chert. Diesen Verstoß gegen die Regelungen der §§ 106 ff. BBG, insbesondere gegen § 106 Absätze 1 und 2
BBG, habe ich ebenfalls gegenüber dem BMVI beanstandet.
Im Ergebnis bleibt festzustellen, dass das BMVI zwar meine Kontrollfeststellungen aus den letzten Jahren voll ständig aufgegriffen und entsprechende ergänzende Regelungen und datenschutzrechtliche Vorgaben für seinen
Geschäftsbereich herausgegeben hat. Die verantwortlichen Stellen setzten diese im Praxisbetrieb jedoch nur
sehr unzureichend um. Ich werde mich weiterhin für einen gesetzeskonformen Umgang mit Beschäftigtendaten
im Geschäftsbereich des BMVI einsetzen und dies auch stichprobenartig vor Ort kontrollieren.
Kontrolle bei der Bundesfinanzdirektion Nord
Ein Beratungs- und Kontrollbesuch bei der Bundesfinanzdirektion (BFD) Nord zum Umgang mit Personal- und
Personalaktendaten der Beschäftigten stand insbesondere im Zusammenhang mit dem dort in Teilkomponenten
eingesetzten neuen „einheitlichen Personalverwaltungssystem in der Bundesfinanzverwaltung (PVS)“, bei dessen Entwicklung ich das BMF datenschutzrechtlich beraten habe. Wie ich dabei feststellen musste, erfolgte auf
Grundlage eines Erlasses des BMF zur Durchführung der „Gleitenden Arbeitszeit“ in einer Abteilung der BFD
Nord zu Testzwecken eine Parallelerhebung und -verarbeitung von Beschäftigtendaten durch das (ursprüngliche) automatisierte Gleitzeitsystem und zusätzlich auch über PVS (Komponente Zeitwirtschaft). Ein „Testbetrieb“ mit Echtdaten ist unzulässig, er wurde ohne Rechtsgrundlage für einen unzulässigen Zweck durchgeführt.
Die Vertreter des BMF haben noch vor Ort zugesagt, diesen Parallelbetrieb umgehend einzustellen, auf ein Testen mit Echtdaten in PVS zu verzichten, die unzulässigen Beschäftigtendaten in PVS zu löschen und ausschließlich das bisherige System zu verwenden.
Die stichprobenartige Prüfung des Praxisbetriebs der bisher in der BFD Nord eingesetzten Teilkomponenten
von PVS ergab grundsätzlich eine positive und datenschutzfreundliche Umsetzung. An verschiedenen Arbeitsplätzen habe ich jedoch in großer Anzahl alte, unzulässige Dokumente und Excel-Listen außerhalb von
PVS festgestellt. Diese wurden ebenfalls für die Zwecke der Personalverwaltung/Personalwirtschaft - für die in
der Bundesfinanzverwaltung gerade PVS eingeführt und entwickelt worden ist - betrieben. Für solche automatisierten Verarbeitungen von Personal- und Personalaktendaten greifen nicht die umfassenden, aus datenschutzrechtlicher Sicht positiven und einschränkenden Regelungen zu PVS. In diesem Zusammenhang habe ich auch
einen unzureichenden Zugriffsschutz und somit einen nicht gesetzeskonformen Zugang zu Personalaktendaten
bemängelt und empfohlen, die Zugriffsrechte im Personalbereich so einzuschränken, dass sie den Vorgaben des
§ 107 Absatz 1 BBG entsprechen.
Auch beim manuellen Umgang mit Beschäftigtendaten habe ich Personal- und Personalaktendaten festgestellt,
die längst hätten gelöscht sein müssen und deren (weitere) Speicherung ohne Rechtsgrundlage unzulässig war.
Erschwerend kam hinzu, dass ein Teil dieser Unterlagen in einem unverschlossenen Schrank eines Archivrau mes abgelegt war, zu dem auch Beschäftigte der BFD Nord außerhalb des Personalbereiches Zugang hatten. Bezogen auf die gespeicherten Personalaktendaten stellt dies einen Verstoß gegen § 107 Absatz 1 BBG dar. Die
BFD Nord hat noch während des Besuches erste notwendige Maßnahmen für einen datenschutzgerechten Um gang mit diesen manuellen Beschäftigtendaten eingeleitet und mir deren Umsetzung anschließend schriftlich bestätigt. Die unzulässige Speicherung von Personalaktendaten sowie weiteren Personaldaten und den mangelnden
Zugriffsschutz von Personalaktendaten - sowohl in automatisierter Form, als auch in manueller Form - habe ich
gegenüber dem BMF als Verstoß gegen die Regelungen in den §§ 106 ff. BBG, insbesondere § 107 Absatz 1
und § 113 Absatz 2 BBG sowie gegen § 12 Absatz 4 i. V. m. § 32 Absatz 1 BDSG beanstandet.
5.7.5 Personalunterlagen im Hausmüll - immer wieder der Faktor Mensch
Bei der Einhaltung datenschutzrechtlicher Regelungen und Weisungen kommt es auf den einzelnen Beschäftigten an.
– 84 –
BfDI 25. Tätigkeitsbericht 2013-2014