Die BA hat 2015 die neue webbasierte IT-Anwendung STEP zur Erfassung der Stammdaten aufgesetzt. Dieses
IT-Fachverfahren ersetzt die bisherigen Stammdatenverfahren zPDV und zBTR, die aufgrund ihrer veralteten
Programmstruktur nicht mehr gepflegt werden konnten. Die beiden bisherigen Verfahren waren mit einer zentralen Datenbank verknüpft, über die sie auf die dort abgelegten Stammdaten zugreifen konnten. Die verknüpfte,
zentrale Datenbank ist bestehen geblieben und wurde in STEP integriert, so dass eine Datenmigration von
zPDV und zBTR in STEP entbehrlich gewesen ist. Mit STEP ist es der BA möglich, alle Stammdaten der BA
(Personendaten und Betriebedaten) in einem einzigen IT-Fachverfahren zu vereinen. Damit ist STEP das zentrale Stammdaten-IT-Fachverfahren der BA sowohl für den Bereich des SGB II und des SGB III als auch für die
Familienkassen der BA.
Den von mir während der Pilotierungsphase festgestellten Verbesserungsbedarf hat die BA aufgegriffen und
überwiegend umgesetzt. Ein Punkt ist allerdings noch offen geblieben. In der Sache geht es um das Protokollierungskonzept zu STEP, wonach Protokolldaten für mindestens 90 Tage aufbewahrt werden sollen. Zu den Protokolldaten gehören sowohl personenbezogene Beschäftigtendaten als auch Daten zu zahlungsbegründenden
Unterlagen. Insgesamt halte ich eine Aufbewahrungsfrist der Protokolldaten von höchstens 90 Tagen für angemessen und ausreichend, zumal in begründeten Ausnahmefällen die Löschung der Protokolldaten ausgesetzt
werden kann. Ich habe die BA daher gebeten, in Hinblick auf zahlungsbegründende Unterlagen mit dem Bundesministerium der Finanzen abzustimmen, welche kassenrechtlichen Gründe zwingend für eine längere Speicherdauer der Protokolldaten als 90 Tage sprechen.
3.2.3
... aus dem Bereich der Gesetzlichen Unfall- und Rentenversicherung
Im Bereich der gesetzlichen Unfall- und Rentenversicherung haben mich im Berichtszeitraum sowohl Themen,
die seit Jahren auf der Agenda stehen, als auch ganz neue Themen beschäftigt.
Bei der gesetzlichen Unfallversicherung ist die Auslegung der Gutachterregelung in § 200 Absatz 2 SGB VII
noch immer ein virulentes Thema. Die Eingabezahlen zu diesen Fragen haben sich erhöht (vgl. u. Nr. 3.2.3.2).
Die Zusammenarbeit in datenschutzrechtlichen Fragen mit der gesetzlichen Rentenversicherung ist seit vielen
Jahren gut. Umso ärgerlicher war deswegen meine Feststellung, dass die meisten von der DRV Bund betriebenen Rechner noch mit einem veralteten Betriebssystem ausgestattet waren, was eine Gefahr für die unter dem
besonderen Schutz des Sozialrechts stehenden Daten der Versicherten bedeutete. Gerade in der heutigen Zeit
muss nicht nur, aber gerade auch bei den Sozialversicherungsträgern deutlich mehr im Bereich der IT-Sicherheit
getan werden. Diese sind aufgefordert, proaktiv für mehr Sicherheit bei den ihnen anvertrauten Sozialdaten zu
sorgen (vgl. u. Nr. 3.2.3.4).
3.2.3.1
Umfang und Einschränkungen bei Akteneinsicht und Auskunft nach dem Sozialgesetzbuch
Ein Versicherter kann seine Rechte in allen Bereichen der Sozialversicherung nur dann geltend machen, wenn
er sich umfassend über die zu seiner Person gespeicherten Sozialdaten informieren kann. Daher die große Bedeutung von Akteneinsichts- und Auskunftsrechten.
Einer der Kernsätze des sog. Volkszählungsurteils des Bundesverfassungsgerichtes vom 15. Dezember 1983
(1 BvR 209/83) ist die Feststellung, mit dem Recht auf informationelle Selbstbestimmung sei eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen
können, wer was wann und bei welcher Gelegenheit über sie weiß. Unmittelbar im Zusammenhang mit dieser
Feststellung stehen die Akteneinsichts- und Auskunftsrechte des Zehntes Buches Sozialgesetzbuch (SGB X).
Gleichwohl haben sich Betroffene auch in diesem Berichtszeitraum immer wieder bei mir beschwert, weil ihnen
diese Rechte nicht oder nicht in ausreichendem Ausmaße gewährt würden.
– 68 –
BfDI 26. Tätigkeitsbericht 2015-2016