Zurück

Kleine Anfrage: Fragen zum Sozialdatenschutz und fingierten Stellenanzeigen in der „Jobbörse“ der Bundesagentur für Arbeit

Kleine Anfrage - Drucksache Nr. 19/2156

Hintergrund der Kleinen Anfrage ist der Anstieg gefälschter Stellenanzeigen in Stellenportalen im Internet. Die Bundesagentur für Arbeit stand in der Vergangenheit mehrfach wegen Datenschutzmängeln in der Kritik. Mit dieser Kleinen Anfrage möchten sich die Fragestellerinnen und Fragesteller einen Überblick über die aktuelle Lage des Sozialdatenschutzes bei der Bundesagentur für Arbeit im Zusammenhang mit deren Stellenportal „Jobbörse“ verschaffen.

Hierzu liegt eine Antwort der Bundesregierung als Drucksache Nr. 19/2417 vor. Antwort als PDF herunterladen

Guter Sozialdatenschutz? Keine hohe Priorität für Jobcenter!

Kleine Anfrage Jessica Tatti u. a. (LINKE), BT-Drs. 19/2916 „Fragen zum Sozialdatenschutz und zur Datensicherheit im Zusammenhang mit der Bundesagentur für Arbeit und den Jobcentern

Hintergrund

In der Vergangenheit standen die Bundesagentur für Arbeit (BA) und die Jobcenter immer wieder auf Grund von Datenschutzmängeln in der Kritik (s. z. B. https://netzpolitik.org/2009/die-agentur-fuer-arbeit-ist-beim-datenschutz-eine-katastrophe/).

Das E-Government-Gesetz vom August 2013 sieht für zahlreiche Bundesbehörden ab 2020 verpflichtend eine elektronische Aktenführung vor. Die über mehrere Jahre verteilte Einführung der elektronischen Akte („eAkte“) in allen „gemeinsamen“1 Jobcentern ist nun seit dem 18. Juni 2018 bundesweit abgeschlossen. Das Scannen und Digitalisieren von zum Teil höchst sensiblen personenbezogenen Sozialdaten wird bundesweit von vier Scanzentren eines externen Dienstleisters durch-geführt. Zudem werden immer weitere Dienstleistungen der Jobcenter bei zentralen Diensten der BA angesiedelt und neue Software implementiert, die die Schnittstellen vervielfachen. Vor diesem Hintergrund ergeben sich zahlreiche neue Fragen in Bezug auf die aktuelle Situation des Datenschutzes und der Datensicherheit zwischen den verschiedenen Stellen und innerhalb der BA bzw. der Jobcenter.

Kurzzusammenfassung

Wichtige Entscheidungen, die den Schutz personenbezogener Sozialdaten betreffen, können von den einzelnen Jobcentern ohne Kontrolle der BA getroffen werden, so unter anderem die Entscheidung darüber, welche personenbezogenen Dokumente zur eAkte genommen werden. Eine Weisungsbefugnis der BA bestehe laut Angaben der Bundesregierung nicht.

Sowohl die IT-Systeme der BA als auch die von der BA beauftragte Scan-Zentren, einem Tochterunternehmen der Deutschen Post AG, werden nur auf Basis des IT-Grundschutzes (EU ISO 27001) gesichert. Nach Angaben der Webseite des BSI stellen „die Maßnahmen, die für die Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz gefordert werden, das Minimum dessen dar, was in jedem Fall vernünftigerweise an Sicherheitsvorkehrungen umzusetzen ist“ (Quelle: BSI, https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/allgemein/einstieg/01001.html).

In den Scan-Zentren werden auch Leiharbeiter*innen zum Verarbeiten, Scannen und Lagern der Dokumente eingesetzt. Die gescannten Dokumente liegen zuerst als signierte Bilddokumente (PDF) vor, deren Inhalt nicht maschinenlesbar ist. Im Anschluss werden bestimmte Metadaten wie Fachschlüssel, Dokumenten- und Aktentyp von den Beschäftigten manuell „extrahiert“ und der BA und den Jobcentern in maschinenlesbarer Form zugänglich gemacht.

Bewertung

Obgleich die Antwort der Bundesregierung (BT Drs. 19/3412, http://dip21.bundestag.de/dip21/btd/19/034/1903412.pdf) in vielen Bereichen wenig zufriedenstellend und ausweichend ist, so zeigt sich insgesamt doch ein klares Bild: Das Datenschutzniveau der BA und der Jobcenter ist in vielerlei Hinsicht unzureichend bis mangelhaft.

So heißt es, dass es für Entscheidungen, die den Schutz personenbezogener Sozialdaten betreffen, keine Weisungsbefugnis von Seiten der BA gäbe. Dabei sitzt die BA in jeder gE-Trägerversammlung, die die weisungsbefugte Jobcenter-Geschäftsführungen verpflichten könnte. Die Entscheidung darüber, ob Kopien sensibler Dokumente wie z. B. Personalaus-weise oder Pässe, Sozialversicherungsausweise, Arbeitsunfähigkeitsbescheinigungen, Miet-verträge oder Belege zu Unterhaltszahlungen in die Akte aufgenommen werden sollen, überlassen die Bundesregierung und die BA jedem Jobcenter selbst. Sie geben nur die „Empfehlung“, diese Daten nicht in der eAkte zu speichern. Dass diese in der Praxis jedoch oftmals eingefordert und als Kopien gespeichert werden, ist hinlänglich bekannt.

Für die Erfassung eingereichter Unterlagen in den Jobcentern werden nun alle Unterlagen bundesweit in vier Scanzentren eines externen Dienstleisters digitalisiert. Laut Bundes-regierung erfolgt dies bei der Deutschen Post AG (DPAG), nach eigener Recherche auf der Webseite des Bundesamts für Sicherheit in der Informationstechnik (BSI) hingegen bei einem Tochterunternehmen der DPAG, der Deutsche Post E-POST Solutions GmbH. Diese scannt alle eingereichten Unterlagen ein, unabhängig davon, ob dies datenschutzrechtlich zulässig ist oder nicht. Verantwortlich, so die Antwort, sei das jeweilige Jobcenter, unzulässige Schriftstücke im Voraus auszusortieren. Ob die jeweilige Poststelle der Jobcenter dies tut und dazu die Kompetenz besitzt, wird nicht ausgeführt. Das beauftragte private Unter-nehmen scannt die Unterlagen als Bilddatei (PDF) ein, die nicht maschinenlesbar seien. Entsprechend müssten die Unterlagen teils von Hand nachbearbeitet (Hinzufügung von Meta- und Inhaltsdaten) werden. Dies erfolge durch die Mitarbeiter*innen des externen Dienstleisters bzw. auch durch den Einsatz von Leiharbeiter*innen. Inwieweit diese Praxis mit dem besonderen Sozialdatenschutz vereinbar ist, wird nicht ausgeführt, werden zur Ein-haltung des Datenschutzes doch vor allem jährliche Audits durch die BA genannt, die primär auf die „Ordnungsmäßigkeit und Sicherheit (Revisionssicherheit)“ abzuzielen scheinen.
Auf die Frage, ob diese Praxis vorab durch rechtliche Gutachten zur Wahrung von Daten-schutz und Datensicherheit geprüft wurde, wird mit dem Verweis auf die Prüfkriterien nach PK-DML geantwortet. Inwiefern diese irgendetwas mit dem Sozialdatenschutz zu tun haben, bleibt das Geheimnis der antwortenden Bundesregierung, geht es doch bei der PK-DML um die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeich-nungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD), die die formalen Anforderungen an die Buchführung und die Aufbewahrung von steuerrechtlich relevanten elektronischen Daten und Papierdokumenten unter Bezug auf die Grundsätze ordnungsmäßiger Buchführung regeln.
Die Daten selbst werden auf BA-eigenen Servern an zentralen Standorten in Rechenzentren gespeichert. Spannend ist die Frage, wie die JC-Mitarbeiter*innen diese Daten auf ihren Bildschirmen sehen können, wenn, wie die Antwort der Bundesregierung aussagt, keine Daten zu den Jobcentern übermittelt würden (Frage 6). Ob und wie die Daten, die selbst-verständlich zwischen den Rechenzentren und den Jobcentern übermittelt werden müssen, geschützt werden, bleibt weitgehend unklar.

Die Vorkehrungen zur Datensicherheit personenbezogener Sozialdaten erfolgt gerade mal auf Minimalniveau – und das, obwohl die BA und die Jobcenter hochsensible personen-bezogene Sozialdaten speichern und verwalten. Die Fragen nach den Standards und Kontrollen der Einhaltung von Datensicherheit und Datenschutz werden ausweichend (z. B. „eine Zertifizierung durch einen externen Prüfer“ nach PK-DML, Antwort zu Frage 21; „IT-Sicherheitszertifikat des BSI“, Frage 7) beantwortet, wobei offen bleiben muss, ob die angegebenen Zertifikate überhaupt etwas mit der Sicherung des Sozialdatenschutzes zu tun haben und nicht nur verwaltungsinterne Ordnungsmäßigkeit dokumentiert.

Auch innerhalb und zwischen den Jobcenter-Abteilungen (einerseits die Leistungsabteilung mit dem Kernprogramm ALLEGRO und zahlreichen weiteren Spezialprogrammen, anderer-seits die Vermittlungsabteilung mit VerBIS) ist die Gewährleistung des Sozialdatenschutzes in Frage zu stellen: So gibt die Bundesregierung an, Zugriffsrechte je nach „Rollen“ (Frage 4) einzuschränken. Zugriffe auf Daten würden entsprechend des Schutzbedarfs der Daten „unter Beachtung der gesetzlichen Rahmenbedingungen datenschutzkonform protokolliert“. Zugriffe hätten die jeweils nur die zuständigen Mitarbeiter*innen (Frage 9). Unbekannt scheint der Bundesregierung zu sein, dass seit 2005 in VerBIS „virtuelle Mitarbeiter“ ange-legt werden können. So können sich Mitarbeiter*innen „[….] Zugriff auf personenbezogene Daten verschaffen, auf die sie mit ihrer persönlicher IT-Berechtigung keinen Zugriff hätten.“ Diese virtuellen Mitarbeiter müssen erst bis zum 31.10.2018 aufgelöst werden (so in Bundes-agentur für Arbeit: Weisung 201804009 vom 20.04.2018 – Erforderliche Bereinigung in VerBIS aufgrund der Ablösung des virtuellen Mitarbeiters). Ob die betroffenen leistungsbe-ziehenden Personen darüber informiert werden, dass ihre Daten datenschutzrechtlich unzulässig abgespeichert wurden und noch sind, bleibt offen.

Mein Kommentar zu der Antwort:

„Die Einführung der eAkte in den Jobcentern ist zunächst positiv zu bewerten. Sie kann dafür sorgen, dass eingereichte Unterlagen von Erwerbslosen nicht mehr zwischen dem Briefkas-ten des Jobcenters und den Sachbearbeiter*innen verloren gehen und sich dadurch der Erhalt von existenzsichernden Leistungen verzögert. Das kann mehr Rechtssicherheit für Betroffene schaffen und weniger Chaos bei der Beantragung von Leistungen durch eine mehrfach notwendige Einreichung von Unterlagen.
Allerdings müssen die entstehenden Risiken der eAkte zwingend angemessen beachtet werden: Wer erhält Zugriff auf die umfangreichen Datensammlungen, in denen sich sensible Sozialdaten wie Kontoauszüge, Einkommensbescheinigungen, Mietverträge, Jahresabrechnungen von Stadtwerken und Erbscheine befinden?

Die Bundesregierung erweckt mit ihren teils vagen und ausweichenden Antworten auf unsere Kleine Anfrage den Anschein, dass die eAkte nur nach einem ungenügenden „Mindesstandard“ geschützt wird - auf den Servern, auf den Wegen zwischen Servern und Jobcentern, in den Jobcentern selbst und bei beauftragten Dritten wie privaten Unternehmen. Das ist völlig unzureichend für einen modernen Sozialstaat, der keinen Zweifel an der Datensicherheit der Aktenführung in den Jobcentern lassen darf.
Ich finde, hier besteht dringender Handlungsbedarf. Die Entscheidung, welche Unterlagen unter welchen Voraussetzungen eingescannt und gespeichert werden, darf nicht den einzelnen Jobcentern überlassen werden. Die Bundesagentur für Arbeit muss hierzu eine verbindliche Weisung erlassen.

Unzählige Berichte aus der Praxis belegen, dass gerade Kontoauszüge von den Jobcentern – die laut Bundesregierung „in der Regel“ nicht einzuscannen seien – vehement als Kopien von den Antragsteller*innen eingefordert werden. Wenn es keine Papierakte mehr gibt, ist davon auszugehen, dass Kontoauszüge und viele andere eingeforderte Kopien grundsätzlich gescannt und zur eAkte genommen werden.

Die BA und die Bundesregierung müssen dringend Ehrlichkeit und Transparenz darüber schaffen, wo es mit der Wahrung und Sicherung des Datenschutzes und der Datensicherheit noch Probleme gibt. Nur so werden Verbesserungen möglich. Das ist man den Menschen schuldig, die auf die Leistungen der Jobcenter angewiesen sind.
Ein Verschwindenlassen von Verstößen gegen den Datenschutz, indem man diese nur auf lokaler Ebene und innerhalb der Jobcenter dokumentiert, provoziert geradezu eine Chronifizierung der Sicherheitsmängel, die sich dann jeder Kontrolle und Verbesserung entziehen.

Ich stelle die Frage warum die eAkte schon eingeführt wurde, wenn die Bundesregierung bei berechtigten Nachfragen noch nackt da steht. Mit den vagen und ausweichenden Antworten der Bundesregierung werde ich mich keinesfalls zufrieden geben.“

Jessica Tatti, MdB DIE LINKE