtet. 2. Welches Unternehmen hat den Auftrag für die rechtssichere Entsorgung von Papieren, Dokumenten oder ähnlichem für die Jahre 2010 bis heute erhalten? 3. Auf welche Gesamtsumme in Euro beläuft sich das Auftragsvolumen für die Aufträge unter 2. und wie erfolgte die Auftragsvergabe? Die Vergabe erfolgte zentral durch das BA-Service-Haus im Rahmen einer europaweiten Ausschreibung. Jobcenter und BA haben hinsichtlich der Beantwortung zum Auftragsunternehmen und -volumen unter Hinweis auf Betriebs- und Geschäftsgeheimnisse keine Angaben gemacht. 4. Werden Schulungen bezüglich des Datenschutzes für die Mitarbeiter/ -innen der Jobcenter und den Arbeitsagenturen durchgeführt? Wenn ja, wie häufig erfolgen diese? Drucksache 21/306 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 2 Wenn nein, warum nicht? Es finden jährliche Schulungen für die Mitarbeiterinnen und Mitarbeiter statt. In der ersten Jahreshälfte des Jahres 2014 wurden alle Standortleitungen und Teamleitungen in 13 Tagesseminaren durch den Bereich Behördlicher Datenschutz von Jobcenter geschult. Durch diese Seminare wurden die Teamleitungen in die Lage versetzt, im Rahmen von Multiplikatoren-Schulungen die Mitarbeiterinnen und Mitarbeiter in ihren Teams datenschutzrechtlich zu unterweisen. Seit Herbst 2014 führt der Bereich Behördlicher Datenschutz von Jobcenter außerdem ganztägige Datenschutzschulungen für neue Beschäftigte durch. Des Weiteren informiert dieser Bereich die Beschäftigten anlassbezogen (Kundenbeschwerden, Eingaben der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und so weiter) über die datenschutzrechtlichen Vorgaben. 5. Wie ist es sichergestellt, dass interne Papiere über interne Abläufe oder von Kunden nicht in die Hände Dritter fallen? Die Beschäftigten werden bei ihrer Einstellung gemäß § 5 des Bundesdatenschutzgesetzes (BDSG) auf das Datengeheimnis verpflichtet. Alle Büros sind standardmäßig mit verschließbaren Aktenschränken ausgestattet. Der Bereich Behördlicher Datenschutz von Jobcenter informiert die Beschäftigten regelmäßig durch Schulungen über die Verhaltenspflichten. Eine Nachhaltung erfolgt durch Beratungs- und Kontrollbesuche in den Standorten. Zu den Verhaltenspflichten der Beschäftigten gehört, unter anderem dafür Sorge zu tragen, dass  Bürotüren bei Kundengesprächen grundsätzlich verschlossen sind.  Aktenschränke bei Kundengesprächen und bei Abwesenheit der Mitarbeiter/-innen verschlossen sind.  bei Vorspracheterminen nur die für das jeweilige Kundengespräch benötigten Unterlagen einsehbar sind.  eine Entsorgung von sensiblem Schriftgut nur über die Datenmülltonnen und durch die Mitarbeiter/-innen selbst stattfindet.  die Poststellen Unbefugten nicht zugänglich sind. Entsprechende Unterlagen dürfen nur den dienstlich damit befassten Beschäftigten zugänglich gemacht werden und sind ansonsten unter Verschluss zu halten. Der Grundsatz wird sichergestellt durch:  gesicherte Postzustellung (zum Beispiel verplombte Behältnisse),  Zuordnung von Schriftstücken entsprechend Kundennummer beziehungsweise Tätigkeitsschwerpunkt zu den konkreten Beschäftigten,  verschlossene Postzielzimmer,  getrennte Schließkreise bei unterschiedlichen Aufgabenbereichen. 6. Welche Arbeitsschritte sind von den Beschäftigten einzuhalten, damit interne Papiere oder Dokumente nicht für außenstehende Dritte sichtbar sind? Die Arbeitsschritte umfassen unterschiedliche Maßnahmen, die sich von der Zutrittssicherung und -kontrolle über die Aufbewahrung unter Verschluss bis hin zu arbeitsprozessbezogenen Sicherheitsmaßnahmen zur Gewährung des Datenschutzes (zum Beispiel Schwärzung, versiegelt verschlossene interne Weitergabe) erstrecken. Bei Anwesenheit Dritter halten die Mitarbeiterinnen und Mitarbeiter:  ihren Bildschirm geschützt vor Blicken unbeteiligter Dritter,  stellen sicher, dass Kunden nicht allein im Zimmer sind,  halten eventuelle Schriftstücke und Akten so vor den Blicken der Kunden geschützt, dass keine Namen, Adressen et cetera zugänglich werden. Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode Drucksache 21/306 3 Bei Abwesenheit der Mitarbeiterinnen und Mitarbeiter werden:  Unterlagen in verschließbaren Räumen oder  in verschließbaren Behältnissen untergebracht. 7. Erfolgt eine Zusammenarbeit von Jobcenter team.arbeit.hamburg als auch den Arbeitsagenturen mit der behördlichen Datenschutzbeauftragten (behDSB)? Wenn ja, wie erfolgt die Unterstützung nach §10a Absatz 5 S. 1 HmbDSB? Wenn nein, warum nicht? Siehe Vorbemerkung. Das Hamburgische Datenschutzgesetz ist hier nicht die Rechtsgrundlage. Vielmehr ordnet § 50 Absatz 4 Satz 1 SGB II hinsichtlich der Zulässigkeit der Erhebung, Verarbeitung und Nutzung von Sozialdaten durch die gemeinsame Einrichtung die Anwendbarkeit des Datenschutzrechts des Bundes (BDSG) an. Voranging sind insoweit die datenschutzrechtlichen Regelungen des SGB II und des Zehnten Buches Sozialgesetzbuch (SGB X). Die gemeinsame Einrichtung ist gemäß § 50 Absatz 2 SGB II verantwortliche Stelle für die Erhebung, Verarbeitung und Nutzung von Sozialdaten im Sinne des § 67 Absatz 9 SGB X. Jobcenter ist verpflichtet, eine/n eigene/n Behördliche/n Datenschutzbeauftragte/n zu bestellen. 8. In welchen Abständen erfolgen Überprüfungen und auch stichprobenartige Überprüfungen durch den behDSB in den Jobcentern und Arbeitsagenturen? Bitte ab 2010 jährlich nach Standorten auflisten. Die Aufgaben der Beauftragten für den Datenschutz sind in § 4g BDSG geregelt. Der Bereich Behördlicher Datenschutz von Jobcenter führt jährlich ganztägige Beratungs - und Kontrollbesuche in allen Standorten von Jobcenter durch. In diesem Rahmen wird stichprobenartig die Einhaltung der datenschutzrechtlichen Vorgaben geprüft. Darüber hinaus finden auch anlassbezogene Prüfungen statt. Über die Ergebnisse der Prüfungen werden die Geschäftsführung und die Standortleitungen von Jobcenter in einem schriftlichen Prüfbericht umfassend informiert. Dieser Bericht wie auch die Inhalte sind nicht öffentlich und der zuständigen Behörde auch nicht bekannt.