EDV-Umstellung bei der Bayerischen Versorgungskammer und Einschaltung externer Unternehmen und freier Mitarbeiter Datenschutz, Scheinselbständigkeit, Arbeitnehmerüberlassung, Erfolg/Misserfolg
Die Bayerische Versorgungskammer (BVK), eine dem Staatsministerium des Innern unmittelbar nachgeordnete staatliche Oberbehörde unter deren Dach bei zwölf berufsständischen und kommunalen Altersversorgungseinrichtungen etwa 1,25 Millionen Bürgerinnen und Bürger versichert sind, hat im Rahmen ihres Projektes NVS (Neue Versorgungssoftware) externe Unternehmen eingeschaltet. In diesem Zusammenhang bitten wir um Beantwortung folgender Fragen:
1. Welche Aufträge wurden im Rahmen des Projektes NVS an externe Unternehmen vergeben, wie hoch war jeweils die Auftragssumme, was war jeweils der Auftragsgegenstand, wie lang war jeweils die Vertragslaufzeit und nach welchem Verfahren erfolgte jeweils die Beauftragung (freihändige Vergabe, beschränkt-öffentliche oder öffentliche Ausschreibung)?
2. Wie viele Mitarbeiter der beauftragten externen Unternehmen hatten Arbeitsplätze in den Räumen der BVK bzw. der einzelnen Versorgungseinrichtungen?
3. Wie viele freie Mitarbeiter schaltete die BVK in das Projekt NVS ein?
4. Wie beurteilt die Staatsregierung die Tatsache, dass sowohl freie Mitarbeiter als auch Mitarbeiter der eingeschalteten externen Unternehmen ganz eng in die Arbeitsorganisation der BVK eingegliedert waren (z.B. fachlich volle Weisungsgebundenheit gegenüber Mitarbeitern der BVK, eigene Kostenstellennummer im EDVSystem zur Leistungserfassung, Absprache der Urlaubszeiten mit Vorgesetzten, welche Mitarbeiter der BVK bzw. der einzelnen Altersversorgungseinrichtungen sind) im Hinblick auf Scheinselbständigkeit bzw. illegale Arbeitnehmerüberlassung?
5. Wie sind die Leistungen der beauftragten externen Unternehmen zu beurteilen, nachdem die BVK die in den letzten Jahren zu verzeichnenden Unregelmäßigkeiten bei der Auszahlung von Zusatzrenten in vielen tausend Fällen mit Problemen bei der Umstellung auf ein neues EDV-System begründete?
6. Wie wurde im Rahmen des Projektes NVS, bei dem sehr viele Daten zu Testzwecken nach außen gegeben wurden, der Datenschutz gewährleistet, wurde der Datenschutz nach Art. 25 sichergestellt?
7. Wie ist im Hinblick auf die Vorgaben des Datenschutzes die Tatsache zu beurteilen, dass die BVK die Daten mindestens einer ihrer Anstalten in Form der echten Stammdaten, d.h. auch der Namens- und Adressdaten, externen Unternehmen für Migrationstests zur Verfügung gestellt hat?
Antwort des Staatsministeriums des Innern vom 12.07.
Vorbemerkung:
Im Rahmen des Projekts Neue Versorgungssoftware (NVS) wird derzeit die Datenverarbeitung der Bayerischen Versorgungskammer für die Bestandsverwaltung zur Betreuung von rund 1,4 Mio. Mitgliedern, Versicherten und Versorgungsempfängern von einer Großrechneranlage auf ein modernes Client-/Server-System umgestellt.
Zur Bewältigung eines derartigen Großprojekts verfügt die Versorgungskammer weder über die notwendigen personellen Ressourcen noch über das erforderliche technische Know-how. Sie ist daher nicht zuletzt wegen der hohen Komplexität des Projekts bei der Durchführung des Vorhabens auf die Zusammenarbeit und Unterstützung durch externe Dritte angewiesen.
Zu 1.: Es wird auf die beigefügte Anlage verwiesen. Dort sind in chronologischer Reihenfolge und tabellarischer Form alle im Rahmen des Projekts NVS an externe Unternehmen vergebenen Aufträge sowie die jeweilige Auftragssumme, der jeweilige Auftragsgegenstand, die Vertragslaufzeit sowie das jeweilige Verfahren, nach welchem die Beauftragung erfolgte, aufgelistet.
Zu 2.: Die Versorgungskammer hat für Mitarbeiter des Entwicklungskonsortiums und externe Berater insgesamt etwa 30, im Regelfall gemeinsam genutzte Arbeitsplätze in den eigenen Räumen zur Verfügung gestellt.
Zu 3.: Im Rahmen des Projekts NVS hat die Versorgungskammer lediglich in zwei Fällen zeitlich befristete Dienstverträge mit freien Mitarbeitern, die auf selbständiger Basis Dienstleistungen im Rahmen ihres angemeldeten und eingerichteten Gewerbebetriebs angeboten hatten, in Anspruch genommen.
Beide Mitarbeiter sind nicht mehr für die Versorgungskammer tätig.
Zu 4.: Bei den regelmäßigen Überprüfungen durch die Bundesversicherungsanstalt für Angestellte wurden bei der Versorgungskammer bislang in keinem Fall Hinweise auf das Vorliegen von Scheinselbständigkeit gefunden. Die Versorgungskammer weist darauf hin, dass weder die freien Mitarbeiter noch Mitarbeiter der eingeschalteten externen Unternehmen in einer Weise in die Arbeitsorganisation der Versorgungskammer eingegliedert wurden, die einen Fall der Scheinselbständigkeit oder einer illegalen Arbeitnehmerüberlassung bei den benannten Mitarbeitergruppen begründen. Die in der Fragestellung angenommene volle fachliche Weisungsgebundenheit gegenüber Mitarbeitern der Versorgungskammer besteht nach Mitteilung der Versorgungskammer nicht. Dies schließt allerdings nicht aus, dass im Rahmen der bestehenden Werk- oder Dienstverträge Anweisungen zur Leistungserbringung getroffen werden können. In diesem Rahmen findet nach Auskunft der Versorgungskammer eine Absprache über die Leistungszeiten statt. Dabei erfolge aber in keinem Fall eine Integration der externen Mitarbeiter in die interne Zeiterfassung; die externen Mitarbeiter nehmen vielmehr an der von der allgemeinen Zeiterfassung getrennten Projektleistungserfassung teil, was unabdingbare Voraussetzung für eine effektive Projektsteuerung ist. Im Übrigen werden nach Mitteilung der Versorgungskammer weder für externe Mitarbeiter noch für die eigenen Mitarbeiter eigene Kostenstellennummern eingerichtet. Selbstverständlich erfolge aber eine Abrechnung der Leistungen wie für alle anfallenden internen und externen Kosten über das interne Kostenstellensystem der Versorgungskammer.
Im Ergebnis besteht kein Anlass zur Beanstandung im Rahmen der Rechtsaufsicht.
Zu 5.: Nach Mitteilung der Versorgungskammer sind die Leistungen der beauftragten externen Unternehmen durchweg positiv zu bewerten. Soweit in Einzelfällen unbefriedigende Arbeitsergebnisse erzielt worden sind, sei die Zusammenarbeit mit den betroffenen Firmen konsequent beendet worden.
In diesem Zusammenhang wird klarstellend darauf hingewiesen, dass die Leistung der von der Versorgungskammer beauftragten externen Unternehmen in keinerlei Verbindung zu den vorläufigen Rentenauszahlungen bei der Zusatzversorgungskasse der bayerischen Gemeinden steht. Gegenstand der Systemanpassungen waren in diesen Fällen allein die bestehenden Großrechnersysteme, die nahezu ausschließlich durch Mitarbeiter der Versorgungskammer betreut werden. Ein Bezug zum Projekt NVS besteht insoweit nicht. Im Übrigen wird auf die Antwort der Staatsregierung auf die schriftliche Anfrage des Herrn Abgeordneten Ludwig Wörner vom 20.04.2004 (Fragen 4 bis 8) verwiesen.
Zu 6. und 7.: Die Versorgungskammer legt auf die Anforderungen des Datenschutzes und der Datensicherheit großen Wert und hat daher umfassende organisatorische und technische Sicherungsmaßnahmen ergriffen und interne IT-Sicherheitsziele definiert.
Organisatorisch hat die Versorgungskammer gemäß Art. 25 einen behördlichen Datenschutzbeauftragten bestellt, der in seiner Tätigkeit unmittelbar dem Vorstandsvorsitzenden unterstellt ist. Zusätzlich wurden in den einzelnen Organisationseinheiten der Versorgungskammer sog. Datenschutzverbindungsstellen eingerichtet, die in enger Abstimmung mit dem behördlichen Datenschutzbeauftragten stehen. Um der zunehmenden Bedeutung der IT-Systeme bei der Verarbeitung personenbezogener Daten Rechnung zu tragen, hat die Versorgungskammer weiterhin die Stelle eines IT-Sicherheitsbeauftragten eingerichtet und besetzt, dem ein unmittelbares Vortragsrecht und eine Berichtspflicht gegenüber dem Vorstand eingeräumt ist. Für das Projekt NVS wurde zusätzlich ein eigenes Teilprojekt IT-Sicherheit und Datenschutz eingerichtet. Neben den organisatorischen Maßnahmen hat die Versorgungskammer auch umfangreiche technische Maßnahmen zur Sicherung der Infrastruktur, der IT-Systeme und der IT-Anwendungen ergriffen. Maßstab hierfür waren die Maßnahmeempfehlungen des Bundesamtes für Sicherheit in der Informationstechnologie (BSI).
Soweit externe Firmen für die Versorgungskammer tätig werden, wird der Datenschutz durch den konsequenten Abschluss von Datenschutzverpflichtungserklärungen abgesichert.
Bezogen auf das Projekt NVS hat die Versorgungskammer mitgeteilt, dass eine Herausgabe von Echtdaten nach außen in keinem Fall stattgefunden habe. Die Versorgungskammer bestehe insoweit darauf, dass Softwaretests mit Test- oder Echtdaten ausschließlich auf dem eigens dafür eingerichteten technischen Testsystem innerhalb der Versorgungskammer durchgeführt werden, so dass die verwendeten Testdaten den unmittelbaren Einflussbereich der Versorgungskammer nicht verlassen. Ferner wird in den meisten Fällen mit anonymisierten Daten getestet. Hierbei werden die Daten beim Export aus dem Altsystem vor der Übertragung in das neue System irreversibel anonymisiert. Für bestimmte Arten von Tests, z. B. bezüglich der Stammdaten, werden allerdings Echtdaten benötigt. Soweit Echtdatentests vorgenommen wurden, war und ist der Zugriff auf diese Daten nach Mitteilung der Versorgungskammer auf einen eng begrenzten Kreis interner und externer Mitarbeiter begrenzt. Sämtliche beteiligten Mitarbeiter seien dabei vertraglich auf den Datenschutz verpflichtet.
Der Landesbeauftragte für den Datenschutz hat Ende März diesen Jahres die von der Versorgungskammer in Bezug auf das Projekt NVS ergriffenen organisatorischen und technischen Maßnahmen überprüft. In seinem Prüfbericht wird bestätigt, dass die Versorgungskammer bemüht ist, die Anforderungen des Datenschutzes und der Datensicherheit zu gewährleisten. Soweit im Rahmen der Prüfung Verbesserungsbedarf in den Bereichen der Testabwicklung und Zugriffssicherung festgestellt wurde, wurde nach Mitteilung der Versorgungskammer die Umsetzung der Empfehlungen unmittelbar veranlasst.
Soweit für externe Mitarbeiter im Zuge der Vorbereitung der Datenmigration Zugriff auf die Echtdatenbestände der bestehenden Großrechneranwendung gewährt wurde, war dieser nach Angaben der Versorgungskammer zur Aufgabenerfüllung und Leistungserbringung im Rahmen der abgeschlossenen Vertragsverhältnisse notwendig. Dabei bestand lediglich lesender Zugriff, der ausschließlich von den Arbeitsplätzen innerhalb der Versorgungskammer erfolgen konnte. Sämtliche Externen waren über die bereits erwähnten Verpflichtungserklärungen vertraglich auf den Datenschutz verpflichtet. Der Landesbeauftragte für den Datenschutz hat bei seiner Prüfung diese Vorgehensweise nicht in Frage gestellt.
Auch insoweit besteht kein Anlass zur Beanstandung im Rahmen der Rechtsaufsicht.
104 Freihändige Vergabe Rechtsberatung beim Ausschreibungsverfahren ohne 301 Freihändige Vergabe Unterstützung bei der Installation eines QMSystems, Erkennen von Risiken, Ausschreibung und Angebotsbewertung 01.02.01 31.07.
49 Freihändige Vergabe Coaching und Qualitätssicherung bei Erstellung von Ergebnistypen im Projekt NVS 03.07.2001 95 Freihändige Vergabe Liste der Auftragsvergaben im Projekt NVS Auftragsgegenstand Vergabeart