– 124 –
automatisiert in vor Ort selbst entwickelten Personaldateien verarbeitet werden, was teilweise nicht datenschutzkonform war. So fanden sich z. B. für die Aufgabenerfüllung nicht (mehr) erforderliche und somit unzulässig
gespeicherte Dokumente mit Personaldaten oder solche
mit Echtdaten, die als „Muster“ für zukünftige Vergleichsfälle gespeichert waren. Auch die engen Vorgaben
für den Zugang zu Personalakten (§ 90 Abs. 3 BBG) waren in der Praxis nicht vollständig umgesetzt. Mängel gab
es auch bei der Führung und Aufbewahrung der dort vorhandenen Personalnebenakten.
Die Kontrolle in der Botschaft hat Mängel und Verstöße
im Umgang mit Personal-/Personalaktendaten aufgezeigt,
etwa gegen die Regelungen der §§ 90 ff. BBG. Die Botschaft hat sofort Maßnahmen eingeleitet, diese datenschutzrechtlichen Defizite abzustellen. Ferner hat das AA
die Kontrollergebnisse umgehend zum Anlass genommen, generelle, datenschutzrechtlich relevante Regelungen für alle Auslandsvertretungen zu treffen. Ich habe
deshalb nach § 25 Abs. 2 BDSG davon abgesehen, diese
Verstöße förmlich zu beanstanden.
10.4.2 Kontrolle einer Niederlassung
der Deutschen Post AG
Durch eine Eingabe bin ich auf das Pilotprojekt „Gleitzeiterfassung über das konzerneigene Intranet“ der Deutschen Post AG aufmerksam geworden. In einer Besprechung hierzu hatte ich erhebliche datenschutzrechtliche
Bedenken vorgetragen und dann das Verfahren in der betroffenen Niederlassung überprüft, da es dort bereits nicht
mehr in der Erprobung, sondern im Wirkbetrieb mit Personal-/Personalaktendaten war.
Hierbei erfuhr ich, dass meine in der ersten Beratung geäußerten datenschutzrechtlichen Bedenken und Hinweise
Anlass gewesen waren, das System unter datenschutzrechtlichen Gesichtspunkten völlig neu zu gestalten.
Zu dem neuen Konzept der Gleitzeitverarbeitung und
dem Entwurf der entsprechenden Betriebsvereinbarung
habe ich ergänzende datenschutzrechtliche Empfehlungen, z. B. zu den Auswertungsmöglichkeiten und Einsichtsrechten, gegeben. Bei der stichprobenartigen Prüfung des Pilotverfahrens konnte ich feststellen, dass
meine Empfehlungen zum Teil bereits umgesetzt waren.
Daneben habe ich in der Niederlassung an mehreren Arbeitsplätzen auch kontrolliert, in welcher Form dort Personal-/Personalaktendaten automatisiert verarbeitet werden. Hierbei habe ich zahlreiche nicht mehr erforderliche
und damit unzulässig gespeicherte Dokumente festgestellt, etwa längst eröffnete vollständige Beurteilungen
oder alte Bewerbungsschreiben, die umgehend gelöscht
wurden. Darüber hinaus hat die Deutsche Post AG sofort
eine schriftliche Anweisung an alle Mitarbeiter der Niederlassung erlassen und meine Feststellungen zum Anlass
genommen, diese Thematik für das gesamte Unternehmen zu regeln und entsprechend zu kommunizieren.
Hinsichtlich des Pilotverfahrens zur Gleitzeiterfassung
gehe ich davon aus, dass nunmehr datenschutzgerecht
BfD
20. Tätigkeitsbericht
2003–2004
verfahren wird. Da auch die unzulässig gespeicherten Daten der Beschäftigten noch während meines Besuches gelöscht worden sind und die Deutsche Post AG sofort das
Notwendige veranlasst hat, habe ich von einer Beanstandung gem. § 25 Abs. 2 BDSG abgesehen.
10.4.3 Kontrolle des Deutschen Patent- und
Markenamtes
Im Rahmen eines ersten Beratungsbesuches während des
Berichtszeitraums zu Fragen der Personaldatenverarbeitung in der Dienststelle Jena des Deutschen Patent- und
Markenamtes (DPMA) habe ich schwerwiegende datenschutzrechtliche Verstöße festgestellt und dem BMJ und
dem DPMA mitgeteilt, dass ich von einer förmlichen Beanstandung nur absehen kann, wenn dieses die Mängel
umgehend abstellt. Eine Überprüfung der Hauptstelle des
DPMA in der Folgezeit führte zu folgenden Ergebnissen:
Für seine automatisierten Verarbeitungen von Personaldaten konnte mir das DPMA kein Verfahrensverzeichnis
nach § 4g Abs. 2 i.V.m. § 4e Satz 1 BDSG vorlegen, etwa
zum elektronischen Personal-, Organisations- und Stellenverwaltungssystem oder zu vorgefundenen weiteren
Verfahren der automatisierten Personaldatenverarbeitung.
Meine Kontrolle wurde hierdurch erheblich erschwert.
Meine stichprobenartige Prüfung zu Personal-/Personalaktendaten in zwei Fachabteilungen des DPMA ergab,
dass dort in erheblichem Umfang – ohne Wissen der Personalabteilung, der betroffenen Mitarbeiter, des behördlichen Datenschutzbeauftragten und der Personalvertretung – eigenständig erstellte automatisierte Dateien mit
Personal-/Personalaktendaten vorhanden waren. Diese
zahlreichen, teilweise veralteten elektronischen Dokumente hatten oft äußerst sensible Personalaktendaten zum
Inhalt (z. B. Protokolle über Personalführungsgespräche,
längst eröffnete vollständige Beurteilungen sowie Daten
zur Schwerbehinderung von Mitarbeitern).
Diese vorgefundene Praxis verstößt gegen zahlreiche Regelungen des BBG (§§ 90 ff.) und stand darüber hinaus
auch nicht im Einklang mit einer entsprechenden Hausverfügung des DPMA. Die Führung von Vorgängen zu
einzelnen Mitarbeitern – unabhängig, ob in automatisierter oder in manueller Form – ist Aufgabe der Personalabteilung.
Die Prüfung der automatisierten Verarbeitung von sensiblen Beschäftigtendaten hat darüber hinaus große Sicherheitslücken und technisch-organisatorische Mängel, u. a.
an den geprüften Arbeitsplatzcomputern in den Personalreferaten, beim Personalinformationssystem und auch
hinsichtlich des in der Personalabteilung geprüften Netzwerkes des DPMA ergeben.
Vor dem Kontroll- und Beratungsbesuch hatte mich das
DPMA davon in Kenntnis gesetzt, dass die seit
1. Januar 1993 geltenden gesetzlichen Regelungen zur
Führung von Personalakten (§§ 90 ff. BBG) noch nicht
umgesetzt seien. Ich habe deshalb von einer inhaltlichen
Prüfung einzelner Personalakten abgesehen und dem
DPMA als verantwortlicher Stelle dringend angeraten,
das Notwendige zu veranlassen.