Mandari Insight

2752/2018

Datenschutz im Jobcenter (Anfrage Ratsgruppe BUNT AN/0942/2018)

Beantwortung einer Anfrage (Ausschuss) 23.08.2018

KI-Zusammenfassung

Klicken Sie, um eine KI-Zusammenfassung dieses Vorgangs zu erstellen.

KI-Analyse läuft...

vergangen

Was passiert gerade?

  • 📄 Dokumente werden analysiert...
  • 🤔 KI denkt nach (Reasoning-Modell)...
  • ✍️ Zusammenfassung wird geschrieben...
  • ⏳ Das dauert etwas länger bei komplexen Dokumenten...

Dieser Vorgang kann 1-3 Minuten dauern. Bitte lassen Sie die Seite geöffnet.

Nächste Beratung: Ausschuss für Soziales, Seniorinnen und Senioren, Sitzung am 06.09.2018

Beantwortung einer Anfrage (Ausschuss)

· application/pdf

Ansehen

Beantwortung der Anfrage der Ratsgruppe Bunt AN_0942_2018 für SoSe am 06.09.2018

· application/pdf

Ansehen

Beantwortung einer Anfrage (Ausschuss)

583 Zeichen

Die Oberbürgermeisterin 
Dezernat, Dienststelle 
V/5000 JC 
 
Vorlagen-Nummer  23.08.2018 
 2752/2018 
Beantwortung einer Anfrage nach § 4 der Geschäftsordnung 
öffentlicher Teil 
Gremium Datum 
Ausschuss Soziales und Senioren 06.09.2018 
 
Datenschutz im Jobcenter (Anfrage Ratsgruppe BUNT AN/0942/2018) 
Zur Anfrage der Ratsgruppe Bunt aus der Sitzung des Ausschusses für Soziales und Senioren vom 
14.06.2018 legt die Verwaltung dem Ausschuss für Soziales und Senioren die in der Anlage beigefüg-
te Antwort des Jobcenter Köln vor. 
 
Anlage 
 
 
 
Gez. Dr. Klein i.V. für Dr. Rau

Beantwortung der Anfrage der Ratsgruppe Bunt AN_0942_2018 für SoSe am 06.09.2018

11774 Zeichen

Schriftliche Anfrage der Ratsgruppe BUNT AN/0942/2018 gemäß § 4 der 
Geschäftsordnung des Rates 
 
Beantwortung der schriftlichen Anfrage der Ratsgruppe BUNT zum Thema 
„Datenschutz im Jobcenter“ durch das Jobcenter Köln 
 
Wortlaut der Anfrage: 
 
1. Welche Informationen über ALG-II-Empfänger*innen tauscht das Jobcenter mit 
Beschäftigungsträgern usw. aus? 
 
2. Wie tauscht das Jobcenter Köln Informationen über ALG-II-Empfänger*innen mit 
Beschäftigungsträgern usw. aus? Bis wann hat das Jobcenter Köln Informationen 
über ALG-II-Empfänger*innen per E-Mail ausgetauscht? 
 
3. Wie viele Kontoabfragen hat das Jobcenter Köln seit 2016 durchgeführt? 
 
4. Seit dem 25.05.2018 gilt die Datenschutzgrundverordnung (EU-DSGVO). Welche 
Veränderungen hinsichtlich des Datenschutzes beim Jobcenter Köln haben sich 
dadurch ergeben? 
 
 
Antwort des Jobcenter Köln: 
 
 
Zu 1.:  
 
Grundsätzlich werden Informationen nur dann ausgetauscht, wenn seitens der 
Integrationsfachkräfte Kund/innen einem Projekt/einer Maßnahme bei einem 
Beschäftigungs-/Bildungsträger zugewiesen worden sind. Die Informationen, die 
ausgetauscht werden, sind i. d. R.: Vor- und Nachname, Kundennummer sowie die für die 
Durchführung und Abwicklung relevanten Informationen (z. B. Arbeitsverträge, 
Informationen zu Kündigungen, Schwangerschaft, Krankheit über 6 Wochen bzw. 
Krankengeldbezug, Sterbefälle, Arbeits- oder Ausbildungsaufnahme, Beendigung der 
Maßnahme sowie der Grund hierfür, Gehaltsabrechnungen, Lohnjournale und 
Tätigkeitsnachweise). 
 
 
Zu 2.: 
 
Am Beispiel einer Arbeitsgelegenheit (AGH) stellen sich der kundenbezogene 
Datenaustausch und die Art der Kommunikation wie folgt dar:  
 
- Zuweisung zur AGH: Diese wird in Papierform den Kund/innen im Gespräch 
ausgehändigt, in Ausnahmefällen auch postalisch an die Kund/innen versandt. 
Adressat diesen Schreibens ist die Kundin/der Kunde, es kann aber nicht 
ausgeschlossen werden, dass Kund/innen diese Zuweisung auch dem Träger 
vorlegt. Die Zuweisung enthält die Adressdaten der Kund/innen (nur bei postalischer 
Zusendung), und es erfolgt die Übermittlung der BG-Nummer.

- Information des Trägers über die Zuweisung der Kund/innen per verschlüsselter E-
Mail: In dieser E-Mail sind die Adressdaten, die BG-Nummer und die 
Kundennummer enthalten. Ggf. ergänzen die Integrationsfachkräfte den Vordruck 
individuell um weitere Informationen wie z.B. eine genauere Zielsetzung der 
Maßnahme, abweichende Verfügbarkeitszeiten der Kund/innen, etc. 
 
- Austausch zwischen Träger und Integrationsfachkräften telefonisch und/ oder per 
verschlüsselter E-Mail: Dieser Austausch umfasst u.a.: 
 
o Abschlussbericht nach Beendigung der AGH, 
o Austausch über das Verfahren der elektronischen Maßnahmenabwicklung. 
Enthaltene Daten: Kundennummer, Name, Teilnahmedaten zu 
Abrechnungszwecken, 
o Abgleich von Kundennummern zur anlassbezogenen Überprüfung von 
Eintritts- sowie Austrittsdaten in Einzelfällen. 
 
Sollte ein Träger (noch) nicht über die technischen Voraussetzungen zum Empfang bzw. 
zur Versendung unverschlüsselter Mail verfügen, so wird dieser dazu aufgefordert, 
entsprechende technische Einrichtungen zu schaffen. 
 
 
Zu 3.: 
 
Um ungerechtfertigten Leistungsmissbrauch aufzudecken, können unter engen 
Voraussetzungen die gemeinsamen Einrichtungen das Bundeszentralamt für Steuern 
(BZSt) um ein Kontenabrufverfahren nach § 93 Abs. 8 Nr. 1 Abgabenordnung ersuchen. 
 
Der Abruf setzt voraus, dass die Daten zur Überprüfung der Anspruchsvoraussetzungen 
erforderlich sind und ein vorheriges Auskunftsersuchen, an die betroffene Person gerichtet, 
nicht zum Ziel geführt hat oder keinen Erfolg verspricht. Zudem kann ein formelles 
Bundesgesetz ausdrücklich die Zulässigkeit des Datenabrufs für andere Zwecke 
bestimmen. 
 
Das Jobcenter darf das BZSt ersuchen, bei den Kreditinstituten folgende Daten abzurufen: 
Die Nummer eines Kontos oder eines Depots sowie den Tag des Einrichtens und den Tag 
der Auflösung. Weiterhin kann der Name und bei natürlichen Personen der Tag der Geburt 
des Inhabers bzw. der Inhaberin und eines Verfügungsberechtigten sowie der Name und 
die Anschrift eines abweichend wirtschaftlich Berechtigten abgerufen werden. Kontostände 
und Umsätze werden nicht mitgeteilt. 
 
Die betroffene Person wird durch das Jobcenter Köln vor sowie nach der Durchführung 
eines Kontenabrufes, auch über das Ergebnis der Anfrage, informiert. 
Eine gesonderte Dokumentation über die Anzahl der Kontenabrufverfahren durch das 
Jobcenter Köln erfolgt nicht. 
 
Nach Auskunft des BZSt in Berlin sind in dem Zeitraum vom 01. Januar 2016 bis 20. Juni 
2018 741 Kontenabrufverfahren durch das Jobcenter Köln durchgeführt worden: 
 
2016: 198 Kontenabrufverfahren 
2017: 475 Kontenabrufverfahren 
2018 (bis 20.06.2018): 68 Kontenabrufverfahren.

Zu 4.: 
 
Am 25.05.2018 trat die DSGVO inkl. DSAnpUG-EU (Datenschutz-Anpassungs- und 
Umsetzungsgesetz EU) in Kraft und mit ihr auch die E-Privacy-VO, inkl. BDSG-neu sowie 
Spezialgesetze wie SGB I, II, X. Von einem auf den anderen Tag musste von der 95/46/EG 
(Datenschutzrichtlinie/DSRL) auf die DSGVO gewechselt werden.  
 
Die DSGVO enthält ca. 70 sog. „Öffnungsklauseln“. Diese bieten den Mitgliedsstaaten die 
Möglichkeit, konkrete Regelungsaufträge durch nationale Gesetze zu erlassen. Dadurch 
eröffnet sich die Möglichkeit, dass nationales Recht weiterhin gilt. Die DSGVO setzt jedoch 
das nationale Recht außer Kraft, wenn eine Regelungsdifferenz zu Lasten der DSGVO 
besteht (Anwendungsvorrang). Besteht keine Regelungsdifferenz, sondern nur eine 
Auslegungsfrage, ist die DSGVO maßgebend.  
 
Bedeutung für das Jobcenter:  
 
In § 35 SGB I und im Zweiten Kapitel des SGB X (§§ 67 bis 85a SGB X) werden die 
grundlegenden für alle Bücher sowie die besonderen Teile des Sozialgesetzbuches 
geltenden Regelungen zum Sozialdatenschutz getroffen. Diese Vorschriften wurden mit 
Wirkung zum 25.05.2018 an die DSGVO angepasst. Es handelt sich fast ausschließlich um 
redaktionelle Änderungen. Im Ergebnis erfolgen keine inhaltlichen Änderungen. Die bisher 
bekannte Regelungssystematik des Sozialgeheimnisses in § 35 SGB I sowie die 
Vorschriften der §§ 67 ff SGB X werden weitgehend beibehalten. Insbesondere gilt die 
zentrale Datenübermittlungsvorschrift des § 69 (Übermittlung für die Erfüllung sozialer 
Aufgaben) nahezu unverändert fort. Der Begriff der Sozialdaten wird in § 67 Abs. 2 Satz 1 
SGB X-neu definiert als „personenbezogene Daten“, die von einer in § 35 SGB I genannten 
Stelle im Hinblick auf ihre Aufgaben nach diesem Gesetzbuch verarbeitet werden. Zudem 
werden auch die §§ 67a ff. SGB X-neu weiterhin von dem zentralen Grundsatz bestimmt, 
dass die Datenverarbeitung nur zulässig ist, wenn die Kenntnis der Sozialdaten zur 
Erfüllung einer Aufgabe der erhebenden Stelle erforderlich ist (Grundsatz der 
Erforderlichkeit).  
 
Wesentliche Änderungen sind zugunsten der Forschung und der Planung vorgenommen 
worden (vgl. §§ 67 b Abs. 3, 75 SGB X-neu).  
 
Die eigentlich nur redaktionell vorgenommene Änderung in § 35 Abs. 5 SGB I-neu hat zur 
Folge, dass nunmehr auch die Erhebung von Sozialdaten über Verstorbene unter den 
Voraussetzungen der datenschutzrechtlichen Bestimmungen des SGB zulässig ist. Zur 
Erhebung besonderer Kategorien personenbezogener Daten („sensible Daten“) findet sich 
keine ausdrücklich (neue) gesetzliche Regelung im SGB X. Deshalb sind hier die 
Vorschriften der DSGVO zu beachten.  
 
Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DSGVO:  
 
Das vorherige Verfahrensverzeichnis nach § 4g Abs. 2 und 2a BDSG wird mit Art. 30 
DSGVO abgelöst durch ein (schriftliches oder elektronisches) Verzeichnis aller 
Verarbeitungstätigkeiten mit personenbezogenen Daten. Neu ist, dass auch jeder 
Auftragsverarbeiter zur Erstellung eines solchen Verzeichnisses verpflichtet ist. Anders ist 
jetzt auch, dass eine Möglichkeit für jedermann, in das Verzeichnis Einsicht zu nehmen, in 
der DSGVO nicht mehr vorgesehen ist. Das Verarbeitungsverzeichnis muss nicht mehr den 
Aufsichtsbehörden eigeninitiativ gemeldet werden. Es muss jedoch weiterhin vorgehalten

werden, dass es den Aufsichtsbehörden jederzeit auf Anfrage vorgelegt werden muss. Nur 
mit der Führung des Verzeichnisses sind nicht alle Dokumentationspflichten erfüllt. Es ist 
nur Baustein und somit Teil der Rechenschaftspflicht nach Art. 5 Abs. 2. 
 
Befugnisse der Aufsichtsbehörden:  
 
Die Befugnisse sind in Art. 58 geregelt und im Vergleich zu der vorherigen Gesetzeslage 
verschärft und erweitert worden. Es gibt jetzt folgende Befugnisse: Warnungen, 
Verwarnungen, Anweisung durch Verwaltungsakt, Anordnung der Aussetzung der 
Übermittlung, Beschränkungen, Verbote, Löschung, hohe Geldbußen (Art. 83), 
Zwangsmittel, Zwangsgelder u.a..  
 
Datenschutzverstöße müssen nach Art. 33 DSGVO binnen 72 Stunden der zuständigen 
Aufsichtsbehörde gemeldet werden. Hierbei erfolgt keine Beschränkung auf besondere 
Daten (vgl. § 83 a SGB X). Jede Datenpanne ist daher zu melden (Art. 4).  
 
Datenschutzfolgenabschätzung Art. 35 DSGVO:  
 
(Vorher Vorabkontrolle) Durch TOM´s (technisch organisatorische Maßnahmen) sollen 
Risiken eingedämmt werden. Hierfür soll die Datenschutzfolgenabschätzung (DSFA) 
eingesetzt werden. Sie ist ein Instrument für Beschreibung, Bewertung und Eindämmung 
von Risiken. Sie ist zu verwenden, wenn die Form der Verarbeitung, insbesondere bei der 
Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der 
Zwecke der Verarbeitung voraussichtlich ein hohes Risiko zur Folge hat. Sie bezieht sich 
auf einzelne Verarbeitungsvorgänge. Die Entscheidung, ob eine DSFA durchzuführen ist 
oder nicht ist immer zu dokumentieren. Es ist immer der Zirkel „Vorbereitung-Durchführung-
Umsetzung-Überprüfung“ zu beachten.  
 
Hinweis- und Informationspflichten Art. 13 und 14 DSGVO:  
 
Die Pflicht gilt gegenüber betroffenen Personen, deren Daten erhoben werden (Art. 13 
DSGVO). Die Informationspflicht bei Dritterhebung ist in Art. 14 geregelt. Die Transparenz 
der Information, Kommunikation und Modalitäten für die Ausübung der Rechte der 
betroffenen Person sind in Art. 12 i.V.m. Art. 13, 14, 15-22, 34 geregelt. Die 
Informationspflicht besteht proaktiv.  
 
Auftragsverarbeitung, Art. 28 DSGVO:  
 
Art. 28 DSGVO ist keine Rechtsgrundlage, sondern bestimmt lediglich die 
Rahmenbedingungen für die Auftragsverarbeitung. Art. 28 DSGVO stimmt im Wesentlichen 
mit § 11 BDSG überein. Grundlage ist § 80 SGB X-neu.  
 
Zulässigkeitsvoraussetzung ab dem 25.05.2018 ist, dass eine ADV vor Auftragserteilung 
der Aufsichtsbehörde angezeigt werden muss (§ 80 Abs. 3 SGB X). Die Haftung des 
Auftragsverarbeiters wurde erweitert (Art. 82 DSGVO). Ein Anspruch auf Schadensersatz 
besteht „gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“ Es ist sogar ein 
Gesamtschuldnerausgleich möglich. Die DSGVO legt den Auftragsverarbeitern mehr 
Pflichten auf. Der Auftragsverarbeiter ist weisungsgebunden (Art. 29 DSGVO). Die 
Verarbeitung durch den Auftragsverarbeiter wird grundsätzlich dem Verantwortlichen 
zugerechnet. Für die Weitergabe von personenbezogenen Daten an den 
Auftragsverarbeiter und die Verarbeitung durch den Auftragsverarbeiter bedarf es

regelmäßig keiner weiteren Rechtsgrundlage im Sinne des Art. 6 bis 10 DSGVO als 
derjenigen, auf die der Verantwortliche selbst die Verarbeitung stützt. Allerdings dürfen dem 
Auftragsverarbeiter keine Daten offenbart werden, die aufgrund gesetzlicher 
Geheimhaltungspflichten oder besonderen Amtsgeheimnissen beruhen und vertraulich zu 
behandeln sind. In Abgrenzung zur Auftragsverarbeitung wurde in der Vergangenheit 
häufig die Figur der sog. Funktionsübertragung verwendet. Diese ist in der DSGVO nicht 
mehr vorgesehen. 
 
  
 
Gez. Wagner

Beratungsverlauf (1)

06.09.2018 Ausschuss für Soziales, Seniorinnen und Senioren
Kenntnisnahme (Mitteilung) Entscheidung

Beschluss: Kenntnis genommen

Zur Sitzung

Details

Aktenzeichen
2752/2018
Typ
Beantwortung einer Anfrage (Ausschuss)
Datum
23.08.2018
Erstellt
20.08.2018 12:56