8.3
Aus Beratung und Kontrolle
Ein Ergebnis meiner Beratungs- und Kontrollbesuche ist ein deutlicher Verbesserungsbedarf in der Unterstützung der behördlichen Datenschutzbeauftragten. Diese werden trotz ihrer umfangreichen internen Beratungs-,
Kontroll-, Multiplikator- und Ombudsfunktion vielfach nur unzureichend personell ausgestattet und unterstützt.
Beratungs- und Kontrollbesuch bei der Deutschen Bundesbank
Die Deutsche Bundesbank (BBk) ist als Zentralbank der Bundesrepublik Deutschland integraler Bestandteil des
Europäischen Systems der Zentralbanken. Bei einem Beratungs- und Kontrollbesuch habe ich mich von einer
weitgehend den Ansprüchen genügenden Organisation des Datenschutzes überzeugen können. Optimierungsbedarf sehe ich allerdings noch hinsichtlich der organisatorischen Anbindung und der personellen Ausstattung des
behördlichen Datenschutzbeauftragten (bDSB) sowie bei einzelnen IT-Verfahren hinsichtlich fehlender Verfahrensbeschreibungen und verfahrensspezifischer Löschkonzepte. Die BBk will meine Anregungen aufgreifen.
Ich begrüße es zudem sehr, dass die BBk Möglichkeiten der Ausgestaltung nationaler Spielräume bei der Umsetzung europäischer Verordnungen weiterhin eng mit mir abstimmen will.
Beratungs- und Kontrollbesuch bei der Bundesanstalt für Immobilienaufgaben
Die Bundesanstalt für Immobilienaufgaben (BImA) ist nach eigenen Angaben eine der größten Immobilieneigentümerinnen Deutschlands. Wie ich bei einem Beratungs- und Kontrollbesuch feststellen musste, hat die BImA für ihre zahlreichen und umfangreichen IT-Verfahren weder ein Gesamtlöschkonzept noch zu jedem Einzelverfahren ein verfahrensspezifisches Löschkonzept. Auch als Konsequenz aus meinen Feststellungen und
Empfehlungen will die BImA zunächst ein Gesamtlöschkonzept ausarbeiten und umsetzen. Dieses soll Teil
einer geplanten Datenschutzrichtlinie der BImA werden. Anschließend sollen verfahrensspezifische Löschkonzepte entwickelt bzw. angepasst werden. Ich werde die Entwicklung datenschutzrechtlicher Standards bei der
BImA weiterhin aufmerksam verfolgen.
Beratungs- und Kontrollbesuch beim Bundesamt für zentrale Dienste und offene Vermögensfragen
Das Bundesamt für zentrale Dienste und offene Vermögensfragen (BADV) war zum Prüfungszeitpunkt Betreiber des SAP-basierten einheitlichen Personalverwaltungssystems der Bundesfinanzverwaltung (PVS). Seit Januar 2015 stellt es die von ihm für ca. 300.000 Bezügeempfänger geleistete Bezügeabrechnung schrittweise auf
die Bearbeitung mit der PVS-Komponente Payment (PY) um. Zum 1. Januar 2017 wurde das für den Betrieb
von PVS zuständige Kompetenzzentrum KPVS in das 2016 etablierte Informationstechnikzentrum
Bund (ITZBund) verlagert. Die zentralen Dienstleistungsbereiche des BADV sollen zum 1. Juni 2017 in das
Bundesverwaltungsamt (BVA) integriert werden.
Meine Kontrolle ergab, dass der bDSB des BADV bei der Einführung neuer Projekte im Allgemeinen und bei
der Einführung von PVS im Besonderen nur unzureichend eingebunden worden ist. Aufgrund seiner unzureichenden Einbindung und Schulung konnte der bDSB in diesem Fall seinen Aufgaben nicht angemessen
nachkommen. So konnte er z. B. nicht abschließend beurteilen, ob die bei den verschiedenen
PVS-Komponenten zur Durchführung von Sperrungen und Löschungen eingesetzte Software SAP-ILM für PVS
datenschutzgerecht konzipiert ist und angewendet wird. Dies halte ich für einen unhaltbaren Zustand. Gemäß
§ 4f Absatz 5 BDSG ist das BADV gesetzlich verpflichtet, seinen bDSB bei der Aufgabenwahrnehmung zu
unterstützen. Hier sehe ich noch einen deutlichen Verbesserungsbedarf.
Dem bDSB ist von seiner Behörde die für die Aufgabenstellung erforderliche Sach- und Personalausstattung zur
Verfügung zu stellen. Zumindest ab einer Beschäftigtenzahl von 1.000 Beschäftigten ist der bDSB regelmäßig
von anderen dienstlichen Tätigkeiten freizustellen und abhängig vom Umfang der Verarbeitung personenbezoBfDI 26. Tätigkeitsbericht 2015-2016
– 89 –