4 Datenschutz in der Verwaltung
4.1 Allgemeine Verwaltung
4.1.1 E-Government im Meldewesen
Die Übermittlung von Meldedaten durch automatisierte Abrufverfahren wurde von uns aus aktuellem Anlass geprüft. Mit Erschrecken mussten wir massive Rechtsverstöße feststellen. Die Beseitigung der Mängel muss vor der beabsichtigten Ausweitung der Abrufmöglichkeiten oberste Priorität haben.
Automatisierte Abrufverfahren werden demnächst die Verfügbarkeit von Meldedaten bei allen öffentlichen und privaten Stellen deutlich verbessern und zu erheblichen Rationalisierungseffekten sowohl bei den Meldebehörden als auch bei den empfangenden Stellen führen. Der Datenschutz darf dabei allerdings nicht auf der Strecke bleiben. Wir haben deshalb bereits bestehende Abrufverfahren bei einer Stadt geprüft und mussten erhebliche Mängel bei der Ausgestaltung der Verfahren feststellen.
-
Polizeiabrufverfahren
Im Rahmen dieses Verfahrens haben Polizeidienststellen des Landes jederzeit die Möglichkeit, Meldedaten online bei dataport abzurufen. Dataport führt zu diesem Zweck im Auftrag der einzelnen Meldebehörden eine nach einzelnen Kommunen gegliederte Spiegeldatei der jeweiligen Originalmelderegister.
Folgende Mängel müssen abgestellt werden:
- Es waren keine ausreichenden schriftlichen Aufträge und ergänzenden Weisungen gegenüber dem Auftragnehmer zur Ausgestaltung des Abrufverfahrens vorhanden. Der geprüften Stadt war weder die Funktionsweise des Verfahrens bekannt, noch lagen schriftliche Unterlagen (z. B. ein Bedienerhandbuch) vor.
- Die Stadt selbst hatte keinen Zugriff auf ihre in der Spiegeldatei bei dataport gespeicherten Daten. Damit bestand keine Möglichkeit, die Richtigkeit gespeicherter Daten oder die Rechtmäßigkeit des Auskunftsverhaltens zu prüfen.
- Im Verfahren fand keine ausreichende Identitätsprüfung hinsichtlich der jeweils gesuchten Person statt, mit der Folge, dass auf eine konkrete Anfrage eine Vielzahl von Personendatensätzen übermittelt wurde, von denen naturgemäß nur einer zur rechtmäßigen Aufgabenerfüllung der Polizei erforderlich sein konnte.
- Im Falle einer Datenübermittlung wurden immer komplette Datensätze weitergegeben. So wurde z. B. im Fall einer Aufenthaltsermittlung bei einem Ordnungswidrigkeitenverfahren regelmäßig auch das Geburtsdatum, der Geburtsort, die Nationalität, eventuelle Nebenwohnungen und Übermittlungssperren weitergeleitet, obwohl diese Angaben für das polizeiliche Verfahren nicht benötigt wurden.
- Die vorgeschriebene Dokumentation der einzelnen Datenabrufe durch die Polizei war jedenfalls bei der Stadt nicht verfügbar. Insoweit fehlte auch die notwendige Grundlage für eine Revisionsmöglichkeit der Datenabrufe der Polizei.
- Wird das Melderegister nachträglich berichtigt, etwa weil sich ein Betroffener verspätet angemeldet hat, sind von der Meldebehörde die Stellen zu unterrichten, denen zuvor die unrichtigen Daten übermittelt worden sind. Diese Nachberichtspflicht wurde von der Stadt nicht beachtet, wohl auch, weil die dafür notwendige technische Unterstützung in Form einer automatischen Auswertung der Dokumentation nicht vorhanden war.
- Die für eine ordnungsgemäße automatisierte Datenverarbeitung vorgeschriebene Verfahrensdokumentation, Test und Freigabe konnten nicht nachgewiesen werden.
-
Behördeninternes Meldedatenabrufverfahren
Das ebenfalls geprüfte behördeninterne Meldedatenabrufverfahren, bei dem andere Fachämter innerhalb des Rathauses online auf die Meldedaten zugreifen können, unterscheidet sich vom Polizeiabrufverfahren vor allem dadurch, dass der Zugriff unmittelbar auf den Originaldatenbestand erfolgt, das Verfahren selbst bei der Kommune verfügbar ist und eigenständig konfiguriert werden kann. Die festgestellten Mängel fielen daher eher in den unmittelbaren Verantwortungsbereich der Stadt:
- Es fehlte die vorgeschriebene schriftliche Dienstanweisung, in der die notwendigen Details zur Ausgestaltung des Abrufverfahrens fachbereichsübergreifend festgelegt werden müssen.
- Zugriffsrechteverwaltung und Suchfunktionen für das Verfahren wurden erst im Rahmen der Prüfungsankündigung an die Rechtslage angepasst. Folglich stand für die Vergangenheit keine ausreichende Protokollierung der Datenabrufe durch die Fachämter zur Verfügung.
- Die vorgeschriebene Revision der Datenabrufe hatte nicht stattgefunden.
- Die Nachberichtspflicht wurde wie im Polizeiauskunftsverfahren nicht erfüllt.
- Auch hier konnte keine ausreichende Verfahrensdokumentation, Test und Freigabe nachgewiesen werden.
Die festgestellten Mängel sind insbesondere im Polizeiabrufverfahren durchweg auch auf andere Kommunen übertragbar. Wir werden deshalb auch im laufenden Jahr unser besonderes Augenmerk auf diesen Bereich richten und die notwendigen datenschutzrechtlichen Verbesserungen in angemessener Form begleiten.
Was ist zu tun?
Die Meldebehörden sollten die Prüfungsergebnisse zum Anlass nehmen, um sich insbesondere ihrer Verantwortung als Auftraggeber bei der Auftragsdatenverarbeitung bewusst zu werden, und die notwendigen schriftlichen Weisungen und Kontrollen gegenüber dem Auftragnehmer unverzüglich in die Wege leiten.
4.1.2 Gibt es eine vorläufige Auskunftssperre im Melderegister ?
Die Handhabung einer so genannten vorläufigen Auskunftssperre ist für die Dauer des Antragsverfahrens gesetzlich nicht geregelt. Die schutzwürdigen Interessen der Betroffenen sind hier besonders zu beachten.
Durch mehrere Anfragen wurden wir auf ein besonderes Problem bei der Eintragung von Auskunftssperren in das Melderegister aufmerksam. Mit Auskunftssperren soll vor allem verhindert werden, dass aus bestimmten Gründen die Adresse von gefährdeten Personen über eine Melderegisterauskunft gefunden und diese dadurch gefährdet würden. Oft wird über solche Anträge nicht sofort entschieden, da noch fehlende Unterlagen nachgereicht oder weitere Nachforschungen angestellt werden müssen. In diesen Fällen gibt es zurzeit unterschiedliche Praktiken:
- Es wird eine vorläufige Auskunftssperre, teilweise befristet für drei Monate, bewilligt, ohne jedoch die Meldebehörde des letzten Wohnortes davon zu unterrichten.
- Es wird eine Auskunftssperre vorläufig in das eigene Melderegister eingetragen; Betroffene erhalten davon jedoch keine Kenntnis.
- Es wird bis zur endgültigen Entscheidung des Antrages nichts veranlasst.
Der Gesetzgeber hat im Melderecht nichts zu einer vorläufigen Auskunftssperre geregelt. Abschließend normiert ist dagegen die Befristung der eigentlichen Auskunftssperre. Sie endet mit Ablauf des zweiten auf die Antragstellung folgenden Kalenderjahres. Eine zum Teil praktizierte formelle Befristung in einem vorläufigen Verfahren auf drei Monate ist dagegen nicht im Gesetz vorgesehen. Wird bei der Antragstellung die Notwendigkeit einer Auskunftssperre schlüssig vorgetragen, kann dies bis zur endgültigen Entscheidung nicht ohne Folgen für die Weiterverarbeitung der Meldedaten bleiben. In diesen Fällen sind zwingend die schutzwürdigen Interessen der Betroffenen nach dem Landesmeldegesetz (LMG) zu beachten. Folgende Maßnahmen kommen in Betracht:
- Bis zur Entscheidung ist der Antrag als vorläufige Auskunftssperre zu speichern, damit die schutzwürdigen Interessen der Betroffenen sichergestellt werden.
- Schriftliche und telefonische Auskunftsersuchen werden bis zur Entscheidung des Antrages zurückgestellt. Gegebenenfalls ist eine Zwischennachricht an die Auskunftssuchenden zu erteilen.
- In automatisierten Abrufverfahren sind die Fälle zu sperren und die Anfragen an die Meldebehörde weiterzuleiten. Auskunftssuchende erhalten den Hinweis, dass zurzeit eine Auskunft im automatisierten Verfahren nicht möglich ist und eine gesonderte Nachricht der Meldebehörde erfolgt.
- Die Meldebehörde des letzten Wohnortes muss von dem laufenden Antragsverfahren unterrichtet werden, um ebenfalls die erforderlichen Maßnahmen für ihren Bereich treffen zu können. Sie muss auch über die abschließende Entscheidung informiert werden.
- Die Betroffenen sind über das Veranlasste und den weiteren Verfahrensgang zu unterrichten.
Was ist zu tun?
Meldebehörden müssen bereits bei Anträgen auf Auskunftssperre die schutzwürdigen Interessen der Betroffenen beachten. Sie sollten ihre Verfahrenspraxis an den Vorschlägen des ULD ausrichten.
4.1.3 Überprüfung von Nebenwohnsitzen durch die Meldebehörde
Im Melderecht ist das An- und Abmelden von Nebenwohnsitzen nur unvollständig geregelt. Flächendeckende Kontrollen ohne konkreten Anlass sind nicht vorgesehen. Karteileichen sind damit fest vorprogrammiert.
Ein Einwohner kann nur einen Hauptwohnsitz, aber mehrere Nebenwohnsitze haben. Die Voraussetzungen für die An- und Abmeldung dieser Nebenwohnsitze sind im Gesetz nicht eindeutig geregelt. Dies hat offensichtlich zur Folge, dass in vielen Kommunen weit mehr Nebenwohnsitze angemeldet als vorhanden sind, weil die Betroffenen diese längst aufgegeben haben. Eine ähnlich große Zahl von Nebenwohnsitzen dürfte nicht angemeldet sein.
Meldebehörden wollen im Hinblick auf die offensichtlichen Mängel immer wieder flächendeckende Kontrollen durchführen. Solche Pläne sind jedoch weitgehend zum Scheitern verurteilt, weil das Meldegesetz eine Kontrolle von Amts wegen nur zulässt, wenn konkrete Anhaltspunkte für die Unrichtigkeit des Melderegisters im Einzelfall oder bei einer Vielzahl namentlich bezeichneter Einwohner vorliegen. Dies ist auch gut so: Mit der Anmeldung eines Nebenwohnsitzes sind keine weiteren rechtlichen Folgen in anderen Rechtsgebieten verknüpft. Vor diesem Hintergrund sollte geprüft werden, ob die Speicherung von Nebenwohnsitzen überhaupt noch sinnvoll ist. Wegen der hohen Fehlerquote ist der Datenbestand für alle Nutzenden inklusive Sicherheitsbehörden kaum verwendbar. Die derzeitige Praxis erzeugt einen nicht unerheblichen Verwaltungsaufwand. Mit dem Verzicht auf die Speicherung des Nebenwohnsitzes könnte ein echter Beitrag zur Entbürokratisierung der Verwaltung geleistet werden.
Was ist zu tun?
Der Gesetzgeber sollte die Speicherung des Nebenwohnsitzes im Melderegister mit dem Ziel überprüfen, ob hierauf verzichtet werden kann. Anderenfalls sollte ein Verfahren gewählt werden, das zu einem aussagekräftigen und verlässlichen Datenbestand führt.
4.1.4 Elektronische Passdatei bei den Meldebehörden noch nicht sicher
Die elektronische Übermittlung von Passdaten an die Bundesdruckerei veranlasste viele Meldebehörden, ihre Passdatei ausschließlich elektronisch zu führen. Die notwendigen Datensicherheitsmaßnahmen, die hierbei zu treffen sind, stehen noch aus.
Die Passdatei soll einen authentischen Nachweis über die tatsächlich ausgestellten Pässe leisten. Sie ist Grundlage für die Neuausstellung verlorener Pässe; zudem steht sie der Polizei für Fahndungszwecke zur Verfügung. An die Richtigkeit und Unveränderbarkeit der gespeicherten Daten sind deshalb höchste Ansprüche zu stellen. Nach Ausstellung eines Passes kann eine Fortschreibung erfolgen, eine rückwirkende Änderung darf aber nicht vorgenommen werden.
Die Erstellung der Passdatei erfolgt aus einer Funktion des Einwohnerinformationssystems der Meldebehörden. Die notwendigen Daten werden aus dem jeweiligen Personendatenbestand automatisiert in ein spezielles Formular übernommen, um das Passbild sowie die Unterschrift des Antragstellers ergänzt und für die elektronische Übermittlung der Daten an die Bundesdruckerei eingescannt. Die erfassten Daten werden in Papierform (zurzeit Originaldatei) und in elektronischer Form als Passdatei abgespeichert.
Die Begutachtung bei einer von uns beratenen Gemeinde brachte folgende Ergebnisse:
- Die für eine ordnungsgemäße automatisierte Datenverarbeitung vorgeschriebene Verfahrensdokumentation, Test und Freigabe konnten nicht nachgewiesen werden.
- Die Mitarbeiter der Meldebehörde mussten sich bei der Fachanwendung mit einem Benutzernamen und einem Passwort autorisieren, doch innerhalb der Fachanwendung hatten sie auch nach Ausstellung eines Passes noch Änderungsrechte. So konnte z. B. der Geburtsort eines Bürgers in einer bestehenden Passdatei problemlos geändert werden.
- In dem Fachverfahren wurde die Bearbeitung der Passdatei nicht ausreichend protokolliert. Es lag ein Bearbeitungsprotokoll für das gesamte Fachverfahren vor, aus dem allerdings nicht hervorging, aus welchem Grund ein bestimmtes Formular der Fachanwendung aufgerufen wurde und ob Daten hinzugefügt, geändert oder gelöscht wurden.
- Es wurde kein Verfahren zur Gewährleistung der Authentizität einer automatisiert gespeicherten Passdatei, die bei einem papierenen Passdateiblatt durch eine Unterschrift bzw. ein Namenskürzel gewährleistet wird, eingesetzt.
Sollen personenbezogene Daten ausschließlich automatisiert gespeichert werden, so muss neben der
- vollständigen Verfahrensdokumentation,
- Definition, Einführung und Kontrolle der allgemeinen Maßnahmen zur Datensicherheit und der besonderen Maßnahmen zur Datensicherheit beim Einsatz von automatisierten Verfahren und der
- revisionsfähigen Protokollierung (was, wann, durch wen und in welcher Weise gespeichert, verändert, übermittelt oder gelöscht wurde)
- zusätzlich ein Verfahren zur Gewährleistung der Authentizität der gespeicherten Daten eingesetzt werden, das dem Stand der Technik entspricht. Diese "Nichtabstreitbarkeit", dass die Daten von dem entsprechenden autorisierten Sachbearbeiter erhoben und gespeichert wurden, kann z. B. durch eine digitale Signatur sichergestellt werden. Digitale Signaturen werden in Meldebehörden schon eingesetzt, z. B. um elektronische Passdateien an die Bundesdruckerei zu übermitteln.
Was ist zu tun?
Die Meldebehörden sollten ihre Originalpassdatei nur dann auf ein elektronisches Verfahren umstellen, wenn ein ausreichender Datensicherheitsstandard und die Authentizität der gespeicherten Daten gewährleistet sind. Digitale Signaturen sind hierfür aus heutiger Sicht ein geeignetes Mittel.
4.1.5 ostseecard *
Der Ostsee-Holstein-Tourismus e.V. hat federführend das Chipkartensystem ostseecard* eingeführt, mit dem eine Kurabgabe erhoben wird und zugleich Leistungspakete und Rabatte privater Anbieter angeboten werden. Bei wesentlichen Änderungen dieses vom ULD auditierten Systems wird eine Reauditierung erforderlich.
Bereits zum Zeitpunkt der Einführung der ostseecard* (27. TB, Tz. 9.2.1) war geplant, in der folgenden Saison das auditierte System weiterzuentwickeln. Wesentliche Änderungen haben zur Folge, dass eine Reauditierung notwendig ist. Andernfalls kann das Audit widerrufen werden.
Eine wesentliche geplante Änderung besteht in der Einführung eines Online-Meldescheins. Die Ausgabe der Chipkarte ist mit dem Ausfüllen des Meldescheins verbunden. Bisher musste dieser von der Besucherin und dem Besucher handschriftlich ausgefüllt und unterschrieben werden. Künftig soll das Ausfüllen über einen Online-Meldeschein durch den Vermieter vorgenommen werden können. Dieser kann zum Ausfüllen des Meldescheins auf seinem PC die in seinem Hotelsystem gespeicherten Daten verwenden. Der Meldeschein bedarf nach dem Ausdruck nur noch einer handschriftlichen Unterschrift. Auf Wunsch des Gastes kann auf dem Meldeschein vermerkt werden, dass er der Speicherung seiner Adressdaten zustimmt, um mit Informationsmaterial beworben zu werden.
Die Reauditierung setzt eine datenschutzfreundliche Lösung der Neuerungen voraus. Daraus folgt, dass der Vermieter die Meldescheindaten nicht dauerhaft auf seinem lokalen PC speichern und den Gast mit Informationsmaterial bewerben darf, wenn er nicht tatsächlich hierzu freiwillig zugestimmt hat.
Was ist zu tun?
Weiterentwicklungen des Verfahrens ostseecard* sollten frühzeitig dokumentiert und mit dem ULD abgestimmt werden.
4.1.6 Mitarbeiter sind nicht nur Funktionsträger
Die aktuelle Rechtsprechung des Bundesverwaltungsgerichts stellt klar, dass die Verarbeitung von Daten der Mitarbeiter in dienstlichen Angelegenheiten auch deren Persönlichkeitsrecht beeinträchtigen kann.
Behörden und sonstige öffentliche Stellen sind juristische Personen, die erst über ihre Mitarbeiterinnen und Mitarbeiter handlungsfähig sind. Bei der Erfüllung dienstlicher Aufgaben kommt es in verschiedenen Konstellationen zur Nennung von Namen und weiteren Daten der Beschäftigten. Nicht einfach zu beantworten ist, welche datenschutzrechtlichen Anforderungen an die Verarbeitung dieser so genannten Funktionsträgerdaten zu stellen sind. Spätestens mit dem Urteil des Bundesverwaltungsgerichts über die Nutzung der Stasiabhörprotokolle des Altbundeskanzlers Helmut Kohl ist geklärt, dass bei solchen Mitarbeiterdaten das LDSG anwendbar ist.
Liegen keine speziellen Befugnisgrundlagen vor, so ist bei der Übermittlung der Mitarbeiterdaten nach dem LDSG zu prüfen, ob diese im Rahmen der Zweckbestimmung erforderlich ist, also der rechtmäßigen Erfüllung der durch Rechtsvorschrift zugewiesenen Aufgaben der Daten verarbeitenden Stelle dient. Zur rechtmäßigen Aufgabenerfüllung gehört, wenn die öffentlichen Stellen mit Außenwirkung tätig werden, für den Adressatenkreis erreichbar zu sein, da hinter der juristischen Person "Behörde" immer konkrete Menschen stehen. Der Dienstverkehr erfordert die Bereitstellung der Mitarbeiterdaten im notwendigen Umfang – gegebenenfalls auch durch deren Veröffentlichung.
Zu den Funktionsträgerdaten sind in der Regel zu rechnen:
- Familiennamen,
- Vornamen,
- E-Mail-Anschriften,
- dienstliche Telefonnummern,
- Dienstadressen mit Zimmernummern und
- Organisationsbezeichnungen innerhalb der Verwaltungen, denen die Mitarbeiter angehören.
Bei der Prüfung der Frage der Außenwirkung ist vorrangig auf die so genannte Funktionsebene, d. h. auf die von den Mitarbeitern wahrzunehmenden Aufgaben abzustellen. Mitarbeiter der Leitungsebene oder mit der direkten Vertretung nach außen betraute Mitarbeiter, z. B. Pressesprecher, müssen eine Veröffentlichung ihrer funktionsbezogenen Daten sogar im Internet hinnehmen. In den anderen Fällen bedarf diese Form der Veröffentlichung der Einwilligung der Mitarbeiter. Bei Grenzfällen kann eine Widerspruchslösung gewählt werden, bei der die Mitarbeiter über Art und Umfang der geplanten Veröffentlichung und über die Möglichkeit, hiergegen zu widersprechen, aufgeklärt werden.
Ein Sonderfall der Internetveröffentlichung besteht, wenn die Mitarbeiterdaten nicht suchfähig bzw. verknüpfbar in einer dynamischen Datenbank enthalten sind, d. h., wenn zum Erhalt der gewünschten Informationen der Name von den Anfragenden manuell eingegeben werden muss. Da Suchmaschinen hierzu nicht in der Lage sind, können sie die Mitarbeiterdaten für eine Auswertung nicht erfassen. In diesen Fällen bestehen gegenüber der konventionellen Veröffentlichung im Internet keine zusätzlichen Risiken.
Bei der Übermittlung von Mitarbeiterdaten in Papierform sind die Erfordernisse des Dienstverkehrs vorrangig an den Bedürfnissen des Empfängerkreises auszurichten. Zweckbestimmungen sind für die jeweiligen Empfänger verbindlich. Werden z. B. dem Lieferanten einer Behörde die zuständigen Mitarbeiter der Geschäftsstelle benannt, darf er diese Daten nicht auf seiner Internethomepage veröffentlichen. Die übermittelnde Stelle hat die empfangende Stelle zu verpflichten, die Daten nur zu dem Zweck zu verwenden, zu dem sie ihr übermittelt wurden.
Ob der Dienstverkehr eine Verarbeitung von Mitarbeiterdaten erfordert, entscheidet im Rahmen der gesetzlichen Aufgaben der Behördenleiter über sein Direktionsrecht. Diese Entscheidungen sind unter Plausibilitätsgesichtspunkten überprüfbar; im Ergebnis bleibt dem Behördenleiter aber ein gewisser Beurteilungsspielraum hinsichtlich der gebotenen Präsentation in der Öffentlichkeit. Aus Gründen der Bürgerfreundlichkeit kann keine strenge Erforderlichkeit der Datenweitergabe verlangt werden; wohl ist eine Überprüfung auf Schlüssigkeit hin aber möglich.
Was ist zu tun?
Ein praxisgerechter Umgang mit Funktionsträgerdaten verlangt einen Ausgleich zwischen Transparenzanforderungen der Verwaltung und dem Schutz der Persönlichkeitsrechte der Bediensteten. Öffentliche Stellen sollten ihre Praxis auf dieser Grundlage überprüfen.
4.1.7 Das Interesse der Miteigentümer an einem Bauvorbescheid
In baurechtlichen Verfahren haben Miteigentümer das Recht auf Informationen, wenn deren öffentlich-rechtlich geschützten Belange berührt sind. Anderenfalls ist eine Datenübermittlung an sie ohne Einwilligung des Bauherrn unzulässig.
Eine Eingabe stellte uns vor die Frage: Darf eine Bauaufsichtsbehörde allen Miteigentümern einer Wohnungseigentümergemeinschaft den Bauvorbescheid eines der Miteigentümer übersenden? Generell gilt: Ja, wenn diese Datenübermittlungen zur rechtmäßigen Aufgabenerfüllung erforderlich sind; konkret: wenn der Bauvorbescheid Drittwirkung gegenüber den anderen Miteigentümern entfaltet, weil deren öffentlich-rechtlich geschützten Belange berührt sind. Nach der Landesbauordnung gilt übrigens Entsprechendes für die Beteiligung von Nachbarn.
Beim konkreten Bauvorbescheid war über eine besondere Auflage ein Rettungsweg aus dem Teileigentumsbereich des anderen Miteigentümers betroffen. Der Miteigentümer durfte nicht nur, sondern musste unterrichtet werden, damit der Bescheid ihm gegenüber Bestandskraft entwickeln konnte. Ohne eine solche Drittwirkung wäre die Datenübermittlung allerdings unzulässig gewesen.
Was ist zu tun?
Bauaufsichtsbehörden sollten vor der Unterrichtung von Miteigentümern über baurechtliche Entscheidungen sorgfältig prüfen, ob deren öffentlich-rechtlich geschützten Belange berührt sind. Ist dies nicht der Fall, muss vor einer Datenübermittlung die Einwilligung des Bauherrn eingeholt werden.
4.1.8 Das datenschutzgerechte Bürgerbüro
Durch zentrale Auskunfts- und Beratungsstellen kann innerhalb der Verwaltung die Bürgerfreundlichkeit verbessert werden. Die Vertraulichkeit der Datenverarbeitung bleibt dabei allerdings noch oft auf der Strecke.
Nach dem Umbau des Rathauses war das neu geschaffene Bürgerbüro einer Stadt gerade feierlich eingeweiht worden. Beim Architektenwettbewerb für den Umbau hatte offensichtlich keiner an den Datenschutz gedacht. Nur so erklärt sich, dass der Wartebereich für Besucher allenfalls zwei Meter von den Beratungsplätzen entfernt lag. Die vier vorhandenen Beratungsplätze befanden sich so nah beieinander, dass ein unbefugtes Mithören der Gespräche durch Dritte nicht verhindert werden konnte, wenn an den einzelnen Arbeitsplätzen gleichzeitig Publikumsverkehr stattfand.
Das Geld für den Umbau war inzwischen ausgegeben. Entsprechend schwer tat sich die Stadt bei unserer Forderung nach Änderung der Einrichtung des Bürgerbüros. Es gelang gleichwohl eine Lösung, bei der der Wartebereich räumlich deutlich von den Beratungsplätzen abgetrennt wurde. Zwischen den Beratungsplätzen wurden provisorische Schallschutztrennwände aufgestellt. Nach Verabschiedung des nächsten Haushalts soll dem dann eine datenschutzgerechte Designerlösung folgen.
Was ist zu tun?
Unnötiger Zeit- und Kostenaufwand wird vermieden, wenn vor der Einrichtung eines Bürgerbüros sorgfältig die datenschutzrechtlichen Anforderungen geprüft und in die Planungen mit einbezogen werden. Wir stehen gern für eine fachliche Beratung zur Verfügung.
4.1.9 Personalräte interessieren sich für Eingruppierungsdaten
Personalräten steht nach dem Mitbestimmungsgesetz ein Initiativrecht bei Maßnahmen in personellen, sozialen, organisatorischen und sonstigen innerdienstlichen Angelegenheiten der Dienststelle zu. Informationswünsche dazu hat die Dienststelle zu erfüllen.
Bei einer Anstalt öffentlichen Rechts wollten der örtliche Personalrat und der Gesamtpersonalrat eine Namensliste aller Mitarbeiter erhalten mit Angaben zu Eingruppierung, Fallgruppe, Datum der letzten Höhergruppierung und Ähnliches. Diese Datenweitergabe bedarf einer ausreichenden Befugnisgrundlage; diese findet sich im Mitbestimmungsgesetz. Danach sind schriftliche Unterlagen und in Dateien gespeicherte Daten, über die die Dienststelle verfügt, dem Personalrat in geeigneter Weise zugänglich zu machen, soweit dies für die Erfüllung der Aufgaben des Personalrats erforderlich ist.
Personalräte sind nicht nur für die Beteiligung an einzelfallbezogenen Personalmaßnahmen einer Dienststelle zuständig. Sie haben auch ein eigenes Initiativrecht und können insoweit die Beratung über geplante Maßnahmen einfordern. Hierfür müssen sie unter Umständen über die Gesamtheit der Mitarbeiter informiert sein, einschließlich der Beurteilungsnoten und der Eingruppierung bei der Vergütung. Aus Datenschutzsicht ist es nicht zu beanstanden, wenn Dienststellen ihren Personalräten auf Anforderung regelmäßig einen zu definierenden "Grunddatensatz" der Beschäftigten übermitteln. Bei örtlichen Personalräten ist darauf zu achten, dass diese nur Daten über solche Mitarbeiter erhalten, die in den jeweiligen Zuständigkeitsbereich fallen.
Was ist zu tun?
Dienststellen dürfen Personalräten die für die Ausübung ihres Initiativrechts erforderlichen Personaldaten übermitteln. Umfang und Verfahren sollten einvernehmlich, z. B. in einer Dienstvereinbarung, festgelegt werden.
4.1.10 Ärztliche Gutachten für Fachvorgesetzte
Fachvorgesetzte haben kein generelles Zugangsrecht zu Personalaktendaten. Die Personalverwaltung darf ihnen solche Daten nur zur Verfügung stellen, soweit es zur Ausübung der Aufsichtsfunktion im Einzelfall erforderlich ist.
Zwischen einem Mitarbeiter einer obersten Landesbehörde und seinem Dienstherrn bestanden Meinungsverschiedenheiten über die Pflichten im Arbeitsvertrag. Im Klageverfahren musste geklärt werden, ob die dem Mitarbeiter per Geschäftsverteilungsplan übertragenen Aufgaben zumutbar waren. Wegen geltend gemachter gesundheitlicher Beeinträchtigungen wurde vom Arbeitsgericht eine amtsärztliche Untersuchung veranlasst. Der Fachvorgesetzte erhielt das medizinische Gutachten von der Personalverwaltung in vollem Umfang zur Kenntnis, nicht nur einzelne Hinweise zur Einsetzbarkeit am Arbeitsplatz, sondern die Darstellung des Gesundheitszustandes des Betroffenen.
Fachvorgesetzte müssen selbstverständlich von Hinweisen Kenntnis erhalten, die bei der Aufgabenverteilung im Referat im Rahmen der Leitungsfunktion relevant sind. Das Personalreferat hat die dafür im Einzelfall erforderlichen Daten bereitzustellen. Fachvorgesetzte haben aber kein Recht auf darüber hinausgehende umfassende amtsärztliche Gutachten. Die Dienststelle sah ihren Fehler ein und hat sich bei dem Mitarbeiter entschuldigt.
Was ist zu tun?
Personalaktendaten dürfen an Fachvorgesetzte nur weitergegeben werden, soweit es zu deren Aufgabenerfüllung im Einzelfall erforderlich ist. Dies gilt sowohl für die Bereitstellung von Personaldaten in Akten als auch über automatisierte Verfahren.
4.1.11 Auch das Gemeindeprüfungsamt ist auskunftspflichtig
Erfolgt die Verarbeitung personenbezogener Daten zur Ausübung von Aufsichts- und Kontrollbefugnissen, so bleiben die Rechte der Betroffenen bestehen – auch gegenüber einem Gemeindeprüfungsamt.
Bei einer überörtlichen Prüfung stellte das Gemeindeprüfungsamt eines Kreises erhebliche Mängel im Bereich der Personalverwaltung einer Stadt fest. Ein inzwischen bei der Stadt ausgeschiedener verantwortlicher Mitarbeiter begehrte nun beim Gemeindeprüfungsamt Auskunft über seine Daten. Diese wurde ihm zunächst verweigert; es seien allenfalls so genannte Funktionsträgerdaten gespeichert. Die Daten beträfen ihn nicht als natürliche Person, sondern nur als Amtsträger, der in Vertretung für die Stadt als juristische Person gehandelt hat.
Bei unserer Kontrolle vor Ort stellten wir fest, dass das Gemeindeprüfungsamt sich wertend zu der persönlichen Verantwortlichkeit des Mitarbeiters, insbesondere zu Haftungsfragen und möglichen disziplinarischen Konsequenzen, geäußert hatte. Es ist klar, dass dies den früheren Mitarbeiter persönlichkeitsrechtlich betraf. Nach unserer Beanstandung erhielt er die gewünschten Informationen.
Dem Gemeindeprüfungsamt war offensichtlich auch nicht hinreichend klar, dass seine Kontrolltätigkeit nicht zu einer neuen Zweckbestimmung der erhobenen Daten führt. Deshalb sind z. B. Kopien aus Personalakten, die vom Gemeindeprüfungsamt zu Prüfungszwecken gefertigt und gespeichert werden, als Personalnebenakten zu werten und daher in das entsprechende Verzeichnis in die Personalgrundakte aufzunehmen. Die Betroffenen sind grundsätzlich zu unterrichten, wenn vom Gemeindeprüfungsamt Mängel bei der Personalverwaltung festgestellt werden, die sich auf ihr Rechtsverhältnis als Bedienstete auswirken.
Was ist zu tun?
Es besteht weiterhin Erörterungsbedarf in Bezug auf den Umgang der Gemeindeprüfungsämter mit Daten aus dem Bereich der Personalverwaltung. Deren Tätigkeit kann unmittelbar das Rechtsverhältnis der Betroffenen beeinflussen. Die Rechte der Betroffenen nach dem Personalaktenrecht müssen beachtet werden.
4.1.12 Zugriffsschutz auf automatisierte Personalaktendaten
Der Schutz von Personalaktendaten vor unbefugtem Zugriff Dritter muss auch in automatisierten Verfahren zur Personaleinsatzplanung und zur produktorientierten Arbeitszeiterfassung der Polizei gewährleistet sein. Mängel bei der Einführung des Verfahrens SP-Expert wurden schnell und unbürokratisch abgestellt.
Wir wurden darauf aufmerksam gemacht, dass das automatisierte Verfahren der Polizei zur produktorientierten Arbeitszeiterfassung und flexiblen Personaleinsatzplanung (SP-Expert) bei seiner Einführung trotz durchgeführter Tests und Freigabe Mängel aufwies. Jeder Mitarbeiter einer Polizeidienststelle konnte auf die Arbeitszeitkonten seiner Kolleginnen und Kollegen problemlos zugreifen. Aus entsprechenden Übersichten war erkennbar, welcher Mitarbeiter wann krank war, Urlaub hatte oder eine Kur machte.
Sowohl bei den Arbeitszeitdaten als auch bei den Details der Abwesenheit aus privaten Gründen handelt es sich um so genannte Personalaktendaten, die nach dem Beamtenrecht besonders vertraulich zu behandeln und vor unbefugter Einsicht zu schützen sind. Die Kollegen eines Mitarbeiters in einer Polizeidienststelle gehören insofern zum Personenkreis der Unbefugten. Das Zugriffsrechtekonzept sowie die Rechtevergabe mussten deshalb überarbeitet werden. Innerhalb kürzester Zeit – nach drei Wochen – wurden die notwendigen Korrekturen vorgenommen und damit die Voraussetzungen für einen rechtmäßigen Betrieb geschaffen. Die Polizei hat jedenfalls in diesem Fall ihre Leistungsfähigkeit in datenschutzrechtlicher Hinsicht eindrucksvoll unter Beweis gestellt.
Was ist zu tun?
Behörden sollten neue automatisierte Verfahren vor ihrem Echteinsatz sorgfältiger testen. Erweisen sich später dennoch Fehler, so müssen diese unverzüglich und konsequent beseitigt werden.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |