– 125 –

wählten Vertragspartnern des Auftraggebers BMI erhoben,
verarbeitet oder genutzt.
Ich habe es begrüßt, dass mich das BMI im Vorfeld des Abschlusses einer entsprechenden Dienstvereinbarung mit dem
Hauptpersonalrat zu den datenschutzrechtlichen Fragen um
beratende Unterstützung gebeten hat. So habe ich zu dem
Entwurf der Dienstvereinbarung über die elektronische Erhebung, Verarbeitung und Nutzung von personenbezogenen
Daten im Rahmen des TMS umfangreiche datenschutzrechtliche Änderungsvorschläge unterbreiten und Empfehlungen und Hinweise geben können, die berücksichtigt worden sind.

– Die aufgezeichneten Daten sind zu löschen, wenn ihre
Kenntnis für die zulässigen Kontrollzwecke der Dienststelle nicht mehr erforderlich ist und schutzwürdige Belange des betroffenen Beschäftigten durch die Löschung
nicht beeinträchtigt werden.
– Durch geeignete technische und organisatorische Maßnahmen ist eine unbefugte Kenntnisnahme der Zeitdaten
durch Dritte zu verhindern.
– Die Mitarbeiter sind umfassend über das Verfahren der
automatisierten Gleitzeitverarbeitung zu unterrichten,
der Abschluss einer Dienstvereinbarung ist empfehlenswert.

Aus datenschutzrechtlicher Sicht galt hierbei ein besonderes
Augenmerk den Regelungen zur Auftragsdatenverarbeitung (§ 11 BDSG), den Zugriffsberechtigungen, zulässigen
Auswertungsmöglichkeiten, vorgesehenen Datenübermittlungen, den Löschungsregelungen, der umfassenden Unterrichtung der Beschäftigten und deren Rechten, dem Ausschluss einer Verhaltens- und Leistungskontrolle der
Dienstreisenden, aber auch den technisch-organisatorischen
Maßnahmen (§ 9 sowie Anlage zu § 9 Satz 1 BDSG).

Ein wichtiger Beratungsgegenstand war auch die Frage der
Organisation von Gleitzeitstellen, insbesondere die zwischenzeitlich von mehreren Bundesbehörden und auch von
meiner Dienststelle praktizierte bzw. angestrebte Ausgliederung der Gleitzeitstelle. Aus datenschutzrechtlicher Sicht
halte ich eine solche Aufgabenverlagerung der Gleitzeitverarbeitung von der Beschäftigungsbehörde hin zu einer anderen Bundesbehörde (etwa dem Bundesverwaltungsamt) für
eine gute Lösung.

Das BMI hat meine Anregungen aufgegriffen und zugesagt,
die Beschäftigten über alle Module des Systems im Einzelnen vor der Einführung jeweils detailliert zu unterrichten.

Maßgeblich ist hierbei jedoch immer die datenschutzgerechte Organisation und Gestaltung des automatisierten Verfahrens und der Gleitzeitstelle und eine klare Abgrenzung
und Festlegung, wer bei der Verarbeitung von Mitarbeiterdaten welche konkreten Aufgaben wahrnimmt und somit
die Befugnisse hat, die hierfür erforderlichen Personaldaten
zu verarbeiten. Dies sollte detailliert zwischen der verantwortlichen Stelle und der beauftragten Behörde (z. B. im
Rahmen einer Dienstleistungsvereinbarung) geregelt werden, sich in einer Dienstvereinbarung widerspiegeln und
den Mitarbeitern transparent dargestellt werden.

Es bestand Einvernehmen, dass es neben den getroffenen
Regelungen der Dienstvereinbarung für eine abschließende
datenschutzrechtliche Bewertung des TMS später auf die
Umsetzung der dort vereinbarten datenschutzrechtlichen
Bestimmungen, insbesondere der technisch-organisatorischen Maßnahmen, in der Praxis ankommen wird. Eine solche Prüfung habe ich mir vorgemerkt.
21.3.3

Automatisierte Gleitzeitverarbeitung will
gut organisiert sein

Auch in diesem Berichtszeitraum haben mich zahlreiche
Bundesbehörden, Personalvertretungen und die Fraktion der
SPD im Deutschen Bundestag gebeten, sie bei der Einführung oder Umsetzung der gleitenden Arbeitszeit mittels
elektronischer Zeiterfassungssysteme, die gem. § 75 Abs. 3
Nr. 17 Bundespersonalvertretungsgesetz der Mitbestimmung unterliegen, beratend zu unterstützen.
Die Rechtmäßigkeit der Datenerhebung, -verarbeitung und
-nutzung von Mitarbeiterdaten im Rahmen eines automatisierten Zeiterfassungssystems bestimmt sich bei den Bundesbehörden nach den Vorschriften des § 12 Abs. 4 sowie
§ 28 Abs. 1 Nr. 1 BDSG. Ferner sind von ihnen die „Rahmengrundsätze für die gleitende Arbeitszeit in der Bundesverwaltung“ des BMI zu beachten. Die wichtigsten datenschutzrechtlichen Anforderungen lassen sich wie folgt
zusammenfassen:
– Mittels automatisierter Zeiterfassungssysteme dürfen
nur die Daten aufgezeichnet werden, die für die Abrechnung der Gleitzeit erforderlich sind.
– Die erfassten Daten dürfen nur den mit der Abrechnung und Kontrolle dieser Aufzeichnungen beauftragten Stellen zugänglich sein. Diese dürfen die Daten zu
keinem anderen als zum Zweck der Gleitzeitberechnung und -kontrolle verarbeiten, bekannt geben oder
sonst nutzen.

Ich werde auch in Zukunft der Thematik Gleitzeitverarbeitung eine besondere Aufmerksamkeit widmen.
21.3.4

Kontrollen weisen große Mängel auf –
Kraftfahrt-Bundesamt mehrfach
beanstandet

Im Berichtszeitraum habe ich zweimal das Kraftfahrt-Bundesamt (KBA), die Zentrale des Auswärtigen Amtes (AA)
sowie ein Bundesgrenzschutzamt beraten und kontrolliert,
insbesondere im Hinblick auf die automatisierte Personaldatenverarbeitung.
Zu den Kontrollen im KBA:
Bereits im Jahre 1994 hatte ich im KBA eine Kontrolle im
Bereich der automatisierten Personaldatenverarbeitung
durchgeführt und hierüber auch in meinem 15. TB (Nr. 9.7.3)
berichtet.
Eine erste Prüfung im Berichtszeitraum (2001) hat gezeigt,
dass das KBA entgegen den im 15. TB und auch in der Stellungnahme der Bundesregierung hierzu dargestellten Zusagen, die bereits 1994 festgestellten Mängel zu beseitigen,
dies in drei Bereichen nicht umgesetzt hatte: Kein Abschluss einer Dienstvereinbarung zur Personaldatei (Personalinformationssystem), weiterhin umfangreiche, ausgefüllte Bemerkungs- und Freitextfelder und immer noch eine
große Anzahl unzulässiger Dateien mit Personalaktendaten
in Fachabteilungen des KBA.

BfD 19. Tätigkeitsbericht 2001–2002

Select target paragraph3