– 142 –
Weiter muss die BA sicherstellen, dass Vordrucke und
Ausfüllhinweise als „Paket“, also gleichzeitig an den Antragsteller ausgegeben werden. Nur so wird es ihm ermöglicht, zu prüfen, ob seine Angaben erforderlich sind.
Hier höre ich nach wie vor aus der Praxis, dass dies nicht
flächendeckend der Fall sei. Die BA ist in der Pflicht,
dies entsprechend organisatorisch umzusetzen.
13.5.3 Fortschritte beim Erhebungs- und
Leistungssystem A2LL in Sicht
Die Implementierung eines Zugriffsberechtigungs- und
Protokollierungskonzeptes für A2LL steht unmittelbar bevor.
Über die Implementierung des Software-Programms
A2LL, das die BA für die elektronische Datenerfassung
aus den Antragsvordrucken für das Arbeitslosengeld II
und die Leistungsberechnung verwendet, habe ich bereits
berichtet (vgl. 20. TB Nr. 16.1.3). Bei einer Arbeitsagentur hatte ich mir Ende 2004, vor dem Inkrafttreten des
SGB II am 11. Januar 2005, die Implementierung der
Software angesehen. Wie ich hierbei feststellen musste,
waren die bereits seit seinem Einsatz bestehenden Mängel
nicht beseitigt worden, was ich beanstandet habe. Insbesondere konnte nach wie vor für die Sachbearbeitung uneingeschränkt bundesweit auf alle Daten zugegriffen werden, die im Rahmen von A2LL erfasst wurden, auch
soweit diese für die Sachbearbeitung nicht erforderlich
waren. Die Mitarbeiter der Leistungsträger dürfen jedoch
nur für ihre Aufgabenerfüllung erforderliche Zugriffsrechte auf die Sozialdaten haben. Ebenso erfolgte noch
immer keine Protokollierung der lesenden Zugriffe, so
dass missbräuchliche Zugriffe nicht erkannt werden
konnten. Den gesetzlichen Vorgaben für ein klar definiertes, abgestuftes Zugriffsberechtigungs- und Protokollierungskonzept entsprach das Verfahren nicht. Darauf habe
ich die BA deutlich hingewiesen und Abhilfe angemahnt.
Das endlich im 3. Quartal 2006 von der BA vorgelegte
Berechtigungskonzept beschreibt umfassend, welche Personenkreise mit welcher Rollenzuweisung auf welche
Daten zugreifen dürfen. Damit ist meine Aufforderung an
die BA insoweit grundsätzlich als erfüllt anzusehen. Jetzt
kommt es vor allem darauf an, das Berechtigungskonzept
zügig im System zu implementieren.
Als weiteres Kernstück der gesetzlich vorgeschriebenen
organisatorisch-technischen Maßnahmen hat die BA im
4. Quartal 2006 das von mir geforderte Konzept zur Protokollierung von Suchanfragen im Verfahren A2LL vorgelegt. Darin wird, wie von mir gefordert, das Protokollierungsverfahren vollständig dargelegt. Insbesondere
enthält es Aussagen zur Aufbewahrungsdauer der Protokolldaten, zum Auswerte- sowie zum Löschungsverfahren. Mit dem eingereichten Zugriffsberechtigungs- und
Protokollierungskonzept verfügt das Programm A2LL
nun über die Schutzmechanismen, die eine unkontrollierte bundesweite Personen- und Aktensuche im Datenpool von A2LL verhindern.
Die Umsetzung der Konzepte soll nach Auskunft der BA
im 1. Quartal 2007 erfolgen. Die weitere Entwicklung
werde ich im Auge behalten und nach Umsetzung der
Konzeption vor Ort überprüfen.
13.5.4 Datenschutzrechtliche Aufsicht für die
Arbeitsgemeinschaften (ARGEn)
Die Kompetenz für die Datenschutzkontrolle der aus den
Leistungsträgern Bundesagentur für Arbeit (BA) und
kommunalen Trägern bestehenden ARGEn liegt bei den
Landesbeauftragten für den Datenschutz. Im Streitfall
muss der Gesetzgeber für eine entsprechende Klarstellung sorgen.
Die mit dem Hartz-IV-Gesetz zum 1. Januar 2005 ins Leben gerufene Mischkonstruktion „ARGE“ ließ sich unabhängig von den sonstigen organisatorischen, finanziellen
und verfahrensmäßigen Schwierigkeiten auch nicht ohne
weiteres in das datenschutzrechtliche System integrieren.
Denn für die Frage der Kontrollzuständigkeit ist maßgeblich, ob es sich um eine Stelle des Bundes oder der Länder handelt. Nach eingehender rechtlicher Prüfung und
Diskussion herrschte schließlich Konsens, dass es sich
bei den ARGEn um Stellen der Länder handelt (§ 81
Abs. 1 Nr. 2, Abs. 3 SGB X), weil sie entsprechend § 44b
Abs. 3 Satz 4 SGB II der Aufsicht der zuständigen obersten Landesbehörden unterstehen und nicht über den Bereich eines Landes hinaus tätig werden. Sie unterliegen
damit uneingeschränkt der Kontrolle der Landesbeauftragten für den Datenschutz. Lediglich soweit die BA
zentrale EDV-Programme den ARGEn zur Verfügung gestellt oder generelle Vorgaben getroffen hat, ist meine Zuständigkeit begründet. Die konkrete Anwendung und
Umsetzung im Einzelfall obliegen dagegen den ARGEn
und dementsprechend der Aufsicht durch die Landesbeauftragten (vgl. hierzu die Entschließung der
71. Konferenz der Datenschutzbeauftragten des Bundes
und der Länder, Kasten a zu Nr. 13.5.4).
Diese im Interesse einer effizienten Datenschutzkontrolle
dringend erforderliche einheitliche Aufsichtszuständigkeit für die ARGEn wird im Lichte des Fortentwicklungsgesetzes (Bundestagsdrucksache 16/1410) von einigen
Landesbeauftragten aufgrund der Neuregelung in § 50
Abs. 2 SGB II in Frage gestellt, wonach die BA verantwortliche Stelle nach § 67 Abs. 9 SGB X ist, soweit
ARGEn die Aufgaben der Agenturen für Arbeit wahrnehmen. Die ARGE sei insoweit nicht mehr für die jeweiligen Verarbeitungsvorgänge verantwortlich. Vielmehr
liege eine Verarbeitung durch die BA, mithin durch eine
öffentliche Stelle des Bundes vor. Folglich sei nach § 81
Abs. 1 Nr. 1, Abs. 2 Satz 1 SGB X insoweit ausschließlich meine Zuständigkeit für die Datenschutzkontrolle gegeben.
Diese Auffassung teile ich nicht. Eine Datenschutzaufsicht je nach Aufgabenbereich des jeweiligen Leistungsträgers würde die in § 44b Abs. 1 Satz 1 SGB II normierte „einheitliche Wahrnehmung“ der Aufgaben durch
die ARGEn außer Acht lassen, insbesondere, dass die
ARGE als eigene Stelle handelt und nicht die einzelnen
Leistungsträger. Diese bleiben zwar politisch und rechtlich in der sog. Gewährleistungsverantwortung. Soweit
sie zur einheitlichen Aufgabenwahrnehmung eine ARGE
errichtet haben, handelt diese aber in eigener Aufgabenwahrnehmungszuständigkeit. Dafür spricht auch die nach
wie vor bestehende einheitliche Rechtsaufsicht der obersten Landesbehörden über die ARGEn.
R
ev
i
s
BfDI 21. Tätigkeitsbericht 2005-2006