A - Z

Inhalt

Datenschutz

Entsprechend der gesetzlichen Vorgaben werden in REHADAT-Elan personen­bezogene Daten gespeichert. Bitte beachten Sie, dass Sie als Anwender für den Schutz dieser Daten verantwortlich sind und denken Sie daran, den Einsatz von REHADAT-Elan - ebenso wie anderer Programme, mit denen Sie personenbezogene Daten verarbeiten - an die innerbetrieblichen bzw. innerbehördlichen Datenschutzbeauftragten zu melden.

Allgemeine Hinweise zur IT-Sicherheit finden Sie im Leitfaden Informationssicherheit beim Bundesamt für Sicherheit in der Informationstechnologie (BSI).

Im Folgenden finden Sie einige allgemeine Hinweise zur Software REHADAT-Elan, die Sie bei der Erstellung der Verfahrensbeschreibung nutzen können.

Zweck und gespeicherte Daten

REHADAT-Elan ist ausschließlich dazu geeignet, die in § 80 SGB IX vorgeschriebene Anzeige zu erstellen (Zweckbindung). Die programminterne Datenbank, in der die erfassten Angaben abgelegt werden, ist durch ein Passwort geschützt und kann durch den Anwender nicht außerhalb der Anwendung REHADAT-Elan eingesehen werden. Daher können keine vom Anwender selbst definierten Abfragen über diese Datenbank durchgeführt werden.

Der Datensatz enthält nur die Daten, die von der Bundesagentur für Arbeit und den Integrationsämtern nach § 80 Abs. 2 SGB IX zur Berechnung des Umfangs der Beschäftigungspflicht, zur Überwachung ihrer Erfüllung und der Ausgleichsabgabe abgefragt werden (Datensparsamkeit, Datenvermeidung).

Darunter befinden sich diejenigen personenbezogenen Daten, die der Arbeitgeber nach § 80 Abs. 1 SGB IX im Verzeichnis der bei ihm beschäftigten "schwerbehinderten, ihnen gleichgestellten behinderten Menschen und sonstigen anrechnungsfähigen Personen" laufend zu führen hat.

Im Einzelnen sind dies:
    * Vor- und Nachname
    * Geschlecht
    * Geburtsdatum
    * Geschäftsführer einer GmbH (u.a.) ja / nein
    * Arbeitszeit pro Woche (über oder unter 18 Stunden)
    * Ein- und ggf. Austrittsdatum
    * Ggf. Ausbildungsbeginn und -ende
    * Personengruppe

sowie für den Nachweis über die Anrechenbarkeit:
    * Ausstellende Dienststelle
    * Ausweis-Nummer bzw. Aktenzeichen
    * Gültigkeitszeitraum.

Installation und Umgang mit den Daten

Bei der Standardinstallation von REHADAT-Elan wird die REHADAT-Elan-Datenbank auf der lokalen Festplatte des Rechners bzw. im persönlichen Benutzerprofil des Anwenders abgelegt. Der Computer, auf dem REHADAT-Elan installiert wird, muss den grundsätzlichen Anforderungen der IT-Sicherheit entsprechen (Zugangskontrolle, Passwortschutz etc.), siehe oben (BSI-Informationen). So ist gewährleistet, dass nur der berechtigte Nutzer auf die eingegebenen Daten zugreifen kann.

Wenn REHADAT-Elan durch mehrere Mitarbeiter genutzt werden soll, ist das auf zwei Arten möglich:

1. Dezentrale Erfassung: Mehrere Anwender nutzen gesonderte REHADAT-Elan-Datenbanken

(Die Vorgehensweise ist in der REHADAT-Elan-Gesamthilfe, Kapitel "REHADAT-Elan Vorgehensweise / Verzeichnisse von Nebenbetrieben / Dienststellen werden an unterschiedlichen Arbeitsplätzen bearbeitet" genauer beschrieben.)

Bei dieser Variante kann wie bei der Standardinstallation jeder Anwender nur auf die Daten seiner lokalen REHADAT-Elan-Datenbank zugreifen. So können bei Arbeitgebern mit mehreren Nebenbetrieben eigenständige Verzeichnisse angelegt werden, die nur vom Bearbeiter eingesehen werden können.

Zur Erstellung der Gesamtanzeige müssen diese Daten aus der lokalen Datenbank exportiert und an den Bearbeiter der Gesamtanzeige übermittelt werden. Nutzen Sie zur Übermittlung nur gesicherte Übertragungswege.

Achtung: Pro Betriebsnummer kann nur ein Datensatz angelegt werden. Die Zusammenführung mehrerer Datensätze mit der gleichen Betriebsnummer ist nicht möglich!


2. Nutzung der Option "Datenpfad einstellen" bzw. "Arbeitsverzeichnis wechseln" zur gemeinsamen Nutzung der REHADAT-Elan-Datenbank durch mehrere Anwender

(Weitere Informationen dazu finden Sie in der REHADAT-Elan-Gesamthilfe)

Diese Vorgehensweise empfiehlt sich, wenn mehrere Mitarbeiter Datensätze mit der gleichen Betriebsnummer pflegen oder prüfen sollen. Dabei können alle zugewiesenen Anwender auf alle Daten zugreifen, die in dieser Datenbank eingegeben wurden. Wenn in der gemeinsamen Datenbank mehrere Arbeitgeber oder Nebenbetriebe angelegt werden, muss sichergestellt sein, dass alle zugewiesenen Mitarbeiter zum Zugriff auf die gesamten Daten befugt sind.

Achtung: Auf das Verzeichnis, das als neuer Datenpfad bzw. Arbeitsverzeichnis gewählt wird, dürfen nur die berechtigten Anwender Zugriff haben. Die dort abgelegte Datenbank kann sonst von jedem Arbeitsplatz aus geöffnet werden, an dem REHADAT-Elan installiert ist!

Abgabe der Anzeige

Zur Abgabe der Anzeige bietet REHADAT-Elan zwei Möglichkeiten zur Auswahl an:

  1. Ausdruck der Anzeige, Abgabe in Papierform auf dem Postweg
  2. Elektronischer Versand über eine SSL (Secure Socket Layer) verschlüsselte HTTPS-Verbindung an einen zentralen Empfangsserver der Bundesagentur für Arbeit.
    Dazu muss auf dem Computer des Anwenders ein Browser mit einer Verschlüsselungsstärke von mindestens 256-bit vorliegen. Diese Versandform wird von REHADAT-Elan erst im Anschluss an die Überprüfung der Verschlüsselungsstärke angeboten. Die Adresse des Empfangsservers ist vom System fest vorgegeben und kann vom Anwender nicht geändert werden.

Datenschutzrechtliche Freigabe

Da sich das Bundesdatenschutzgesetz nur an den Anwender von Software wendet, kann das Institut der deutschen Wirtschaft Köln als Hersteller der Software REHADAT-Elan keine globale datenschutzrechtliche Freigabe bewirken. Dies muss jeweils vom Anwender für seine spezielle Anwendungssituation erfolgen.

Man unterscheidet folgende datenschutzrechtliche Regelungen:

1. Bundesdatenschutzgesetz

Das Bundesdatenschutzgesetz gilt für alle Bundesbehörden sowie für alle nichtöffentlichen Stellen (= private Arbeitgeber).

Die Kontrolle der Einhaltung der Bestimmungen des Bundesdatenschutzgesetzes durch nichtöffentliche Stellen ist den Ländern übertragen. Diese haben hierfür entweder gesonderte Landesdatenschutzbeauftragte eingerichtet (z.B. Nordrhein-Westfalen), lassen die Kontrolle durch die Behörden der Innenministerien (Bezirksregierungen bzw. Regierungspräsidenten) ausüben, oder haben eigene Aufsichtsbehörden eingerichtet (z.B. das Landeszentrum für Datenschutz Schleswig Holstein). Der Bundesbeauftragte für Datenschutz ist damit nur für Bundesbehörden zuständig.

2. Landesdatenschutzgesetz

Die Landesdatenschutzgesetze gelten für die Landesbehörden. Nur wenn ein landeseigenes Datenschutzgesetz nicht existiert, kommt das Bundesdatenschutzgesetz auch für die Behörden dieses Landes zu Anwendung. Soweit ersichtlich, haben aber alle Länder ein eigenes Datenschutzgesetz erlassen.

Bundesdatenschutzgesetz und die Landesdatenschutzgesetze stehen gleichwertig nebeneinander. Welches Gesetz Anwendung findet, richtet sich danach, ob Landesbehörden, Bundesbehörden oder sogenannte nichtöffentliche Stellen vorliegen.

 

Kontrollmechanismen

Die einzelnen Gesetze sehen unterschiedliche Kontrollmechanismen vor. So muss unterschieden werden zwischen Meldepflicht, Freigabe und Vorabkontrolle.

  1. Wenn eine Meldepflicht besteht (die nur wenige Landesgesetze generell vorsehen und ansonsten nur dann bestehen kann, wenn kein innerbetrieblicher Datenschutzbeauftragter bestellt wurde), muss das Vorhaben des Einsatzes eines automatisierten Datenverarbeitungsprogramms der Aufsichtsbehörde (s.o.) gemeldet werden.
  2. Nach einigen Landesgesetzen dürfen solche Programme erst nach Freigabe durch den behördlichen Datenschutzbeauftragten eingesetzt werden.
  3. Bei der sog. Vorabkontrolle , die das Bundesdatenschutzgesetz und die meisten Landesdatenschutzgesetze vorsehen, muss der beabsichtigte Einsatz eines Programms, das "sensible Daten" verarbeitet (was bei REHADAT-Elan der Fall ist), dem innerbetrieblichen Datenschutzbeauftragen gemeldet werden, dem allerdings kein Genehmigungsrecht zusteht. Vielmehr hat der Datenschutzbeauftragte nach Durchführung der Prüfung lediglich eine schriftliche Stellungnahme abzugeben, die den Betrieb nicht bindet.

In manchen Landesdatenschutzgesetzen ist die Vorabkontrolle etwas anders ausgestaltet. Hier wird diese von der das Programm einsetzenden Stelle selbst durchgeführt. Das Ergebnis der Prüfung wird dann dem behördlichen Datenschutzbeauftragen gemeldet.

In Zweifelsfällen hat sich der Datenschutzbeauftragte dann an die Aufsichtsbehörde zu wenden.