Drucksache 17/13000
168 –
–
–– 168
alle Dokumente des Stapels eine qualifizierte elektronische Signatur erhalten. Zur Qualitätssicherung/-kontrolle
will die DRV Bund in diesem Testverfahren anschließend
nochmals alle Papierdokumente mit ihren digitalen Abbildern vergleichen, dies dokumentieren und auf dieser
Basis (Abgleich von Stichproben- und vollständiger
Sichtprüfung) die Frage der hinreichenden Sicherheit des
Verfahrens bewerten.
Um eine hinreichend sichere und vollständige Digitalisierung der Personalakten zu gewährleisten, reicht aus
meiner Sicht eine lediglich 2-Prozent-Sichtprüfung der
eingescannten Dokumente nicht aus, um anschließend
eine qualifizierte elektronische Signatur nach dem Signaturgesetz für alle Dokumente anzubringen. Mit dieser
technischen Begrenzung kann z. B. ein Mitarbeiter nicht
mehr selbständig bestimmen, ob er mehr oder gar alle
Dokumente vergleicht. Er wird im Zweifel zur Unterschrift/qualifizierten Signatur verpflichtet.
Im Dezember 2012 hat mich die DRV Bund informiert,
sie habe mit ausdrücklicher Zustimmung des BMAS testweise mit der Einführung elektronischer Personalakten
begonnen. Die derzeit nach dem Scannen durchgeführte
100prozentige-Sichtprüfung diene der Ermittlung der
Fehlerquote. Damit ist zumindest in diesem Pilotverfahren eine 100prozentige-Sichtprüfung und damit eine sichere und vollständige Digitalisierung der ausgewählten
Personalakten gewährleistet. Die DRV Bund hat zugesagt, mich nach Beendigung des Testverfahrens erneut zu
beteiligen. Hierbei werde ich auch auf die nachfolgend
dargestellten positiven Ergebnisse meiner entsprechenden
Beratung der Deutschen Telekom AG (DTAG) hinweisen.
Bei der DTAG werden die Personalakten aller Beschäftigten bereits seit einigen Jahren elektronisch (bisher jedoch ohne eine Signatur der Dokumente) geführt, die der
Beamtinnen und Beamten bisher ausnahmsweise zusätzlich parallel noch in Papierform. Im Berichtszeitraum
habe ich die DTAG im Zusammenhang mit den elektronischen Personalakten der dort beschäftigten Beamtinnen
und Beamten bei der vollständigen Umsetzung der gesetzlichen Vorgaben des Dienstrechtsneuordnungsgesetzes zur Führung elektronischer Personalakten beraten.
Dabei habe ich der DTAG insbesondere empfohlen, alle
in den automatisiert geführten Teilen der Personalakten
gespeicherten Dokumente mit einer qualifizierten Signatur nach dem SigG zu versehen. Meine früheren Vorschläge (vgl. 23. TB Nr. 12.3, 5.5, Zusammenfassungen
aller Empfehlungen) hat die DTAG bereits zum größten
Teil umgesetzt. Sie hat mir ferner ausdrücklich zugesichert, nach Prüfung ausnahmslos aller Dokumente der
elektronischen Personalakten ihrer beamteten Beschäftigten diese nach einem mit mir abgestimmten Konzept mit
einer qualifizierten elektronischen Signatur nach dem
SigG zu versehen und im Anschluss die entsprechenden
Papierunterlagen datenschutzkonform zu vernichten. Ich
begrüße ausdrücklich, dass die DTAG bei allen Dokumenten, sowohl den bereits in den elektronischen Personalakten eingescannten/gespeicherten ca. 22 Millionen
Dokumente, als auch zukünftig bei neuen Personalakten-
BfDI 24. Tätigkeitsbericht 2011-2012
Deutscher Bundestag – 17. Wahlperiode
daten, eine vollständige Sichtprüfung durchgeführt hat
bzw. durchführen und anschließend die Dokumente qualifiziert signieren wird.
Meine datenschutzrechtlichen Hinweise sind auch in die
am 1. Dezember 2011 in Kraft getretene Personalaktenrichtlinie für die bei der DTAG beschäftigten Beamtinnen
und Beamte eingeflossen, die der neuen Rechtslage nach
dem Dienstrechtsneuordnungsgesetz angepasst worden
ist. Danach werden die Personalakten der Beamtinnen
und Beamten als Hybridakten – die Grundakte automatisiert sowie bestimmte Teilakten weiterhin in Schriftform –
geführt. Das Recht auf Einsicht in die vollständige Personalakte nach § 110 Absatz 1 BBG ist sichergestellt, die
Aufbewahrungs-/Löschungsfristen in der elektronischen
Personalakte der beamteten Beschäftigten entsprechen
den Vorgaben des Bundesbeamtengesetzes. Die Löschung
von elektronischen Dokumenten wird derzeit durch die
Aufhebung von Verknüpfungen zum Archiv realisiert.
Das von der DTAG erstellte, von mir empfohlene Konzept zur physikalischen Löschung der Dokumente im Archiv wird die DTAG im 2. Quartal 2013 umsetzen.
Bezüglich der elektronischen Personalakten ihrer Tarifbeschäftigten steht die DTAG auf meine Anregung hin in
Kontakt mit dem hierfür zuständigen Landesbeauftragten
für Datenschutz und Informationsfreiheit NordrheinWestfalen.
13.4
Kontrollen im Personalwesen
Bei datenschutzrechtlichen Kontrollbesuchen festgestellte
Mängel musste ich in zahlreichen Fällen beanstanden.
Im Berichtszeitraum habe ich die Unfallkasse des Bundes, das Wasser- und Schifffahrtsamt Dresden sowie das
Jobcenter Wittenberg im Umgang mit Beschäftigtendaten
in den Personalabteilungen und bei Fachvorgesetzten
– insbesondere im Hinblick auf die automatisierte Personaldatenverarbeitung – beraten und kontrolliert. Zu
meinem Bedauern musste ich zahlreiche Verstöße, insbesondere gegen die §§ 106 ff. BBG, feststellen und in
mehreren Fällen förmlichen Beanstandungen aussprechen.
Kontrollen bei der Unfallkasse des Bundes
Die Unfallkasse des Bundes (UK-Bund) habe ich im Berichtszeitraum zweimal kontrolliert. Dabei zeigten sich
erhebliche Datenschutzverstöße beim automatisierten
Umgang mit personenbezogenen Daten der Beschäftigten. So habe ich unzulässige Verfahren der automatisierten Personaldatenverarbeitung und sonstige Dokumente
mit Personal-/Personalaktendaten vorgefunden, die neben
dem für Zwecke der Personalverwaltung, Organisation
und Stellenbewirtschaftung eingesetzten Verfahren EPOS
betrieben wurden. In diesen Verfahren waren ohne
Rechtsgrundlage Personal-/Personalaktendaten von Beschäftigten, u. a. mit Angaben über ihre Gesundheit, zu
bereits lange abgeschlossenen Personalvorgängen – teilweise als „Muster“ für zukünftige Vergleichsfälle – gespeichert.