is
i
– 149 –
im Einzelfall – nachvollziehbar dargelegt werden. Losgelöst vom jeweiligen Einzelvorgang kann es zur Aufgabenerfüllung der Gleichstellungsbeauftragten unter Umständen auch erforderlich sein, ihr einen eingeschränkten
Lesezugriff auf den Stammdatensatz in einem Personalverwaltungs-/Personalinformationssystem einzuräumen.
Dies setzt jedoch eine konkrete Festlegung der einzelnen
Datenfelder voraus und sollte auch in einer Dienstvereinbarung dokumentiert werden.
Hinsichtlich der Zugriffsrechte der Personalvertretung
stellt sich die Rechtslage anders dar, da es für diese kein
eigenes Recht auf Zugang zur Personalakte bzw. Personalaktendaten nach dem BBG gibt. Vielmehr dürfen nach
§ 68 Abs. 2 Satz 3 und 4 Bundespersonalvertretungsgesetz (BPersVG) Personalakten nur mit Zustimmung des
Beschäftigten und nur von den von ihm bestimmten Mitgliedern der Personalvertretung eingesehen werden.
Meine Auffassung zur Thematik „Zugriffsrechte der Mitarbeitervertretung auf Personaldaten“ habe ich in meinem
15. Tätigkeitsbericht (Nr. 9.6.1) dargestellt. Im Tenor
können dem Personalrat danach ebenfalls bestimmte
Grunddaten, die er auf Dauer zur sachgemäßen Aufgabenerfüllung, insbesondere zur Wahrnehmung seiner Beteiligungsrechte nach dem BPersVG benötigt, zur Verfügung gestellt werden. Dies kann, unabhängig von
Beteiligungsverfahren, auch durch Einräumung eines lesenden Zugriffs auf ein Personalinformations-/Personalverwaltungssystem geschehen.
Personalmanagementsystem EPOS 2.0: IT-Hosting
In meinem 20. Tätigkeitsbericht (Nr. 10.3.2) hatte ich
über die Entwicklung und Einführung des neuen elektronischen Personal-, Organisations- und Stellenmanagementsystems EPOS 2.0 im BMI bzw. im Bundesverwaltungsamt (BVA) berichtet. Im Zusammenhang mit der
Einführung von EPOS 2.0 im BMU und dessen Geschäftsbereich wurde erstmals auch die Thematik eines
IT-Hostings an mich herangetragen. Hierbei soll das BVA
für das BMU IT-Dienstleistungen bei Bereitstellung und
Betrieb von EPOS 2.0 übernehmen. Bei dieser Übertragung von Service-Aufgaben für den technischen Betrieb
sowie der technischen und fachlichen Administration dieses Systems handelt es sich um eine Datenverarbeitung
im Auftrag (§ 11 BDSG). Ich habe zum Ausdruck gebracht, dass hierbei sowohl die in § 11 BDSG genannten
Voraussetzungen gewährleistet als auch die Zugangsbeschränkungen des § 90 Abs. 3 BBG hinsichtlich der in
EPOS 2.0 gespeicherten Personalaktendaten eingehalten
werden müssen. Zur Zulässigkeit eines solchen IT-Hostings im Personalbereich hat das BVA auf meine Anregung hin eine grundsätzliche Stellungnahme des BMI aus
personalaktenrechtlicher Sicht eingeholt. Darin führt das
BMI aus, dass die Personalakten physisch auch an einer
anderen Stelle aufbewahrt werden können. Entscheidend
sei, dass kein gezielter Einblick im Sinne eines inhaltlichen Zur-Kenntnis-Nehmens in Personalaktendaten erfolge. Solange lediglich eine – aus technischen Gründen
nicht auszuschließende – kurzfristige optische Wahrnehmungsmöglichkeit im Zuge der Sicherung der Betriebsfähigkeit von EPOS 2.0 erfolge, liege nach dem Schutzzweck des § 90 Abs. 3 BBG noch kein „Zugang“ im
personalaktenrechtlichen Sinne vor.
In die daraufhin zwischen BMU und BVA abgeschlossene Service-Vereinbarung zur Wahrnehmung von
IT-Dienstleistungen im Rahmen der Bereitstellung und
des Betriebs von EPOS 2.0 sind auf meine Empfehlung
auch umfassende datenschutzrechtliche Regelungen aufgenommen worden. Unter diesen Bedingungen habe ich
aus datenschutzrechtlicher Sicht grundsätzlich keine Bedenken gegen eine solche Datenverarbeitung im Auftrag
bei einem Personalmanagementsystem.
K a s t e n zu Nr. 14.3
Handlungsempfehlungen Datenschutz bei technikunterstützten Verfahren der Personal- und Haushaltsbewirtschaftung
II. Allgemeine datenschutzrechtliche Leitplanken
Personenbezogene Daten fallen bei der Nutzung dieser technisch unterstützten Verfahren als Inhaltsdaten (Personaldaten bzw. Personalaktendaten) und als Protokolldaten (mit besonderer Zweckbindung) an.
Für den Umgang mit diesen Daten gelten die folgenden allgemeinen Grundsätze:
1. Personenbezogene Daten der Beschäftigten dürfen in technikgestützten Verfahren nur in dem Umfang gespeichert, übermittelt und genutzt werden, in dem dies rechtlich zulässig und im Rahmen der festgelegten Zwecke
zur Durchführung der der jeweiligen Stelle obliegenden personalwirtschaftlichen, organisatorischen und sozialen
Aufgaben erforderlich ist (Grundsatz der Zulässigkeit, Zweckbindung und Erforderlichkeit).
2. In einem Berechtigungskonzept ist festzulegen, welche Stellen und/oder Funktionsträgerinnen oder Funktionsträger im Rahmen der ihnen übertragenen Aufgaben für welche Zwecke und in welcher Form (lesend/verändernd)
befugt sind, auf Daten zuzugreifen oder Auswertungen vorzunehmen. Das Berechtigungskonzept ist fortzuschreiben und mindestens so lange zu speichern wie die zugehörigen Protokolldaten.
R
si
ev
i
BfDI 21. Tätigkeitsbericht 2005-2006
o
3. Es ist schon im Vorfeld bei der Auswahl und Gestaltung der automatisierten Verfahren darauf hinzuwirken, dass
keine oder möglichst wenig personenbezogene Daten verarbeitet werden (Grundsatz der Datenvermeidung und
Datensparsamkeit).