io
n
– 84 –
5.8.3.2 Nicht-öffentlicher Bereich
Bei der Prüfung von Unternehmen ist mir aufgefallen,
dass in vielen Fällen Anträge an das BMWi als zuständige Stelle auf Durchführung einer Sicherheitsüberprüfung unpräzise und unzureichend begründet waren. Es
fanden sich beispielsweise Begründungen wie „Mitarbeit
bei VS-Projekten“, „Service in der Telekommunikation“,
„Kontakte zur Bundesregierung“ oder „kann sich auf
Dauer Zugang zu VS bis zur Stufe Geheim verschaffen“.
Anhand solcher pauschaler Begründungen kann die zuständige Stelle der ihr obliegenden Pflicht nicht nachkommen, die Notwendigkeit einer Sicherheitsüberprüfung der beantragten Stufe zu prüfen. Diese Anträge
hätten zur Ergänzung der Begründung an das Unternehmen zurückgegeben werden müssen und nicht – wie geschehen – zur Durchführung der Sicherheitsüberprüfung
an die mitwirkende Behörde weitergeleitet werden dürfen. Das zuständige BMWi hat zugesagt, künftig für eindeutig und nachvollziehbar begründete Anträge zu sorgen.
In einem besonders gravierenden Fall, in dem die Notwendigkeit der Sicherheitsüberprüfung mit „Kontakten
BfDI 21. Tätigkeitsbericht 2005-2006
Bei den Kontrollen im Berichtszeitraum habe ich wiederum festgestellt, dass in zahlreichen Fällen beim Ausscheiden eines Mitarbeiters aus der sicherheitsempfindlichen Tätigkeit das Datum des Ausscheidens nicht
eindeutig festgestellt wurde und in der Akte auch nicht
dokumentiert war. In einigen Fällen war das Ausscheiden
aus der sicherheitsempfindlichen Tätigkeit erst dadurch
aufgefallen, dass die Betroffenen im Rahmen der Aktualisierung erklärten, schon seit längerer Zeit nicht mehr mit
einer solchen Tätigkeit betraut gewesen zu sein. Das Ausscheiden setzt Löschungs- und Vernichtungsfristen in
Gang. Aus diesem Grunde muss dieses Datum festgestellt
und in der Akte festgehalten werden. In vielen Fällen
wird es in Folge der verspäteten Abmeldung zu Terminüberschreitungen bei der Löschung von Daten und der
Vernichtung von Akten kommen. Von besonderer Bedeutung ist in diesem Zusammenhang eine gut funktionierende Kommunikation zwischen dem Sicherheitsbevollmächtigen (Sibe) und der Personal verwaltenden Stelle.
Die AVV des BMI zu § 18 Abs. 2 SÜG verpflichtet die
Personalverwaltung, Informationen über persönliche,
dienstliche und arbeitsrechtliche Verhältnisse dem Geheimschutzbeauftragten – bei der nicht-öffentlichen
Stelle dem Sibe – mitzuteilen. Dieser Verpflichtung kommen die Personalverwaltungen nach meiner Erkenntnis
aber überwiegend nicht oder nur unzureichend nach.
Viele Fälle verspäteter Abmeldung ließen sich durch regelmäßige Veränderungsmitteilungen der Personalverwaltung an den Sibe vermeiden. Ich habe daher beim
BMWi wiederholt angeregt, im Geheimschutzhandbuch
verbindliche Handlungsanweisungen zu diesem Problem
festzulegen. Das BMWi hat dies inzwischen zugesagt.
In einem anderen Unternehmen entsprach der Zugriff auf
das konzerninterne Personalverwaltungssystem nicht den
datenschutzrechtlichen Anforderungen. Die Zugriffsregelung erlaubte dem Sibe den Zugriff auch auf Datenfelder,
die für seine Aufgabenerfüllung nicht relevant sind. Zudem hatte der Sibe Zugriff auf Daten von Mitarbeitern,
die der Geheimschutzbetreuung nicht unterliegen. Deswegen sind Veränderungen der Zugriffsregelung für den
Sibe unerlässlich. Hierbei sollte geprüft werden, ob das
System auch dazu genutzt werden kann, die notwendige
Kommunikation zwischen Sibe und Personalverwaltung
– wie vorstehend beschrieben – durch einen automatisierten Abgleich zu verbessern.
Einigen kontrollierten Akten habe ich entnommen, dass
dem Sibe vollständige Personalakten zur Einsichtnahme
n
Zwei Polizei-Bedienstete wurden von dem Geheimschutzbeauftragten vorläufig von der sicherheitsempfindlichen Tätigkeit entbunden, weil ihm von der Personalverwaltung sicherheitserhebliche Erkenntnisse mitgeteilt
worden waren. Diese Maßnahme war ohne vorherige Anhörung nach § 6 Abs. 3 SÜG erfolgt. Darüber haben sich
die Betroffenen in einer Eingabe bei mir beschwert. Der
Geheimschutzbeauftragte hatte hierzu die Auffassung
vertreten, eine Anhörung sei erst bei einer endgültigen
Entscheidung nach § 14 Abs. 3 SÜG durchzuführen. Wegen der unmittelbaren und gravierenden Auswirkung, die
auch eine vorläufige Ablösung aus einer sicherheitsempfindlichen Tätigkeit für den Betroffenen hat, halte ich
eine Anhörung nach § 6 Abs. 3 SÜG auch in diesen Fällen für geboten. Der Geheimschutzbeauftragte revidierte
nach eingehender Erörterung bei dem Kontrollbesuch
seine Auffassung und wird künftig auch bei vorläufig veranlasster Ablösung aus einer sicherheitsempfindlichen
Tätigkeit eine Anhörung entsprechend § 6 Abs. 3 SÜG
durchführen.
zur Bundesregierung“ begründet worden war, wurde die
Ermächtigung der betroffenen Person zwischenzeitlich
zurückgezogen. Die Sicherheitsüberprüfung dieser Person war von Anfang an unzulässig und die diesbezüglichen personenbezogenen Daten wurden zu Unrecht erhoben und verarbeitet. Ich habe daher die unverzügliche
Löschung aller Daten und die Vernichtung der Akten bei
allen beteiligten Stellen (Unternehmen, zuständige Stelle
und mitwirkende Behörde) verlangt. Das BMWi ist meiner Aufforderung nachgekommen und hat die beteiligten
Stellen aufgefordert, die Daten zu löschen und die Akten
zu vernichten.
io
die diese Daten zur Aufgabenerfüllung benötigt. Für die
Sicherheitsüberprüfungen bedeutet dies, dass dem Geheimschutzbeauftragten nur Daten zu den von ihm betreuten sicherheitsüberprüften Mitarbeitern mitgeteilt
werden dürfen. Im kontrollierten Präsidium war es jedoch
gängige Praxis, Sammelverfügungen an alle Bereiche
– unabhängig von deren konkreter Betroffenheit – zu
übersenden. Ich habe daher das Präsidium gebeten, diese
Praxis zu beenden und gemeinsam mit der Personal verwaltenden Stelle ein datenschutzgerechtes Verfahren zu
entwickeln. Diese Bitte hat auch das BMI aufgegriffen
und auf eine datenschutzgerechte Verfahrensweise bei allen Personalstellen im gesamten Bereich der Bundespolizei hingewirkt. Ob dies in der Praxis umgesetzt worden
ist, werde ich bei nächster Gelegenheit in einem weiteren
Präsidium kontrollieren.