4.4          Soziales

Jeder hat Anspruch darauf, dass die ihn betreffenden Sozialdaten von den Leistungsträgern nicht unbefugt verarbeitet werden (Sozialgeheimnis). Die Verarbeitung von Sozialdaten setzt eine ausreichende Befugnis voraus, die sich aus einer Rechtsvorschrift oder der Einwilligung des Betroffenen ergeben kann. Der Leistungsträger muss ausreichende technische und organisatorische Maßnahmen zum Schutz der Sozialdaten treffen. Die Anforderungen an den Schutz der Sozialdaten sind hoch.

 

4.4.1       Online-Prüfung von Sozialdaten – nur unter besonderen Bedingungen möglich

Wie können Rechnungshöfe Prüfungen durchführen, wenn es z. B. wegen Corona nicht möglich ist, die zu prüfende Stelle aufzusuchen? Können Prüfungen auch online durchgeführt werden?

Rechnungshöfe müssen bei Prüfungen unter Umständen auch auf Sozialdaten zugreifen. Bei einer Prüfung vor Ort ermöglicht die geprüfte Stelle dem Prüfer, Akten zu lesen, oder erteilt den Zugriff auf IT-Verfahren, die von der geprüften Stelle eingesetzt werden, um die Sozialdaten digital zu verarbeiten. Die geprüfte Stelle behält also die Kontrolle darüber, welche Sozialdaten wann den Prüfern zugänglich sind. Diese Kontrollbefugnis der geprüften Stelle muss auch bei einer Online-Prüfung sichergestellt werden.

Gemeinsam mit dem Landesrechnungshof wurden folgende Rahmenbedingungen definiert:

  • Die geprüfte Stelle wird vorab detailliert über den beabsichtigten Umfang der Datenerhebung informiert.
  • Der Zeitraum des Online-Zugriffs wird vorab festgelegt.
  • Der Zeitpunkt und der Zeitrahmen eines jeweiligen Online-Zugriffs werden vorab der geprüften Stelle – aufgeschlüsselt nach Tagen/Uhrzeiten (von … bis) – mitgeteilt.
  • Der Umfang der Datenerhebung bei einem Online-Zugriff wird auf den Umfang der Datenerhebung vergleichbar einer Prüfung vor Ort begrenzt.
  • Bei Online-Zugriffen sind ausschließlich lesende Zugriffe zu Prüfzwecken möglich. Sofern Reports, Berichte, Auswertungen o. Ä. erzeugt werden, dürfen diese die zugrunde liegenden Datenbestände nicht verändern.
  • Ein Datenexport oder die Duplizierung von Daten erfolgt ausschließlich in Kenntnis der geprüften Stelle.
  • Soweit eine Online-Prüfung mittels Fernzugriff auf die Datenbestände der geprüften Stelle erfolgt, muss durch eine sichere Authentifizierung sichergestellt werden, dass nur die Prüfenden Zugriff erhalten. Dies erfordert
    1. eigene Nutzerkonten für die Prüfenden mit ausreichend komplexen Passwörtern oder anderen Nachweisen der Berechtigung,
    2. Zugriffe über das Landesnetz oder besondere Sicherungen (Verschlüsselung, Zwei-Faktor-Authentifizierung) bei Zugriffen über das Internet,
    3. keine dauerhafte Freischaltung der Zugriffsmöglichkeit, sondern Freischaltung durch die geprüfte Stelle nach Absprache.
    Alternativ wäre denkbar, eine elektronische Prüfung in den Räumlichkeiten der geprüften Stelle vorzunehmen (etwa an einem Prüfungsarbeitsplatz, der Zugriffe auf die elektronischen Datenbestände erlaubt, aber den Kontakt mit der geprüften Stelle minimiert).
    Eine weitere Möglichkeit besteht darin, dass die ausgewählten Daten kopiert und auf einen Datenträger exportiert in die Systeme der Prüfstelle importiert werden, mit denen dann die Prüfung erfolgt.
  • Es erfolgt eine Protokollierung von Online-Zugriffen bei der geprüften Stelle.
    Sofern im Rahmen der Prüfung personenbezogener Daten eine Auswahl von Daten erfolgen soll (z. B. Stichproben), jedoch eine technische Beschränkung des Zugriffs auf diese Daten (z. B. Kopie der ausgewählten Daten, Einräumung entsprechend zugeschnittener Leserechte) nicht möglich wäre, wäre durch eine Online-Prüfung im Ergebnis ein vollständig wahlfreier und nicht überwachter Zugriff auf sämtliche Datenbestände möglich (vergleichbar mit der Überlassung eines Generalschlüssels). Um in diesen Fällen eine vergleichbare Situation zu einer Vor-Ort-Prüfung zu schaffen, bietet eine Eingriffsmöglichkeit der geprüften Stelle in den Prüfungsvorgang (z. B. durch ein „Schattenterminal“ oder die „Spiegelung“ eines Online-Zugriffs, mit der Möglichkeit der Deaktivierung des Zugriffs) Abhilfe.

Was ist zu tun?
 Bevor die Möglichkeit einer Online-Prüfung von Sozialdaten eröffnet wird, sind von der geprüften Stelle die zuvor aufgezeigten Rahmenbedingungen sicherzustellen.

 

4.4.2       Vorlagepflicht von Kontoauszügen – die letzten drei Monate reichen!

Wer Sozialleistungen wie Wohngeld, Grundsicherung oder Arbeitslosengeld beantragt, wird zumeist aufgefordert, die Kontoauszüge der letzten drei Monate im Amt vorzulegen. Hierfür bedarf es keiner besonderen Begründung der Behörde. Vereinzelt wurde uns jedoch – und das nicht nur aus Schleswig-Holstein – berichtet, dass Hilfesuchende ohne besonderen Grund aufgefordert wurden, die Kontoauszüge der letzten sechs Monate vorzulegen. Das geht zu weit.

In der Rechtsprechung (u. a. BSG 19.09.2008, B 14 AS 45/07 R) wird vertreten, dass die Kontoauszüge der letzten drei Monate vorzulegen sind. Datenschutzaufsichtsbehörden weisen seit Jahren darauf hin, dass besondere Gründe vorliegen müssen, damit die Vorlage von Kontoauszügen über einen Zeitraum von mehr als drei Monaten gefordert werden darf. Das ULD hat hierzu Hinweise für die datenschutzgerechte Gestaltung der Anforderung von Kontoauszügen veröffentlicht:

https://www.datenschutzzentrum.de/medizin-soziales/
 Kurzlink: https://uldsh.de/tb39-4-42

An dieser Rechtsauffassung hat sich auch nichts geändert, nur weil die Behörden neuerdings Leistungen für bis zu zwölf Monate bewilligen können. Hilfesuchende sind zudem auf die (begrenzte) Möglichkeit der Schwärzung von Buchungstexten hinzuweisen. Die Anforderung ungeschwärzter Kontoauszüge muss begründet werden.

Was ist zu tun?
 Sozialleistungsträger müssen bei der Aufforderung zur Vorlage von Kontoauszügen den Grundsatz der Erforderlichkeit der Datenerhebung beachten. In der Regel ist es ausreichend, wenn Hilfesuchende aufgefordert werden, die Kontoauszüge der letzten drei Monate im Amt vorzulegen.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel