beitszeiten für einen bestimmten vergangenen Zeitraum. Zum anderen sollten die Beschäftigten auf freiwilliger
Basis subjektive Einschätzungen hinsichtlich ihres Arbeitsplatzes, ihrer Tätigkeit, etc. abgeben. Die Beschäftigtenbefragung erfolgte mittels eines Webtools. Laut BMAS haben sich mehr als 21.000 Beschäftigte beteiligt.
Nachdem die Erhebungsphase abgeschlossen war, wurden seit April 2014 die Antworten aus der Beschäftigtenbefragung sowie weitere Daten der Bundesagentur für Arbeit, des Statistischen Bundesamts und der Jobcenter
qualitätsgesichert, aggregiert und ausgewertet.
Während der Erhebungsphase war mir die Trennung der Erhebungsdaten von den personenbezogenen Daten der
Beschäftigten wichtig. Wie das BMAS mittlerweile bestätigt hat, standen – wie von mir gefordert - die Listen,
mit denen die für die Erhebung verwendeten Identifizierungsnummerns den Namen der Beschäftigten zugeordnet wurden, ausschließlich den zuständigen Projektkoordinatoren zur Verfügung und wurden unmittelbar nach
Abschluss der Erhebungsphase in den Jobcentern vollständig gelöscht. Meine Mitarbeiter konnten sich auch
persönlich bei Kontrollen einiger Jobcenter davon überzeugen, dass die Befragung im Wesentlichen datenschutzkonform verlief.
Datenschutzrechtlich problematisch war jedoch der Umstand, dass die Antworten der Beschäftigten in der von
einem US-amerikanischen Unternehmen bereitgestellten Cloud-Umgebung gespeichert wurden. Zwar wurde
mir zugesichert, dass die Speicherung der im Projekt anfallenden Daten auf Servern in einem EU-Mitgliedsstaat
erfolge. Nach den Feststellungen der Orientierungshilfe Cloud-Computing der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Version 2.0, vom 9. Oktober 2014 sind aber US-Behörden auf der Grundlage US-amerikanischen Rechts befugt, auch auf personenbezogene Daten zuzugreifen, die in Europa gespeichert sind. Die Orientierungshilfe ist auf meiner Internetseite unter www.datenschutz.bund.de abrufbar (vgl.
auch Nr. 8.5).
Auch wenn die Artikel-29-Gruppe die maßgeblichen Verträge des Unternehmens im Bereich des Cloud-Computing noch Anfang April 2014 ausdrücklich als mit den europäischen Datenschutzregelungen vereinbar erklärt
hat, sind meine datenschutzrechtlichen Bedenken nicht vollständig ausgeräumt. So wirft etwa ein Urteil des
„United States District Court, Southern District of New York“ vom 25. April 2014 neue Fragen auf, indem es
feststellt, dass Durchsuchungsbefehle amerikanischen Behörden das Recht einräumen, von einem Cloud-Service-Provider die Herausgabe aller Daten zu verlangen, die Privatpersonen oder Unternehmen bei ihm gespei chert haben, unabhängig davon, wo sich diese Daten befänden.
Zwar ist das Urteil noch nicht rechtskräftig, da das betroffene Unternehmen Berufung eingelegt hat, es zeigt jedoch, dass der rechtliche Rahmen, der das Cloud-Computing umgibt, noch nicht festgezogen ist. Eine weiterhin
kritische Auseinandersetzung mit dem Thema ist aus datenschutzrechtlicher Sicht deshalb dringend geboten.
9.4
Wie viele Daten dürfen für Projekte des Europäischen Sozialfonds erhoben werden?
Zur Förderung der Beschäftigung in den EU-Mitgliedsstaaten hat die Europäische Union den Europäischen
Sozialfond (ESF) geschaffen. Immer wieder werde ich dabei gefragt, welche Daten hierzu für den ESF erhoben,
verarbeitet und genutzt werden dürfen.
Mit den Förderprojekten des ESF sind viele Stellen befasst: Zwischen den Zuwendungsempfängern, d. h. der
Organisation, die das einzelne Projekt plant, organisiert und die Förderung durch den ESF beantragt, und der
EU sind mehrere nationale Stellen eingeschaltet. Beteiligt sind auch die im jeweiligen Bundesministerium zu ständigen Fachreferate sowie Verwaltungs-, Bescheinigungs- und Prüfbehörden. Darüber hinaus sind verschiedene Prüfinstanzen vorgesehen, etwa der Bundesrechnungshof, der Europäische Rechnungshof sowie das Euro päische Amt für Betrugsbekämpfung. Alle diese Stellen erhalten Daten - manche mit Personenbezug andere
ohne. Zu Prüf- und Evaluationszwecken werden Daten zum geförderten Projekt selbst, den Zuwendungsempfängern, der Finanzierung und den Teilnehmern erhoben. Was erhoben werden darf, ist in den Verordnungen
BfDI 25. Tätigkeitsbericht 2013-2014
– 177 –