Deutscher Bundestag – 17. Wahlperiode
167 ––
–– 167
– die Abgrenzung, ob es sich um eine Datenverarbeitung im Auftrag nach § 11 BDSG oder um eine Funktionsübertragung handelt,
– die Reichweite von Zugriffsrechten und Auswertungsmöglichkeiten,
– die Umsetzung der Grundsätze der Datenvermeidung
und Datensparsamkeit,
– die Sicherstellung der Auskunfts- und Einsichtsrechte
der Betroffenen,
– der Inhalt von Freitextfeldern,
– die nach § 9 BDSG und dessen Anlage zu treffenden
erforderlichen technischen und organisatorischen
Maßnahmen zum Schutze der Beschäftigtendaten,
– die Regelungen von Dienstvereinbarungen,
– der Umfang der Kontrollrechte und Handlungsmöglichkeiten des internen Beauftragten für den Datenschutz,
– insbesondere jedoch die (technische/physikalische)
Umsetzung der gesetzlichen Aufbewahrungs-/Löschungsvorschriften von Beschäftigtendaten (z. B.
nach den §§ 106 ff. BBG) im Praxisbetrieb.
Wie ich bei Kontrollen (vgl. Nr. 13.4) feststellte, ist es
wichtig, dass alle erforderlichen datenschutzrechtlich relevanten Maßnahmen nicht nur bei zentralen Personalinformations- und Personalverwaltungsverfahren umgesetzt
werden, sondern auch bei solchen Verfahren, die aus
Sicht der Behörde geringere Bedeutung haben, insbesondere bei der dezentralen Verarbeitung von Personaldaten.
Bei meinen Beratungen nimmt die datenschutzkonforme
Einführung und Führung von elektronischen Personalakten zunehmenden Raum ein. Diese Entwicklung steht
zwar erst am Anfang. Ich gehe aber davon aus, dass die
öffentlichen Stellen (nicht nur) des Bundes von der gesetzlichen Möglichkeit, Personalakten vollständig oder in
Teilen automatisiert („elektronisch“) zu führen, in absehbarer Zukunft verstärkt Gebrauch machen werden.
Drucksache 17/13000
K a s t e n z u N r. 1 3 . 2
Automatisierte Personaldatenverarbeitung:
Beratungen
Im Berichtszeitraum hat mich das BMF beratend in
seine Planungen zur Einführung des „Einheitlichen Personalverwaltungssystems in der Bundesfinanzverwaltung (PVS)“ eingebunden. Gleiches gilt für das AA zum
dortigen „Integrierten Personalverwaltungs- und Organisationsmanagementsystem IPOS“ (PVS-AA). Das
BMI habe ich weiterhin bei seinen Planungen zum Aufund Ausbau von Dienstleistungszentren zum Umgang
mit Beschäftigtendaten beraten (vgl. 23. TB Nr. 12.5),
aber auch bei Erstellung und Abschluss einer neuen
Rahmendienstvereinbarung mit seinem Hauptpersonalrat (HPR) über die automatisierte Verarbeitung personenbezogener Daten mit dem elektronischen Personal-, Organisations- und Stellenmanagement-System „EPOS 2.0“.
Ferner unterstütze ich derzeit die DTAG sowohl bei den
elektronischen Personalakten als auch bei der Umsetzung ihres Projektes „Datenschutzkonformes Löschen“
personenbezogener Daten ihrer beamteten Beschäftigten im Personalverwaltungssystem. Schließlich berate
ich das BMVBS im neuen Projekt eines „Elektronischen
Bewerbungsverfahrens“, ebenso das BMF und das
BADV bei den aktuellen Planungen zum Projekt „elektronische Beihilfe – eBiV“.
13.3
Entwicklungen bei der elektronischen
Personalakte
Einführung elektronischer Personalakten – zwei Fallbeispiele. Was bei der Telekom geht, muss auch bei der DRV
Bund möglich sein.
Im Rahmen meiner Beratungen weise ich die Bundesbehörden u. a. auf die nach wie vor aktuellen Handlungsempfehlungen hin, die die Konferenz der Datenschutzbeauftragten des Bundes und der Länder zum Datenschutz
bei technikunterstützten Verfahren der Personal- und
Haushaltsbewirtschaftung erarbeitet hat und die ich im
Kern in meinem 21. TB dargestellt habe (vgl. 21. TB
Kasten zu Nr. 14.3).
Mit dem Dienstrechtsneuordnungsgesetz vom 5. Februar
2009 (BGBl. I S. 160 – vgl. 21. TB Nr. 14.2 sowie 22. TB
Nr. 16.15) wurde die Möglichkeit geschaffen, Personalakten der Bundesbeamtinnen und -beamten in Teilen oder
vollständig automatisiert („elektronisch“) zu führen
(§ 106 Absatz 1 Satz 3 Bundesbeamtengesetz – BBG).
Bei der datenschutzgerechten Führung von elektronischen Personalakten in der Bundesverwaltung müssen die
Authentizität und die Integrität der darin eingescannten
Dokumente durch vollständige Sichtprüfung und eine
qualifizierte digitale Signatur nach dem Signaturgesetz
(SigG) gewährleistet werden (vgl. 23. TB Nr. 12.3, 5.5).
Wie wichtig eine frühzeitige datenschutzrechtliche Beratung im Zusammenhang mit der automatisierten Personaldatenverarbeitung ist, zeigen einmal mehr die großen
datenschutzrechtlichen Mängel und Rechtsverstöße im
Umgang mit Beschäftigtendaten, die ich im Berichtszeitraum bei meinen stichprobenartigen Beratungs- und Kontrollbesuchen bei Bundesbehörden feststellen und auch
förmlich beanstanden musste (vgl. Nr. 13.4). Ich werde
die Entwicklung weiter beobachten und die öffentlichen
Stellen des Bundes hierbei im Rahmen meiner Beratungsaufgabe auch zukünftig unterstützen.
Die DRV Bund hat mich über die Bedingungen eines Pilotverfahrens zur Einführung einer elektronischen Personalakte informiert. Hierbei war u. a. vorgesehen, die in Papierform vorliegenden Personalaktendaten der Beschäftigten
einer Abteilung einzuscannen und vor dem Anbringen einer Signatur stichprobenartig die (nach Zufallsauswahl
durch das System) bis zum Erreichen der 2-Prozent-Quote
notwendige Anzahl an Dokumenten per Sicht zu prüfen.
Anschließend sollen aber – sofern die wenigen digitalisierten Dokumente, deren Sichtprüfung erzwungen
wurde, als lesbar und beanstandungsfrei bestätigt werden –
BfDI 24. Tätigkeitsbericht 2011-2012