1. Zum Inhalt springen

HEGA 12/10 - 15 - Umgang mit dolosen bzw. strafbaren Handlungen

CF 2 - 3352 / 3548 / 1824 / 1400 / II-5105 / II-5301

20.12.2010
19.12.2015
Weisung (GA Nr. 55/2010)
Weisung

Zusammenfassung

Die mit HEGA 03/2010 veröffentlichten Regelungen zum Verfahren bei festgestellten Vermögensschäden (VfV) werden konkretisiert. Die Zentrale hat aus gegebenem Anlass verschiedene Maßnahmen zur Optimierung des bestehenden Internen Kontrollsystems (IKS) veranlasst. Durch die Führungskräfte ist sicher zu stellen, dass die Mitarbeiterinnen und Mitarbeiter über die Regelungen zum VfV und zum Verfahren bei dolosen Handlungen informiert werden und dass deren Einhaltung in geeigneter Weise nachgehalten wird. Das KPB-Team übernimmt bei aufgedeckten dolosen Handlungen eine koordinierende Funktion.

1. Ausgangssituation

Organisatorische bzw. gesetzliche Änderungen haben eine Überarbeitung der Regelungen zum Verfahren bei festgestellten Vermögensschäden (VfV) erforderlich gemacht. Mit der Aktualisierung wurden auch Anregungen von BRH und BMAS aufgegriffen. Die Neufassung der Regelungen zum VfV wurde mit HE/GA 03/2010 bekanntgegeben und ist am 1. Mai 2010 in Kraft getreten. Die aktuell gültigen Vorschriften sind unter folgendem Pfad zu finden:
BA-Startseite / Controlling & Finanzen / Finanzen / Weisungen

Anwendung finden die Regelungen zum VfV grundsätzlich für das Verfahren zur Prüfung und Durchsetzung von Erstattungsansprüchen der BA im Innenverhältnis. Dabei kommt es nicht darauf an, ob die Schäden zu Lasten der BA, des Bundes, der Länder oder sonstiger Körperschaften (z.B. auf Grund von Verwaltungsvereinbarungen) eingetreten sind (vgl. Abschn. I, Ziff. 1.1 VfV).

Ein Vermögensschaden liegt vor, wenn durch eine Handlung von Mitarbeiterinnen bzw. Mitarbeitern eine Vermögenseinbuße bewirkt wird (unmittelbarer Schaden) bzw. wenn die BA gegenüber einem Dritten für eine Pflichtverletzung von Mitarbeiterinnen bzw. Mitarbeitern eintreten muss (mittelbarer Schaden).

Die strafbaren Handlungen stellen einen Teilbereich der dolosen Handlungen dar. Als dolose Handlung wird jede vorsätzliche Täuschung, Verschleierung oder auch jeder Vertrauensmissbrauch einer Mitarbeiterin/eines Mitarbeiters bezeichnet, der zu einem Schaden der BA führt. In der Regel handelt es sich dabei um die unrechtmäßige Aneignung von Vermögen zum Zwecke der persönlichen Bereicherung bzw. der Bereicherung Dritter, z.B. unrechtmäßige Zahlungsanweisung auf das eigene Konto, Diebstahl von BA-Eigentum. Dolose Handlungen sind aber auch nicht strafbewehrte Handlungen, die zum Schaden oder Ansehensverlust der BA führen, wie z.B. privates Surfen oder der Aufruf verbotener Seiten im Internet am Arbeitsplatz. Darunter fallen aber auch Verstöße gegen bestimmte Regeln des Verhaltenskodexes, z.B. das Bearbeiten von Leistungsanträgen von Familienangehörigen. Dagegen ist eine unabsichtliche - also fahrlässige - Handlung, die ebenfalls zum Schaden der BA führt, keine dolose Handlung, z.B. ein fahrlässig verursachter Unfall mit dem Dienstfahrzeug.

zum Seitenanfang

2. Auftrag und Absicht der übergeordneten Führungsebene

entfällt

zum Seitenanfang

3. Eigene Entscheidung und Absicht

Mit den erläuternden Hinweisen sollen folgende Ziele realisiert werden:

  • Transparenz des Verfahrens durch einheitliche Vorgehensweise
  • Optimierung der Prozesse und Beseitigung von Schwachpunkten im Internen Kontrollsystem (IKS) - z.B. Hinweise zu IKS in der Geschäftsordnung der Agenturen für Arbeit (GO-AA)
  • Darstellung präventiver Maßnahmen
  • Verstärkung von fachaufsichtlichen Maßnahmen
  • Etablierung eines zentralen Berichtswesens zur Auswertung von IKS-Lücken

Um Manipulationen vorzubeugen sowie fehlerhaft verwendete Nutzerberechtigungen zu erkennen bzw. zu vermeiden, hat die Zentrale folgende technische, organisatorische und prozessuale Maßnahmen veranlasst:

  • Einbau zusätzlicher IKS in IT-gestützten Zahlungsverfahren, z.B. Beschränkung der Höchstgrenzen bei Sonderzahlungen, Anwendung des 4-Augen-Prinzips, Erhöhung der Quoten von Visa-Prüfungen.
  • Mit Einführung des Elektronischen Benutzerantrages wurde das Verfahren zur Vergabe von Zugängen zu IT-Systemen und Zugriffsrechten auf Informationen neu geregelt. Die Verantwortung und damit die Genehmigung von Zugängen zu IT-Systemen und Zugriffsrechten auf Informationen trägt die zuständige Führungskraft. Sie stellt sicher, dass Berechtigungen aktuell gehalten und vergebene Berechtigungen zeitnah zurückgenommen werden, falls die/der Mitarbeiter/in ausscheidet oder mit Übertragung eines neuen Dienstpostens abgeordnet, umgesetzt oder versetzt wird.
  • Durchführung von regelmäßigen Plausibilitätssuchläufen zur Aufdeckung von Auffälligkeiten im Rahmen der Regelungen der HEGA 10/10 - Nr. 12 - DV-IKT.
  • Das Thema Informationssicherheit wurde durch eine Veröffentlichung in der Mitarbeiterzeitung DIALOG (Ausgabe 1/2010) behandelt, darüber hinaus fanden Vorträge zur Informationssicherheit für Führungskräfte statt. Diese sind verpflichtet, für das Thema Informationssicherheit regelmäßig auf Dienstbesprechungen zu sensibilisieren.

zum Seitenanfang

4. Einzelaufträge

4.1 Prävention

  • Um Missbrauchsfällen vorzubeugen, sind die Führungskräfte vor Ort aufgefordert, die Mitarbeiter/innen hinsichtlich eines verantwortungsbewussten Umgangs mit persönlichen Kennungen zu sensibilisieren. Passwörter, PIN und dDk dürfen nicht weitergegeben werden (siehe Merkblatt „IT-Arbeitsplatzsicherung“)
  • Kennungen bzw. Zugriffsberechtigungen in den Dienststellen sind durch die Internen Services in regelmäßigen Abständen auf Ihre Aktualität hin zu überprüfen. Sofern bei zentral durchgeführten Kontrollläufen Auffälligkeiten auftauchen, erfolgt eine Information an die zuständigen Führungskräfte.
  • Konzepte zur Fachaufsicht müssen umgesetzt werden. Bei fachaufsichtlichen Maßnahmen ist darauf zu achten, dass alle Bereiche und alle Hierarchieebenen einer regelmäßigen Fachaufsicht unterliegen. Hierfür können zentral bereitgestellte Hilfsmittel verwendet werden, z.B. die Self-Audit-Checkliste „Finanzen“ (Self-Audit-Checkliste), das Handbuch „Interne Kontrollsysteme (IKS)“ für den Bereich der Bundesleistungen, u.a..
  • Die im IKS-Rahmenkonzept zum Gefährdungsatlas beschriebenen Maßnahmen sind zu beachten, da sie geeignet sind, dolose Handlungen zu vermeiden.
  • Kommunikation der Inhalte des Verhaltenskodexes durch die Führungskräfte vor Ort.

4.2 Maßnahmen bei Feststellung doloser Handlungen

Bei festgestellten dolosen Handlungen gelten grundsätzlich die Regelungen zum VfV (Abschnitt IV).
Gem. Abschn. IV Ziff. 3 VfV ist bei dolosen Handlungen betragsunabhängig grundsätzlich durch den zuständigen Geschäftsführer Interner Service (GIS) das Bearbeitungs- und Ermittlungsteam in Korruptionsangelegenheiten (KPB-Team) beim jeweils zuständigen Stützpunkt der Internen Revision oder alternativ das KPB-Koordinationsbüro (K-Büro) bei der Internen Revision in der Zentrale (Ansprechpartner der Teams für Korruptionsangelegenheiten in der BA) zu informieren. Das weitere Vorgehen ist immer nach Rücksprache mit dem KPB-Team festzulegen.

Dabei sind in Abstimmung mit dem KPB-Team insbesondere folgende Aspekte zu prüfen:

  • Beweismittel- und Datensicherung: Beachtung des vorgeschriebenen Verfahrens - Meldung an VA2, welche Daten in den IT-Verfahren gesichert werden sollen. Sofern Daten aus IKT-Systemen benötigt werden, ist Folgendes zu beachten:
    Für die Erfassung und Analyse digitaler Spuren in Computersystemen im Zusammenhang mit der Feststellung von dolosen Handlungen ist das IT-Systemhaus nach der Beauftragung durch den Bereich VV3 der Zentrale zuständig. Ermittlungen in diesem Zusammenhang werden als „IT-Forensik“ bezeichnet.
    Nach der Beauftragung durch VV3 sammelt das IT-Systemhaus die für die Ermittlungen erforderlichen Daten, bereitet diese auf und führt auf Anforderung des Auftraggebers eine Bewertung durch. Daten, die sich nicht im unmittelbaren Zugriff des IT-Systemhauses befinden, werden ohne Detailinformationen zum Sachverhalt gegebenenfalls vom zuständigen Regionalen IT-Service (RITS) schriftlich (Verschlusssache) eingeholt. Der Informationsaustausch erfolgt in diesen Fällen über den/die RITS-Leiter/in oder dessen/deren Vertreter/in.
    Die Kommunikation mit externen Stellen und Strafverfolgungsbehörden erfolgt i.d.R. über VV3 der Zentrale. Nach bilateraler Absprache mit VV3 kann im Einzelfall ein anderes Verfahren festgelegt werden. Dem IT-Systemhaus obliegt die Außenkommunikation in IT-technischen Angelegenheiten (z.B. mit Betreibern von Webseiten, Betreibern von Maildiensten).
    Für die Herausgabe der gesicherten Daten muss ein entsprechender richterlicher Beschluss der Strafverfolgungsbehörden vorliegen. Die Löschung der gesicherten Daten ist von der jeweiligen Dienststelle in Absprache mit dem KPB-Team selbst vorzunehmen.
  • Sperrung von Zugriffen (insbesondere IT-Zugriffe) und Zutrittsmöglichkeiten: s. Ziffer IV.1 VfV
  • Strafanzeige/Einschaltung der Strafverfolgungsbehörden: Bei strafrechtlich relevanten Handlungen ist in jedem Fall Anzeige bei der Staatsanwaltschaft zu erstatten; im Vorfeld ist das Vorliegen stichhaltiger Beweise mit dem Bereich VA2 der Zentrale abzuklären.
  • Dienst- und arbeitsrechtliche Maßnahmen, z.B. Einleitung eines Disziplinarverfahrens, Disziplinarmaßnahme, Abmahnung, verhaltensbedingte Kündigung. Sofern es sich um Zugriffsverletzungen i.R. der IKT handelt, ist Näheres in HEGA 10/10 - Nr. 12 - DV-IKT geregelt.
  • Vermögenssicherung: Gegebenenfalls sind mögliche Sofortmaßnahmen zu treffen, wie z.B. die Stornierung von Zahlungsanweisungen; darüber hinaus wird auf die Regelungen zum VfV verwiesen.
  • Unterrichtung der vorgesetzten Dienststelle/Einschaltung des Dienstherren: Das KPB-Team kann in Verdachtsfällen auch unter Umgehung des Dienstweges und ohne Einschaltung des Dienstherren kontaktiert werden.
  • Einleitung des Haftungsverfahrens/Geltendmachung von Erstattungsansprüchen: Es wird auf die Regelungen der VfV verwiesen.

Die oben dargestellten Verfahrensschritte liegen grundsätzlich in der Prozessverantwortung der jeweiligen Dienststelle. Das KPB-Team berät und unterstützt soweit erforderlich und koordiniert das weitere Vorgehen. Die zugrunde liegenden Geschäftsprozesse sind als Anlage beigefügt.

Beispielhaft wird folgende Fallgestaltung beschrieben: Wie verhalte ich mich als MA eines RITS, wenn die Polizei die Herausgabe eines Sicherungsprotokolls verlangt? -> Der Mitarbeiter wendet sich zunächst telefonisch an das KPB-Team. Es wird geklärt, ob die Polizei ein Amtshilfeersuchen oder einen Durchsuchungs- bzw. Herausgabebeschluss nachweisen kann. Liegt letzteres vor, so wird vom KPB-Team über VA2 mit BAS4/DV-Control geklärt, welche Daten gesichert werden und wie die Übergabe der gesicherten Daten an die Polizei zu erfolgen hat. Anschließend erfolgt eine Rückmeldung an das RITS. Liegt kein Durchsuchungs- bzw. Herausgabebeschluss vor, übernimmt das KPB-Team zunächst die weitere Kommunikation mit der Polizei und klärt, was genau erforderlich ist. Auch hierzu wird eine Rückmeldung an das RITS gegeben.

4.3 Amtshilfeersuchen von Strafverfolgungsbehörden

Das KPB-Koordinationsbüro bei der Internen Revision in der Zentrale ist unverzüglich über Amtshilfeersuchen von Strafverfolgungsbehörden im Zusammenhang mit möglichen Straftaten von Mitarbeitern/innen zu informieren. Es wird bilateral geklärt, wer die Erledigung des Amtshilfeersuchens übernimmt. Dasselbe gilt für den Eingang eines richterlichen Beschlusses.

Davon unberührt bleiben die weiteren, in den Regelungen zum VfV geregelten Informationspflichten.

4.4 Datenschutz und Vertraulichkeit

Bei der Meldung von Verdachtsfällen sind hohe Anforderungen an den Daten- und Mitarbeiterschutz anzulegen. Informationen dürfen nicht an Dritte weitergegeben werden. Gegebenenfalls ist ohne Einhaltung des Dienstweges direkt das Bearbeitungs- und Ermittlungsteam in Korruptionsangelegen-heiten (KPB-Team) beim jeweils zuständigen Stützpunkt der Internen Revision oder alternativ das KPB-Koordinationsbüro bei der Internen Revision in der Zentrale einzuschalten. Daten dürfen nur verschlüsselt, verschlossen auf dem Postweg oder - in Absprache - per Fax weitergegeben werden. Eine unverschlüsselte Weitergabe per E-Mail ist nicht zulässig.

4.5 Datensicherung

Die E-Mail-Info RITS vom 7.8.2009 (Nr. 7/2009) ist damit aufgehoben.

4.6 In-Kraft-Setzung

Diese Geschäftsanweisung ist von den Vorsitzenden der Geschäftsführung der Agenturen für Arbeit gegenüber den ARGEn ihres Zuständigkeitsbereichs unverzüglich, d. h. in der Regel binnen 24 Stunden nach Erhalt, in geeigneter Weise verbindlich in Kraft zu setzen.

zum Seitenanfang

5. Beratung durch die Interne Revision

Die Interne Revision steht allen Mitarbeiterinnen und Mitarbeitern, Vorgesetzten bzw. Dienststellen bei Zweifelsfragen zum Thema „Umgang mit Verdachtsfällen auf dolose Handlungen“ beratend zur Verfügung. Entsprechende Anfragen können schriftlich an die Interne Revision in der Zentrale (VV 3), Korruptionsprävention und -bekämpfung, Regensburger Str. 104, 90478 Nürnberg oder elektronisch an das virtuelle Postfach des Teams für Korruptionsprävention und -bekämpfung gerichtet werden (_BA-Zentrale-Korruptionsangelegenheiten).

zum Seitenanfang

6. Koordinierung

Die bei der Internen Revision eingehenden Mitteilungen/Meldungen werden von dort hinsichtlich der bekannt gewordenen Tatmuster systematisch erfasst. Die fachlich zuständigen Bereiche der Zentrale werden von VV3 über dieses Ergebnis informiert und sind danach selbst für daraus erforderliche Folgeaktivitäten und die Weiterentwicklung eines geeigneten IKS verantwortlich. Sind mehrere Geschäftsbereiche betroffen, so ist für die gemeinsame Abstimmung ein Prozessverantwortlicher eines Geschäftsbereiches zu bestimmen, dem die Koordination der Folgeaktivitäten (z.B. Weiterentwicklung IKS) obliegt. Gemäß den Richtlinien des Vorstandes kann die operative Prozessverantwortung nicht durch die Interne Revision wahrgenommen werden.

zum Seitenanfang

7. Haushalt

entfällt

zum Seitenanfang

8. Beteiligung

Der Hauptpersonalrat wurde beteiligt.

zum Seitenanfang

Anlage

Geschäftsprozessmodell - Auszug (PDFPDF, 999 KB)
Anlage zur HEGA 12/10 - Umgang mit dolosen bzw. strafbaren Handlungen

zum Seitenanfang