Drucksache 14/5555
– 134 –
beitung von Personal-/ Personalaktendaten verbundenen
Risiken für die Persönlichkeitsrechte der Beschäftigten
wichtig, was meine nachfolgenden Kontrollfeststellungen
eindrucksvoll belegen.
18.6.2 Personaldatenverarbeitung des BAFl
erneut beanstandet
Veranlasst durch die bei einer früheren Datenschutzkontrolle von mir beanstandeten Mängel (vgl. 17. TB
Nr. 18.9.1) habe ich im Berichtszeitraum eine Anschlusskontrolle der automatisierten Personaldatenverarbeitung
in der Zentrale des BAFl durchgeführt.
Dort werden im Personalreferat die Personalverwaltungssysteme „INFO-Z“ im Wirkbetrieb und parallel hierzu im
Testbetrieb das Personalverwaltungssystem „EPOS“, das
nach der Einführung das vorgenannte System ablösen
soll, eingesetzt. An den Arbeitsplätzen der mit der Datenbankadministration der Systeme betrauten Mitarbeiter
wurden zum Teil auch Arbeiten zur Weiterentwicklung
von Programmen bzw. Programmteilen vorgenommen.
Dabei fand ich u. a. auf den lokalen Laufwerken dieser
PC’s teilweise vollständige Datenbankkopien der vorgenannten Personalverwaltungssysteme, die dort auch längerfristig gespeichert waren. Mittels auf diesen PC abgelegter Programmroutinen konnten die Bearbeiter jederzeit
aktuelle Datenbankkopien von dem im Rechenzentrum
befindlichen Datenbankserver herunterladen und lokal
abspeichern. Die aus „INFO-Z“ gewonnene Datenbestände wurden dann für referatsinterne Auswertungen,
aber auch ohne erforderliche Anonymisierung zu
Testzwecken verwendet. Die Speicherung dieser Datenbestände auf dem PC entsprach weder technisch noch organisatorisch den gesetzlichen Anforderungen. So war
etwa die geforderte physische Trennung der Datenbestände nach Echt- und Testbetrieb nicht erfolgt.
Die zahlreichen Mängel im Bereich der Datensicherheit
im Umgang mit Mitarbeiterdaten habe ich gegenüber dem
BMI erneut als Verstoß gegen § 9 sowie Anlage zu § 9
Satz 1 BDSG beanstandet.
Im Personalverwaltungssystem „INFO-Z“ habe ich auch
Datensätze von mehr als 1 500 ehemaligen Mitarbeitern,
bis in das Jahr 1994 zurückreichend, vorgefunden. Hierbei handelte es sich nicht etwa um wenige ausgewählte
Stammdaten, sondern um den kompletten Datensatz (Personalaktendaten), wie er in diesem System auch über die
aktiv Beschäftigten des BAFl geführt wird.
In geringerem Umfang enthielten auch „EPOS“ und die
automatisierte Fortbildungsdatei ausgewählte Personalaktendaten von ehemaligen Beschäftigten. Daneben
waren noch in einer nicht-automatisierten Personaldatei
Passfotos und umfangreiche Personalaktendaten von allen ehemaligen Mitarbeitern vorhanden.
Demnach hatte das BAFl zum Zeitpunkt der Kontrolle
noch umfangreiche Personalaktendaten aller ehemals dort
beschäftigten Mitarbeiter gespeichert. Es handelte sich
hierbei um Personalnebenakten im Sinne des § 90 Abs. 2
Satz 3 BBG, für deren Führung die gesetzlichen Voraussetzungen (vgl. Nr. 18.3.1.2) nicht gegeben waren. Ich
Deutscher Bundestag – 14. Wahlperiode
habe diese Speicherung deshalb als unzulässig bewertet
und deren umgehende Löschung gefordert. Keine Bedenken bestehen aus meiner Sicht, für einen bestimmten Zeitraum einen sehr eingeschränkten Datensatz über ausgeschiedene Mitarbeiter zur notwendigen Abwicklung von
„Personalmaßnahmen“ bei der ehemaligen Beschäftigungsbehörde zu speichern, wenn die Betroffenen hierüber informiert werden.
Weiterhin fand ich an einem der Administrator-Arbeitsplätze im Personalreferat in Ordnern, die der Dokumentation des Personalverwaltungssystems „INFO-Z“ dienten,
unzulässigerweise Personalaktendaten von Mitarbeitern,
wie z. B. Listen aus früheren Jahren mit Beurteilungsnoten, Angaben zu Behinderungen oder Personalstammblätter, die als „Muster“ aufbewahrt wurden sowie, für jedermann zugänglich, hunderte Abdrucke von alten, sensiblen
Schreiben an Mitarbeiter zu Personalmaßnahmen, etwa
Kündigungen. Diese hätten nach Aufnahme in die Personalakte und Zustellung längst vernichtet sein müssen.
Ich habe die vorgefundenen Mängel im Umgang mit Personalaktendaten im BAFl (automatisiert und nicht-automatisiert) gegenüber dem BMI als einen Verstoß gegen
die Regelungen der §§ 90 ff BBG beanstandet.
Das BAFl hat bereits zahlreiche meiner Forderungen und
Empfehlungen, etwa die erforderliche Löschung personenbezogener Daten der dort ehemals Beschäftigten, umgesetzt bzw. notwendige Maßnahmen eingeleitet.
18.6.3 Personaldaten sind besonders
schutzbedürftig
Fast alle Behörden des Bundes nutzen heute sogenannte
Personalinformations- bzw. Personalverwaltungssysteme,
die die Personalverwaltung und Personalwirtschaft unterstützen. Mit den Systemen werden in erster Linie Personalaktendaten im Sinne des § 90 Abs. 1 Satz 2 Bundesbeamtengesetz (BBG) verarbeitet. Dies sind alle
Informationen über den Beamten, soweit sie mit dem
Dienstverhältnis in einem unmittelbaren inneren Zusammenhang stehen. Sie unterliegen dem Personalaktengeheimnis und sind besonders schützenswert: Nach
§ 90 Abs. 1 Satz 1 Halbsatz 2 BBG ist die Personalakte
(hierzu gehören auch Personalaktendaten, die automatisiert verarbeitet werden) vertraulich zu behandeln und vor
unbefugter Einsichtnahme zu schützen. Bei der Verarbeitung dieser besonders schützenswerten Daten sind auch
besonders wirksame technische und organisatorische
Maßnahmen i. S. § 9 BDSG – wie u. a. zum Schutz gegen
unbefugte Kenntnisnahme – vorzusehen.
§ 90 ff BBG, insbesondere § 90g BBG sind spezialgesetzliche datenschutzrechtliche Vorschriften – etwa zum
Zugang zur Personalakte. Sie sind auch in den Systemen
sicherzustellen. Darüber hinaus werden in den Personalverwaltungs- und Personalinformationssystemen auch
sonstige Mitarbeiterdaten verarbeitet, die nicht unter die
Definition des BBG für Personalaktendaten fallen.
Leider gibt es bei meinen Kontrollen immer wieder Anlass, auf Verstöße und Mängel bei der Erhebung und Verarbeitung von Personaldaten oder von Daten, die dem