2752/2018
Datenschutz im Jobcenter (Anfrage Ratsgruppe BUNT AN/0942/2018)
KI-Zusammenfassung
Klicken Sie, um eine KI-Zusammenfassung dieses Vorgangs zu erstellen.
KI-Analyse läuft...
vergangen
Was passiert gerade?
- 📄 Dokumente werden analysiert...
- 🤔 KI denkt nach (Reasoning-Modell)...
- ✍️ Zusammenfassung wird geschrieben...
- ⏳ Das dauert etwas länger bei komplexen Dokumenten...
Dieser Vorgang kann 1-3 Minuten dauern. Bitte lassen Sie die Seite geöffnet.
Beantwortung einer Anfrage (Ausschuss)
583 Zeichen
Die Oberbürgermeisterin Dezernat, Dienststelle V/5000 JC Vorlagen-Nummer 23.08.2018 2752/2018 Beantwortung einer Anfrage nach § 4 der Geschäftsordnung öffentlicher Teil Gremium Datum Ausschuss Soziales und Senioren 06.09.2018 Datenschutz im Jobcenter (Anfrage Ratsgruppe BUNT AN/0942/2018) Zur Anfrage der Ratsgruppe Bunt aus der Sitzung des Ausschusses für Soziales und Senioren vom 14.06.2018 legt die Verwaltung dem Ausschuss für Soziales und Senioren die in der Anlage beigefüg- te Antwort des Jobcenter Köln vor. Anlage Gez. Dr. Klein i.V. für Dr. Rau
Beantwortung der Anfrage der Ratsgruppe Bunt AN_0942_2018 für SoSe am 06.09.2018
11774 Zeichen
Schriftliche Anfrage der Ratsgruppe BUNT AN/0942/2018 gemäß § 4 der Geschäftsordnung des Rates Beantwortung der schriftlichen Anfrage der Ratsgruppe BUNT zum Thema „Datenschutz im Jobcenter“ durch das Jobcenter Köln Wortlaut der Anfrage: 1. Welche Informationen über ALG-II-Empfänger*innen tauscht das Jobcenter mit Beschäftigungsträgern usw. aus? 2. Wie tauscht das Jobcenter Köln Informationen über ALG-II-Empfänger*innen mit Beschäftigungsträgern usw. aus? Bis wann hat das Jobcenter Köln Informationen über ALG-II-Empfänger*innen per E-Mail ausgetauscht? 3. Wie viele Kontoabfragen hat das Jobcenter Köln seit 2016 durchgeführt? 4. Seit dem 25.05.2018 gilt die Datenschutzgrundverordnung (EU-DSGVO). Welche Veränderungen hinsichtlich des Datenschutzes beim Jobcenter Köln haben sich dadurch ergeben? Antwort des Jobcenter Köln: Zu 1.: Grundsätzlich werden Informationen nur dann ausgetauscht, wenn seitens der Integrationsfachkräfte Kund/innen einem Projekt/einer Maßnahme bei einem Beschäftigungs-/Bildungsträger zugewiesen worden sind. Die Informationen, die ausgetauscht werden, sind i. d. R.: Vor- und Nachname, Kundennummer sowie die für die Durchführung und Abwicklung relevanten Informationen (z. B. Arbeitsverträge, Informationen zu Kündigungen, Schwangerschaft, Krankheit über 6 Wochen bzw. Krankengeldbezug, Sterbefälle, Arbeits- oder Ausbildungsaufnahme, Beendigung der Maßnahme sowie der Grund hierfür, Gehaltsabrechnungen, Lohnjournale und Tätigkeitsnachweise). Zu 2.: Am Beispiel einer Arbeitsgelegenheit (AGH) stellen sich der kundenbezogene Datenaustausch und die Art der Kommunikation wie folgt dar: - Zuweisung zur AGH: Diese wird in Papierform den Kund/innen im Gespräch ausgehändigt, in Ausnahmefällen auch postalisch an die Kund/innen versandt. Adressat diesen Schreibens ist die Kundin/der Kunde, es kann aber nicht ausgeschlossen werden, dass Kund/innen diese Zuweisung auch dem Träger vorlegt. Die Zuweisung enthält die Adressdaten der Kund/innen (nur bei postalischer Zusendung), und es erfolgt die Übermittlung der BG-Nummer. - Information des Trägers über die Zuweisung der Kund/innen per verschlüsselter E- Mail: In dieser E-Mail sind die Adressdaten, die BG-Nummer und die Kundennummer enthalten. Ggf. ergänzen die Integrationsfachkräfte den Vordruck individuell um weitere Informationen wie z.B. eine genauere Zielsetzung der Maßnahme, abweichende Verfügbarkeitszeiten der Kund/innen, etc. - Austausch zwischen Träger und Integrationsfachkräften telefonisch und/ oder per verschlüsselter E-Mail: Dieser Austausch umfasst u.a.: o Abschlussbericht nach Beendigung der AGH, o Austausch über das Verfahren der elektronischen Maßnahmenabwicklung. Enthaltene Daten: Kundennummer, Name, Teilnahmedaten zu Abrechnungszwecken, o Abgleich von Kundennummern zur anlassbezogenen Überprüfung von Eintritts- sowie Austrittsdaten in Einzelfällen. Sollte ein Träger (noch) nicht über die technischen Voraussetzungen zum Empfang bzw. zur Versendung unverschlüsselter Mail verfügen, so wird dieser dazu aufgefordert, entsprechende technische Einrichtungen zu schaffen. Zu 3.: Um ungerechtfertigten Leistungsmissbrauch aufzudecken, können unter engen Voraussetzungen die gemeinsamen Einrichtungen das Bundeszentralamt für Steuern (BZSt) um ein Kontenabrufverfahren nach § 93 Abs. 8 Nr. 1 Abgabenordnung ersuchen. Der Abruf setzt voraus, dass die Daten zur Überprüfung der Anspruchsvoraussetzungen erforderlich sind und ein vorheriges Auskunftsersuchen, an die betroffene Person gerichtet, nicht zum Ziel geführt hat oder keinen Erfolg verspricht. Zudem kann ein formelles Bundesgesetz ausdrücklich die Zulässigkeit des Datenabrufs für andere Zwecke bestimmen. Das Jobcenter darf das BZSt ersuchen, bei den Kreditinstituten folgende Daten abzurufen: Die Nummer eines Kontos oder eines Depots sowie den Tag des Einrichtens und den Tag der Auflösung. Weiterhin kann der Name und bei natürlichen Personen der Tag der Geburt des Inhabers bzw. der Inhaberin und eines Verfügungsberechtigten sowie der Name und die Anschrift eines abweichend wirtschaftlich Berechtigten abgerufen werden. Kontostände und Umsätze werden nicht mitgeteilt. Die betroffene Person wird durch das Jobcenter Köln vor sowie nach der Durchführung eines Kontenabrufes, auch über das Ergebnis der Anfrage, informiert. Eine gesonderte Dokumentation über die Anzahl der Kontenabrufverfahren durch das Jobcenter Köln erfolgt nicht. Nach Auskunft des BZSt in Berlin sind in dem Zeitraum vom 01. Januar 2016 bis 20. Juni 2018 741 Kontenabrufverfahren durch das Jobcenter Köln durchgeführt worden: 2016: 198 Kontenabrufverfahren 2017: 475 Kontenabrufverfahren 2018 (bis 20.06.2018): 68 Kontenabrufverfahren. Zu 4.: Am 25.05.2018 trat die DSGVO inkl. DSAnpUG-EU (Datenschutz-Anpassungs- und Umsetzungsgesetz EU) in Kraft und mit ihr auch die E-Privacy-VO, inkl. BDSG-neu sowie Spezialgesetze wie SGB I, II, X. Von einem auf den anderen Tag musste von der 95/46/EG (Datenschutzrichtlinie/DSRL) auf die DSGVO gewechselt werden. Die DSGVO enthält ca. 70 sog. „Öffnungsklauseln“. Diese bieten den Mitgliedsstaaten die Möglichkeit, konkrete Regelungsaufträge durch nationale Gesetze zu erlassen. Dadurch eröffnet sich die Möglichkeit, dass nationales Recht weiterhin gilt. Die DSGVO setzt jedoch das nationale Recht außer Kraft, wenn eine Regelungsdifferenz zu Lasten der DSGVO besteht (Anwendungsvorrang). Besteht keine Regelungsdifferenz, sondern nur eine Auslegungsfrage, ist die DSGVO maßgebend. Bedeutung für das Jobcenter: In § 35 SGB I und im Zweiten Kapitel des SGB X (§§ 67 bis 85a SGB X) werden die grundlegenden für alle Bücher sowie die besonderen Teile des Sozialgesetzbuches geltenden Regelungen zum Sozialdatenschutz getroffen. Diese Vorschriften wurden mit Wirkung zum 25.05.2018 an die DSGVO angepasst. Es handelt sich fast ausschließlich um redaktionelle Änderungen. Im Ergebnis erfolgen keine inhaltlichen Änderungen. Die bisher bekannte Regelungssystematik des Sozialgeheimnisses in § 35 SGB I sowie die Vorschriften der §§ 67 ff SGB X werden weitgehend beibehalten. Insbesondere gilt die zentrale Datenübermittlungsvorschrift des § 69 (Übermittlung für die Erfüllung sozialer Aufgaben) nahezu unverändert fort. Der Begriff der Sozialdaten wird in § 67 Abs. 2 Satz 1 SGB X-neu definiert als „personenbezogene Daten“, die von einer in § 35 SGB I genannten Stelle im Hinblick auf ihre Aufgaben nach diesem Gesetzbuch verarbeitet werden. Zudem werden auch die §§ 67a ff. SGB X-neu weiterhin von dem zentralen Grundsatz bestimmt, dass die Datenverarbeitung nur zulässig ist, wenn die Kenntnis der Sozialdaten zur Erfüllung einer Aufgabe der erhebenden Stelle erforderlich ist (Grundsatz der Erforderlichkeit). Wesentliche Änderungen sind zugunsten der Forschung und der Planung vorgenommen worden (vgl. §§ 67 b Abs. 3, 75 SGB X-neu). Die eigentlich nur redaktionell vorgenommene Änderung in § 35 Abs. 5 SGB I-neu hat zur Folge, dass nunmehr auch die Erhebung von Sozialdaten über Verstorbene unter den Voraussetzungen der datenschutzrechtlichen Bestimmungen des SGB zulässig ist. Zur Erhebung besonderer Kategorien personenbezogener Daten („sensible Daten“) findet sich keine ausdrücklich (neue) gesetzliche Regelung im SGB X. Deshalb sind hier die Vorschriften der DSGVO zu beachten. Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DSGVO: Das vorherige Verfahrensverzeichnis nach § 4g Abs. 2 und 2a BDSG wird mit Art. 30 DSGVO abgelöst durch ein (schriftliches oder elektronisches) Verzeichnis aller Verarbeitungstätigkeiten mit personenbezogenen Daten. Neu ist, dass auch jeder Auftragsverarbeiter zur Erstellung eines solchen Verzeichnisses verpflichtet ist. Anders ist jetzt auch, dass eine Möglichkeit für jedermann, in das Verzeichnis Einsicht zu nehmen, in der DSGVO nicht mehr vorgesehen ist. Das Verarbeitungsverzeichnis muss nicht mehr den Aufsichtsbehörden eigeninitiativ gemeldet werden. Es muss jedoch weiterhin vorgehalten werden, dass es den Aufsichtsbehörden jederzeit auf Anfrage vorgelegt werden muss. Nur mit der Führung des Verzeichnisses sind nicht alle Dokumentationspflichten erfüllt. Es ist nur Baustein und somit Teil der Rechenschaftspflicht nach Art. 5 Abs. 2. Befugnisse der Aufsichtsbehörden: Die Befugnisse sind in Art. 58 geregelt und im Vergleich zu der vorherigen Gesetzeslage verschärft und erweitert worden. Es gibt jetzt folgende Befugnisse: Warnungen, Verwarnungen, Anweisung durch Verwaltungsakt, Anordnung der Aussetzung der Übermittlung, Beschränkungen, Verbote, Löschung, hohe Geldbußen (Art. 83), Zwangsmittel, Zwangsgelder u.a.. Datenschutzverstöße müssen nach Art. 33 DSGVO binnen 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Hierbei erfolgt keine Beschränkung auf besondere Daten (vgl. § 83 a SGB X). Jede Datenpanne ist daher zu melden (Art. 4). Datenschutzfolgenabschätzung Art. 35 DSGVO: (Vorher Vorabkontrolle) Durch TOM´s (technisch organisatorische Maßnahmen) sollen Risiken eingedämmt werden. Hierfür soll die Datenschutzfolgenabschätzung (DSFA) eingesetzt werden. Sie ist ein Instrument für Beschreibung, Bewertung und Eindämmung von Risiken. Sie ist zu verwenden, wenn die Form der Verarbeitung, insbesondere bei der Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko zur Folge hat. Sie bezieht sich auf einzelne Verarbeitungsvorgänge. Die Entscheidung, ob eine DSFA durchzuführen ist oder nicht ist immer zu dokumentieren. Es ist immer der Zirkel „Vorbereitung-Durchführung- Umsetzung-Überprüfung“ zu beachten. Hinweis- und Informationspflichten Art. 13 und 14 DSGVO: Die Pflicht gilt gegenüber betroffenen Personen, deren Daten erhoben werden (Art. 13 DSGVO). Die Informationspflicht bei Dritterhebung ist in Art. 14 geregelt. Die Transparenz der Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person sind in Art. 12 i.V.m. Art. 13, 14, 15-22, 34 geregelt. Die Informationspflicht besteht proaktiv. Auftragsverarbeitung, Art. 28 DSGVO: Art. 28 DSGVO ist keine Rechtsgrundlage, sondern bestimmt lediglich die Rahmenbedingungen für die Auftragsverarbeitung. Art. 28 DSGVO stimmt im Wesentlichen mit § 11 BDSG überein. Grundlage ist § 80 SGB X-neu. Zulässigkeitsvoraussetzung ab dem 25.05.2018 ist, dass eine ADV vor Auftragserteilung der Aufsichtsbehörde angezeigt werden muss (§ 80 Abs. 3 SGB X). Die Haftung des Auftragsverarbeiters wurde erweitert (Art. 82 DSGVO). Ein Anspruch auf Schadensersatz besteht „gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“ Es ist sogar ein Gesamtschuldnerausgleich möglich. Die DSGVO legt den Auftragsverarbeitern mehr Pflichten auf. Der Auftragsverarbeiter ist weisungsgebunden (Art. 29 DSGVO). Die Verarbeitung durch den Auftragsverarbeiter wird grundsätzlich dem Verantwortlichen zugerechnet. Für die Weitergabe von personenbezogenen Daten an den Auftragsverarbeiter und die Verarbeitung durch den Auftragsverarbeiter bedarf es regelmäßig keiner weiteren Rechtsgrundlage im Sinne des Art. 6 bis 10 DSGVO als derjenigen, auf die der Verantwortliche selbst die Verarbeitung stützt. Allerdings dürfen dem Auftragsverarbeiter keine Daten offenbart werden, die aufgrund gesetzlicher Geheimhaltungspflichten oder besonderen Amtsgeheimnissen beruhen und vertraulich zu behandeln sind. In Abgrenzung zur Auftragsverarbeitung wurde in der Vergangenheit häufig die Figur der sog. Funktionsübertragung verwendet. Diese ist in der DSGVO nicht mehr vorgesehen. Gez. Wagner
Beratungsverlauf (1)
Beschluss: Kenntnis genommen
Zur SitzungDetails
- Aktenzeichen
- 2752/2018
- Typ
- Beantwortung einer Anfrage (Ausschuss)
- Datum
- 23.08.2018
- Erstellt
- 20.08.2018 12:56