Abo

Kurzbeitrag : Aus den aktuellen Berichten der Aufsichtsbehörden (21): Neues im Personalaktenrecht des Bundes : aus der RDV 5/2015, Seite 247 bis 248

Ausgewählt und kommentiert von Prof. Peter Gola, Königswinter*

Prof. Peter Gola
Lesezeit 5 Min.

Auch im öffentlichen Dienst setzt sich der Trend fort, Aufgaben der Personalverwaltung zu zentralisieren und auszulagern. Datenschutzrechtlich geht es sowohl um sog. Funktionsübertragung als auch um Auftragsdatenverarbeitung. So soll in der Bundesverwaltung die Übertragung von Funktionen der Personalverwaltung auf Dienstleistungsunternehmen Kostenersparnis und Effektivitätssteigerung bewirken und zugleich zu einer einheitlichen und gleichmäßigen Rechtsanwendung führen. Hierzu fehlte es häufig an der erforderlichen gesetzlichen Grundlage.

Dabei ist darauf zu achten, dass eine Personalakte mit ihrer Vielzahl äußerst schutzwürdiger sensibler Daten unter den Schutz eines besonderen Geheimnisses, des sogenannten Personalaktengeheimnisses, steht (§ 50 Beamtenstatusgesetz (BeamtStG) und die Parallelbestimmungen der jeweiligen Beamtengesetze des Bundes und der Länder). Die die neuen Formen der Personalverwaltung ermöglichenden Rechtsnormen müssen dem Rechnung tragen (LfD Bayern, 26. TB, 2013/2014, Ziff. 11.1).

Ob dies bei dem „Gesetz zur Änderung des Bundesbeamtengesetzes und weiterer dienstrechtlicher Vorschriften“ vom 6. März 2015 (BGBL. I, 2015, S. 250) geschehen ist, wird von zwei Aufsichtsbehörden unterschiedlich bewertet. Während die BfDI (25. TB, 2013/2014, Ziff. 5.7.1) die Regelungen weitgehend wertungsfrei darstellt, erkennt das ULD Schleswig Holstein (TB 2015, Ziff. 4.1.9) „Normierungsunsinn beim Bundesbeamtengesetz“, wobei die Kritik die vermeintliche Vergabe von ärztlichen Untersuchungen in Form einer Auftragsdatenverarbeitung (§ 111a Abs. 1 Ziff. 1 c BBG) und die der BfDI zugewiesenen Kontrolle der beauftragten Fachärzte (§ 111a Abs. 3 S. 2 BBG) betrifft.

Mit dem Gesetz vom 6. März 2015 erfolgte u.a. auch eine Reihe von Änderungen der personalaktenrechtlichen Vorschriften des Bundesbeamtengesetzes.

  • Durch Ergänzungen des § 108 BBG wird der Umgang mit Beihilfedaten einer präziseren Regelung zugeführt.
  • Der neue § 107 Abs. 1 S. 2 BBG eröffnet den Zugang zu Personalaktendaten auch Beschäftigten des ärztlichen Dienstes, soweit dieser zur Wahrnehmung ihrer Aufgaben erforderlich ist. Gemeint sind beispielsweise Aufgaben aus dem Arbeitsschutzgesetz, dem Arbeitssicherheitsgesetz oder der Verordnung zur medizinischen Vorsorge. Aus der allgemeinen Fürsorgepflicht des Dienstherrn (§ 78 BBG) abgeleitete Aufgaben, wie freiwillig in Anspruch genommene Beratungen, genügen nicht.
  • In § 111 Abs. 2 BBG wird der Vollzug einer Funktionsübertragung erlaubt, indem eine personalverwaltende Behörde, die – in der Regel im Wege einer Verwaltungsvereinbarung – bestimmte Aufgaben, die ihr gegenüber ihren Beschäftigten obliegen, an eine andere öffentliche Stelle, also beispielsweise an ein Dienstleistungszentrum oder, bei Aufgaben des ärztlichen Dienstes, an den ärztlichen Dienst einer anderen Behörde zur selbstständigen Erledigung übertragen will, auch die zur Erfüllung der Aufgaben erforderlichen Daten übermitteln kann.
  • Der in das Gesetz eingefügte § 111a BGB regelt den Parallelfall der Auslagerung von Aufgaben der Personalverwaltung im Rahmen der Auftragsdatenverarbeitung. Als Auftragsdatenverarbeiter kommen öffentliche und nicht öffentliche Stellen in Betracht. Nach dem Eingangssatz der Bestimmung ist die Vergabe der Verarbeitung von Personalaktendaten im Auftrag grundsätzlich verboten, d.h. nur erlaubt, wenn die in § 111a Abs. 1 BBG genannten Ausnahmetatbestände vorliegen. Diese betreffen die Erhebung und Verwendung von Personalaktendaten
  • für die Bewilligung, Festsetzung oder Zahlbarmachung von Geldleistungen (S. 1 Nr. 1 Buchst. a). Betroffen sind hier Aufgaben, bei denen der Verwaltung kein Ermessen eingeräumt ist, die vollständig oder hochgradig durchnormiert sind und die deshalb als standardisiertes Massengeschäft erledigt werden können (Gesetzesbegründung, BT-Drs. 18/3248 S. 30).
  • für die automatisierte Erledigung von Aufgaben (S. 1 Nr. 1 Buchst. b). Gemeint ist hier speziell das Einscannen von Personalakten zwecks ihrer Digitalisierung (vgl. zur Problematik auch Niedersächsische Landesbeauftragte für den Datenschutz: Datenschutzrechtliche Hinweise zur Einführung der elektronischen Personalakte im öffentlichen Dienst in Niedersachsen (http://www.lfd.niedersachsen.de/download/81297/Personal), die mangels gesetzlicher Regelung Auftragsdatenverarbeitung insoweit generell ablehnt). Zu beachten ist jedoch, dass erst nach Speicherung der „gesichteten“ Originalakte, d.h. nach der Entscheidung, welche Originale aufgehoben werden und welche gänzlich entfernt werden müssen, der ausgelagerte Scanvorgang beginnen kann, wobei es vorheriger Festlegungen zum Scan-Verfahren bedarf, z.B. welche Maßnahmen zu treffen sind, wenn während des Scan-Prozesses Original-Personalaktendaten beschädigt oder zerstört werden oder wenn ein Original-Dokument bei der Umstellungsphase verloren geht und wie dies zu dokumentieren ist, und letztlich
  • zur Durchführung bestimmter ärztlicher Untersuchungen, die für die Erfüllung der Aufgaben des ärztlichen Dienstes erforderlich sind (S. 1 Nr. Buchst. c).

Nach der Gesetzesbegründung (BT-Drs. 18/3248, S. 5) soll bei der Beauftragung nicht öffentlicher Stellen der Charakter der Auftragsdatenverarbeitung dadurch gewahrt sein, dass die Festlegung, welche gesundheitlichen Parameter festgestellt werden sollen, durch den ärztlichen Dienst der personalaktenführenden Stelle oder im Falle der Beauftragung eines ärztlichen Dienstes nach § 111 Abs. 2 durch den dort beauftragten ärztlichen Dienst erfolgt. Hier setzt wohl zu Recht die Kritik des ULD (a.a.O) an, das wie folgt ausführt: „Die Beauftragung der nicht öffentlichen Stelle zur Vornahme einer ärztlichen Untersuchung ist keine Auftragsdatenverarbeitung. Mangels Weisungsgebundenheit in Bezug auf die Ausführung ärztlicher Tätigkeit und angesichts des verbleibenden Handlungsspielraums für den Arzt bei der Begutachtung sowie angesichts der Eigenständigkeit der Aufgabenwahrnehmung ist eine solche Zuordnung systemwidrig und schlicht falsch mit der Folge, dass völlig unklar ist, welche Verantwortung jeweils den Beteiligten zukommt. Der Schwerpunkt der Tätigkeit des beauftragten Facharztes liegt in der eigenverantwortlichen Untersuchung des Gesundheitszustands einer Person im Hinblick auf bestimmte Parameter, nicht in einer vorgegeben Verarbeitung personenbezogener Daten.“

Die Vergabe des Auftrags an nicht öffentliche Stellen ist an eine Reihe von Bedingungen geknüpft. Sie bedarf der Zustimmung der obersten Dienstbehörde (§ 111a Abs. 2 S. 1 BBG) und darf nur erfolgen, wenn beim Auftraggeber sonst Störungen im Geschäftsablauf auftreten könnten oder erhebliche Kostenersparnisse zu erreichen sind (§ 111a Abs. 4 BBG). Der Auftragnehmer muss die Beschäftigten besonders auf den Schutz von Personalaktendaten verpflichten und sich der Kontrolle durch den Auftraggeber (§ 111a Abs. 1 Nr. 2 BBG), durch den behördlichen Datenschutzbeauftragten der auftraggebenden Stelle und des bzw. der BfDI vertraglich unterwerfen. § 111a Abs. 3 BBG verweist hinsichtlich der Kontrolle durch die BfDI auf die ihr nach §§ 21 und 24 bis 26 Abs. 1 bis BDSG zugewiesenen Kompetenzen. Auch zu der letztgenannten Regelung erscheint die Kritik des ULD (a.a.O.) nicht unberechtigt. Nach der Kompetenzzuweisung des BDSG für die Datenschutzaufsichtsbehörden gegenüber nicht öffentlichen Stellen könne der BfDI – wie geschehen – keine hoheitlichen Befugnisse gegenüber nicht öffentlich Auftragnehmern zugewiesen werden. Vielmehr müsse sie sich darauf beschränken, im Rahmen ihrer Kontrolle gewonnene Erkenntnisse in einem Verfahren gegen die auftraggebende Stelle des Bundes zu verwerten bzw. diese an die zuständige Datenschutzbehörde des Landes weiterzugeben.

* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.