Deutscher Bundestag – 17. Wahlperiode
– 63 –
Drucksache 17/5200
Aufgegriffen hat die DRV Bund meine Empfehlungen, das
Scannen und Signieren der Bestandspersonalakten und die
Digitalisierung neuer Vorgänge in einem gesonderten Bereich der Scanstelle ausschließlich durch Beschäftigte der
Personalabteilung durchführen zu lassen.
5.6
Ich sehe allerdings noch weiteren Handlungsbedarf. Die
DRV Bund ist als personalaktenführende Stelle für die
Eindeutigkeit, Vollständigkeit und Richtigkeit der Personalakte verantwortlich. Allerdings plant die DRV Bund
bislang, lediglich 2 Prozent der eingescannten Originalunterlagen stichprobenartig auf ihre Richtigkeit zu überprüfen und mit einer elektronischen Signatur zu versehen. Die
rudimentäre Prüfung erscheint problematisch, weil die
Originalunterlagen nach dem Scannen in absehbarer Zeit
vernichtet werden müssen, um eine dauerhafte parallele
Führung gleicher Aktenteile in Papierform und in elektronischer Form zu vermeiden. Damit die DRV Bund zu jeder
Zeit – also auch nach Vernichtung der Papierdokumente –
in der Lage ist, die Eindeutigkeit, Richtigkeit und Übereinstimmung der elektronischen Dokumente mit den früheren
Papier-Originalen nachzuweisen, muss also jedes einzelne
elektronische Dokument nach dem Einscannen und vor
der Vernichtung der Originalunterlage geprüft und anschließend mit einer qualifizierten digitalen Signatur versehen werden.
Cloud Computing bezeichnet das dynamische Bereitstellen von Ressourcen wie Rechenkapazitäten, Datenspeicher oder fertiger Programmpakete über Netze, insbesondere über das Internet. Für das Cloud Computing wird mit
möglichen Kosteneinsparungen und größerer Flexibilität
geworben. Hierbei stellt sich jedoch die Frage, wie der
Datenschutz und die Datensicherheit gewährleistet werden können.
Für die Prüfung, inwiefern für die Umsetzung der gesetzlichen Vorgaben des BBG ein Übergangszeitraum gewährt
werden kann, hat die DRV Bund auf meine Anregung eine
Stellungnahme des Bundesministeriums des Innern (BMI)
eingeholt. Darin führt das BMI aus, dass die bereits eingescannten Bestandsakten nicht aus allgemeinen Sicherheitserwägungen dauerhaft vorgehalten werden dürfen.
Zugleich hat es aber dargelegt, unter welchen Voraussetzungen ein zeitlich begrenztes Vorhalten der Papierakten
nach dem Einscannen zu Kontrollzwecken sachlich gerechtfertigt ist. Insbesondere müssen nach der Durchführung des
Massenscanverfahrens alle zumutbaren Maßnahmen ergriffen werden, die eine kontinuierliche Verringerung der vorgehaltenen Papierakten ermöglichen. Eine Sichtkontrolle
müsse daher laufend – und nicht nur anlassbezogen –
durchgeführt werden, damit zumindest nach absehbarer
Zeit auf die Papierakten verzichtet werden könne.
Da die Auftraggeber in der Mehrzahl der Konstellationen
die Verantwortung für ihre Daten nicht aus der Hand geben wollen, handelt es sich sowohl nach der europäischen
Datenschutzrichtlinie als auch nach dem Bundesdatenschutzgesetz um eine Form der Auftragsdatenverarbeitung. Damit verbleibt nach § 11 BDSG auch die datenschutzrechtliche Verantwortung in aller Regel bei der
verantwortlichen Stelle. Daraus ergibt sich, dass eine
Reihe von rechtlichen, formalen sowie technischen und
organisatorischen Anforderungen zu berücksichtigen sind
(vgl. auch Nr. 2.4 zur Auftragsdatenverarbeitung). Beim
Cloud Computing ist u. a. Folgendes zu beachten:
Da ich die Rechtsauffassung des BMI teile, habe ich gegenüber der DRV Bund eine vollständige Sichtprüfung
mit qualifizierter digitaler Signatur der eingescannten Papierakten und anschließender Vernichtung der Papierakten
„nach und nach“ angeregt. Die DRV Bund prüft derzeit
meinen Lösungsvorschlag, hat aber darauf hingewiesen,
dass die vollständige Prüfung der digitalisierten Dokumente zu einer erheblichen Mehrbelastung führen wird.
Zugesagt hat mir die DRV Bund bereits, dass bei der Digitalisierung künftiger, also neuer Vorgänge das Anbringen
der Signatur mit einer 100-prozentigen Sichtprüfung erfolgen wird.
Ich werde die DRV Bund bei der Einführung der elektronischen Personalakte – der ich grundsätzliche Bedeutung
beimesse – weiterhin beratend unterstützen und den Umsetzungsprozess aufmerksam beobachten.
Cloud Computing – Datenschutz
in der Wolke?
Das Bereitstellen von Rechenkapazitäten über das Internet im Rahmen des sog. Cloud Computing wirft viele datenschutzrechtliche Fragen auf.
Cloud Computing in seiner Reinform – als ein offenes,
globales Modell – ist mit dem geltenden Datenschutzrecht
schwer in Einklang zu bringen. Entschließt sich eine verantwortliche Stelle, also der Auftraggeber von CloudDiensten, personenbezogene Daten auf verteilten Rechnern weltweit speichern zu lassen, stößt dieser Ansatz
schnell an seine Grenzen. Im Extremfall weiß die verantwortliche Stelle nicht einmal, wo und von wem die Daten
technisch verarbeitet werden. Es muss daher einschränkende Bedingungen beim Einsatz des Cloud Computing
geben.
Die Verlagerung der Verarbeitung in die Cloud darf grundsätzlich nur dann erfolgen, wenn eine Delegation von Datenverarbeitungsvorgängen an private Dritte im Sinne einer Auftragsdatenverarbeitung zulässig ist. Dabei sind die
bereichsspezifischen Grenzen – etwa des Sozialrechts – zu
beachten.
In der Regel macht die Verarbeitung in der Cloud nicht an
den deutschen Grenzen halt. Die Auftragsvergabe an ausländische Auftragnehmer unterliegt nur dann den gleichen Anforderungen wie in Deutschland, wenn der Auftragnehmer seinen Sitz in der EU oder in Ländern des
Europäischen Wirtschaftsraums (EWR) hat oder die Daten zumindest in deren Gebiet verarbeitet werden.
Für Auftragnehmer, die Daten außerhalb der EU oder des
EWR verarbeiten, muss zusätzlich ein angemessener Datenschutz in den jeweiligen Drittstaaten gewährleistet und
ggf. eine Genehmigung bei der für die verantwortliche
Stelle zuständige Datenschutzbehörde eingeholt werden.
An die Angemessenheit der Maßnahmen sind dieselben
Anforderungen zu stellen wie bei der Datenübermittlung
in einen Drittstaat.
BfDI 23. Tätigkeitsbericht 2009-2010