– 121 –
der Befragung und darüber, durch wen und für wen die
Daten erhoben und verarbeitet werden, zu informieren. Auch sollten die Beschäftigten darüber aufgeklärt
werden, welche Auswertungen konkret vorgesehen
sind.
– Die mir im Berichtszeitraum bekannt gewordenen
Mitarbeiterbefragungen sahen jeweils eine anonyme
Durchführung vor. Entscheidend für die datenschutzkonforme Durchführung einer Mitarbeiterbefragung
ist jedoch, dass die zugesagte Anonymität (§ 3
Abs. 6 BDSG) auch tatsächlich sichergestellt werden
kann.
– Einer besonderen Prüfung bedürfen insoweit die von
den Teilnehmern in der Regel geforderten „statistischen Angaben“. Werden hier beispielsweise Angaben
des konkreten Tätigkeitsfeldes, einer Vollzeit- oder
Teilzeitbeschäftigung, des Geschlechts, des Lebensalters und der jeweiligen Laufbahngruppe gefordert, besteht die Möglichkeit, teilnehmende Mitarbeiter durch
eine Kombination dieser Angaben zu reidentifizieren.
Ähnliche Schwierigkeiten ergeben sich, wenn eine
Auswertung auch bezogen auf kleine Organisationseinheiten vorgesehen ist. Hierdurch kann die zugesagte anonymisierte Auswertung ebenfalls in Frage
gestellt werden. Dieses Problem lässt sich durch eine
Zusammenfassung der Daten bei der Auswertung lösen.
– Vor der Planung und Durchführung einer Mitarbeiterbefragung ist des weiteren zu prüfen, ob eine Beteiligung der Personalvertretung erfolgen muss. Die mir
bekannt gewordenen Mitarbeiterbefragungen wurden
in enger Kooperation mit den jeweiligen Personalvertretungen sowie unter Beteiligung des behördlichen
Datenschutzbeauftragten durchgeführt.
Diese Voraussetzungen einer datenschutzkonformen
Durchführung von Mitarbeiterbefragungen konnte ich im
Rahmen meiner Beratung des BMI zu den dort geplanten
– IT-gestützten – Mitarbeiterbefragungen im BGS einbringen. Aufgrund meiner frühzeitigen Beteiligung und
der Berücksichtigung meiner datenschutzrechtlichen Hinweise und Empfehlungen bestehen gegen die zunächst in
einem Grenzschutzpräsidium vorgesehene Erprobung des
Konzepts keine Bedenken.
10.3
Automatisierte Personaldatenverarbeitung
10.3.1 Automatisierte Verarbeitung von
Personaldaten: Nur mit eingebautem
Datenschutz!
Angesichts des immer größeren Umfangs der automatisierten Verarbeitung von Personaldaten muss der Datenschutz regelmäßig bereits in der Planungsphase für neue
Vorhaben berücksichtigt werden.
In den Personalabteilungen ersetzen elektronische oder
IT-gestützte Verfahren zunehmend manuelle Verfahren.
Dabei werden sowohl eigenständig entwickelte als auch
Standardprodukte eingesetzt (etwa Personalinformations-/
Personalverwaltungssysteme). Zusätzlich werden vorhandene Alt-Systeme in neue technische Umgebungen über-
führt. Hiermit wachsen auch die datenschutzrechtlichen
Anforderungen.
Bereits die Begründung zum Neunten Gesetz zur Änderung dienstrechtlicher Vorschriften aus dem Jahre 1991
(Bundestagsdrucksache 12/544 S. 14) weist auf die Gefährdungen hin, die mit der automatisierten Verwaltung
von Personaldaten verbunden sind. Besonderes Augenmerk müsse neben dem Missbrauch, etwa in Form unzulässiger Auswertungen, dem sog. Kontextverlust zuteil
werden. Jede EDV-gestützte Personaldatenverarbeitung
könne Verknüpfungsergebnisse liefern, die sonst nur unter besonders hohem Aufwand – wenn überhaupt – erzielbar wären. Dass dies nicht nur theoretische Überlegungen
sind, zeigen die Ergebnisse meiner Datenschutzkontrollen
und Beratungsgespräche (vgl. Nr. 10.4).
Wiederum haben mich viele Ministerien und Bundesbehörden um Unterstützung bei der Einführung neuer
Personalinformations-/Personalverwaltungssysteme (vgl.
Nr. 10.3.2), aber auch sonstiger Verfahren automatisierter
Verarbeitungen von Mitarbeiterdaten (z. B. zur automatisierten Gleitzeitverarbeitung) gebeten. Bei solchen Beratungsgesprächen ist es mir möglich, den beteiligten
Stellen frühzeitig noch im Planungsstadium datenschutzrechtliche Hinweise und Empfehlungen zu geben.
Wie wichtig die Berücksichtigung des Datenschutzes
beim fortschreitenden Technikeinsatz im Personalwesen
ist, zeigen die von mir begleiteten Projekte der Bundesverwaltung zur automatisierten Personaldatenverarbeitung zur Einführung einer elektronischen Beihilfeakte
(vgl. Nr. 10.3.3) und die IT-gestützte Durchführung von
Mitarbeiterbefragungen (vgl. Nr. 10.2.4 und Nr. 4.1.1.3).
In der Berichtsperiode erreichten mich zahlreiche Eingaben von Bundesbediensteten und Fragen von behördlichen Datenschutzbeauftragten, Beschäftigten in den Personalabteilungen und Personalräten zur automatisierten
Verarbeitung von Personaldaten. Immer wieder höre ich,
dass Betroffene aufgrund unzureichender Information
über in den Personalstellen eingesetzte oder geplante ITVerfahren befürchten, ihre personenbezogenen Daten
würden vom Dienstherrn oder Arbeitgeber nicht ordnungsgemäß verarbeitet. Deshalb empfehle ich allen verantwortlichen Stellen, umfassend über eingesetzte und
frühzeitig über neue Verfahren zu informieren. Nur dies
führt zu einer entsprechenden Transparenz bei allen Betroffenen, fördert die Akzeptanz und beugt unnötigen
Auseinandersetzungen vor.
Auch in Zukunft werde ich mich für datenschutzgerechte
Lösungen beim Einsatz moderner Informationstechnologie für die Verarbeitung von Beschäftigtendaten einsetzen.
10.3.2 Neues Personalmanagementsystem
EPOS 2.0
Im Auftrag des BMI hat das Bundesverwaltungsamt
(BVA) das neue elektronische Personal-, Organisationsund Stellenmanagementsystem EPOS 2.0 entwickelt und
mich dabei frühzeitig eingebunden.
BfD
20. Tätigkeitsbericht
2003–2004