Deutscher Bundestag – 17. Wahlperiode
– 135 –
Drucksache 17/5200
Datenschutzes darauf verzichtet, die Verstöße erneut zu
beanstanden.
seiner Rechte auf Einsicht in seine vollständige Personalakte nach § 110 Absatz 1 BBG von großer Bedeutung.
Inzwischen hat die Deutsche Bahn AG weitreichende
technische und organisatorische und strukturelle Maßnahmen gegen datenschutzrechtliche Verstöße im Unternehmen eingeführt. Der neue Unternehmensvorstand misst
dem Datenschutz hohe Priorität zu und hat ein eigenes
Vorstandsressort „Compliance, Datenschutz und Recht“
eingerichtet.
Sobald die erforderlichen technischen Voraussetzungen
vorliegen, insbesondere die Beweiskraft elektronisch gespeicherter Urkunden durch eine qualifizierte elektronische Signatur (§ 3a Absatz 2 Verwaltungsverfahrensgesetz, § 2 Nr. 3 Signaturgesetz) gewährleistet ist, kann die
Personalakte auch ausschließlich elektronisch geführt
werden.
So sehr ich diese Maßnahmen begrüße, für so erschreckend und zugleich bedauerlich halte ich es, dass die Führung dieses großen, aus einem staatlichen Sondervermögen hervorgegangenen Unternehmens erst durch die
öffentliche Aufmerksamkeit und nach Datenschutzkontrollen, die schwerwiegende Verstöße nachwiesen, die erforderlichen Schritte zur Stärkung des Datenschutzes eingeleitet hat.
Im Berichtszeitraum habe ich begonnen, die DRV Bund
bei ihren Planungen zur Einführung einer elektronischen
Personalakte zu unterstützen (vgl. o. Nr. 5.5).
12.3
Die elektronische Personalakte
Auch in der Bundesverwaltung dürfen – nach entsprechenden Rechtsänderungen – Personalakten elektronisch
geführt werden. Die Verantwortlichen müssen dafür sorgen, dass dabei der Datenschutz gewährleistet bleibt.
Mit dem am 12. Februar 2009 in Kraft getretenen Gesetz
zur Neuordnung und Modernisierung des Bundesdienstrechts (kurz: Dienstrechtsneuordnungsgesetz – vgl. 21. TB
Nr. 14.2 sowie 22. TB Nr. 16.15) wurde für die Bundesbehörden erstmalig die Möglichkeit geschaffen, Personalakten der Bundesbeamtinnen und -beamten automatisiert zu
führen.
Aus datenschutzrechtlicher Sicht ist die Regelung der
elektronischen Personalakte die wesentlichste Neuerung
im Bundesbeamtengesetz (BBG). In § 106 Absatz 1 Satz 3
BBG ist nun geregelt, dass die Personalakten der Bundesbeamtinnen und Bundesbeamten sowohl in Schriftform als
auch – in Teilen oder vollständig – automatisiert („elektronisch“) geführt werden können.
Die nun grundsätzlich mögliche gemischte Aktenführung
teils in elektronischer, teils in Papierform (sogenannte Hybridakten) darf allerdings nicht zu Zweifeln an der Eindeutigkeit der Personalakte und zu Einschränkungen der
Rechte der Betroffenen führen. Eine parallele Führung
gleicher Aktenteile in Papierform und in elektronischer
Form ist daher zu vermeiden. Die personalverwaltende
Stelle muss deshalb in den Fällen, in denen die Personalakte nicht vollständig in Schriftform oder vollständig automatisiert geführt wird, nach § 106 Absatz 2 Satz 5 BBG
schriftlich festlegen, welche Teile in welcher Form geführt
werden. Dies hat sie zudem in dem in die Grundakte aufzunehmenden vollständigen Verzeichnis aller Teil- und
Nebenakten zu dokumentieren. Dabei stellen aus zwingenden technischen Gründen vorzuhaltende Sicherheitskopien und Backups aufgrund des materiellen Personalaktenbegriffs keinen Verstoß gegen den Grundsatz dar, dass
es nur eine Personalakte geben darf. Aber auch in diesem
Zusammenhang ist durch geeignete Maßnahmen jeder
Zweifel an der Eindeutigkeit der Personalakte auszuschließen. Für den Betroffenen ist dies zur Sicherstellung
Da es sich bei den Personalakten stets um besonders
schützenswerte Datensammlungen handelt, müssen die
zu ihrer elektronischen Führung verwendeten IT-Systeme
hohen Sicherheitsanforderungen entsprechen. Ich werde
mich deshalb in den kommenden Jahren durch Prüfungen
davon überzeugen, ob diese Anforderungen eingehalten
werden.
12.4
Kontroll- und Beratungsbesuche im
Geschäftsbereich des BMVBS
Im Berichtszeitraum habe ich Beratungs- und Kontrollbesuche im Geschäftsbereich des BMVBS durchgeführt und
dabei insbesondere den Umgang mit dem Personalverwaltungssystem PVS BMVBS kontrolliert. In einem Fall
musste ich wegen schwerwiegender Mängel bei der IT-Sicherheit eine förmliche Beanstandung aussprechen.
Beim PVS BMVBS handelt es sich um ein einheitliches
Personalverwaltungssystem, das in allen Dienststellen im
Geschäftsbereich des BMVBS eingesetzt wird. Dieses
konfigurierte und erweiterte SAP R/3 HR-System kombiniert eine zentrale Datenhaltung mit dezentraler Personalverwaltung. Die Betriebsverantwortung für das System
liegt beim BMVBS.
Im Rahmen meiner Beratungsaufgabe nach § 26 Absatz 3
BDSG habe ich das BMVBS bei der Entwicklung des PVS
BMVBS unterstützt und auf Grundlage des jeweiligen
Entwicklungsstandes umfassende datenschutzrechtliche
Hinweise und Empfehlungen – auch im Hinblick auf die
gesetzlichen Löschungsvorgaben und zu der erforderlichen Dienstvereinbarung – gegeben. Die Besuche im
nachgeordneten Bereich dienten dazu, das System erstmalig im Echtbetrieb zu überprüfen. Näheres zum hierbei
festgestellten Problem des Löschens von im PVS BMVBS
gespeicherten Personal-/Personalaktendaten ist an anderer
Stelle dieses TB dargestellt (vgl. Nr. 5.4.2.).
Daneben bin ich bei der Prüfung des Bundesamtes für Seeschifffahrt und Hydrographie (BSH) auf weitere datenschutzrechtliche Probleme und Mängel beim automatisierten Umgang mit Beschäftigtendaten gestoßen. So habe ich
im Personalreferat des BSH neben PVS BMVBS 20 bis
30 weitere Verfahren der automatisierten Personaldatenverarbeitung festgestellt, die entgegen den Regelungen in
der Dienstvereinbarung und im Einführungserlass des
BMVBS ebenfalls für Zwecke der Personalverwaltung/
Personalwirtschaft betrieben wurden, für die das BMVBS
gerade PVS eingeführt hat. Bereits vor Ort haben meine
BfDI 23. Tätigkeitsbericht 2009-2010