Drucksache 17/13000
122 –
–
–– 122
len Einrichtungen der Informationstechnik sowie die logische Zugangskontrolle zu den IT-Systemen.
Auch habe ich einzelne IT-Arbeitsplätze der Mitarbeiter
geprüft. Hier besteht zum Teil Verbesserungsbedarf. Ich
habe das THW aufgefordert, mir entsprechende Änderungsvorschläge vorzulegen.
Bundesamt für Bevölkerungsschutz und
Katastrophenhilfe (BBK)
Im Berichtszeitraum habe ich ebenfalls den Datenschutz
beim BBK geprüft. Meine Prüfungen erstreckten sich auf
die verschiedenen datenschutzrelevanten Arbeitsbereiche, und zwar: Gemeinsames Lagezentrum von Bund und
Ländern (GMLZ), Deutsches Notfallvorsorgeinformationssystem (deNIS), Akademie für Krisenmanagement,
Notfallplanung und Zivilschutz (AKNZ), Psychosoziale
Notfallversorgung (PSNV)/Koordinierungsstelle Nachsorge, Opfer- und Angehörigen-Hilfe (NOAH), den Bereich Öffentlichkeitsarbeit, das Fachinformationssystem
(FIS) und den Bereich Forschung.
In den für das Bund-Länder-Krisenmanagement wesentlichen Bereichen GMLZ und deNIS habe ich keine datenschutzrechtlichen Unzulänglichkeiten festgestellt.
In den anderen Bereichen ergibt sich zum Teil ein Optimierungsbedarf, zu dem mir das BBK seine Vorschläge
mitgeteilt hat. Diese prüfe ich derzeit und werde sie sodann mit der Behörde erörtern.
8.11
Auswärtiges Amt
Neben der datenschutzrechtlichen Kontrolle einer großen
Auslandsvertretung ergab sich Gesprächsbedarf insbesondere zum Einsatz externer Dienstleister durch deutsche Botschaften und Konsulate im Ausland.
Zu Beginn des Berichtszeitraumes habe ich einen datenschutzrechtlichen Kontroll- und Beratungsbesuch nach
§ 24 BDSG bei einer großen deutschen Auslandsvertretung durchgeführt. Schwerpunkt der Kontrolle war die
Verarbeitung personenbezogener Daten in der Rechtsund Konsularabteilung sowie die innerbehördliche Organisation des Datenschutzes.
Für diesen Besuch wurde auch der vor einigen Jahren erarbeitete Runderlass „Datenschutz im Auswärtigen Amt
und an den Auslandsvertretungen“ herangezogen.
Neben einzelnen datenschutzrechtlichen Defiziten im Bereich der Prüfungsschwerpunkte, z. B. beim Verfahrensverzeichnis nach § 18 BDSG oder bei den Hinweisen auf
Videoüberwachungsanlagen, zeigten sich größere Probleme bei der Verarbeitung personenbezogener Daten zur
Abrechnung von Beihilfe-Leistungen. Das Verfahren umfasste die Verarbeitung teils sehr sensibler Daten nicht nur
der Beamten selbst, sondern auch von deren Familienangehörigen, wobei die gebotene Vertraulichkeit medizinischer Daten verletzt wurde.
Beim Abschlussgespräch mit dem Leiter der Auslandsvertretung und im weiteren Dialog mit dem behördlichen
Datenschutzbeauftragten des Auswärtigen Amtes habe
BfDI 24. Tätigkeitsbericht 2011-2012
Deutscher Bundestag – 17. Wahlperiode
ich auf eine datenschutzfreundliche Änderung des Abrechnungsverfahrens hingewirkt. Mittlerweile hat das
Auswärtige Amt für alle Auslandsvertretungen ein geändertes Verfahren eingeführt, um Beihilfe-Leistungen abzurechnen. Dies begrüße ich.
Ein weiterer Schwerpunkt meiner Tätigkeit war die
Frage, ob und unter welchen Bedingungen die Auslandsvertretungen einzelne Aufgaben des Visum-Verfahrens an
externe Dienstleistungserbringer auslagern dürfen. An einigen Auslandsvertretungen mit sehr hohem Visum-Aufkommen sollen bestimmte Dienstleistungen des VisumVerfahrens künftig durch externe Dienstleister erbracht
werden; dies betrifft insbesondere die Vereinbarung von
Terminen bei den konsularischen Abteilungen sowie die
Entgegennahme von Visum-Anträgen und die Prüfung
der Unterlagen auf Vollständigkeit. Ich sehe die Auslagerung dieser Aufgaben kritisch, denn sie ist mit Risiken für
den Datenschutz von Visum-Antragstellern und anderen
in den Unterlagen genannten Personen (etwa Angehörigen und Einladern) verbunden. Insbesondere in nicht-demokratischen Staaten besteht die Gefahr, dass die entsprechenden Angaben in die falschen Hände geraten und
dass den Betroffenen hieraus erhebliche Nachteile entstehen.
Grundsätzlich erlaubt der Europäische Visa-Kodex (Verordnung [EG] Nr. 810/2009 des Europäischen Parlaments
und des Rates vom 13. Juli 2009 über einen Visa-Kodex
der Gemeinschaft; ABl. L 243 vom 15. September 2009)
in Artikel 43 zwar das „Outsourcing“ bestimmter konsularischer Dienstleistungen. Derselbe Artikel 43 regelt jedoch auch, dass der hoheitliche Kernbestandteil im
Visum-Verfahren in der Verantwortung der Auslandsvertretung verbleiben muss, d. h. die eigentliche Prüfung und
die Entscheidung über einen Visum-Antrag müssen in jedem Falle durch die Auslandsvertretung selbst erfolgen.
Bevor Dienstleistungen ausgelagert werden dürfen, ist
außerdem zu prüfen, ob andere Mittel – z. B. eine engere
Zusammenarbeit der vor Ort befindlichen Auslandsvertretungen der EU-Staaten, die an der gemeinsamen
Visum-Politik teilnehmen – zur Verfügung stehen und
ebenso geeignet sind, eine Entlastung der Botschaften
und Konsulate zu erreichen. Ferner legt ein Anhang zum
Europäischen Visa-Kodex (Anhang V) „Mindestanforderungen“ fest, „die im Falle einer Zusammenarbeit mit
externen Dienstleistungserbringern in den Vertrag aufzunehmen sind“. Im Falle des Outsourcings sind die Auslandsvertretungen durch die Vorgaben des Europäischen
Visa-Kodex verpflichtet, die vertragsgemäße Auftragserfüllung des Dienstleistungserbringers zu überwachen und
zu diesem Zweck regelmäßig stichprobenartige Kontrollen in dessen Räumlichkeiten durchzuführen.
Für die Gewährleistung eines angemessenen Datenschutzniveaus kommt es selbstverständlich darauf an,
dass die Anforderungen des Europäischen Visa-Kodex
durch die Auslandsvertretung und insbesondere durch etwaige externe Dienstleister in der Praxis zu jeder Zeit und
in vollem Umfang beachtet werden.
Bei meinen Gesprächen mit dem Auswärtigen Amt habe
ich betont, dass höhere Effizienz bzw. Kosteneinsparun-