– 126 –
Daneben habe ich zahlreiche weitere unzulässige automatisierte, aber auch manuelle Verarbeitungen von Personal-/
Personalaktendaten festgestellt. So hat das KBA z. B. über
Jahre hinaus alle Personalakten von Beamten, die zu einer
anderen Behörde oder in den Ruhestand versetzt wurden,
vor der Abgabe der (Original-)Personalakte vollständig kopiert (bis zu 200 Seiten) und dauerhaft ohne Wissen der Betroffenen im KBA aufbewahrt. Das KBA konnte mir weder
eine Begründung hierfür geben noch darlegen, aufgrund
welcher oder wessen Anweisung dies aufwendige Verfahren
so praktiziert worden ist. Die zahlreichen (teils seit 1994
vorhandenen) Mängel des KBA im Umgang mit Personalaktendaten habe ich gemäß § 25 Abs. 1 BDSG gegenüber
dem Bundesministerium für Verkehr, Bau- und Wohnungswesen (BMVBW) als einen Verstoß gegen die Regelungen
der §§ 90 ff. BBG beanstandet und dringenden Handlungsbedarf aufgezeigt.
Die Umsetzung der mir vom BMVBW gegebenen Zusagen
bzw. dargestellten Maßnahmen habe ich nach über einem
Jahr (2002) nochmals im KBA kontrolliert. Hierbei war es
mir erstmalig möglich, auch außerhalb des Personalinformationssystems im Personalreferat geführte weitere automatisierte Dateien mit Personal-/Personalaktendaten auf ihre
Rechtmäßigkeit hin zu überprüfen. Diese waren mir leider
auch auf meine Nachfragen hin bei der Kontrolle im Jahre
2001 nicht gezeigt worden und ihre Existenz wurde mir erst
bestätigt, nachdem mir hierfür Anhaltspunkte vorlagen. Ich
habe gegenüber dem BMVBW deutlich gemacht, dass ein
solches Verhalten des KBA nicht im Einklang mit § 24
Abs. 4 BDSG steht. Danach sind die öffentlichen Stellen des
Bundes verpflichtet, mich bei der Erfüllung meiner Aufgaben zu unterstützen. Ich habe feststellen müssen, dass diese
beim Sachgebietsleiter geführten Dateien gegen zahlreiche
Vorschriften des BBG und des BDSG verstoßen. Sie verletzen insbesondere die Persönlichkeitsrechte der Betroffenen,
weil dort Vermerke mit auf Mitarbeiter bezogenen, subjektiven, negativen und diskriminierenden Inhalten und mit besonderen Arten personenbezogener Daten gemäß § 3 Abs. 9
BDSG (Angaben über die Gesundheit) gespeichert sind.
Neben diesen und weiteren umfangreichen neuen Datenschutzverletzungen ergab die Nachkontrolle wiederum teilweise deckungsgleiche schwere Mängel und Verstöße des
KBA im Umgang mit diesen besonders sensiblen und schützenswerten Personal-/Personalaktendaten. Bestätigungen
bzw. Zusagen mir gegenüber hinsichtlich einer datenschutzgerechten Verfahrensweise trafen größtenteils immer noch
nicht zu bzw. waren nicht umgesetzt, was angesichts der 2001
ausgesprochenen Beanstandung völlig unverständlich ist.
Ich habe deshalb die wiederum zahlreichen festgestellten
Mängel im Umgang des KBA mit Personalaktendaten gemäß § 25 Abs. 1 BDSG gegenüber dem BMVBW als einen
Verstoß gegen die Regelungen der §§ 90 ff. BBG beanstandet. Darüber hinaus musste ich aufgrund der vorgefundenen
erheblichen technisch-organisatorischen Mängel bei der
Verarbeitung dieser Mitarbeiterdaten, insbesondere solcher
mit Angaben über die Gesundheit, gem. § 25 Abs. 1 BDSG
einen Verstoß gegen § 9 BDSG nebst Anlage beanstanden.
Vor dem Hintergrund der wiederholten, teilweise jahrelangen unzulässigen Datenverarbeitungen des KBA habe ich
das BMVBW aufgefordert, dringend dafür Sorge zu tragen,
dass die Verarbeitung von Personal-/Personalaktendaten
BfD 19. Tätigkeitsbericht 2001–2002
dort zukünftig gesetzmäßig erfolgt. Hierauf werde ich ein
besonderes Augenmerk legen.
Zur Kontrolle in der Zentrale des AA:
In den Personalreferaten der Zentrale des AA wird das
selbstentwickelte zentrale Personalinformations-/-verwaltungssystem PEPSY eingesetzt. Daneben habe ich bei einem
Kontroll- und Beratungsbesuch dort noch zahlreiche sonstige automatisierte Personaldateien mit oftmals identischem
Inhalt vorgefunden, in denen Daten zu solchen Zwecken
verarbeitet wurden, für die das AA PEPSY entwickelt hat.
Damit war eine einheitliche „Pflege“ der Personal-/Personalaktendaten nicht gewährleistet, mit der Gefahr, dass die
Mitarbeiterdaten nicht deckungsgleich und damit teilweise
unrichtig waren. Ich habe in diesem Zusammenhang auch
auf das hierdurch verursachte Problem aufmerksam gemacht, die Wahrnehmung der Einsichts- und Auskunftsrechte der Beschäftigten gemäß § 90c BBG bzw. 34 BDSG
sicherzustellen, und auf die erschwerte Überwachung der
ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme durch den behördlichen Datenschutzbeauftragen
gemäß § 4g Abs. 1 Nr. 1 BDSG hingewiesen.
Da es weder zu PEPSY noch zu den sonstigen automatisierten Verarbeitungen von Mitarbeiterdaten schriftliche
Datenschutzregelungen/Dienstanweisungen gab, habe ich
entsprechenden Handlungsbedarf aufgezeigt. Das AA hat
umgehend eine solche Anweisung für die Beschäftigten in
den Personalreferaten erlassen, eine sofortige Bestandsaufnahme aller Dateien mit Mitarbeiterdaten durchgeführt, deren Erforderlichkeit für die Aufgabenerfüllung der Personalreferate außerhalb von PEPSY geprüft und weitere
notwendige Maßnahmen (z. B. Löschung der Daten oder
Übernahme in PEPSY) durchgeführt. Zu weiteren Kontrollfeststellungen hat das AA schnellstmöglich meine datenschutzrechtlichen Empfehlungen umgesetzt und in den
kurze Zeit später in Kraft gesetzten DatenschutzgrundsatzRunderlass auch Regelungen zur Verarbeitung von Mitarbeiterdaten aufgenommen. Unter Berücksichtigung dieser
Tatsachen war es mir nach § 25 Abs. 2 BDSG möglich, von
einer förmlichen Beanstandung dieser Verstöße abzusehen.
Zur Kontrolle eines Bundesgrenzschutzamtes:
Im Sachgebiet Personal des geprüften Bundesgrenzschutzamtes werden zahlreiche selbstentwickelte elektronische
Dateien mit Personal-/Personalaktendaten geführt. Neben
den dort festgestellten und aus datenschutzrechtlicher
Sicht problematischen Bemerkungsfeldern zum freien Eintrag von Texten fanden sich auch für die Aufgabenerfüllung der Personalstelle nicht (mehr) erforderliche Dokumente, aber auch komplette Dateien, die bereits erledigte
bzw. abgeschlossene Vorgänge betrafen und damit unzulässig waren.
Auch in einer zu diesem Bundesgrenzschutzamt gehörenden Grenzschutzinspektion waren beim Leiter zwei Dateien mit sehr sensiblen Personalaktendaten (u. a. Beurteilungsnoten) gespeichert, deren dauerhafte elektronische
Speicherung weder vorgesehen noch erforderlich war und
die hätten gelöscht sein müssen. Als gravierenden Verstoß
gegen die gesetzlichen Vorgaben der §§ 90 ff. BBG und gegen § 9 sowie Anlage zu § 9 Satz 1 BDSG habe ich bewertet, dass sich der Dienststellenleiter diese Dateien unter der