– 159 –
Ich sehe in den Ausführungen der BA keine Rechtfertigung dafür, dass ein Verfahren in Betrieb genommen
wurde, das nicht einmal den datenschutzrechtlichen Basisanforderungen genügt. Vielmehr wäre es durch eine
frühzeitige Berücksichtigung der datenschutzrechtlichen
Belange in der Planung durchaus möglich gewesen, die
wesentlichen Datenschutzmängel zu vermeiden. Ich habe
deshalb das Verfahren A2LL als Verstoß gegen das Sozialgeheimnis des § 35 SGB I Abs. 1 i. V. m. § 78a
SGB X beanstandet.
Die in § 35 SGB I genannten Stellen, die personenbezogene Daten erheben, verarbeiten oder nutzen, haben die
technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführungen der Vorschriften der Datenschutzgesetze zu gewährleisten. Hierbei ist zu berücksichtigen, dass bereits die Tatsache, dass
jemand Bezieher von Arbeitslosengeld II ist, sozialdatenschutzrechtlich geschützt ist. Es muss gewährleistet sein,
dass die zur Benutzung eines Datenverarbeitungssystems
Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass
Sozialdaten bei der Verarbeitung und Nutzung sowie nach
der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Anlage zu § 78a
Satz 2 Nr. 3 SGB X).
Zu den Kernstücken der gesetzlich vorgeschriebenen organisatorisch-technischen Maßnahmen gehört die enge
Begrenzung der befugten Benutzer bzw. das Einrichten
einer formalen Benutzerverwaltung und eine Protokollierung von Zugriffen, um Missbrauchsversuchen begegnen
zu können. Letzteres bedingt auch eine regelmäßige Auswertung der Protokolle. Dies kann bei größeren Datenmengen auch stichprobenweise oder unter Einsatz entsprechender Tools geschehen.
Über derartige Schutzmechanismen verfügt das Programm A2LL derzeit nicht. Damit ist es jedem Nutzer
von A2LL möglich, unkontrolliert eine bundesweite Personensuche im Datenpool von A2LL zu starten. Derartigen Missbrauchsmöglichkeiten stehen keine geeigneten
Schutzmaßnahmen entgegen.
Ich habe der BA meine Mithilfe bei der Entwicklung konstruktiver Lösungen angeboten und erwarte eine baldige
Umsetzung der Zusagen, insbesondere hinsichtlich der
Einführung der Protokollierung bundesweiter Zugriffe im
ersten Quartal 2005 und der zügigen Ausarbeitung und
Implementierung eines Berechtigungskonzepts.
16.2
Virtueller Arbeitsmarkt – bitte mit realer
Sicherheit!
Der virtuelle Arbeitsmarkt birgt Chancen und Risiken für
den Benutzer.
Mit der Einführung des Arbeitgeberinformations-Service
(AIS), des Stellen-Informations-Service (SIS) und des
Ausbildungs-Stellen-Informations-Service (ASIS) hatte
die Bundesagentur für Arbeit (BA) ihre Online-Vermittlungsangebote im Internet ausgebaut (vgl. 18. TB
Nr. 20.7). Im Rahmen des Projekts „Virtueller Arbeits-
markt“ (VAM) hat die BA ihre Online-Vermittlungsangebote ab dem 1. Dezember 2003 durch das Serviceportal
„Arbeitsagentur.de“ ersetzt. Arbeitgeber wie Bewerber
können sich registrieren lassen, behalten aber auch die
Möglichkeit, das Angebot anonym zu nutzen. Bewerber
und Betriebe, die in den bisherigen Verfahren keinen direkten Zugriff auf offene Stellen und Bewerberprofile
hatten, können im VAM ihre Stellen- oder Bewerberdaten
auf Wunsch selbst verwalten, wobei jeder Nutzer selbst
entscheidet, ob er sein Stellen- oder Bewerberprofil anonym oder offen präsentieren möchte. Registrierte Bewerber können einen sog. Matching-Prozess nutzen, in dem
ein Bewerberprofil mit dem Anforderungsprofil einer
Stelle verglichen wird.
Die Registrierung im VAM erfolgt, indem Name, Vorname, Geburtsdatum, Geburtsort und aktuelle Wohnanschrift bzw. entsprechende Firmendaten eingegeben werden. Mit dem VAM will die BA eine Vermittlungsleistung
zur Verfügung stellen, die die Eigeninitiative unterstützt.
Dementsprechend tragen die Nutzer die Verantwortung
für von ihnen bereitgestellte Angaben.
Ich habe die BA darauf hingewiesen, dass vor der Registrierung von den Betroffenen eine Einwilligung
gem. § 67b SGB X eingeholt werden muss, wobei auf
Verständlichkeit und Vollständigkeit der Information zu
achten ist. Meiner Anregung, ein Feld „Datenschutz“ auf
der Web-Oberfläche des VAM zu installieren, ist die BA
gefolgt. Der Nutzer wird inzwischen darauf hingewiesen,
dass Risiken und Missbrauchsmöglichkeiten sowie die
Gefahr von Spam-Mails bestehen.
Mit dem Projekt VAM ist auch die Ablösung der bisherigen Vermittlungssoftware für die Mitarbeiter der BA verbunden. Das System VerBIS (Vermittlungs-, Beratungsund Informations-System) soll von der BA mit Beginn
des Jahres 2005 zunächst in Pilotagenturen getestet und
anschließend bundesweit eingeführt werden. Nach Angabe der BA können mit VerBIS aussagekräftigere Bewerber- und Stellenprofile sowie vom Nutzer selbst eingegebene Daten verwendet werden. Bei der Ablösung
von coArb (computerunterstützte Arbeitsvermittlung)
und COMPAS (computerunterstütztes Ausbildungsvermittlungssystem) durch VerBIS sollen personenbezogene
Daten von VAM-Nutzern in die zentrale Personendatenverwaltung aufgenommen werden. Die VAM-Kunden
sollen zusätzlich eine Kundennummer der BA bekommen. Für den Fall, dass der VAM-Kunde später arbeitslos
wird und sich bei der BA meldet, soll der Arbeitsvermittler auf die VAM-Daten und zurückliegende Bewerbungsprofile zugreifen können.
Ich halte die von der BA geplante generelle Verwendung
von personenbezogenen Daten der VAM-Nutzer in VerBIS für problematisch. Die Speicherung und Nutzung der
VAM-Daten erfolgt dann für Zwecke, für die sie zunächst
nicht gespeichert wurden (vgl. § 67c Abs. 1 Satz 2
SGB X). Die VAM-Nutzer stellen der BA zum Zeitpunkt
der Registrierung ihre personenbezogenen Daten nicht
mit der Absicht zur Verfügung, dass diese für die Arbeitsvermittlung nach dem SGB III verwendet werden. Der
BfD
20. Tätigkeitsbericht
2003–2004