Das Sozialgeheimnis (§ 35 SGB I) erfordert, innerhalb des Jobcenters sicherzustellen, dass Sozialdaten nur
Befugten zugänglich sind oder nur an diese weitergegeben werden. Darunter fallen auch angemessene technische und organisatorische Maßnahmen (vgl. § 78a SGB X). Eine solche organisatorische Maßnahme besteht
darin, eingehende Post zwingend vor Zugriffen Dritter zu schützen und dazu auch geeignete Außen- und Innenbriefkästen zu verwenden. Ich habe alle in meiner Zuständigkeit liegenden Jobcenter über die Einzelheiten solcher zu treffenden organisatorischen Maßnahmen unterrichtet.
Zudem musste ich ein Jobcenter wegen datenschutzwidriger Erhebung und Speicherung von Kontendaten bei
Weiterbewilligungsanträgen beanstanden. So wurden grundsätzlich die vollständigen Auszüge sämtlicher Konten einer Bedarfsgemeinschaft für den vergangenen Bewilligungszeitraum von sechs Monaten angefordert,
obschon das Bundessozialgericht höchstrichterlich entschieden hat, dass die Anforderung von Kontoauszügen
bei der Beantragung von Leistungen nach dem SGB II grundsätzlich nur für einen zurückliegenden Zeitraum
von drei Monaten bei Erst- und Folgeanträgen sowie einmaligen Leistungen erfolgen darf (vgl. 24. TB
Nr. 12.1.3.6 und die Urteile des BSG vom 19.09.2008, Az. B 14 AS 45/07 R und 19.02.2009, Az.
B 4 AS 10/09 R). Ein längerer Zeitraum kann bei selbstständig tätigen Leistungsberechtigten erforderlich sein,
oder es liegen plausible Gründe vor, die eine Bedürftigkeitsprüfung nur dann ermöglichen, wenn im Einzelfall
länger zurückliegende Kontoauszüge vorgelegt werden. Anlasslose Vorlagepflicht von Kontendaten über mehr
als drei zurückliegenden Monaten halte ich weder für geeignet noch verhältnismäßig, vielmehr liegt in solchen
Fällen häufig ein datenschutzrechtliche Verstoß gegen den Grundsatz der Datenvermeidung und Datensparsamkeit nach § 78b SGB X vor.
3.3.3
Online-Portal APOLLO
Ein zentraler Baustein zur Umsetzung der IT-Strategie 2020 der BA ist APOLLO (Antragsportal Leistungen
Online). Dieses Portal ist über die Internetseite der BA erreichbar. Es ermöglicht sowohl Arbeitsuchenden als
auch Arbeitgebern, bestimmte Leistungen der BA nach dem Dritten Buch Sozialgesetzbuch (SGB III) online zu
beantragen. Zudem stehen dem Nutzer des Portals Basisdienste zur Verfügung, z. B. eine Dokumentenablage.
Auch bestimmte Mitteilungen an die BA, wie die Arbeitsuchend-Meldung oder Veränderungsmitteilungen,
können über das Portal gesendet werden. Zukünftig will die BA ihre Leistungen komplett über das Portal online
abwickeln.
Eine Kontrolle von APOLLO zeigte noch Schwachpunkte des Portals in Hinblick auf die Authentifizierung der
Nutzer, die Integrität und Authentizität der über APOLLO übermittelten Dokumente sowie die mangelhafte
Trennung zwischen Bereichen, die reine Information durch die BA darstellen und solchen, die der Aufgabenerfüllung der BA nach dem Sozialgesetzbuch dienen.
APOLLO steht grundsätzlich jedem Internetnutzer offen. Zur Nutzung der im Portal angebotenen „eServices“
bedarf es einer Registrierung über den „Single Sign On“ der BA. Hierbei kann der Nutzer zwischen fünf Sicherheitsstufen wählen: von „keine Überprüfung“, über die Bestätigung der Identität des Nutzers, über E-Mail
oder PIN-Brief, bis zur Nutzung der Identifizierungsfunktion von Personalausweis oder Aufenthaltstitel bzw.
der Vorlage des Ausweises in einer Arbeitsagentur. Grundlage für die Nutzung der bisher freigeschalteten
E-Services sind aber nur Sicherheitsstufen bis zur Identitätsbestätigung über PIN-Brief. Das sehe ich kritisch.
Die Authentifizierung der Nutzer von Online-Portalen ist die zentrale Grundlage für dessen datenschutzgerechten Betrieb. Für die Übermittlung von Sozialdaten und die Auszahlung von Leistungen reichen die bisher gewählten Sicherheitsstufen nicht aus. Zur Behebung dieser eingeräumten Mängel hat mir die BA Vorschläge für
ein verbessertes Authentifizierungsverfahren unterbreitet. Ich erwarte eine zeitnahe Umsetzung dieser Vorschläge und empfehle dringend, für weitere Ausbaustufen von APOLLO höhere Sicherheitsstufen zu wählen.
Ist der Nutzer mit der entsprechenden Sicherheitsstufe in APOLLO registriert, kann er online seine Anträge
ausfüllen, speichern und bearbeiten, die notwendigen Anlagen in die Dokumentenablage hochladen und alles an
die BA übersenden. Die Antragsformulare und die hochgeladenen Dokumente werden dabei über eine Schnittstelle direkt in der elektronischen Akte der BA abgelegt. Diese Dokumente sind weder unterschrieben noch
elektronisch signiert und damit nicht manipulationssicher.
BfDI 26. Tätigkeitsbericht 2015-2016
– 73 –