Kernpunkte:
- Vertrauenswürdiges E-Government
- Sicherheit durch Datenverarbeitung
- Berufsgeheimnisschutz
4 Datenschutz in der Verwaltung
4.1 Allgemeine Verwaltung
4.1.1 E-Government-Gesetz des Bundes
Anfang 2012 wurden die Datenschutzbeauftragten über den Entwurf eines Gesetzes zur Förderung der elektronischen Verwaltung informiert. Ziel des kurz „E-Government-Gesetz“ genannten Regelwerks ist die Schaffung der rechtlichen Voraussetzungen für eine rechtssichere elektronische Kommunikation für die öffentliche Verwaltung untereinander wie auch mit den Bürgerinnen und Bürgern. Selbst nach intensiver Überzeugungsarbeit blieb der Gesetzentwurf viele datenschutzrechtliche Wünsche schuldig, sodass das ULD im Mai 2013 versuchte, den Bundesrat über das Land zu Nachbesserungen zu veranlassen.
Es fehlte eine Verpflichtung für die Behörden zur Entgegennahme verschlüsselter Kommunikation. Die vorgesehene Kommunikation gemäß dem De-Mail-Gesetz sieht bisher keine zwingende Ende-zu-Ende-Verschlüsselung vor, wie sie etwa für die Übermittlung von Steuergeheimnissen verpflichtend ist (Tz. 6.2.1). Eine Nutzung von Pseudonym-Adressen ist nicht vorgesehen. Eine differenzierte fachanwendungsspezifische Zugangsmöglichkeit fehlte ebenso wie eine Regelung zum datenschutzkonformen Veröffentlichen von Daten im Internet, wie sie im LDSG besteht. In den nebengesetzlichen Regelungen wurde für das Sozialgesetzbuch vorgesehen, dass die Kommunikation zwischen Krankenkassen und Versicherten eine Authentisierung über die elektronische Gesundheitskarte erlaubt, die hierfür nicht konzipiert ist.
https://www.datenschutzzentrum.de/artikel/865-.html
Im Juli 2013 wurde das Gesetz ohne die geforderten Verbesserungen beschlossen. Das Gesetz ist auch für Behörden der Länder und der Kommunen anwendbar, wenn diese Bundesrecht ausführen. Hierzu gehört z. B. die Entgegennahme von mit qualifizierter Signatur versehenen Dokumenten oder die Ermöglichung eines elektronischen Bezahlverfahrens. Der Bund hat wegen der nötigen Einheitlichkeit bei der elektronischen Kommunikation der Verwaltung eine gewisse faktische Führungsrolle. Soweit die Forderungen der Datenschutzbeauftragten nicht umgesetzt wurden, bleiben diese auf der Tagesordnung. Dies gilt insbesondere für die Entgegennahme verschlüsselter elektronischer Kommunikation und die Ende-zu-Ende-Verschlüsselung. Letztere ist angesichts der umfassenden Kommunikationsüberwachung durch Geheimdienste ein absolutes Muss zur Sicherstellung einer vertrauenswürdigen Kommunikation mit Bürgerinnen und Bürgern.
Was ist zu tun?
Das E-Government-Gesetz ist in der Verwaltung umzusetzen. Darüber hinausgehend sind Maßnahmen zur Gewährleistung einer vertrauenswürdigen elektronischen Kommunikation nötig.
4.1.2 E-Government -Rahmenvertrag zwischen Dataport und CSC
Durch Presseberichte wurde bekannt, wie intensiv das US-amerikanische Unternehmen CSC mit US-Geheimdiensten und insbesondere mit der NSA kooperiert. CSC hat eine 100%ige Tochter in Deutschland, mit welcher der öffentliche für Kommunen und das Land tätige IT-Dienstleister Dataport einen E-Government-Rahmenvertrag abgeschlossen hat. Es bestand die nicht unbegründete Befürchtung, dass im Rahmen der Kooperation über die CSC Deutschland Solutions datenschutzrechtlich relevante Informationen über Daten, IT-Strukturen, Sicherheitsvorkehrungen u. Ä. der öffentlichen Verwaltung des Landes an US-Geheimdienste gelangt sind oder gelangen können, dass also diese Dienste die Kooperation für ihre Spionage in Schleswig-Holstein oder auch in anderen Dataport-Ländern nutzen.
Ein umfangreicher Fragenkatalog des ULD wurde von Dataport zeitnah bearbeitet und beantwortet. Eine Vor-Ort-Prüfung Dataports bei CSC Deutschland wie auch eine Prüfung der konkreten, über die Rahmenvereinbarung erteilten Aufträge ergab keine Hinweise auf eine Spionagetätigkeit. Im Rahmen der Aufträge hatten die CSC-Mitarbeitenden keinen direkten Zugriff auf personenbezogene Daten von Bürgerinnen und Bürgern oder auf Personalaktendaten. Wohl aber waren die CSC-Mitarbeitenden in IT-Projekte beratend eingebunden, sodass möglicherweise sicherheitsrelevantes Strukturwissen über IT-Verfahren der Verwaltung bekannt wurde. Betroffen waren davon auch sensible IT-Verfahren, etwa der Polizei oder des Finanzverwaltungsamtes.
Im konkreten Zusammenhang stellte sich die Frage, inwieweit bei der Vergabe von öffentlichen Aufträgen Hinweise auf organisatorische, wirtschaftliche oder vertragliche Verstrickungen mit fremden Geheimdiensten berücksichtigt werden müssen bzw. dürfen. Das Gesetz gegen Wettbewerbsbeschränkungen verpflichtet zur Gleichbehandlung der Bieter. Vergabekriterien sind Fachkunde, Leistungsfähigkeit, Gesetzestreue und Zuverlässigkeit. Diese Merkmale können einem Unternehmen nicht auf Verdacht abgesprochen werden, das in anderen Zusammenhängen mit fremden Geheimdiensten kooperiert. Gesetzesverstöße müssen von Gewicht und Relevanz für den Auftrag sein. Demgemäß erließ das Bundesinnenministerium im April 2014 einen Erlass, in dem bei sicherheitsrelevanten Aufträgen die Abgabe einer No-Spy-Erklärung gefordert werden kann. Darin muss der Auftragnehmer versichern, dass er rechtlich nicht verpflichtet ist, vertrauliche Daten an ausländische Geheimdienste und Sicherheitsbehörden weiterzugeben. Im Juni 2014 entschied die Vergabekammer des Bundes, dass „die Kriterien für die Eignung eines Bieters nicht durch den Auftraggeber beliebig erweitert werden können, sondern dass der in den Europäischen Richtlinien vorgegebene Katalog der zulässigen Eignungsanforderungen bzw. der Ausschlussgründe“ abschließend sei.
Dies ändert nichts daran, dass für die Abwicklung des konkreten Auftrages ein Bieter die nötige Vertraulichkeit glaubhaft zusichern muss. Bestehende Offenbarungspflichten nach US-Recht und konkrete Hinweise auf Vertraulichkeitsprobleme sind damit nicht nur datenschutzrechtlich, etwa bei der Auftragsdatenverarbeitung, sondern auch vergaberechtlich relevant. Dataport hat die Vorgaben, Bedingungen und vertraglichen Regelungen für seine Vergaben noch einmal verschärft. Die aktuelle Ausschreibung für einen E-Government-Rahmenvertrag in Schleswig-Holstein verlangt so konsequent, „die Glaubwürdigkeit von Dataport hinsichtlich seiner Verantwortung für Vertraulichkeit und Sicherheit von Daten umfassend zu gewährleisten. Dies schließt die Beziehungen des Bieters zu den mit ihm verbundenen Unternehmen in Drittstaaten ausdrücklich ein.“ Diese Vorgaben eignen sich als Muster bei vergleichbaren Vergabeverfahren.
Was ist zu tun?
Bei der Vergabe von öffentlichen Aufträgen an private Unternehmen mit Datenschutzrelevanz muss und kann durch Vergabeanforderungen sichergestellt werden, dass der Auftrag nicht für Spionagezwecke missbraucht wird.
4.1.3 Zentrale Stellen im kommunalen Bereich
Die Regelung im Landesdatenschutzgesetz (LDSG) zu gemeinsamen Verfahren trägt schon jetzt vielen Anforderungen der modernen IT-Praxis Rechnung und ebnet den Weg zu einer modernen E-Government-Infrastruktur. Die gemeinsame Datenverarbeitung öffentlicher Stellen bzw. der Rückgriff auf gemeinsame Dienstleister ist längst Praxis. Die Verhandlungsmacht über die Modalitäten und technischen und organisatorischen Maßnahmen verschiebt sich allerdings zunehmend auf die Anbieterseite. Dem begegnet die Übertragung der Verantwortung für die Ordnungsmäßigkeit des Verfahrens auf eine zentrale Stelle. Mit der Spiegeldatenbank im Meldewesen finden diese rechtlichen Gestaltungsmöglichkeiten nun eine exemplarische erfolgreiche Anwendung. Die Einrichtung einer zentralen Stelle bedarf einer Rechtsverordnung. Das ist für Landesbehörden ein gangbarer Weg und trägt dem besonderen Risiko landesweiter zentralisierter Datenbestände Rechnung.
Für den kommunalen Bereich besteht mit dem Gesetz über kommunale Zusammenarbeit die Möglichkeit, Aufgaben zu übertragen oder auf eigens zu gründende Körperschaften übergehen zu lassen. Um die Vorteile zentraler Stellen für die IT-Sicherheit und den Datenschutz im kommunalen Sektor fruchtbar zu machen, ist eine Anpassung des LDSG wünschenswert (Tz. 1.1). Unter vergleichbaren formellen und materiellen Anforderungen, bei denen die Rechte aller Beteiligten und die Transparenz gewahrt werden müssen, könnte analog dem Gesetz über kommunale Zusammenarbeit die datenschutzrechtliche Verantwortung für eine gemeinsame zentralisierte IT-Umgebung einer zentralen Stelle übertragen werden.
Was ist zu tun?
Bei der Novellierung des LDSG sollten gemeinsame Verfahren für den kommunalen Bereich zugelassen werden.
4.1.4 Kostenfreies WLAN in Gemeinden
Es ist zu begrüßen, wenn Gemeinden den Nutzerinnen und Nutzern von Büchereien oder den Besucherinnen und Besuchern des Rathauses bürgernah einen kostenfreien WLAN-Zugang anbieten. Da die Bundesbeauftragte für den Datenschutz zuständig ist für den Datenschutz im Telekommunikationsrecht, kann das ULD nur beraten.
Vor der Bereitstellung eines WLAN-Zugangs müssen einige Rechtsfragen geklärt werden. Haftungsrisiken für Rechtsverstöße der Nutzer sollten vermieden werden. Es stellt sich die Frage, ob hierfür die namentliche Registrierung und Protokollierung aller Aktivitäten statthaft sei. Das ist nicht der Fall. Erfolgt das Angebot kostenfrei, ist eine Erhebung von Nutzerdaten für Abrechnungszwecke nicht erforderlich und unzulässig. Das Interesse, sich gegen unberechtigte Forderungen und Rechteinhabern zu verteidigen, rechtfertigt nicht die Verletzung des Fernmeldegeheimnisses. Entscheidet sich eine Gemeinde zum Eigenbetrieb von WLAN, muss sie eine Reihe unterschiedlicher Anforderungen erfüllen. Im Gegenzug entfällt weitgehend ein Haftungsrisiko für Rechtsverletzungen durch Nutzer. Es bedarf eines Sicherheitskonzepts; ein Sicherheitsbeauftragter ist zu bestellen; die Einhaltung des Telekommunikationsgeheimnisses ist effektiv zu gewährleisten.
Das WLAN kann auch durch einen externen Dienstleister angeboten werden. Die Betroffenen müssen klar erkennen können, wer ihre Daten verarbeitet und wer welche Leistung konkret erbringt. Wird die von einer Gemeinde veranlasste Einrichtung eines Hotspots vollständig von einem Dritten erbracht, ist aus Transparenzgründen eindeutig auf die Identität des Anbieters hinzuweisen. Dies muss auch offline sichergestellt werden, z. B. per Aushang oder Aufsteller.
https://www.datenschutzzentrum.de/artikel/398-.html
4.1.5 Entwicklungen zum Verfahren „KoPers-Land “
Die Landesregierung will mit dem Projekt „KoPers – Kooperation Personaldienste“ das Personalwesen in Schleswig-Holstein modernisieren und zukunftsfähig gestalten. Das ULD berät die Beteiligten und prüft die Ergebnisse aus den laufenden Vorabkontrollen.
Die Gehaltsabrechnung erfolgt für die Landesverwaltung schon seit Längerem zentral durch das Finanzverwaltungsamt. Die Personalverwaltung wurde dagegen in ca. 400 Dienststellen der Landesverwaltung dezentral erledigt. Die Bereiche Versorgung, Besoldung und Entgelt werden bisher mit dem Verfahren „PERMIS-A“, Aufgaben der Personalverwaltung mit dem Verfahren „PERMIS-V“ durchgeführt. Personaldaten der Lehrkräfte werden im Bereich des Ministeriums für Schule und Berufsbildung mit dem Verfahren „PERLE“ verarbeitet. Die Staatskanzlei übernimmt bei KoPers nun die Funktion einer zentralen Stelle und wird damit für das Verfahren verantwortlich. Vorgesehen sind u. a. die Module Abrechnung, Verwaltung, operatives Berichtswesen, Personalkostenhochrechnung, Organisationsmanagement, Self-Services, Bewerbermanagement, Aus- und Fortbildung und Veranstaltungsmanagement. Als zentrale Stelle muss die Staatskanzlei gewährleisten, dass angemessene Maßnahmen zur Datensicherheit getroffen, eine Verfahrensdokumentation und ein Verfahrensverzeichnis angefertigt sowie Test- und Freigabeverfahren durchgeführt werden. Dabei hat sie die Funktion einer Auftraggeberin gegenüber Dataport, das KoPers im Wege einer Auftragsdatenverarbeitung betreibt.
KoPers unterliegt der Vorabkontrolle durch die Staatskanzlei, wobei vor Inbetriebnahme die Zulässigkeit der Datenverarbeitung sowie die getroffenen technisch-organisatorischen Sicherheitsmaßnahmen erfolgreich geprüft werden müssen. Wegen der Vielzahl von Modulen erfolgt die Vorabkontrolle fortlaufend in Einzelschritten, die nach Abschluss des Projekts zu einem Gesamtergebnis zusammengeführt werden sollen.
Im Rahmen der Prüfung durch das ULD liegt ein besonderes Augenmerk auf dem Löschkonzept, dem technischen Schutz vor Veränderung von Daten, dem Protokollierungskonzept und in diesem Zusammenhang auf den Zugriffsrechten bezüglich der Protokolldaten sowie auf der Testdokumentation.
Ein Teilprojekt von KoPers ist die Einführung einer elektronischen Personalaktenhaltung. Dabei müssen die beamtenrechtlichen Vorgaben eingehalten werden. Die Staatskanzlei signalisierte, dass die Forderung des ULD zur Verwendung einer qualifizierten elektronischen Signatur zur Gewährleistung der Manipulationssicherheit der Akten beachtet bzw. umgesetzt wird.
Was ist zu tun?
Mit KoPers soll ein verwaltungseffizientes Verfahren der Personalabrechnung und -verwaltung realisiert werden. Das Gelingen dieser zukunftsorientierten Lösung wird auch davon abhängen, ob die datenschutzrechtlichen und -technischen Vorgaben eingehalten werden.
4.1.6 „KoPers-Kommunen “
Auch auf kommunaler Ebene sollen die Beteiligten von KoPers profitieren. Eine wichtige zentrale Rolle übernimmt die Versorgungsausgleichskasse der Kommunalverbände in Schleswig-Holstein (VAK).
Hauptmodule des Verfahrens „KoPers-Kommunen“ sind ein Personalmanagement mit Mitarbeiterportal, Zeitwirtschaft mit Personaleinsatzplanung, Bezüge- und Entgeltabrechnung, Reisekostenabrechnung, Personalkostenplanung, Personalentwicklung, Bewerberverwaltung sowie die Einführung einer elektronischen Personalakte. Die VAK bietet den Kommunen auf vertraglicher Basis an, als zentrale Stelle die Verfahrensverantwortung und gegebenenfalls zusätzlich die Verantwortung für die zu verarbeitenden personenbezogenen Daten zu übernehmen. Damit muss sie u. a. für die Erstellung einer Verfahrensdokumentation und die Einhaltung der technisch-organisatorischen Vorgaben Sorge tragen. Schon heute übernimmt die VAK für einen Teil der Kommunen des Landes verschiedene Aufgaben, wie etwa die Gewährung von Versorgungsbezügen an Bedienstete, die Übernahme von Nachversicherungsbeiträgen an die gesetzlichen Rentenversicherungsträger und die Gehaltsabrechnung, also das Auszahlen von Besoldung, Vergütungen und Löhnen.
Eine erste Sichtung der IT-Dokumentation einer Kommune zu KoPers ergab, dass den Anforderungen an eine ordnungsgemäße Verfahrensdokumentation nicht genügt wurde. Über eine Zentralisierung dieser administrativen Aufgaben ist es einfacher, insgesamt einen ordnungsgemäßen Betrieb sicherzustellen. Mit Blick auf KoPers stehen den Kommunen im Rahmen einer beabsichtigten Kooperation mit der VAK zwei Wege offen: Einerseits kann eine Kommune auf Basis des Gesetzes über die Versorgungsausgleichskasse der Kommunalverbände in Schleswig-Holstein die Verfahrensverantwortung und zusätzlich die Verantwortung für die zu verarbeitenden personenbezogenen Daten auf die VAK per Vertrag übertragen. Damit obliegt allein der VAK die Verpflichtung zur Dokumentation des Verfahrens (Einsatz der Informationstechnik, getroffene Sicherheitsmaßnahmen und das Vorgehen bei Test und Freigabe), die Verantwortung für die Gewährleistung der Rechte betroffener Beschäftigter (Auskunft, Berichtigung, Benachrichtigung, Widerspruch gegen die Datenverarbeitung, Löschung und Sperrung), der Abschluss von Verträgen mit Auftragsdatenverarbeitern und die Durchführung von Vorabkontrollen.
Eine Kommune kann aber auch auf vertraglicher Grundlage ausschließlich die Verfahrensverantwortung auf die VAK übertragen. In diesem Fall behält die Kommune für die zu verarbeitenden Daten eine datenschutzrechtliche Verantwortung, z. B. für die Gewährleistung der Rechte betroffener Beschäftigter.
Das ULD befindet sich mit der VAK und den behördlichen Datenschutzbeauftragten mehrerer Kommunen im regelmäßigen Kontakt und führt vor allem mit der VAK Gespräche dazu, welche Inhalte die zugrunde liegende Verfahrensdokumentation aufweisen muss. Die Kommunen können dabei ihre Hinweise und Bedürfnisse in den Dialog einbringen.
Was ist zu tun?
Den Kommunen in Schleswig-Holstein wird empfohlen, mit der VAK Kontakt aufzunehmen und an den regelmäßig stattfindenden Sitzungen der VAK mit dem ULD teilzunehmen. So können sie prüfen, ob für sie eine Übertragung der Verfahrensverantwortung und/oder der Verantwortung für die zu verarbeitenden personenbezogenen Daten für KoPers auf die VAK in Betracht kommt.
4.1.7 Verfahren „eBeihilfe “ beim Finanzverwaltungsamt
In Schleswig-Holstein und Hamburg kommt das Fachverfahren „PERMIS-B“ zum Einsatz, mit dessen Hilfe die Beihilfeberechnung und -festsetzung erfolgt. Verarbeitet werden sensible Gesundheitsdaten. Bei der Prüfung der technisch-organisatorischen Anforderungen an das Verfahren stellte das ULD wiederholt Mängel fest, die zu einer förmlichen Beanstandung führten.
Mit dem Verfahren „eBeihilfe“ ist nun die Einführung eines vollelektronischen Beihilfeprozesses, also einer vollständigen automatischen Belegerfassung, -erkennung und -prüfung geplant. Die Beschaffung der Erkennungssoftware erfolgt durch den gemeinsamen Dienstleister Dataport. Das Scannen, die automatische Dokumentenklassifikation und -extraktion und die manuelle Nachbearbeitung sollen in jedem Bundesland zentral durchgeführt werden. Die manuelle Erfassung mit PERMIS-B soll enden. Sämtliche Papierunterlagen sollen eingescannt und ausschließlich elektronisch weiterverarbeitet werden.
Im November 2012 hatte das Finanzverwaltungsamt dem ULD zugesagt, die erforderliche Verfahrensdokumentation zu erstellen. Da eine ausreichende Dokumentation nicht vorgelegt wurde, teilte das ULD dem Finanzverwaltungsamt mit, dass die Aufnahme des Produktivbetriebs nicht möglich ist. Für Tests mit Echtdaten bedarf es einer Installations- und Konfigurationsdokumentation der verwendeten Geräte und der Dienstanweisungen zur Testdurchführung. Es fehlte ein Netzplan. Nachweise für eine ordnungsgemäße Datenverarbeitung im Auftrag mit dem ausgewählten Dienstleister konnten nicht vorgelegt werden. Eine Bewertung der Testergebnisse hatte das Finanzverwaltungsamt nicht vorgenommen. Da das Verfahren eBeihilfe Bestandteil der Beihilfebearbeitung mittels PERMIS-B ist, stellt dessen Einführung eine wesentliche Änderung im Verfahren dar, die vor Aufnahme des Produktivbetriebs vorabkontrollpflichtig ist.
Bei einer Vor-Ort-Kontrolle im Juli 2013 stellte das ULD fest, dass die gesetzlich geforderte Sicherheitsdokumentation sowie Datenflussdiagramme und Speicherortangaben fehlten. Die Speicherfristen waren nicht in einem Löschkonzept begründet. Für die Teststufen im Testkonzept fehlte die Angabe der rechtlichen Grundlagen. Für betroffene Personen ist eine Einsicht in Personalakten auf Basis von PERMIS-B nur am Bildschirm eines Mitarbeiters des Finanzverwaltungsamts und nicht im Wege der Zurverfügungstellung von Papier möglich. Das festgestellte Verfahren der Personalakteneinsicht verstößt gegen die Vorgaben des Landesbeamtenrechts. Mängel wurden auch im Zusammenhang mit der Einhaltung gesetzlicher Aufbewahrungsfristen festgestellt. Das ULD sprach eine förmliche Beanstandung gegenüber dem Finanzverwaltungsamt aus und informierte das Finanzministerium als zuständige Rechtsaufsichtsbehörde.
Im September 2013 musste das ULD erneut eine förmliche Beanstandung in Aussicht stellen, nachdem das Finanzverwaltungsamt immer noch kein Löschkonzept sowie weitere Unterlagen vorgelegt hatte. Zwischenzeitlich liegen dem ULD auswertbare Unterlagen vor, die derzeit geprüft werden.
Was ist zu tun?
Eine Verfahrensdokumentation muss nach den gesetzlichen Vorschriften vor Aufnahme des Produktivbetriebs vorliegen. Vor einer technischen Umsetzung muss hierfür ausreichend Zeit eingeplant werden.
4.1.8 Personalakten-Digitalisierung bei der Förde Sparkasse Kiel
Die Förde Sparkasse Kiel plante die Digitalisierung der bei ihr vorhandenen papiergebundenen Personalakten und ließ sich hierbei vom ULD beraten. Die Lösungsvorschläge des ULD wurden vonseiten der Sparkasse berücksichtigt.
Das Kreditinstitut ist an 87 Standorten in der Region mit ca. 1.300 Mitarbeitern vertreten. Für seine Mitarbeiter führte die Förde Sparkasse Kiel bisher Papierpersonalakten, die digitalisiert werden sollten. Für das als Anstalt des öffentlichen Rechts betriebene Institut gelten bei der Verarbeitung von Beschäftigtendaten die personalaktenrechtlichen Vorschriften des Landesbeamtenrechts. Technisch-organisatorische Anforderungen, Aufbewahrungsfristen, Einsichtsrechte und die Personalaktenstruktur unterliegen damit besonderen gesetzlichen Vorgaben. Bei der Beauftragung eines Dienstleisters, der die Digitalisierung der Akten übernimmt, wurden die Bestimmungen zur Auftragsdatenverarbeitung eingehalten. Zur Sicherstellung des technisch-organisatorischen Datenschutzes sagte die Förde Sparkasse zu, im Rahmen der Digitalisierung der Personalakten qualifizierte elektronische Signaturen zu verwenden. Eine doppelte Aktenführung – digital und parallel auf Papier – sollte vermieden werden. Andere Verfahren zu einer vergleichbaren Gewährleistung der Manipulations- und Beweissicherheit der Dokumente gibt es nicht. Damit gewährleistet die Förde Sparkasse Kiel einen Sicherheitsstandard, der künftig auch in der Landesverwaltung im Teilprojekt „KoPers – digitale Personalakte“ (Tz. 4.1.5) umgesetzt werden soll.
Was ist zu tun?
Bei der Planung und Organisation von IT-Projekten sind frühzeitig Konzepte zur Einhaltung datenschutzrechtlicher Vorgaben zu erstellen. Projektträger und andere Beteiligte sind aufgerufen, dem positiven Beispiel der Förde Sparkasse Kiel zu folgen.
4.1.9 Normierungsunsinn beim Bundesbeamtengesetz
Das Gesetzgebungsvorhaben der Bundesregierung zur Änderung des Bundesbeamtengesetzes (BBG) und weiterer dienstrechtlicher Vorschriften wurde im Januar 2015 vom Deutschen Bundestag abschließend behandelt. Eine Anhörung der Datenschutzaufsichtsbehörden der Länder während des Gesetzgebungsverfahrens erfolgte nicht, obwohl das Gesetz in rechtswidriger Weise in deren Aufsichtskompetenzen eingreift. Ferner wurde irrigerweise normiert, dass die Beauftragung eines Arztes zur Feststellung eines bestimmten Gesundheitszustands durch den ärztlichen Dienst einer öffentlichen Stelle des Bundes im datenschutzrechtlichen Sinn eine Auftragsdatenverarbeitung sei. Leider hatte auch die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) eine Beteiligung der Datenschutzaufsichtsbehörden der Länder nicht in die Wege geleitet.
Mit einer Neuregelung im BBG soll es dem ärztlichen Dienst der personalverwaltenden Behörde ermöglicht werden, eine andere öffentliche oder nicht öffentliche Stelle mit einer ärztlichen Untersuchung zu beauftragen. Gegenüber nicht öffentlichen Stellen verbleibt dabei die Festlegung, welche gesundheitlichen Parameter festgestellt werden sollen, dem ärztlichen Dienst der personalaktenführenden Stelle. Die Beauftragung der nicht öffentlichen Stelle zur Vornahme einer ärztlichen Untersuchung ist keine Auftragsdatenverarbeitung. Mangels Weisungsgebundenheit in Bezug auf die Ausführung der ärztlichen Tätigkeit und den verbleibenden Handlungsspielraum für den Arzt bei der Begutachtung sowie angesichts der Eigenständigkeit der Aufgabenwahrnehmung ist eine solche Zuordnung systemwidrig und schlicht falsch, mit der Folge, dass völlig unklar ist, welche Verantwortung jeweils den Beteiligten zukommt. Mangels Klarstellungen in der Gesetzesbegründung ist keine Weisungsgebundenheit dieser Stelle anzunehmen. Der Schwerpunkt der Tätigkeit des beauftragten Facharztes liegt in der eigenverantwortlichen Untersuchung des Gesundheitszustands einer Person im Hinblick auf bestimmte Parameter, nicht in einer vorgegebenen Verarbeitung personenbezogener Daten.
Gemäß dem neuen BBG soll der Auftraggeber in einem Vertrag zur Auftragsdatenverarbeitung mit einer beauftragten nicht öffentlichen Stelle festlegen, dass der Auftragnehmer eine Kontrolle durch den oder die BfDI nach näher bestimmten Regelungen des Bundesdatenschutzgesetzes zu dulden hat. Es ist nicht ausgeschlossen, vertraglich zwischen Auftraggeber und Auftragnehmer Kontrollrechte zu vereinbaren. Eine Einräumung hoheitlicher Befugnisse oder eine Veränderung der gesetzlichen Zuständigkeiten kann damit aber nicht verbunden sein. Dies verstieße gegen die Vorgaben der europäischen Datenschutzrichtlinie und die Kompetenzzuweisung im Bundesdatenschutzgesetz für die Datenschutzaufsichtsbehörden in Bezug auf nicht öffentliche Stellen. So kann z. B. die BfDI keine hoheitlichen Beanstandungen gegenüber einer nicht öffentlichen Stelle in Schleswig-Holstein aussprechen, mit Ausnahme der Telekommunikations- und Postunternehmen, für die sie zuständig ist. Die BfDI ist bei der im BBG erwähnten vertraglichen Vereinbarung darauf beschränkt, die im Rahmen einer Kontrolle gewonnenen Ergebnisse in einem Verfahren gegen die auftraggebende Stelle des Bundes zu verwerten. Sie kann zudem die Ermittlungsergebnisse an die für den Auftragnehmer zuständige Datenschutzaufsichtsbehörde des Landes weitergeben.
Die im BBG geregelte Kompetenzverteilung missachtet die bestehenden Rollenzuordnungen und führt zu rechtlicher Verunsicherung. Dazu tragen auch unsinnige Normverweise in der Novelle bei, etwa der auf die Regelung zu den Tätigkeitsberichten der BfDI.
Was ist zu tun?
Das Gesetz sollte zum nächstmöglichen Zeitpunkt nachgebessert werden. Durch eine verbesserte Kommunikation zwischen BfDI und Datenschutzaufsichtsbehörden der Länder können derartige Gesetzgebungsfehler vermieden werden.
| Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |
