– 188 –
Vertretern wichtiger Datenproduzenten. Auf der Grundlage der Empfehlungen der „Kommission zur Verbesserung der informationellen Infrastruktur zwischen Wissenschaft und Statistik“ soll er die Situation der empirischen
Sozial- und Wirtschaftswissenschaften verbessern, indem
er zur Transparenz und besseren Nutzung vorhandener
Daten, zur Erhöhung der Synergie zwischen Wissenschaft
und Datenproduzenten und zur wissenschaftlichen Fundierung der Politikberatung und Aufklärung der Öffentlichkeit beiträgt.
Bereits im Vorfeld führte der Gründungsausschuss des
RatSWD zwei „Konferenzen für Sozial- und Wirtschaftsdaten“ durch, an denen ich mich jeweils durch die Moderation des Forums „Datenschutz und Datensicherheit“ intensiv beteiligt habe. Hier bestand weitgehende Einigkeit
zwischen allen Beteiligten, dass – ausgehend von den
Rechtsgütern der Forschungsfreiheit und des informationellen Selbstbestimmungsrechts – der verfassungsrechtliche Ausgleich zwischen den widerstreitenden Grundrechten und Gemeinschaftsinteressen nur durch praktische
Konkordanz hergestellt werden kann, indem jedem der
beiden Rechtsgüter möglichst weitreichende Effektivität
verschafft wird. Solche Entscheidungen sind im Regelfall
durch den Gesetzgeber zu treffen, der die wissenschaftliche Verfügbarkeit von Daten zu normieren und notwendige Einschränkungen durch eine Abwägung zwischen
beiden Grundrechten festzulegen hat. Konkrete praktische Fragestellungen betrafen die Einrichtung von Forschungsdatenzentren bei den Statistischen Ämtern, der
Bundesagentur für Arbeit und anderen Datenhaltern sowie die Einführung eines gesetzlichen Forschungsgeheimnisses. Im Ergebnis bleibt festzuhalten, dass durch
die Einrichtung des RatSWD ein konstruktiver Dialog
zwischen der Wissenschaft und dem Datenschutz eingeleitet worden ist. Aus meiner Sicht sind die Wissenschaftler weiter aufgerufen, die praktischen Probleme speziell
im Bereich des Datenzugangs zu benennen, um einen vernünftigen Ausgleich der verschiedenen Interessen zu erreichen.
25
Verteidigung
25.1
PERFIS II – Das neue Personalinformationssystem der Bundeswehr
Die in der Vergangenheit festgestellten Mängel bei der
Implementierung von PERFIS II bestehen nach wie vor.
Bei der Prüfung des neuen Personalinformationssystems
PERFIS II der Bundeswehr, das das System PERFIS ersetzt hat (19. TB Nr. 30.2), habe ich zahlreiche Mängel
festgestellt. Anlässlich der Kontrolle einer Wehrbereichsverwaltung stellte ich fest, dass die bei meiner letzten
Kontrolle von PERFIS angesprochenen gravierenden
Mängel noch immer bestehen. Seinerzeit hatte ich von einer förmlichen Beanstandung nur aufgrund des Pilotprojektcharakters der Implementierung des Datenbanksystems SAP R/3 HR abgesehen; zudem war mir zugesichert
worden, die festgestellten Mängel abzustellen. Ich habe
das BMVg um eine detaillierte Erklärung gebeten, warum
BfD
20. Tätigkeitsbericht
2003–2004
diese gravierenden Mängel immer noch nicht abgestellt
worden sind und wann mit einer datenschutzgerechten
Verfahrensweise zu rechnen ist. Eine förmliche Beanstandung nach § 25 BDSG habe ich mir diesbezüglich vorbehalten.
25.2
Kontrollen bei einer Bundeswehreinheit
und in einem Bundeswehrkrankenhaus
Soll und Ist des Datenschutzes in der Bundeswehr klaffen
noch auseinander.
Bei der Kontrolle eines Bundeswehrkrankenhaus und einer Einheit der Truppe stellte ich fest, dass für den Datenschutz beim hierfür zuständigen „administrativen Datenschutzbeauftragten“ in einem Fall nur 5 Prozent seines
Dienstplanes vorgesehen waren und in einem anderen
Fall die Einordnung bzw. Vergütung der Stelle ebenfalls
nicht der Bedeutung entsprach, die die Aufgabenwahrnehmung des Datenschutzbeauftragten erfordert. Ich habe
daher die angemessene Ausstattung und Besetzung des
Dienstpostens „Administrativer Datenschutzbeauftragter“
empfohlen.
In beiden kontrollierten Dienststellen musste ich feststellen, dass das Verfahrensverzeichnis DATAV (Dateienerfassungs- und Auswertungs-Verfahren) nach § 18
Abs. 2 BDSG nicht ordnungsgemäß geführt wurde. In
beiden Dienststellen wurden Verfahren zur Verarbeitung
personenbezogener Daten eingesetzt, die im DATAV verzeichnet waren.
Im Bereich der Personalaktenbearbeitung stellte ich in
beiden Einrichtungen fest, dass Personalnebenakten auch
personenbezogene Daten anderer Soldaten enthielten sowie Heiratsurkunden, Mietverträge oder Auszüge aus Familienbüchern. Hierbei handelt es sich um Unterlagen
und Dokumente, die nicht in die Personalnebenakte gehören, da sie zur Aufgabenerfüllung der Dienststelle nicht
erforderlich sind. Eine Kontrolle der Arbeitsplatzcomputer ergab die Speicherung von Word-Dateien mit personenbezogenen Daten auf der lokalen Festplatte, obwohl
dies unzulässig ist. Zum Teil wurden Dateien mit Personenbezug in unzulässiger Weise geführt, wobei es sich
um sog. Mustervorlagen handelte, die jedoch Echtdaten
enthielten. Dagegen hat die Anfertigung von Musterformularen ohne Personenbezug zu erfolgen. Ich habe daher
empfohlen, den Dateibestand regelmäßig durch Stichproben zu überprüfen. Dies sollte durch den Datenschutzbeauftragten in Zusammenarbeit mit dem IT-Sicherheitsbeauftragten erfolgen.
Die insgesamt zahlreichen festgestellten Mängel im
Bundeswehrkrankenhaus – beispielsweise die Abrufbarkeit der Stammdaten der im Krankenhausinformationssystem KIS eingestellten Patientendaten durch alle Nutzer des KIS oder die unverschlüsselte und
unprotokollierte Datenübertragung bei der Fernwartung –
habe ich gem. § 25 Abs. 1 BDSG als einen Verstoß gegen
die §§ 9 und 18 Abs. 2 BDSG förmlich beanstandet.