Digitalisierung von Papierakten sowie bei der Bereitstellung von elektronischen Dokumenten für die Onlineakteneinsicht muss allerdings berücksichtigt werden, dass bestimmte personenbezogene Daten dem Antragsteller nicht zugänglich gemacht werden dürfen. Dazu zählen eigene Aktenteile wie das Gebührenrecht (insbesondere Kontoverbindungsdaten) und die Verfahrenskostenhilfe. Auch eventuelle ärztliche Gutachten, mit denen
belegt werden soll, warum eine Frist nicht eingehalten werden konnte, dürfen nicht veröffentlicht werden.
Durch ein Rechte- und Rollenkonzept sowie ein Sperrkonzept bei personenbezogenen Daten im Bereich des
Zahlungsverkehrs sowie der Verfahrenskostenhilfe oder der Wiedereinsetzung ist gewährleistet, dass nur diejenigen Mitarbeiter des DPMA personenbezogene Daten zur Kenntnis nehmen können, die diese Daten zur Aufgabenerledigung benötigen.
Meine Mitarbeiter haben den Besuch beim DPMA zudem genutzt, um auch allgemeine datenschutzrechtliche
Themen zu prüfen. Ein Schwerpunkt lag auf der Stellung der behördlichen Datenschutzbeauftragten (bDSB).
Engagement, Kenntnisse und Stellung der bDSB innerhalb der Behörde sind vorbildlich. Lediglich hinsichtlich
ihrer Freistellung sehe ich Verbesserungsbedarf. Bereits ab einer Größe von 1.000 Mitarbeitern ist allein aufgrund des Personaldatenschutzes eine vollständige Freistellung der bDSB erforderlich. Da das DPMA über
2.500 Mitarbeiter hat, habe ich die vollständige Freistellung der bDSB und eine zusätzliche Unterstützung durch
ihre Mitarbeiter empfohlen. Hierdurch kann die bDSB mehr eigene Initiativen zur Stärkung des Datenschutzes
im DPMA ergreifen und verstärkt präventiv tätig werden (vgl. auch Nr. 1.6). Weitere Kontrollthemen waren das
Besuchermanagement, die Videoüberwachung, Auftragsdatenverarbeitungen nach § 11 BDSG sowie die Angaben im Verfahrensverzeichnis. Meine Mitarbeiter haben hier in Einzelfällen Verbesserungsbedarf festgestellt.
Insgesamt ist das DPMA beim Datenschutz jedoch gut aufgestellt.
Für die Vergabestelle für Berechtigungszertifikate (VfB) im Bundesverwaltungsamt konnte ich feststellen,
dass die Prüfung datenschutzrechtlicher Aspekte bei der Vergabe von Berechtigungszertifikaten für die Nutzung
der eID-Funktion des Personalausweises in guten Händen ist. Unternehmen wie auch Behörden, die die
eID-Funktion für ihre Online-Prozesse nutzen möchten, benötigen hierfür ein sog. Berechtigungszertifikat, das
die VfB vergibt. Hierzu prüft sie vorab, welche Daten aus dem Ausweischip für welche Identifizierungsprozesse
ausgelesen werden sollen. Durch dieses Genehmigungsverfahren wird zum einen sichergestellt, dass nur diejenigen Daten übermittelt werden, die für den genannten Zweck unbedingt erforderlich sind. Zum anderen wird
auch geprüft, ob die Geschäftszwecke oder hoheitlichen Aufgaben, für die die Daten benötigt werden, auch mit
dem Personalausweisgesetz vereinbar sind. Bürger, die ihre eID-Funktion online einsetzen, können so auf eine
gesetzeskonforme Verarbeitung ihrer Daten vertrauen. Durch das Zertifikat als Voraussetzung für den Einsatz
der eID-Funktion können die Kunden darüber hinaus sichergehen, dass ihr Gegenüber (also die Firma oder die
Behörde), das die entsprechende Internetseite betreibt, auch tatsächlich die Institution ist, für die sie sich ausgibt. Ich konnte mich beim Besuch vor Ort überzeugen, dass die VfB ihre Arbeit sehr gewissenhaft verrichtet.
Nach dem Willen der Bundesregierung soll sich das Verfahren der Genehmigung von Berechtigungszertifikaten
allerdings grundlegend ändern (vgl. Nr. 10.2.1).
Es ist bedauerlich, dass die eID-Funktion des Personalausweises immer noch ein Nischendasein führt, obwohl
sie eine sehr sichere und datenschutzgerechte Möglichkeit der Online-Identifizierung ist. Ich hoffe, dass sich
dies bald ändert und die eID-Funktion auch beispielweise in Massenverfahren wie dem Online-Banking Einzug
hält.
A. Zudem von besonderem Interesse
Nr. 1.1; 1.2.1; 1.6; 21.1; 21.5; 22.4
BfDI 26. Tätigkeitsbericht 2015-2016
– 151 –