9.1. Kindergarten-Informationssystem (KIS)
KIS dient der automatisierten Verarbeitung der Sozialdaten von Eltern mit Kindern in Kindertagesheimen (KTH). Es wurde im Herbst 1997 in einigen KTH der Stadtgemeinde Bremen mit einem Modul für das Aufnahmeverfahren installiert. Im Jahre 2000 soll es, zusätzlich mit einem Modul für die Beitragsberechnung ausgerüstet und in allen städtischen KTH in Betrieb genommen werden.
Bereits in vorangegangenen Jahren hatte ich berichtet (vgl zuletzt 21. JB, Ziff. 12.3.). Nach Präzisierung einiger Details lag im April 1999 ein mit mir abschließend abgestimmtes Datenschutzkonzept vor. Dessen technische Umsetzung prüfte ich im August 1999 exemplarisch in einem städtischen KTH. Ich mußte feststellen, daß wesentliche rechtlich gebotene technische Vorkehrungen wie etwa die Einschränkung der Zugriffe der Nutzer auf erforderliche Systemressourcen, die Protokollierungen und die Sicher-heitseinstellungen des KTH-Verzeichnisses im Rahmen des Betriebssystems nicht umgesetzt worden waren. Dies teilte ich dem Ressort mit. Mir wurde umgehende Nachbesserung zugesichert. Im November 1999 nahm ich in zwei städtischen KTH eine exemplarische Nachprüfung vor; diesmal mit dem Ergebnis, daß die gebotenen und zugesagten Sicherungsvorkehrungen weitgehend umgesetzt worden waren. Dazu gehören insbesondere
8 die Definition der zulässigen Datenkataloge und die entsprechende Festlegung der Datenfelder im Anwendungsprogramm KIS,
8 eine angemessene Konfiguration des Betriebssystems WINDOWS-NT und 8 ein sicheres Backup-Verfahren.
Das Ressort hat versichert, daß diese Sicherheitseinstellungen in allen KTH der Stadtgemeinde Bremen implementiert werden, bevor in ihnen KIS genutzt wird.
KIS wird aber auch bereits derzeit in KTH freier Träger in der Stadtgemeinde Bremen genutzt. Freie Träger, die in ihren KTH KIS installieren, müssen das gleiche Datenschutzniveau gewährleisten. Ich
habe das Ressort für Jugend unter Hinweis darauf, daß es an der Entscheidung der freien Träger für den Einsatz von KIS beteiligt gewesen ist und daß überdies § 61 Abs.4 SGB VIII ihm die Verantwortung für die Wahrung des Sozialgeheimnisses bei den freien Trägern überträgt, gebeten, mich darüber zu unterrichten, ob diese ihre KIS-Systeme mit vergleichbaren Sicherungsvorkehrungen ausgestattet haben oder ob daran gedacht ist, sie entsprechend nachzurüsten. Sollte ich keine befriedigende Antwort erhalten, werde ich mich direkt an die freien Träger wenden.
9.2. Ressortinternes Informationssystem - Elektronische Fallakte
Der Senator für Gesundheit, Jugend und Soziales plant, seine Abteilungen und Ämter miteinander zu vernetzen. Im Berichtsjahr übersandte mir das Ressort Unterlagen über ein Netzkonzept. Darin wurden ein Datenschutz- und ein Datensicherungskonzept angekündigt. Vorsorglich machte ich darauf aufmerksam, daß darin auch folgende Festlegungen zu treffen seien:
8 Differenzierung der Zugriffsberechtigungen je nach interner Aufgabenverteilung, 8 Kontrolle und Protokollierung der Zugriffe durch die zentrale Netzwerkadministration, 8 ggf. Schutz vor unerlaubten Zugriffen aus dem Internet und
8 ggf. Rahmenbedingungen für externe Online-Abrufe.
Den Unterlagen konnte ich entnehmen, daß geplant ist, eine Art Data-Warehouse zu realisieren., d.h.
eine aufbereitete, strukturierte Sammlung von Daten aus allen Bereichen des Ressorts zur Entscheidungsunterstützung und zum Controlling. Auf meinen Hinweis, daß wegen der damit geplanten umfassenden Verfügbarkeit und Nutzbarkeit in diesem Zusammenhang jedenfalls keine Sozialdaten zur Verfügung gestellt werden dürften, erhielt ich zur Antwort, daran sei nicht gedacht, sofern ein Data-Warehouse eingerichtet werde, sollten nur anonymisierte Daten zur Verfügung gestellt werden.
Weiter scheinen die Vorbereitungen für die Einführung der Elektronischen Fallakte in der Jugendhilfe vorangetrieben worden zu sein, für die die interne Vernetzung gleichfalls die technische Grundlage bietet. Auch hierzu erhielt ich im Berichtsjahr Unterlagen. Bei den Vorbereitungen eines entsprechenden Projekts hatte mich das Amt für Jugend und Familie in Bremerhaven beteiligt. Beim Vergleich der Unterlagen zu beiden Vorhaben war auffällig, daß die hier in Aussicht genommene Standard-Software die Speicherung von Klientendaten lediglich in vorstrukturierten Datenfeldern vorsieht. Deren erste Durchsicht ließ erkennen, daß es sich dabei um die Daten handeln dürfte, die für die Entscheidung über die Gewährung kostenrelevanter Hilfen erheblich sind, d.h. um Verwaltungsdaten im eigentlichen Sinne. Gegen deren Verarbeitung in einem amtsinternen Netz bestehen keine grundsätzlichen Bedenken, vorausgesetzt, sie stehen lediglich für die Zugriffe der Mitarbeiter zur Verfügung, die sie zur Erfüllung ihrer Aufgaben benötigen. Auch müssen sie vor unbefugten Zugriffen geschützt sein. Dagegen ließen die Unterlagen aus Bremen erkennen, daß man hier zwar dieselbe Software einsetzen will, jedoch sollen alle Daten aus der fachlichen Sachbearbeitung im pädagogischen Bereich digitalisiert gespeichert und in das Netz eingestellt werden. Dies gab Anlaß zu der Befürchtung, daß berufliche Schweigepflichten und der besondere Vertrauensschutz, den § 65 SGB VIII den Klientendaten einräumt, die einem Mitarbeiter eines öffentlichen Trägers der Jugendhilfe zum Zwecke persönlicher und erzieherischer Hilfe anvertraut worden sind, gefährdet werden könnten. Auf meinen im September 1999 gemachten Vorschlag,
darüber zu sprechen, reagierte das Ressort nicht. Auch die Zusage vom Juni 1999, mich weiterhin über den Sachstand zu informieren, wurde bislang nicht eingelöst. Daran habe ich das Ressort jetzt erinnert und um Unterrichtung gebeten.
9.3. Informationsverbund illegale Beschäftigung
Im 21. JB berichtete ich unter Ziff.13.1 ausführlich über das Vorhaben des Senats, beim Senator für Arbeit einen Informationsverbund zur Bekämpfung illegaler Beschäftigung in Gestalt einer zentralen Datei einzurichten. Mit deren Hilfe sollen alle mit dieser Aufgabe beauftragten öffentlichen Stellen instandgesetzt werden, Daten, darunter auch auf Arbeitgeber und Beschäftigte bezogene Daten, untereinander auszutauschen. Ich hatte in diesem Zusammenhang auf bundesrechtliche Regelungen hingewiesen, die die Verfolgungs-, Kontroll- und Koordinierungsaufgaben, die Zuständigkeiten, die Mitteilungspflichten, die Übermittlungsbefugnisse und die Auskunftsrechte einer Vielzahl im einzelnen genannter öffentlicher Stellen (Arbeitsämter und andere Sozialversicherungsträger, Finanzbehörden, Staatsanwaltschaften, Ordnungsbehörden, Gewerbeaufsichtsämter) im einzelnen regeln. Die Fragen wurden auch in der letzten Legislaturperiode im Datenschutzausschuß eingehend diskutiert.
Inzwischen hat der Senator für Arbeit den in Frage kommenden Auftraggebern Entwürfe für die Vereinbarungen vorgelegt. Bei den konkreten Verhandlungen traten bei den Verantwortlichen Bedenken gegen das Vorhaben auf. Von denen wurden insbesondere folgende Gesichtspunkte eingebracht:
8 Die unterschiedlichen Rechtsgrundlagen würden unterschiedliche Lösungen erfordern.
Mitteilungspflichten erlaubten andere Regelungen als Auskunftsbefugnisse. Voraussetzungen, Inhalte und Adressaten der vorgeschriebenen Übermittlungen seien je nach Rechtsgrundlage unterschiedlich. Besondere Amtsgeheimnisse wie das Sozial- und das Steuergeheimnis seien zu beachten.
8 Einige potenzielle Auftraggeber haben grundsätzliche rechtliche Bedenken gegen die Einschaltung einer zentralen Datenannahme- und Verteilstelle geäußert und meinten, sie dürften nur direkt an die im Gesetz genannten Adressaten übermitteln. Andere befürchteten, ihren gesetzlichen Verpflichtungen nicht schon durch die Einstellung von Daten in die Zentraldatei, sondern nur durch Übermittlung direkt an die im Gesetz genannten Adressaten nachkommen zu können.
8 Es wurde bezweifelt, ob die Zwischenschaltung einer zentralen Stelle erforderlich und zweckmäßig sei, bzw. es wird befürchtet, daß dies zu zeitlichen Verzögerungen, Übermittlungsfehlern und Mehrarbeit führe.
Die Bau-Berufsgossenschaft Hannover lehnt die Beteiligung an dem Vorhaben aus rechtlichen Gründen ab. In den anderen Fällen ist mir ein abschließender Stand der bilateralen Verhandlungen nicht bekannt.
Ich habe darauf hinweisen müssen, daß nicht ich, sondern die Auftraggeber, d. h. auch Stellen des Bundes, über deren Beteiligung zu entscheiden haben. Diese müssen darüber hinaus zuständigkeitshalber die Abstimmung mit dem Bundesbeauftragten für den Datenschutz einleiten. Die
Verhandlungen und Abstimmungen haben sich durch den Berichtszeitraum hingezogen und sind noch nicht abgeschlossen.
10. Bildung und Wissenschaft