Deutscher Bundestag – 17. Wahlperiode
169 ––
–– 169
Datenschutzrechtliche Mängel ergaben sich auch beim
Betrieb des sog. elektronischen Zeitwirtschaftssystems.
Mit diesem System werden auch die Urlaubs- und Erkrankungsdaten verwaltet. Allerdings wurden die gesetzlichen Aufbewahrungsfristen (§ 113 Absatz 2 Satz 1
BBG) für diese Personalaktendaten nicht eingehalten. Sowohl automatisiert als auch in Papierform waren diese
Daten unzulässig zu früh gelöscht worden, was die Persönlichkeitsrechte der Betroffenen verletzt.
Am Arbeitsplatz des Leiters einer Fachabteilung der UKBund wurden unzulässig Personal-/Personalaktendaten
(hierunter auch Angaben über Gesundheit) automatisiert
gespeichert, dabei auch solche von Beschäftigten anderer
Abteilungen. Unter welchen engen Voraussetzungen Vorgesetzte im Rahmen der täglichen Aufgabenerledigung
berechtigt sind, personenbezogene Daten der Mitarbeiterinnen und Mitarbeiter ihrer Organisationseinheit zu verwenden, habe ich ausführlich in meinem 21. TB
(Nr. 14.1) dargestellt. Diese Voraussetzungen waren vorliegend nicht gegeben.
Die Datenschutzverstöße habe ich nach § 25 Absatz 1
BDSG gegenüber dem Vorstand der UK-Bund beanstandet. Der Besuch zeigte auch Datenschutzverstöße im Umgang der UK-Bund mit Sozialdaten der bei ihr Versicherten auf, die ebenfalls zu einer förmlichen Beanstandung
führten (vgl. hierzu Nr. 11.4.2).
Bei einer unangekündigten Nachkontrolle musste ich erneut feststellen, dass entgegen der mir zuvor gegebenen
Bestätigung, dass die schon beanstandeten Mängel im
Umgang mit Personal-/Personalaktendaten der Beschäftigten und mit Sozialdaten abgestellt worden seien, nach
wie vor eine sehr große Anzahl an Dateien mit Personal-/
Personalaktendaten der Beschäftigten ohne Rechtsgrundlage und damit weiterhin unzulässig gespeichert waren.
Ich habe dies gegenüber dem Vorstand der UK-Bund erneut als einen Verstoß gegen die Regelungen der
§§ 106 ff. BBG beanstandet.
Nach § 24 Absatz 4 BDSG sind die öffentlichen Stellen
des Bundes verpflichtet, mich und meine Mitarbeiterinnen und Mitarbeiter bei der Erfüllung meiner Aufgaben
zu unterstützen. Die unzutreffende Bestätigung der Löschung von unzulässig gespeicherten Personal-/Personalaktendaten durch den Geschäftsführer – nach der ich von
einem nunmehr datenschutzkonformen Umgang mit Beschäftigtendaten ausgehen konnte – habe ich deshalb
nach § 25 Absatz 1 BDSG gegenüber dem Vorstand der
UK-Bund als einen Verstoß gegen das in § 24 Absatz 4
BDSG normierte Unterstützungsgebot beanstandet.
Auch in Freitextfeldern in EPOS und im Zeitwirtschaftssystem der UK-Bund habe ich unzulässige, für die Aufgabenerfüllung nicht erforderliche Einträge mit Beschäftigtendaten festgestellt. Noch während des Besuches hat die
UK-Bund die von mir empfohlenen notwendigen Maßnahmen für einen datenschutzgerechten Umgang mit Beschäftigtendaten in den Freitextfeldern beider Systeme
eingeleitet und mir die Löschung aller unzulässigen Beschäftigtendaten erneut zugesichert. Unter Berücksichti-
Drucksache 17/13000
gung dieser Maßnahmen habe ich insoweit von einer Beanstandung abgesehen.
Kontrolle im Wasser- und Schifffahrtsamt (WSA)
Dresden
Im Zusammenhang mit meinen beiden im Jahr 2009
durchgeführten Beratungs- und Kontrollbesuchen im Geschäftsbereich des BMVBS (vgl. 23. TB Nr. 12.4) habe
ich im WSA Dresden überprüft, ob die vom BMVBS zugesagten/bestätigten Maßnahmen und Veranlassungen für
einen datenschutzgerechten Umgang mit Beschäftigtendaten im Geschäftsbereich im Praxisbetrieb umgesetzt
wurden. Insbesondere galt mein Augenmerk möglichen
weiteren unzulässigen Verfahren der automatisierten Personaldatenverarbeitung neben dem im Geschäftsbereich
eingesetzten einheitlichen Personalverwaltungssystem
PVS BMVBS (PVS).
Die Prüfung im WSA Dresden des dort seit Oktober 2007
eingesetzten PVS führte erfreulicherweise im Ergebnis zu
keinen datenschutzrechtlichen Beanstandungen bei der
Nutzung des eigentlichen Systems. Allerdings habe ich
dort im Sachbereich Personal erneut in großer Anzahl
weitere unzulässige Verfahren der automatisierten Personaldatenverarbeitung für Zwecke der Personalverwaltung/Personalwirtschaft vorgefunden. In der Regel waren
dort Personal-/Personalaktendaten der Beschäftigten gespeichert, die nach den gesetzlichen Aufbewahrungs-/Löschungsregelungen längst hätten gelöscht sein müssen.
Ich habe deutlich gemacht, dass das in PVS grundsätzlich
gewährleistete gesetzmäßige Löschen von Beschäftigtendaten nicht durch einen Umgang mit Beschäftigtendaten
außerhalb von PVS „unterlaufen“ werden darf.
Nach meinen Kontroll- und Beratungsbesuchen im
Jahr 2009 hatte das BMVBS seinen Geschäftsbereich
u. a. darauf hingewiesen, dass auch bei Papierunterlagen
die gesetzlichen Löschungsfristen zu beachten sind. Dennoch habe ich im WSA Dresden in sehr großem Umfang
unzulässig gespeicherte Personal-/Personalaktendaten in
Papierform – auch besondere Arten personenbezogener
Daten (Angaben über politische Meinungen, Gesundheit) –
festgestellt. So waren z. B. in drei Karteikästen Hunderte
alter Karteikarten (Personalkarten) zu ausgeschiedenen,
in überwiegender Zahl bereits verstorbenen Beschäftigten
des WSA Dresden bzw. der Vorgängerbehörden und zu
deren Angehörigen abgelegt. Die Geburtsdaten der Betroffenen datierten ab dem Jahr 1885!
Die unzulässige Speicherung von Personal-/Personalaktendaten in automatisierter und in manueller Form habe
ich gegenüber dem BMVBS als Verstoß gegen die Regelungen der §§ 106 ff. BBG bzw. gegen § 12 Absatz 4
i. V. m. § 32 Absatz 1 BDSG beanstandet.
Geprüft habe ich auch das automatisierte Gleitzeitverfahren. Wie ich dabei feststellen musste, waren dort alle
Zeitbuchungen der Beschäftigten rückwirkend noch bis
zum 1. Januar 2010 gespeichert, was mit den entsprechenden Regelungen der Verordnung über die Arbeitszeit
der Beamtinnen und Beamten des Bundes (Arbeitszeitverordnung – AZV) vom 23. Februar 2006 nicht in Ein-
BfDI 24. Tätigkeitsbericht 2011-2012