– 125 –
Die zahlreichen trotz meiner seit Jahren erfolgten Beratung des DPMA zum Personaldatenschutz festgestellten
Mängel habe ich gegenüber dem BMJ gem. § 25
Abs.1 BDSG als Verstoß gegen §§ 90 ff. BBG beanstandet und wegen der erheblichen technisch-organisatorischen Mängel bei der Verarbeitung von Personal-/Personalaktendaten darüber hinaus eine weitere Beanstandung
wegen Verstoß gegen § 9 sowie Anlage zu § 9
Satz 1 BDSG ausgesprochen.
Auch nach Auswertung der Stellungnahme des BMJ zu
meinem Kontrollbericht sehe ich noch offene und klärungsbedürftige Fragen. Auch hierfür muss eine datenschutzgerechte Verfahrensweise gefunden werden.
10.4.4 Kontrolle einer Oberfinanzdirektion
Schwerpunkt eines Beratungs- und Kontrollbesuchs zur
automatisierten Personaldatenverarbeitung in einer Oberfinanzdirektion (OFD) war die Prüfung des Personalinformationssystems COSINUS. Dieses für die Bundesfinanzverwaltung betriebene System läuft auf einem Server im Bundesamt für Finanzen. Die OFD hat selbst
keinen direkten Zugriff auf die Daten der Administration
oder der Datensicherung. Bei der Prüfung bin ich auf
zahlreiche datenschutzrechtliche Probleme und Mängel
grundsätzlicher Art gestoßen, auf die ich das BMF hingewiesen habe. Nicht vereinbar mit den Regelungen der
§§ 90 ff. BBG waren u. a. die in der OFD festgestellten
(personalreferatsübergreifenden) Zugriffs- und Auswertemöglichkeiten in COSINUS, die Mitarbeitern Zugriff auf
Personalaktendaten von Beschäftigten ermöglichten, für
die sie selbst nicht zuständig waren (vgl. § 90
Abs. 3 BBG). Diese offenen Punkte müssen im Zusammenwirken mit dem BMF vor Ort einer datenschutzgerechten Lösung zugeführt werden.
Neben COSINUS habe ich in den geprüften Personalreferaten zahlreiche eigenentwickelte Personaldateien vorgefunden, die weder zum Verfahrensverzeichnis gemeldet,
noch den betroffenen Mitarbeitern oder dem Datenschutzbeauftragten bekannt waren. In diesen Dateien befanden sich zahlreiche für die Aufgabenerfüllung der Personalreferate nicht mehr erforderliche Dokumente und
Inhalte mit Personalaktendaten sowie nicht ausreichend
anonymisierte „Musterschreiben“ für zukünftige Fälle.
Zu diesen neben dem Personalinformationssystem existierenden sonstigen automatisierten Verarbeitungen von
Mitarbeiterdaten gab es bei der OFD keine schriftlichen
Datenschutzregelungen. Als schweren datenschutzrechtlichen Verstoß habe ich bewertet, dass auf dem Rechner
eines Vorgesetzten noch zahlreiche den Mitarbeitern bereits eröffnete und zu deren Personalakte genommene
vollständige Beurteilungen gespeichert waren.
Durch eine Petition eines Mitarbeiters veranlasst, habe
ich auch das automatisierte Gleitzeitverfahren geprüft
und dabei u. a. in der Gleitzeitstelle eine unter Missachtung der gesetzlichen Löschungsfristen aufbewahrte
Sammlung von Korrekturbelegen vorgefunden, ebenfalls
Monatsjournale, die nach der entsprechenden Dienstvereinbarung nur der Betroffene und der Vorgesetzte erhalten
darf. Weiterhin fanden sich ungebuchte Korrekturbelege
sowie eine Liste (Auszug) mit Personalaktendaten aus
COSINUS. Letzteres stellt einen Verstoß gegen die Regelungen der §§ 90 ff. BBG dar.
Die festgestellten Mängel habe ich gegenüber dem BMF
gem. § 25 Abs. 1 BDSG als Verstoß gegen §§ 90 ff. BBG
und § 28 Abs. 1 i. V. m. § 12 Abs. 4 BDSG beanstandet.
Das BMF hat mir zugesagt, umgehend das Notwendige
zu veranlassen.
10.4.5 Kontrolle in einem Hauptzollamt
Auch in einem zur vorgenannten OFD gehörigen Hauptzollamt habe ich die automatisierte Personaldatenverarbeitung überprüft. Das Hauptzollamt selbst hat nur einen
eingeschränkten Zugriff auf das Personalinformationssystem COSINUS.
Dort fanden sich neben COSINUS ebenfalls noch zahlreiche sonstige, eigenständig entwickelte Personaldateien
mit teilweise deckungsgleichen Mängeln wie ich sie bei
der OFD festgestellt habe (vgl. Nr. 10.4.4).
Auch bei der automatisierten Gleitzeitverarbeitung habe
ich datenschutzrechtlich bedenkliche Verfahrensweisen
festgestellt, etwa zum offenen Versand von Monatsjournalen an die Mitarbeiter oder eine auch nach der Dienstvereinbarung unzulässige Auswertung von bestimmtem
Buchungsverhalten der Beschäftigten. Das BMF hat mir
zugesagt, sich umgehend für eine datenschutzgerechte
Verfahrensweise einzusetzen.
Sowohl hinsichtlich der OFD als auch des Hauptzollamtes dauert meine Prüfung noch an.
10.4.6 Kontrolle im BMI
Im Rahmen eines Beratungs- und Kontrollbesuches (vgl.
Nr. 6.4) im BMI habe ich mir die Praxis der Personalaktenführung angesehen und im Wesentlichen die gleichen
Mängel wie in anderen Behörden festgestellt, über die ich
schon in meinem 18. TB unter Nr. 18.3 und im 19. TB
unter Nr. 21.2.3 detailliert berichtet hatte.
So musste ich feststellen, dass die Vorschriften über das
Personalaktenrecht (§§ 90 ff. BBG), die bereits seit 1. Januar 1993 in Kraft sind, teilweise nicht umgesetzt wurden. Die zahlreichen Verstöße gegen die gesetzlichen
Vorgaben der §§ 90 ff. BBG habe ich gegenüber dem
BMI im Einzelnen dargestellt und nach § 25 BDSG beanstandet.
Nachdem das BMI in seiner Stellungnahme zu meinem
Kontrollbericht bereits die Beseitigung einiger von mir
festgestellter Mängel zugesagt und die Prüfung weiterer
Maßnahmen angekündigt hatte, konnten die bis dahin
noch offenen Punkte in einem gemeinsamen Gespräch
mit der behördlichen Datenschutzbeauftragten und weiteren Organisationseinheiten des BMI geklärt werden. Ausdrücklich begrüßt habe ich, dass das BMI bereits zuvor
eine „Arbeitsanweisung für die Bearbeitung von Personalakten“ erstellt und mit deren Umsetzung begonnen
BfD
20. Tätigkeitsbericht
2003–2004