Drucksache 17/13000
170 –
–
–– 170
klang steht. Welche personenbezogenen Daten der Beschäftigten den unmittelbaren Vorgesetzten im Rahmen
der automatisierten Gleitzeit mitgeteilt werden dürfen,
hatte ich u. a. in meinem 21. TB (Nr. 14.1) dargestellt.
Dass die unmittelbaren Vorgesetzten an ihren Rechnern
einen permanenten automatisierten und unkontrollierten
Zugang zu den Gleitzeitkonten der Beschäftigten ihrer
Organisationseinheit hatten und somit jederzeit die Möglichkeit bestand, unzulässigerweise Gleitzeitdaten (Einzelbuchungen) zur Kenntnis zu nehmen und das Verhalten der einzelnen Beschäftigten zu überprüfen, verstößt
gegen § 7 Absatz 8 AZV. Auch die maßgebliche Regelung zu diesem Datenzugriff – der der Personalrat zugestimmt hatte – entsprach nicht der Rechtslage. In der
Gleitzeitstelle habe ich ferner unzulässig gespeicherte alte
Gleitzeitlisten und Monatsjournale von ausgeschiedenen
Beschäftigten festgestellt. Unzulässig war auch die im
WSA geübte Praxis, täglich eine automatisierte Abwesenheitsliste mit Zugriffsmöglichkeit für alle Beschäftigten des Amtes zu erstellen.
Die festgestellten Mängel im Umgang mit Beschäftigtendaten bei der Durchführung der gleitenden Arbeitszeit
habe ich gegenüber dem BMVBS nach § 25 Absatz 1
BDSG als Verstoß gegen die Regelungen des § 12 Absatz 4 i. V. m. § 32 Absatz 1 BDSG und § 7 Absatz 7
und 8 AZV beanstandet.
Im Ergebnis habe ich dem BMVBS mitgeteilt, dass ich
hinsichtlich zahlreicher Kontrollfeststellungen grundsätzlichen Handlungsbedarf für den gesamten Geschäftsbereich sehe.
Kontrolle im Jobcenter Landkreis Wittenberg
Der Beratungs- und Kontrollbesuch im Jobcenter Landkreis Wittenberg diente dazu, den Umgang mit personenbezogenen Daten aller zugewiesenen Beschäftigten im
Rahmen der dem Geschäftsführer des Jobcenters zustehenden dienst-, personal- und arbeitsrechtlichen Befugnisse zu überprüfen (vgl. Nr. 12.1.3.9). Konkrete
datenschutzrechtliche Anweisungen/Vorgaben oder Verfügungen zum zulässigen Umgang mit Beschäftigtendaten gab es zum Zeitpunkt meines Besuches im Jobcenter
leider nicht.
Am Arbeitsplatz einer Bereichsleiterin habe ich u. a. festgestellt, dass auf die tagesaktuell erstellte automatisierte
Liste „Abwesenheit von Beschäftigten“ neben der Geschäftsführung alle Teamleiter des Jobcenters Zugriff hatten und zwar nicht beschränkt auf die ihnen zugewiesenen Mitarbeiter. Dies war für deren Aufgabenerfüllung
nicht erforderlich und somit ebenso unzulässig, wie die
Speicherung der detaillierten Abwesenheitsgründe. Ferner
waren dort noch einige automatisierte Listen (automatisierte Verfahren) und Dokumente mit Personal-/Personalaktendaten der Beschäftigten gespeichert, die bereits gelöscht hätten sein müssen, da sie zur Aufgabenerfüllung
der Vorgesetzten nicht mehr erforderlich waren. Ich habe
darauf hingewiesen, dass es sich bei solchen automatisierten Listen des Jobcenters als verantwortliche Stelle
um Verfahren der automatisierten Personaldatenverarbeitung handelt. Sie sind u. a. in das Verfahrensverzeichnis
BfDI 24. Tätigkeitsbericht 2011-2012
Deutscher Bundestag – 17. Wahlperiode
des Jobcenters aufzunehmen und unterliegen der Mitbestimmung. Ferner sind rechtzeitig der Beauftragte für den
Datenschutz der verantwortlichen Stelle und in allgemeiner Form die betroffenen Beschäftigten zu unterrichten.
Diese Voraussetzungen waren im Jobcenter noch nicht
umgesetzt.
Am Arbeitsplatz eines Teamleiters wurden die einzelnen
Urlaubskarten der Beschäftigten des Teams aufbewahrt.
Nach seiner Aussage erfolgte dies mit freiwilliger Zustimmung der Betroffenen. Entsprechende schriftliche
Einwilligungen nach § 4a BDSG konnten allerdings nicht
vorgelegt werden. Die Urlaubskarte stellt eine Unterlage
mit Personalaktendaten dar und gehört materiell-rechtlich
zur Personlakte des jeweiligen Beschäftigten. Eine Aufbewahrung der Urlaubskarten bei einem Vorgesetzten
verstößt gegen das Personalaktengeheimnis. Nach § 107
BBG dürfen Vorgesetzte keinen Zugang zur Personalakte
eines Beschäftigten haben und auch keine Personalakten
– auch nicht als Teilakte – führen. Festgestellt habe ich
auch, dass im elektronischen Zeiterfassungssystem des
Jobcenters noch Einzelzeitbuchungen gespeichert waren,
die nach der AZV bereits hätten vernichtet sein müssen.
Da das Jobcenter Landkreis Wittenberg noch während des
Besuches notwendige Maßnahmen eingeleitet hat, habe
ich nach § 25 Absatz 2 BDSG davon abgesehen, die festgestellten Datenschutzverstöße zu beanstanden.
13.5
Arzneimittelrabatte auf der Grundlage
von Beihilfeabrechnungen
Das Gesetz über Rabatte für Arzneimittel verändert auch
die Beihilfebearbeitung – mit Auswirkungen auf den Datenschutz.
Zum 1. Januar 2011 wurden viele Beihilfeberechtigte davon überrascht, dass die Beihilfestelle ihnen nicht mehr
die eingereichten Rezepte nach Abrechnung ihrer Anträge zurücksandte. Weil auch nach dem Bundesbeamtengesetz Unterlagen, aus denen die Art einer Erkrankung
ersichtlich ist, unverzüglich zurückzugeben sind, wenn
sie für den Zweck, zu dem sie vorgelegt worden sind,
nicht mehr benötigt werden, haben sich zahlreiche Beamte an mich gewandt.
Das Anfang 2011 in Kraft getretene Gesetz über Rabatte
für Arzneimittel hat sich auch auf das Beihilfeverfahren
des Bundes ausgewirkt. In seiner Umsetzung haben die
Beihilfestellen durch entsprechende Hinweiszettel mitgeteilt, Rezeptbelege würden ab Kaufdatum 1. Januar 2011
nicht mehr zurückgesandt. Denn bei der Beihilfesachbearbeitung werden alle Arzneimittel, zu denen ein Beihilfeanspruch geltend gemacht wurde, auf Rabattfähigkeit
geprüft. Handelt es sich um ein rabattfähiges Arzneimittel, so hat die Festsetzungsstelle über die zentrale Stelle
den Rabatt geltend zu machen. Weil die meisten Beihilfeanträge auch Arzneimittel betreffen, müssen die Prüfung auf Rabattfähigkeit und die Geltendmachung der
Rabatte organisatorisch in das Verfahren der Beihilfesachbearbeitung eingegliedert werden. Die Geltendmachung erfolgt grundsätzlich in anonymisierter Form, erfordert also nicht die Nutzung oder Übermittlung