Jobcenter
Im Oktober wandte sich eine Kundin der ARGE Job-Center Bremerhaven an mich und teilte mit, dass die ARGE ihrem geschiedenen Ehemann telefonisch Auskünfte erteilt habe. Unter anderem habe dieser dabei erfahren, dass sie neben einem gemeinsamen Sohn noch ein weiteres Kind mit einem anderen Mann habe. Sie selbst habe sich auch schon gewundert, dass bei telefonischen Auskünften durch die ARGE keinerlei Identitätsprüfung erfolge. Ich wies die ARGE darauf hin, dass diese Praxis nicht den Anforderungen an die Verpflichtung zur Wahrung des Sozialgeheimnisses genügt, wonach jeder Anspruch darauf hat, dass die ihn betreffenden Sozialdaten nicht unbefugt übermittelt werden. Von dort bekam ich die Antwort, dass die Mitarbeiter aufgrund dieses Vorfalls auf die Verpflichtung zur Einhaltung der Datenschutzbestimmungen der Bundesagentur für Arbeit zur Auskunft über Sozialdaten an Dritte hingewiesen worden sind, wonach bei einer Auskunft über Sozialdaten an Dritte die Berechtigung zum Empfang der Daten zweifelsfrei nachgewiesen werden muss. Dies hat in der Regel durch eine schriftliche Vollmacht zu geschehen, die eindeutig zum Empfang der verlangten Auskunft berechtigt. Anderenfalls hat eine Auskunftserteilung zu unterbleiben. Bei einer Auskunftserteilung am Telefon sind zur eindeutigen Feststellung der Identität des Anrufers gezielte Fragen nach Identifikationsmerkmalen wie Vor- und Zuname, Geburtsdatum, Kunden- oder Kontonummer sowie der Anschrift erforderlich, eine Auskunft an Dritte zu dokumentieren.
Bewerbungen: Prüfung bei einem Maßnahmeträger im Bereich SGB II
Im August 2007 führte ich eine Datenschutzprüfung bei einem Maßnahmeträger im Bereich SGB II durch. Bei dem Träger handelt es sich um eine die sowohl Bewerbungstrainings für Hilfeempfänger als auch Zeitarbeitsvermittlung betreibt.
Die Teilnehmer am Bewerbungscenter verpflichten sich im Rahmen einer Eingliederungsvereinbarung gegenüber der zur Teilnahme am Bewerbungscenter für einen Zeitraum von vier bis sechs Monaten. In der werden die Teilnehmerdaten im Aufnahmegespräch anhand eines Bewerberprofilbogens elektronisch erfasst. Die Teilnehmer des Bewerbungscenters werden bei der Erstellung von schriftlichen Bewerbungsunterlagen an Computerarbeitsplätzen von Dozenten geschult und beraten. Die erstellten Bewerbungen werden von den Dozenten Korrektur gelesen und anschließend versandt. Die Antwort auf die Onlinebewerbungen laufen auf den von den Dozenten genutzten Rechnern auf, werden ausgedruckt und den entsprechenden Bewerberinnen/Bewerbern zur Verfügung gestellt.
Den Teilnehmern am Bewerbungscenter wird eine Einwilligungserklärung vorgelegt, mit der sie sich einverstanden erklären können, dass ihnen von den Dozenten des Bewerbungscenters Stellen aus dem Bereich Zeitarbeitsvermittlung angeboten werden. Wenn diese Einwilligungserklärung nicht unterzeichnet wird, wird dies der mitgeteilt.
Die hat einen Datenschutzbeauftragten bestellt. In seiner Bestellungsurkunde war als zuständige Aufsichtsbehörde fälschlicherweise nicht der Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen genannt.
Da eine Rechtsgrundlage für die Datenerhebung bei den Teilnehmern nicht vorhanden ist, stellte ich in rechtlicher Hinsicht insoweit fest, dass sämtliche Datenerhebungen durch die nur auf Einwilligungsbasis stattfinden können. Datenerhebungen nach § 3 Abs. 3 BDSG stellen sowohl die Einsichtnahme in die Bewerbungsunterlagen durch die Dozenten, die Kenntnisnahme der Antworten auf Online-Bewerbungen als auch die Datenerhebung anhand des Bewerberprofilbogens dar. Ich forderte daher die Erstellung eines Formulars für eine Einwilligungserklärung zur Datenerhebung, das den Anforderungen des § 4 a BDSG genügt, also unter anderem die unterschiedlichen Zwecke der einzelnen Datenerhebungen klar erläutert, wie zum einen den Zweck der Hilfe bei der Erstellung von Bewerbungsunterlagen und zum anderen den Zweck der Vermittlung in Zeitarbeit.
Zudem stellte ich fest, dass die Bestellungsurkunde für den betrieblichen Datenschutzbeauftragten nicht den gesetzlichen Anforderungen genügt. Sie muss von beiden Parteien unterschrieben werden und u. a. eine detaillierte Aufgabenbeschreibung enthalten. Weiterhin muss darin eine ausreichende Konkretisierung der Verpflichtung der verantwortlichen Stelle erfolgen, die für eine konkrete Erfüllung der Aufgaben des Beauftragten erforderliche personelle und materielle Unterstützung zu gewähren hat. Die Nennung der zuständigen obersten Aufsichtsbehörde musste korrigiert werden.
In technischer Hinsicht sind folgende Aspekte von Bedeutung: In dem von mir geprüften Bewerbungscenter standen für die Erstellung von schriftlichen Bewerbungsunterlagen mehrere miteinander vernetzte Rechner zur Verfügung. Die Kunden und Kundinnen konnten u. a. Microsoft-Standardprodukte nutzen und über bereitgestellte Links zu Jobbörsen Informationen abrufen.
Der Zugang zu den Rechnern ist während der Öffnungszeiten des Bewerbungscenters offen, es besteht ein Passwortschutz zum Starten der Rechner, der durch die Dozentin und den Dozenten gewährleistet wird. Sind die Rechner einmal gestartet, können verschiedene Kunden ohne nochmalige Anmeldung am Betriebssystem an den Rechnern arbeiten. Die erarbeiteten Bewerbungsunterlagen werden geschützt in einem persönlichen Verzeichnis abgelegt.
Die vorgefundenen Einstellungen sind vor dem Hintergrund, dass für die Kunden und Kundinnen ein unkomplizierter und schneller Zugang zu den Rechnern möglich sein muss, akzeptabel.
Neben der Erstellung von Bewerbungsunterlagen wurde den Kunden und Kundinnen die Möglichkeit der Versendung von Onlinebewerbungen zur Verfügung gestellt. Der Dozent und die Dozentin konnten die Bewerbungen über eine Mailsoftware versenden, etwaige Antworten liefen dort wieder auf. Die Antwort auf eine Bewerbung wurde dann ausgedruckt und den entsprechenden Bewerbern und Bewerberinnen zur Verfügung gestellt. Die Daten wurden unverschlüsselt übermittelt. Dieses Verfahren wurde datenschutzgerechter gestaltet. Es wurde für jede Kundin und jeden Kunden ein eigener E-Mail-Account bei einem vom Kunden ausgewählten Anbieter eingerichtet. Die Antworten auf Onlinebewerbungen gehen also direkt auf dem privaten E-Mail-Account ein.
Die unverschlüsselte Übersendung von Bewerberdaten über das Internet bietet keinen ausreichenden Schutz der übermittelten Daten. Da eine schriftliche Bewerbung häufig nicht mehr möglich ist und die Firmen in den seltensten Fällen die Möglichkeit einer Verschlüsselung anbieten, ist das Problem allein im Bewerbungscenter nicht zu lösen.
Für den weiteren Schutz der Dokumente ist die Absicherung der Rechner auf der Ebene des Betriebssystems und die Konfiguration von Sicherheitsmechanismen gegenüber nicht autorisierten Zugriffen aus dem Internet wichtig. Die Einrichtung und Administration der Rechner und der Netzinfrastruktur ist in Auftrag gegeben worden. Der hierzu schriftlich erteilte Auftrag, der auch die vom Auftragnehmer zu implementierenden Sicherheitsmaßnahmen definieren muss (vgl. § 9 BDSG nebst Anlage), wurde nach Redaktionsschluss vorgelegt. Es wurde eine Dokumentation über die Absicherung der Internetzugänge und ein EDV-Servicevertrag übersandt. Zur Kontrollierbarkeit und Revision der durch den Auftagnehmer am System vorgenommenen Tätigkeiten wurden keine Aussagen getroffen. Eine Bewertung meinerseits steht noch aus.
Kindeswohl
Im Berichtsjahr wurden verschiedene Maßnahmen ergriffen, die dazu dienen sollen, Kindesvernachlässigungen und -misshandlungen zu verhindern. Ich wurde dabei in der Regel beteiligt, habe die Gesetzgebung unter den im Vorwort genannten Prämissen (vgl. Ziff. 1.9 dieses Berichts) begleitet und meine Beratung des Verwaltungshandelns wie der Verwaltungsvorschriften am geltenden Recht ausgerichtet.
Kindeswohlgesetz
Im März 2007 wurde mir der Entwurf des Gesetzes zur Sicherung des Kindeswohls zur Stellungnahme zur Verfügung gestellt. Ziel dieses Gesetzentwurfs ist der Aufbau eines flächendeckenden Einladungswesens zu den Früherkennungsuntersuchungen U5 bis U9. Die Zentrale Stelle für das Einladungswesen für das Land Bremen soll beim Gesundheitsamt Bremen eingerichtet werden. Dies soll von der Meldebehörde regelmäßig die erforderlichen Daten erhalten, um alle gesetzlichen Vertreter der Kinder, dessen Früherkennungsuntersuchungen U5 bis U9 bevorstehen, zur Teilnahme des Kindes an der Früherkennungsuntersuchung bei einem niedergelassenen Arzt schriftlich einzuladen. Die niedergelassenen Ärzte, die eine entsprechende Früherkennungsuntersuchung durchgeführt haben, sollen verpflichtet werden, dem Gesundheitsamt Bremen eine schriftliche Bestätigung der Teilnahme des Kindes zu übermitteln. Die gesetzlichen Vertreter der Kinder, für die nach Ablauf einer angemessenen Frist keine Bestätigung über die Teilnahme eingegangen ist, sollen eine schriftliche Erinnerung erhalten. Erfolgt nach einer weiteren angemessenen Frist noch immer keine Teilnahmebestätigung eines Arztes, so soll das Gesundheitsamt gezielt Kontakt mit dem gesetzlichen Vertreter aufnehmen. Dabei kann es einen Hausbesuch ankündigen und gleichzeitig die Durchführung der Früherkennungsuntersuchung während des Hausbesuchs anbieten. Für den Fall, dass die Durchführung der Früherkennungsuntersuchung durch den gesetzlichen Vertreter abgelehnt wird, soll eine Meldung an das Jugendamt erfolgen.
Angesichts der kurzen Frist zur Stellungnahme von zwei Tagen sah ich keine Möglichkeit, grundsätzlichen datenschutz- und verfassungsrechtlichen Fragen nachzugehen. In diesem Sinne wäre meines Erachtens vor Erlass des Gesetzes zu prüfen, ob ein derartig eng gewählter Betreuungsrahmen mit den verfassungsrechtlich garantierten Elternrechten in Einklang steht, da auch weiterhin keine Pflicht zur Teilnahme an den Früherkennungsuntersuchungen besteht. Zudem ist mir nicht bekannt, ob es Untersuchungen gibt, die belegen, dass es eine nennenswerte Dunkelziffer von Kindeswohlgefährdungen gibt, die mit diesem gesetzlich vorgesehenen Verfahren aufgeklärt werden könnten. Der Fall Kevin, der in Bremen Auslöser für die Einführung des flächendeckenden Einladungswesens gewesen ist, erscheint jedenfalls nicht als geeignetes Beispiel, da den zuständigen Behörden die Verhältnisse bekannt waren. Klärungsbedürftig wäre weiterhin gewesen, ob die gegenwärtigen Regelungen im Sozialgesetzbuch sowie die nach dem Tod von Kevin eingeleitete Anpassung und Neuausrichtung organisatorischer und informativer Strukturen in den zuständigen Behörden nicht bereits ausreichen, Kindeswohlgefährdungen besser zu erkennen und zu beseitigen, um nur einige Überlegungen zu nennen.
Unter Auslassung dieser Aspekte machte ich Vorschläge, damit die Meldepflicht der Ärzte sich auf die unbedingt notwendigen Daten beschränken kann. Weiter schlug ich vor, bei der Rückmeldung des Arztes als auch nach Versand der Erinnerung an die Eltern in der Regelung konkrete Fristen zu benennen. Zudem wies ich darauf hin, dass in den Fällen, in denen Ärzte ihrer Mitteilungspflicht nicht oder nicht rechtzeitig nachkommen, die Nachteile von den betroffenen Familien zu tragen wären, weshalb für diese Fälle eine Ausweichklausel, die dem Gesundheitsamt eine andere Verfahrensweise ermöglicht, geschaffen werden sollte.
Anschließend wurde mir ein überarbeiteter Gesetzentwurf zugeleitet, der meine Änderungsvorschläge nur zu einem geringen Teil aufnahm. Die oben genannten Anmerkungen wurden nicht berücksichtigt. Am 1. Mai 2007 trat das Gesetz zur Sicherung des Kindeswohls und zum Schutz von Kindesvernachlässigung (Kindeswohlgesetz in Kraft (Brem.GBl. 2007, S. 317). Anfang Juni fand eine erste Zusammenkunft zur Umsetzung des Kindeswohls im Hause der Senatorin für Arbeit, Frauen, Gesundheit, Jugend und Soziales statt. In diesem Rahmen beriet ich die Gestaltung der Einladungs- und Erinnerungsschreiben. Im Rahmen der Besprechung kam auch die Frage auf, wie eine Meldung durch die Ärzte erfolgen soll, wenn das dafür vorgesehene, bereits mit den Daten des Kindes versehene Formular für die Meldung an das Gesundheitsamt von den Eltern nicht zum Untersuchungstermin mitgebracht würde. Mit dem Hinweis auf einen erhöhten Verwaltungsaufwand weigerten sich die Vertreter der Ärzte zunächst, die Daten des Kindes vor Ort in ein Formular einzutragen. Es wurde vorgeschlagen, in diesen Fällen unter Verwendung der Daten auf der Krankenversichertenkarte des Kindes ein Rezeptformular auszudrucken und statt des Formulars zu übermitteln.
Obwohl ich darauf hinwies, dass die Übermittlung der auf der Versichertenkarte gespeicherten Daten an das Gesundheitsamt zur Aufgabenerfüllung nicht erforderlich sei und damit einen Verstoß gegen den im Datenschutzrecht geltenden Grundsatz der Erforderlichkeit darstellen würde, wurde zunächst ein Gesetzentwurf erstellt, der eine entsprechende Regelung enthielt. Aufgrund des Einlenkens von Seiten der Ärzte wurde von dem Vorhaben dieser Gesetzesänderung jedoch wieder Abstand genommen.