Im Berichtszeitraum informierte mich ein Berliner Bürger, er habe in einem frei zugänglichen Papiermüllcontainer seiner Wohnanlage einen Stapel unterschiedlichster personenbezogener Dokumente neueren Datums eines
Sozialversicherungsträgers des Bundes entdeckt, offenbar interne Personalvorgänge. Bei einer umgehend durchgeführten Kontrolle durch meine Mitarbeiter konnten zwar keine solchen Unterlagen (mehr) entdeckt werden.
Am darauf folgenden Tag gab der Bürger jedoch einen von ihm zwischenzeitlich sichergestellten Teil dieser
sensiblen Unterlagen persönlich bei mir ab.
Nach einer ersten Prüfung habe ich den Sozialleistungsträger umgehend über diesen Sachverhalt und die von
mir dabei festgestellten Datenschutzverstöße im Umgang mit vertraulich zu behandelnden Personal- und Personalaktendaten von Beschäftigten, aber auch dem Sozialgeheimnis unterliegenden Sozialdaten von Versicherten
unterrichtet. Die von mir in Verwahrung genommenen Unterlagen habe ich dann gemeinsam mit Vertretern der
verantwortlichen Stelle in Augenschein genommen und ihnen zur umgehenden Prüfung, weiteren Veranlassung
und der Bitte um Stellungnahme übergeben.
Wie mir der Sozialleistungsträger dann schriftlich bestätigte, handelte es sich bei den sichergestellten Unterlagen überwiegend um Personal- und Personalaktendaten - u. a. auch um „besondere Arten personenbezogener
Daten“ (wie Schwerbehinderteneigenschaft oder Grad der Behinderung) - eigener Beschäftigter, aber vereinzelt
auch um Sozialdaten von Versicherten. Die verantwortliche Stelle hat dabei eingeräumt, dass diese Unterlagen
von der Leiterin eines Teams in ihrem privaten Umfeld in einer frei zugänglichen Altpapiertonne „unsachgemäß“ entsorgt worden waren und so Dritten unbefugt zur Kenntnis gelangt sind. Ferner hat sie mir detailliert
dargelegt, gegen welche bestehenden behördeninternen datenschutzrechtlichen Regelungen die Vorgesetzte im
Umgang mit diesen personenbezogenen Daten - dies betrifft nicht nur die Entsorgung der Unterlagen - verstoßen hat und welche aktuellen Maßnahmen sie behördenintern aufgrund dieses Vorfalls veranlasst habe, um sol che Datenschutzverstöße in Zukunft zu vermeiden. Bei dem Vorfall handelt es sich um einen Verstoß gegen die
Regelungen der §§ 106 ff. BBG bzw. gegen § 12 Absatz 4 i. V. m. § 32 Absatz 1 BDSG sowie um einen unzulässigen Umgang mit Sozialdaten von Versicherten dieses Sozialleistungsträgers (§ 35 Abs. 1 SGB I). Da ich jedoch in diesem Einzelfall ein der verantwortlichen Stelle zurechenbares Organisationsversagen nicht feststellen
konnte und aufgrund der sofort eingeleiteten Maßnahmen habe ich nach § 25 Absatz 2 BDSG davon absehen
können, den eingeräumten unzulässigen Umgang mit Personal- und Personalaktendaten sowie Sozialdaten
förmlich zu beanstanden.
Im Ergebnis zeigt dieser Fall einmal mehr, dass auch die besten internen Regelungen zum datenschutzgerechten
Umgang mit personenbezogenen Daten in der Praxis nicht sicherstellen, dass diese auch eingehalten werden.
Schwachpunkt ist der Faktor Mensch, der es - sei es aus Bequemlichkeit oder oftmals auch aus Unkenntnis - an
Sensibilität und Datenschutzbewusstsein mangeln lässt. Es ist deshalb wichtig, die Beschäftigten in den öffentlichen Stellen des Bundes nicht nur regelmäßig in Datenschutzfragen zu sensibilisieren, zu schulen und immer
wieder auf die maßgeblichen Datenschutzvorschriften und behördeninterne Regelungen hinzuweisen, sondern
auch, deren Einhaltung in der Praxis stichprobenartig zu kontrollieren.
5.8
Nach dem Zensus ist vor dem Zensus
Der Zensus 2011 hat mit der Veröffentlichung der Zensusergebnisse 2014 seinen Abschluss gefunden. Nun wirft
der kommende Zensus 2021 seine Schatten voraus.
Aus Sicht des Datenschutzes ist der Zensus 2011 positiv verlaufen. Das liegt sicher insgesamt auch an der gelungenen Informationspolitik des Statistischen Bundesamts, das für die Bürgerinnen und Bürger ein eigenes
Zensusportal im Internet eingerichtet hatte. Der Berichtszeitraum war geprägt durch die Auswertung der Befra gungen und Registerauswertungen sowie die Veröffentlichung der aufbereiteten Ergebnisse. Zwar wehren sich
in einigen Bundesländern Kommunen gerichtlich gegen die auf Grundlage der Zensusdaten festgestellten Einwohnerzahlen, dies ändert aber nichts am datenschutzrechtlich positiven Fazit. So konnte ich mich davon überzeugen, dass das Statistische Bundesamt innerhalb der gesetzlich festgelegten Frist die dort noch vorhandenen
BfDI 25. Tätigkeitsbericht 2013-2014
– 85 –