Drucksache 17/5200
– 136 –
Mitarbeiter die Vertreter des Ministeriums gebeten, umgehend alle vorgefundenen Verfahren der automatisierten
Personaldatenverarbeitung außerhalb des PVS hinsichtlich ihrer Rechtmäßigkeit zu überprüfen, Notwendiges zu
veranlassen und darüber hinaus alle unzulässigen, insbesondere nicht mehr erforderlichen Dokumente und Vorlagen mit personenbezogenen Daten der Beschäftigten zu
löschen.
Unter Berücksichtigung der konstruktiven und zügigen
Umsetzung meiner datenschutzrechtlichen Hinweise und
Empfehlungen, insbesondere der sofortigen Löschung aller unzulässig gespeicherten Personaldaten einschließlich
der Personalaktendaten habe ich davon abgesehen, die
festgestellten Verstöße gegenüber dem BMVBS formell
zu beanstanden.
Auch im Wasser- und Schifffahrtsamt (WSA) Hamburg
habe ich die automatisierte Personaldatenverarbeitung unter besonderer Berücksichtigung des Einsatzes des
PVS BMVBS überprüft und vergleichbaren datenschutzrechtlichen Handlungsbedarf im automatisierten Umgang
mit Beschäftigtendaten festgestellt. Ich begrüße es, dass
auch das WSA Hamburg den datenschutzrechtlichen Empfehlungen meiner Mitarbeiter folgend noch während des
Besuches reagiert und u. a. alle unzulässig vorgefundenen
personenbezogenen Daten der Beschäftigten gelöscht und
weitere notwendige Maßnahmen getroffen hat.
Allerdings wurden im WSA Hamburg darüber hinaus erhebliche technisch-organisatorische Mängel festgestellt,
etwa der Einsatz von Hack- und Crack-Software auf einem
Rechner der Administration sowie eine gespeicherte aktuelle Liste mit Passwörtern der Beschäftigten des WSA
Hamburg. Die gefundenen Hack- und Crack-Programme
wurden nach Auskunft der Administratoren benutzt, um
die vergessenen Passwörter der Kollegen errechnen zu
können. Um allerdings bei Erinnerungslücken von Mitarbeitern wieder den Zugang zum System zu eröffnen, muss
nur das Passwort durch den Administrator zurückgesetzt
werden. Ein Entschlüsseln des Passwortes ist hierzu nicht
notwendig. Das Vorhalten und Verwenden von Hack- und
Crack-Programmen war unzulässig.
Meine grundsätzliche Haltung zum Einsatz von solchen
Programmen möchte ich nochmals darlegen (vgl. auch
20. TB Nr. 4.3.1): Zwar sollten Administratoren über solche Programme informiert sein, der Einsatz dieser Programme in einem IT-System, auf dem auch personenbezogene Daten verarbeitet werden und erst recht in einem
bundesweiten Netz stellt allerdings einen groben Verstoß
gegen § 9 BDSG dar. Durch den Einsatz von Hack- und
Crack-Programmen ist die Sicherheit des gesamten Netzes
gefährdet. Ein Einsatz zu Testzwecken kommt deshalb nur
in einem separaten Testnetzwerk oder in einem Offline-System in Frage. Soll durch den Einsatz die Sicherheit des
Wirkbetriebs getestet werden, müssen die Rahmenbedingungen vorher – auch mit dem Personalrat der Behörde –
schriftlich fixiert und abgestimmt werden. Der Einsatz
derartiger Programme nur in Abstimmung mit dem
IT-Personal und/oder in ständiger Verfügbarkeit ist aus Sicherheitsgründen nicht zulässig.
BfDI 23. Tätigkeitsbericht 2009-2010
Deutscher Bundestag – 17. Wahlperiode
Weiterhin fand ich ein zur Unterstützung der Mitarbeiter
an den Arbeitsplätzen in der Administration eingesetztes
Programm, mit dem sich diese „Remote“ auf Arbeitsplätze der Beschäftigten der Behörde aufschalten konnten. Eine Beschreibung des Programms unter Darlegung
der Einsatzbedingungen fehlte hier ebenso wie eine
Dienstanweisung oder konkrete Regelung der Voraussetzungen zum (zulässigen) Einsatz der Software. Unklar
war auch, inwieweit ein Nutzer die Aufschaltung der Administration zur Kenntnis nehmen konnte bzw. aktiv an
der Aufschaltung, z. B. durch ausdrückliche Zustimmung
(Bestätigung) zur Aufschaltung, mitwirken musste. Unter
den vor Ort vorgefundenen Verhältnissen habe ich den
Einsatz dieses Tools für unzulässig bewertet.
Aufgrund der umfassenden und schweren technisch-organisatorischen Mängel habe ich die im WSA Hamburg festgestellten Datenschutzverstöße nach § 25 Absatz 1 BDSG
gegenüber dem BMVBS beanstandet. Das BMVBS hat
das Notwendige veranlasst und mir über die Beseitigung
der beanstandeten Mängel berichtet.
12.5
Dienstleistungszentren im Bereich
der Personalverwaltung
Bei den im Auftrag des BMI durchgeführten Planungen
des Bundesverwaltungsamtes (BVA) zum Auf- und Ausbau von verschiedenen Dienstleistungszentren hat mich
das BMI zum vorgesehenen Umgang mit Beschäftigtendaten um datenschutzrechtliche Beratung gebeten.
Ich freue mich darüber, dass ich im Zuständigkeitsbereich
des BMI über ein gutes Beispiel für „Privacy by Design“
berichten kann. Damit wird der Ansatz bezeichnet, etwaige Datenschutzprobleme schon bei der Entwicklung
neuer Technologien und Verfahren zu identifizieren und
den Datenschutz von vornherein in die Gesamtkonzeption
einzubeziehen (vgl. Nr. 3.2). Das BMI hat mich anlässlich
seiner Planungen zum Auf- und Ausbau von
Dienstleistungszentren (DLZ) für Querschnittsfunktionen/
-leistungen sehr frühzeitig um Beratung zum Umgang mit
personenbezogenen Daten der Beschäftigten in verschiedenen Projekten bzw. Teilprojekten gebeten. Auf diese
Weise können Datenschutzanforderungen schon in einer
sehr frühen Phase des Entwicklungsprozesses berücksichtigt werden.
In sehr konstruktiven Beratungsgesprächen, an der auch
die Beauftragte für den Datenschutz des BMI teilnahm,
konnte ich erste grundsätzliche datenschutzrechtliche Hinweise und Empfehlungen zum vorgesehenen Umgang des
BMI bzw. des von ihm beauftragten Bundesverwaltungsamtes (BVA) mit Beschäftigtendaten geben. Die beratende
Unterstützung betraf bisher die DLZ-(Teil-)Projekte „Arbeitszeitmanagement“, „Personalgewinnung“, „Personalberichtswesen“, „Rechnungsbearbeitung“ sowie „elektronischer Dienstausweis“. Die Projekte und Planungen zum
Auf- und Ausbau der genannten Dienstleistungszentren
befinden sich teilweise noch in frühen Entwicklungs- und
Planungsstadien. Eine konkrete datenschutzrechtliche Beratung oder gar Bewertung ist zum Teil noch nicht möglich,
da wichtige Entscheidungen zum Umgang mit Personaldaten – auch aus personalaktenrechtlicher Sicht – ebenso
noch ausstehen wie entsprechende Datenschutz- und Da-