datenschutzrheinmain/ Juli 24, 2018/ alle Beiträge, Jobcenter Frankfurt, Sozialdatenschutz/ 3Kommentare

Eine Berufsbetreuerin / Sozialarbeiterin aus Aachen teilt am 23.07.2018 auf Twitter mit: #Jobcenter  fragt auf meiner privaten Mailadresse, warum meine Betreute nicht zum Termin erschienen ist. Die Adresse haben sie wahrscheinlich aus meinen Unterlagen, als ich mich arbeitslos gemeldet habe…”,

Ein Vorgang, der vermutlich ebenso rechtswidrig ist wie häufig im Alltag der Jobcenter vorkommend.

Warum ist so was möglich?

Die Bundesagentur für Arbeit (BA) betreibt eine Zentrale Personendatenverwaltung (zPDV), in der die Daten aller aktuellen (und vieler früherer) “Kund*innen” bundesweit erfasst werden. Auf die Daten in der zPDV haben die in der Leistungssachbearbeitung und der Arbeitsvermittlung der BA und der Jobcenter tätigen Beschäftigten bundesweit einen Zugriff. Technische und organisatorische Vorkehrungen gegen missbräuchliche Zugriffe: Nahe Null! Es ist den Beschäftigten zwar – auch unter Androhung arbeits-, dienst- und/oder strafrechtlicher Konsequenzen – untersagt, auf die Datenbestände der zPDV zuzugreifen, wenn es dafür keine dienstliche Notwendigkeit gibt. Und Zugriffe auf die zPDV werden auch protokolliert. Aber: Wo kein Kläger, da kein Richter.

Und da die BA bei allen erwerbsfähigen Leistungsbezieher*innen die Fiktion bundesweiter Verfügbarkeit auf dem Arbeitsmarkt unterstellt, räumt sie bundesweit ihren Beschäftigten und denen der Jobcenter technisch und organisatorisch einen Zugriff auf die Datenbestände der zPDV ein.

In der Regel wird nur im Beschwerdefall auffallen, dass es einen illegalen Zugriff auf die Datenbestände der zPDV gab. Und die sind riesig, wie ein Blick auf die Informationen der BA “zur Datenerhebung nach Art. 13 und 14 Datenschutzgrundverordnung der Europäischen Union (DSGVO)” zeigt:

Abschnitt “7. Kategorien personenbezogener Daten

Insbesondere folgende Datenkategorien werden von der BA verarbeitet:

“a) Stammdaten inkl. Kontaktdaten

Das sind beispielsweise: Kundennummer, Bedarfsgemeinschaftsnummer, Name, Vorname, Geburtsdatum, Geburtsort, Anschrift, Telefonnummer (freiwillige Angabe), E-Mail-Adresse (freiwillige Angabe), Benutzername und Kennwort (bei Nutzung der Online-Angebote), Familienstand, Staatsangehörigkeit, Aufenthaltsstatus, Renten-/Sozialversicherungsnummer, Bankverbindung

b) Daten zur Leistungsgewährung

Das sind beispielsweise: Einkommensnachweise, Vermögensnachweise (nur SGB II), Leistungszeitraum, -höhe, -art, Bedarfe der Unterkunft und Heizung (nur SGB II), Daten zu Unterhaltsansprüchen/ Regressansprüchen, Daten zu Krankenversicherung, Rentenversicherung, Pflegeversicherung, Daten zur Dauer und Beendigung des Beschäftigungsverhältnisses, Vollstreckungsdaten, Daten zum Verfahren nach dem Ordnungswidrigkeitengesetz (OWiG).

c) Daten zur Berufsberatung sowie zur Vermittlung/Integration in Arbeit:

Das sind beispielsweise: Lebenslauf, Nachweise über Abschlüsse etc., Angaben zu Kenntnissen und Fähigkeiten, Führerschein, Qualifikation (schulische und berufliche), Leistungsfähigkeit, Motivation, Rahmenbedingungen (Mobilität, freiwillige Angaben: familiäre Situation, finanzielle Situation, Wohnsituation), Daten auf Grundlage der Beauftragung von Dritten (z.B. Maßnahmeträger, Ärztlicher Dienst, Berufspsychologischer Service), Dokumentation der Kundenkontakte sowie Entscheidungen z.B. in Form von Beratungs- und Vermittlungsvermerken, Daten zu Stellenangeboten, Stellengesuchen (soweit nicht anonymisiert) und ggf. Rückmeldungen der Arbeitgeber

d) Gesundheitsdaten

Das sind beispielsweise Daten für die Betreuung im Reha-Bereich, Begutachtungen oder Stellungnahmen durch den Ärztlichen Dienst der BA, den Medizinischen Dienst der Krankenkassen, den Berufspsychologischen Service der BA (einschließlich Berufswahltest etc.) sowie ggf. durch den Technischen Beratungsdienst der BA.

e) …

Und auch von ehemaligen Kund*innen hortet die BA noch jahrelang Daten.  

Abschnitt “6. Speicherdauer”

“Für Daten zur Inanspruchnahme von Dienstleistungen, Geld- und Sachleistungen nach dem SGB III besteht eine Speicherfrist von 5 Jahren nach Beendigung des Falles. Eine Beendigung des Falles liegt vor, wenn eine sozialversicherungspflichtige Beschäftigung aufgenommen wurde, die Kundin oder der Kunde sich in selbständige Tätigkeit abgemeldet hat oder aus sonstigen Gründen eine weitere Betreuung durch die Arbeitsagentur nicht erfolgt (z.B. Rente, Elternzeit etc.), es sei denn es werden besondere Förderleistungen gewährt oder Rechtsstreitigkeiten sind nicht abgeschlossen. Die 5 Jahre dienen Rechnungslegungszwecken nach den Grundsätzen der Bundeshaushaltsordnung.

Für Daten, die der Finanzverwaltung zu melden sind, gilt eine Speicherdauer von 7 Jahren.

Für Daten zur Inanspruchnahme von Dienstleistungen, Geld- und Sachleistungen nach dem SGB II besteht eine Speicherfrist von 10 Jahren nach Beendigung des Falles. Ein Fall ist in diesem Zusammenhang beendet, wenn die Hilfebedürftigkeit weggefallen ist oder aus anderen Gründen kein Anspruch mehr auf Leistungen besteht, es sei denn, es werden besondere Förderleistungen gewährt oder Rechtsstreitigkeiten sind nicht abgeschlossen. Die Frist von 10 Jahren beruht auf der gesetzlichen Möglichkeit der Rückforderung von Leistungen, wenn in diesem Zeitraum bekannt wird, dass Leistungen zu Unrecht gewährt wurden.

Erfolgte eine Förderung durch den Europäischen Sozialfond, werden die Daten nach Beendigung des Falles 13 Jahre lang gespeichert, weil dies der Rechnungslegung gegenüber der EU dient und auf EU-Regelungen beruht (Art. 140 Verordnung (EU) Nr. 1303/2013).

Ist eine Forderung der BA (Rückforderung/ Erstattungsbescheid/ Darlehen) noch offen, werden die Daten gemäß den Vorschriften der Zivilprozessordnung und des Bürgerlichen Gesetzbuches 30 Jahre lang aufbewahrt, weil erst dann die Ansprüche verjähren. Die Berechnung der Frist erfolgt je nach Vollstreckungsversuch.

Wurden der Ärztliche Dienst oder der Berufspsychologische Service der BA beteiligt, werden die bei diesen Fachdiensten angefallenen Daten entsprechend der jeweiligen Berufsordnung nach 10 Jahren gelöscht.”

Ein riesiges Datenkonvolut, das die BA da ansammelt. Für Zugriffe von außen streng abgeschirmt; aber nicht oder nur unzulänglich für illegale Zugriffe aus dem Inneren des Molochs BA incl. bundesweit mehreren hundert Jobcentern.

 

3 Kommentare

  1. Kann man also der BA/JC eine E-Mail schreiben und die dürfen nicht antworten, wenn man darunter schreibt, dass der Mailaccount z.B. nicht der eigene ist? Und die Antwort würde zwangsweise auf postalischem Weg erfolgen?

  2. Hallo DDRM,

    da war Eure Recherche aber nicht gründlich genug. Die zPDV ist abgeschafft bzw. durch was “besseres” ersetzt worden.

    Mit dem Stammdaten-Entwicklungs-Projekts (STEP) gibt es schon länger eine zentrale Stammdatenverwaltung für alle Fachverfahren bei der BA. Mit STEP “ist die Konsolidierung und Zentralisierung der historisch gewachsenen und bislang noch nicht völlig harmonisierten Datenstrukturen im Bereich der Personen- und Betriebestammdaten sowie der Stammattribute aller Fachverfahren” begonnen worden, wie der Verkäufer des Programms stolz mitteilt (https://www.msg.group/presse/msg-systems-unterstuetzt-das-stammdaten-entwicklungsprojekt-step-der-bundesagentur-fuer-arbeit).

    STEP wird genutzt, um Personen (oder auch Firmen) in der Vielzahl anderer Fachanwendungen / EDV-Programme der BA zu suchen.

    Aber das Grundproblem habt Ihr am Ende Eures Beitrags richtig benannt. Ein riesiges Datenkonvolut, das die BA da ansammelt. Für Zugriffe von außen streng abgeschirmt; aber nicht oder nur unzulänglich für illegale Zugriffe aus dem Inneren des Molochs BA…

Hinterlasse eine Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Sie sollten das verwenden HTML Schlagworte und Attribute: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>
*
*