4.5 Soziales
4.5.1 Hartz IV
Jeder hat Anspruch darauf, dass die ihn betreffenden Sozialdaten von den Leistungsträgern nicht unbefugt erhoben, verarbeitet oder genutzt werden – so ist das Sozialgeheimnis gesetzlich verankert! Das müssten auch die Arbeitsgemeinschaften bzw. Jobcenter, die Agenturen für Arbeit und die für eine selbstständige Aufgabenwahrnehmung optierenden Kommunen beachten.
Wir berichteten darüber, dass das Sozialgeheimnis bei der Zusammenlegung von Arbeitslosen- und Sozialhilfe oft nicht beachtet wurde (27. TB, Tz. 4.6.1). Ein Jahr danach hat sich nicht viel verbessert – im Gegenteil:
Datenschutzgerechte Gestaltung von Antragsvordrucken und Ausfüllhinweisen
Die Kritik an ihrem 16-seitigen Antragsvordruck war so laut, umfangreich und berechtigt, dass die Bundesagentur für Arbeit (BA) ihre Fehler einräumte und (Nach-)Besserung gelobte. Gemeinsam mit den Datenschutzbeauftragten des Bundes und der Länder wurden die Vordrucke und Ausfüllhinweise überarbeitet. Wer diese neuen Vordrucke, die bisher aber noch nicht zur Verfügung stehen, verwendet und die Ausfüllhinweise beachtet, der braucht nur wirklich zulässige Fragen beantworten.
Leider haben die BA und die Arbeitsgemeinschaften (ARGEn) bislang nicht überzeugend dargelegt, wie sichergestellt wird, dass zukünftig ausschließlich datenschutzgerecht gestaltete Vordrucke und entsprechende Ausfüllhinweise eingesetzt werden. Nur wenn die Vordrucke zusammen mit den Ausfüllhinweisen verwendet werden, sind Hilfe Suchende ausreichend informiert und in der Lage, die wirklich erforderlichen Angaben zu machen ("Paketlösung").
Anforderung von Kontoauszügen
Bei der Bearbeitung von Anträgen auf Arbeitslosengeld II wird die Vorlage von Kontoauszügen gefordert, mal nur der letzte, mal die der letzten drei oder auch sechs Monate. Manchmal werden Kopien zur Akte genommen; nur gelegentlich wird den Hilfe Suchenden erlaubt, einzelne persönliche Buchungspositionen zu schwärzen. Fast nie erfährt der Betroffene, warum er überhaupt die Kontoauszüge vorlegen soll.
Bei Hilfe Suchenden entsteht der Eindruck, dass bei der Anforderung von Kontoauszügen weites Ermessen und Willkür der einzelnen Sachbearbeiter herrscht. Tatsächlich darf die Aufforderung zur Vorlage von Kontoauszügen nur erfolgen, wenn dies im konkreten Fall erforderlich ist. Dem Hilfe Suchenden muss erläutert werden, was anhand der Kontoauszüge geprüft werden soll. Grundsätzlich dürfen Kontoauszüge nur eingesehen, aber nicht in Kopie zur Akte genommen werden. Der Hilfe Suchende hat das Recht, in begrenztem Umfang einzelne Buchungstexte zu schwärzen.
Da klare Vorgaben der BA fehlen, haben wir gemeinsam mit dem Berliner Beauftragten für Datenschutz und Informationsfreiheit und anderen Landesbeauftragten unter
Hinweise zur datenschutzgerechten Anforderung von Kontoauszügen veröffentlicht.
Datenschutzgerechte Gestaltung der eingesetzten EDV-Verfahren
(A2LL, coArB ...)
Arbeitslose müssen intimste Fragen nach Schulden-, Ehe- oder Suchtproblemen beantworten. Wichtig sind daher effektive Sicherungen, um die erhobenen, oft sehr sensiblen persönlichen Daten zu schützen. Schon in unserem letzten Tätigkeitsbericht schilderten wir, dass verschiedene Fachverfahren der BA, z. B. A2LL und coArb, alles andere als datenschutzgerecht gestaltet sind.
Eine allein erziehende Mutter aus dem Ruhrgebiet erzählte ihrem Sachbearbeiter, dass sie den Kindesvater nicht kenne. Das Kind sei Ergebnis einer flüchtigen Bekanntschaft bei einem Fußballspiel des FC Schalke 04 gegen den HSV. Der Sachbearbeiter fertigte ordnungsgemäß einen Vermerk, ergänzt um einige zynische Anmerkungen zur Lebensführung der Hilfe Suchenden. Dieser Vermerk wurde nicht in einer Papierakte abgeheftet, sondern – der modernen Technik sei Dank – im Verfahren coArb niedergelegt, auf das bundesweit über 40.000 Mitarbeiterinnen und Mitarbeiter der BA und der ARGEn Zugriff haben. Nur wenige Tage später kursierte dieser Vermerk zur allgemeinen Belustigung durch die gesamte Republik. Auch in Schleswig-Holstein war die Mutter bald der "Witz des Tages" und kam so zu zweifelhaftem Ruhm. Der Fall zeigt, wie wichtig effektive technische Schutzmaßnahmen wären.
Die BA und die ARGEn verstehen sich offenbar als eine große Familie, in der es keine Geheimnisse gibt. Daten, die in ihre EDV-Verfahren eingegeben werden, stehen bundesweit allen Anwendern zur Verfügung. Die Verfahren sehen überwiegend keine ausreichenden Löschmöglichkeiten vor. Lesende Zugriffe einzelner Mitarbeiter werden nicht protokolliert.
Vertraulich wurde uns geschildert, dass Mitarbeiter von der BA und den ARGEn die Verfahren zu privaten Zwecken nutzen. Im Handumdrehen und ohne Entdeckungsrisiko können Informationen für Familien- oder Nachbarschaftsstreitereien besorgt werden.
Dieser Zustand ist unhaltbar. Bereits im November 2004 beanstandete der Bundesbeauftragte für den Datenschutz das Fehlen eines ausreichenden Berechtigungs- bzw. Löschungskonzeptes sowie das Fehlen einer Protokollierung der Zugriffe auf Sozialdaten durch die Mitarbeiter.
Geändert hat sich seitdem fast nichts. Die BA spielt offenbar auf Zeit und lässt die ARGEn mit den Problemen alleine. Einzelne ARGEn sind offenbar stärker am Schutz der Rechte der Betroffenen interessiert. Sie reagierten auf die Missstände und speichern ihre Unterlagen wieder in Papierform, um das Vertrauen der Hilfe Suchenden nicht vollends zu verlieren.
Datenschutzgerechte Migration der Daten beim Einsatz neuer Verfahren (VAM/VerBIS)
Die BA vertröstet die Betroffenen damit, dass neue Verfahren wie z. B. VAM/VerBIS entwickelt würden, die allen datenschutzrechtlichen Anforderungen gerecht werden sollen. Die Datenschutzbeauftragten des Bundes und der Länder haben ihre Mitarbeit wiederholt angeboten.
Selbst wenn in der Zukunft neue, datenschutzgerecht gestaltete Verfahren eingesetzt würden, sollten die BA und die ARGEn nicht bei null anfangen. Die Migration der Daten muss datenschutzgerecht erfolgen. Es kann nicht angehen, dass – wie bislang von der BA geplant – völlig veraltete Daten von Bürgerinnen und Bürgern, die irgendwann einmal Kontakt zur BA hatten, ungeprüft in die neuen Verfahren überspielt werden.
Datenschutzgerechte Gestaltung der telefonischen Befragung durch die BA: "Datenabgleich durch Vivento"
Im Sommer 2005 beauftragte die BA das Callcenter von T-Systems "Vivento Customer Services" mit einer telefonischen Überprüfung von Hilfeempfängern. Ziel sei die "Intensivierung der vermittlerischen Bemühungen" bzw. die "Bereinigung des statistischen Datenmaterials". Den Hilfe Suchenden sei es freigestellt, an der Befragung teilzunehmen. Die Betroffenen schilderten jedoch, dass sie massiv unter Druck gesetzt worden seien. Wer nicht antwortete, dem sei mit Leistungskürzung gedroht worden. Offenbar wurden nicht nur die Betroffenen nicht bzw. nicht ausreichend informiert. Auch einzelne ARGEn hatten keine Kenntnis darüber, wie die BA deren Kunden befragte.
Der Bundesbeauftragte für den Datenschutz forderte von der BA ein datenschutzgerechtes Verfahren; insbesondere sollten die Angerufenen vorab schriftlich auf die vorgesehenen Anrufe hingewiesen werden. Der Vorstandsvorsitzende der BA erklärte dazu lapidar, eine Vorabinformation der Betroffenen sei nicht möglich.
Wurde als Anlass für die Befragung zunächst noch die Verstärkung der Vermittlungsaktivitäten genannt, so hieß es im Oktober 2005 bereits, dass das Ergebnis dieser telefonischen Befragung ein deutliches Zeichen dafür sei, dass mit einer Missbrauchsquote "von sicherlich über 10 Prozent" zu rechnen sei, so der stellvertretende Verwaltungsratsvorsitzende der BA laut Presse. Wer wiederholt nicht ans Telefon ging oder die telefonische Befragung ablehnte, wurde als potenzieller Betrüger eingestuft. Und das, obwohl die Beantwortung der Fragen ausdrücklich freiwillig erfolgen sollte.
Die offenbar unzulänglichen Ergebnisse der schlecht vorbereiteten und rechtlich zweifelhaften Telefonaktion passten scheinbar gut in das Bild, das offizielle Stellen zu dieser Zeit zeichneten: Es wurde der Eindruck erweckt, die immensen Kosten für das Arbeitslosengeld II würden vor allem durch massenhaften Missbrauch und weniger durch echte Bedürftigkeit verursacht. Ein zweifelhafter Höhepunkt war ein so genannter Report des Bundesministeriums für Wirtschaft und Arbeit, veröffentlicht im Oktober 2005, in dem an ausgewählten Einzelfällen der umfangreiche Missbrauch der Leistungen belegt werden sollte. Nicht gerade von Unvoreingenommenheit zeugte die Sprache dieses Machwerks, sogar von Parasiten war die Rede.
Gleichwohl wurde diese Art des telefonischen Marketings bei der BA wohl als Erfolg angesehen. Im November 2005 wurden wir über ein neues Konzept zur Einrichtung eines "Contact Centers SGB II" unterrichtet, welches die feste Installation eines Callcenters als Kontaktstelle zu den Hilfe Suchenden vorschlug. Allerdings warf dieses Konzept mehr Fragen auf, als es Lösungen enthielt.
Durchführung von Hausbesuchen
Hausbesuche sind datenschutzrechtlich nicht grundsätzlich unzulässig. Aufgrund ihres für den Betroffenen besonders belastenden Charakters sind jedoch strenge Anforderungen zu stellen (23. TB, Tz. 4.7.3).
Dass dringender Klärungsbedarf besteht, zeigt die Vielzahl von Eingaben. Eine allein erziehende Mutter klagte, dass zwei ihr unbekannte Außendienstmitarbeiter – ohne sich auszuweisen – ihre Wohnung besichtigen wollten. Für den Fall, dass sie den Hausbesuch verweigern würde, sei ihr eine Leistungskürzung wegen fehlender Mitwirkung angedroht worden. So ließ sie die Mitarbeiter in ihre Wohnung, zeigte alle Räume und begehrte auch nicht auf, als im Schlafzimmer die Kleiderschränke geöffnet und ihre Wäsche begutachtet wurde. Noch Wochen nach dem Hausbesuch wusste sie nicht, warum sie überhaupt Besuch vom Amt bekommen hatte. In einem anderen uns bekannten Fall wurde in Abwesenheit der Eltern ein minderjähriges Kind befragt. Auch von einer heimlichen Observation wurde uns berichtet.
Wiederholt wurde die BA darauf hingewiesen, dass verantwortungsvolles Handeln gefordert ist. Ein strukturiertes Konzept mit Kriterien, wann und wie Hausbesuche vorzunehmen sind, wurde den Datenschutzbeauftragten aber bislang nicht vorgelegt.
Die im Zuge der Missbrauchskampagne im Oktober 2005 gemachte Ankündigung der BA, "über 400 neue Außendienstmitarbeiter" einzustellen, verwundert. Sollen Beamte der BA aus Nürnberg zukünftig Wohnungen z. B. auch in Schleswig-Holstein durchsuchen?
Meldung der Krankenkasse an BMWA
Dass die BA und manchmal leider auch das Bundesministerium für Wirtschaft und Arbeit (BMWA) über das Ziel hinausschossen, zeigt sich an einem Beispiel: Im März 2005 forderte der Staatssekretär des BMWA die gesetzlichen Krankenkassen auf, Versicherte, die ALG II beziehen, zu kontrollieren. Medizinische Daten über Erkrankungen sollten dem BMWA gemeldet werden, um die Arbeitsfähigkeit einzelner Hilfeempfänger prüfen zu können.
Das BMWA ist weder Aufsichtsbehörde über landesunmittelbare Krankenkassen, noch darf es Kenntnis haben von den Leistungsfällen. Sensibelste Gesundheitsdaten, die, wenn überhaupt, lediglich die ARGEn benötigen, sollten im Ministerium gesammelt werden. Die AOK Schleswig-Holstein folgte unserer Empfehlung und kam der Aufforderung des BMWA nicht nach.
Diskretion und Vertraulichkeit
In jeder Bank fordert ein Schild die Kunden auf, einen Diskretionsabstand einzuhalten, damit Gespräche vertraulich, also ohne Zuhörer, geführt werden können – eigentlich eine Selbstverständlichkeit. Aber offenbar nicht für jede ARGE.
Betroffene schilderten uns wiederholt, dass bereits in den Eingangsbereichen Fragen zur Schul- und Berufsausbildung oder zu gesundheitlichen Problemen beantwortet werden müssten, auch wenn in der Schlange der Wartenden die Nachbarn große Ohren bekommen. Größere Büros werden genutzt, um zeitgleich mehrere Hilfe Suchende zu bedienen. Türen zwischen den Büroräumen seien ausgehängt. Der Datenschutz bleibt hierbei schon mal auf der Strecke. Mal ehrlich: Wer würde Fragen zu eigenen familiären Problemen wahrheitsgemäß und umfassend beantworten, wenn der Nachbar zuhört?
Klärung der rechtlichen Stellung der Arbeitsgemeinschaften (ARGEn)
Es ist schon lange kein Geheimnis mehr, dass bei der Zusammenlegung von Arbeitslosen- und Sozialhilfe der Datenschutz sträflich vernachlässigt wurde, weshalb sich die Datenschutzbeauftragten über Arbeitsmangel nicht beklagen können. In vielen Fällen ist es erforderlich, offene Fragen vor Ort in den ARGEn zu prüfen.
Die BA und auch das BMWA meinen nach wie vor, dass nicht geklärt sei, ob der Bundesbeauftragte oder die Landesbeauftragten für die Kontrollen zuständig sind, und irren sich: Die ARGEn sind eigenverantwortliche Daten verarbeitende Stellen, die uneingeschränkt der Kontrolle der Landesbeauftragten für den Datenschutz unterliegen. Bei einer Vorortkontrolle waren wir dann mit einer absurden Situation konfrontiert: In die Einzelakten aus Papier wurde uns Einblick gewährt, nicht aber in die zum Gesamtvorgang gehörenden elektronischen Datensätze, ebenso wenig in die Software, in allgemeine Arbeitsmaterialien und selbst nicht in ausgedruckte Screenshots, die unserer Kenntnisnahme dadurch entzogen wurden, dass sie vor der Prüfung in der Akte zusammengeklammert wurden.
In einer auf Bundesebene eingesetzten Arbeitsgruppe arbeitet das ULD gemeinsam mit Vertretern des Bundesbeauftragten und der Landesbeauftragten für den Datenschutz Berlin, Brandenburg und Nordrhein-Westfalen an einer Lösung dieser Probleme. Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat wiederholt öffentlich gefordert – zuletzt anlässlich ihrer Sitzung im Oktober 2005 in Lübeck –, die gravierenden Mängel beim Arbeitslosengeld II zu beseitigen.
Das ULD ist sich seiner Kontroll- und Prüfaufgabe bewusst. Verstöße von ARGEn gegen datenschutzrechtliche Vorschriften wurden in den letzten Monaten konsequent förmlich beanstandet und das Landesministerium als Fachaufsicht unterrichtet. Dieses Vorgehen zeigt Wirkung. In Schleswig-Holstein nehmen die ARGEn ihre Datenschutzverantwortung gegenüber den Hilfe Suchenden zunehmend wahr und suchen in vielen Fragen den Rat des ULD. Dieser konstruktive Dialog wird uns aber auch künftig nicht von Einzel- und Querschnittskontrollen abhalten.
Was ist zu tun?
Die Bundesagentur für Arbeit, das Bundesarbeitsministerium und die sonstigen verantwortlichen Stellen sind verpflichtet, bei der Gewährung von Leistungen nach den Vorschriften des Sozialgesetzbuches II (Arbeitslosengeld II) den Sozialdatenschutz zu beachten.
4.5.2 JobCard-Verfahren – wer ist vertrauenswürdig?
Die bundesweite Einführung des JobCard-Verfahrens ist ein Stück näher gerückt. Die von den Datenschutzbeauftragten geltend gemachten Bedenken bestehen jedoch fort.
Ähnlich wie bei der elektronischen Gesundheitskarte (Tz. 4.6.1) kommt beim JobCard-Verfahren (27. TB, Tz. 2.3) nicht einer Chipkarte die zentrale Bedeutung zu, sondern dem geplanten mächtigen Hintergrundsystem. Die Chipkarte, die künftig jeder Beschäftigte erhalten soll, spielt erst bei der Datennutzung eine Rolle. Datenschutzrechtlich entscheidend ist die umfassende Speicherung aller Einkommensdaten von allen Arbeitnehmern, von denen – was heute schon absehbar ist – nur ein geringer Bruchteil tatsächlich benötigt werden wird, denen aber zugleich ein gewaltiges Missbrauchsrisiko innewohnt. Die Einkommensdaten sollen in einer Vielzahl von staatlichen Verfahren, insbesondere im Sozialbereich, genutzt werden können.
Bisher besteht ein Problem darin, dass die eigentlich zur Bereitstellung dieser Daten im herkömmlichen Format verpflichteten Arbeitnehmer ihrer Verpflichtung oft nur unzureichend nachkommen. Oft können sie diese Pflicht nicht mehr erfüllen, z. B. weil das Unternehmen als Arbeitgeber gar nicht mehr existiert. Dies kann für die Betroffenen nachteilige Folgen haben, wenn sie nicht nachweisen können, dass bestimmte soziale Leistungsvoraussetzungen, wie z. B. Beschäftigungszeiten, vorlagen.
Die Kritik der Datenschutzbeauftragten des Bundes und der Länder richtet sich primär gegen die Speicherung von sensiblen Datenmassen, von denen zumindest teilweise erkennbar ist, dass sie nie gebraucht werden. Diese Vorratsdatenspeicherung beträfe die überwiegende Zahl von Beschäftigten, die zu keinem Zeitpunkt einen Antrag auf soziale Leistungen stellen, wozu die vorgehaltenen Daten über das Arbeitsverhältnis genutzt werden könnten. Nach der derzeitigen Planung wäre eine legale Nutzung für andere Zwecke als die Ausstellung von Bescheinigungen über das Arbeitsverhältnis ausgeschlossen. Doch befürchten die Datenschutzbeauftragten nicht nur den illegalen Missbrauch der künftig gespeicherten Daten. Es gibt Grund zu der Annahme, dass – wenn einmal diese riesige Datenbank vorhanden ist – der Gesetzgeber den Begehrlichkeiten hieran für weitere Zwecke nachgeben wird.
Trotz dieser grundsätzlichen Bedenken hatten die Datenschutzbeauftragten praktische Vorschläge für technische Sicherungen gemacht. Wir schlugen vor, in einem Gutachten zu prüfen, ob sich eine so genannte Ende-zu-Ende-Verschlüsselung der fraglichen Datensätze der Arbeitnehmer realisieren ließe. Nach dem von den Datenschützern vorgeschlagenen Konzept sollte ein asymmetrisches Verschlüsselungsverfahren angewandt werden. Der Arbeitgeber würde mit dem öffentlich verfügbaren Schlüssel des Arbeitnehmers den Datensatz verschlüsseln, bevor dieser an die speichernde Stelle im JobCard-Verfahren übermittelt wird. Dadurch wären die Daten sowohl auf dem Übermittlungsweg als auch für die Betreiber des Servers, auf dem sie gespeichert werden, nicht im Klartext lesbar. Die Lesbarkeit könnte nur vom Versicherten selbst wiederhergestellt werden, der die Daten im Einzelfall – und soweit dies für die Ausstellung bestimmter Bescheinigungen erforderlich wäre – mit seinem privaten Schlüssel dechiffriert.
Dieses Modell der Datenschutzbeauftragten wurde tatsächlich durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) einer Machbarkeitsprüfung unterzogen. Daraus ergab sich, dass nur schwer zu lösende Problemkonstellationen entstehen können. Es müssten zusätzliche Anforderungen an die Signaturkarte gestellt werden, die im Signaturgesetz, dem die Karte genügen soll, so nicht vorgesehen sind. Weitere Fragen tauchen auf, wenn die Nutzung der Daten nicht mehr erfolgen kann, weil der Arbeitnehmer seine Karte verliert oder diese aus irgendwelchen Gründen nicht lesbar ist. Zudem bereitet die dauerhafte Speicherung von mit asymmetrischen Verfahren signierten bzw. verschlüsselten Daten nach wie vor im Grundsatz Probleme, da die zur Verschlüsselung verwendeten Schlüssel lediglich einen beschränkten Gültigkeitszeitraum (zurzeit drei Jahre) haben. Dies hätte zur Folge, dass die gesamten Daten in regelmäßigen Abständen umgeschlüsselt werden müssten, was die aktive Teilnahme der Beschäftigten voraussetzt: Die vielen Millionen Beschäftigten müssten alle drei Jahre ein Serviceterminal aufsuchen, um ihre Daten umzuschlüsseln. Diese Argumente führten dazu, dass das Verfahren der Ende-zu-Ende-Verschlüsselung im Kontext der JobCard verworfen wurde.
Die grundsätzlichen Bedenken der Datenschutzbeauftragten liegen weiterhin auf dem Tisch: Ist es verhältnismäßig, eine so große Zahl von Daten Betroffener zu speichern, bei denen absehbar ist, dass die Speicherung für sie selbst keinerlei Relevanz haben wird? Die Bundesregierung sagte zu, eine solche verfassungsrechtliche Prüfung vorzunehmen. Egal wie diese Prüfung ausgehen wird, es muss über zusätzliche Sicherheitsmechanismen nachgedacht werden. Ein Vorschlag der Datenschutzbeauftragten des Bundes und der Länder geht dahin, die Datenhaltung und das operative Geschäft im JobCard-Verfahren jeweils bei unterschiedlichen Stellen anzubinden. Die Datenspeicherung sowie die vorgesehene Ver- bzw. Entschlüsselung bei der Speicherung bzw. bei berechtigten Abrufen der Daten sollte bei einer unabhängigen Vertrauensstelle erfolgen. Ein Zugriff auf die Daten könnte so nur durch das Zusammenwirken der operativ mit dem JobCard-Verfahren betrauten Stelle und der vertrauenswürdigen Stelle realisiert werden; es wäre ein funktionelles Vieraugenprinzip gewährleistet.
Darüber hinaus bedarf es der Verbesserung der Transparenz für die Betroffenen. Diesen sollte jederzeit die Möglichkeit gegeben werden, abzurufen, welche ihrer Daten gespeichert sind und welche Übermittlungen zur eigenen Person stattgefunden haben.
Was ist zu tun?
Das JobCard-Verfahren harrt immer noch einer sorgfältigen verfassungsrechtlichen Prüfung. In keinem Fall genügen die bisher vorgesehenen verfahrensmäßigen Sicherungen. Es bietet sich die Trennung zwischen operativer Stelle und einem unabhängigen Datentreuhänder an.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |