Fortbildung

Die Ausgestaltung der technischen und organisatorischen Maßnahmen muss sich am Schutzbedarf der Daten und den Bedrohungsszenarien (Risikoanalyse gem. § 8 Abs. 4 HmbDSG) orientieren.

Soweit das ZPD die Mitarbeiterdaten selbst als Daten verarbeitende Stelle im Sinne des Hamburgischen Datenschutzgesetzes für die ihm übertragenen Aufgaben verarbeitet (wie z. B. beim Personalberichtswesen), übernimmt der behördliche Datenschutzbeauftragte des ZPD die wichtige Aufgabe der Vorabkontrolle.

Das ZPD bietet aber gerade die Einrichtung zentraler Anwendungen beispielsweise für die Zeitwirtschaft (siehe 3.2) und die Fortbildung (siehe 3.3) an. Bei diesen Verfahren übernimmt das ZPD zwar gewisse Dienstleistungen, die datenschutzrechtliche Verantwortung verbleibt jedoch bei den einzelnen Behörden als den Daten verarbeitenden Stellen. Diese Konstellation erhöht den nicht immer einfachen Abstimmungsaufwand für die Klärung der datenschutzrechtlichen Fragen.

SP-Expert - Zeitwirtschaftsverfahren Mehrere, bisher separate Anwendungen werden in einem Verfahren gebündelt. Die dabei auftretenden datenschutzrechtlichen Probleme sind noch nicht abschließend gelöst.

Das Zentrum für Personaldienste (ZPD) bietet als Dienstleistung für die Behörden die Einrichtung und den Betrieb eines Zeitwirtschaftsverfahrens auf der Basis der Softwarelösung SP-Expert der Firma ASTRUM GmbH an. Das System ist modular aufgebaut und soll auf Wunsch der Kunden neben der Zeiterfassung („Kommt-Geht-Zeiten") auch Funktionalitäten der Zeitwirtschaft (An- und Abwesenheiten, Urlaub, Krankheit) und der Personaleinsatzplanung umfassen. Eine SAP-Schnittstelle für die Kostenrechnung sowie eine Schnittstelle zum Bezügeabrechnungsverfahren PAISY für den Import von Stammdaten und die Abrechnung unständiger Bezüge ist ebenfalls vorgesehen. Ob und in welchem Umfang mit der Nutzung dieses Verfahrens Gefahren für die Rechte der betroffenen Bediensteten verbunden sind, hängt maßgeblich von den Anforderungen der jeweiligen Daten verarbeitenden Stellen an die Ausgestaltung des Verfahrens und deren Umsetzung durch das ZPD ab.

Mit der Erstellung einer Grundkonfiguration des Systems hat das ZPD u.a. folgende Anwendungen vorgesehen:

· Einrichtung permanenter, anlassunabhängiger Zugriffsrechte für Vorgesetzte auf die „Kommt-Geht-Zeiten" ihrer Mitarbeiter.

· Festlegung der Speicherdauer für sämtliche Inhaltsdaten auf 5 Jahre.

· Bereitstellung von nicht von allen Modulen benötigten Datenfeldern.

Diese Anwendungen stoßen auf erhebliche datenschutzrechtliche Bedenken. Nach den bisherigen Darstellungen des ZPD sollen Vorgesetzten Zugriffsrechte auf die „Kommt-GehtZeiten" ihrer Mitarbeiter eingeräumt werden können, wobei die Vorgesetzten ein dauerhaftes Zugriffsrecht erhalten sollen, der jeweilige Mitarbeiter keine Kenntnis über den (anlassunabhängigen) Zugriff erhält und der Zugriff nicht protokolliert wird. Sofern die Erforderlichkeit dieser Zugriffe fachlich begründet werden kann und rechtlich zulässig ist, stellt sich die Frage nach der datenschutzgerechten Ausgestaltung des Verfahrens:

· Erfolgt eine automatische Mitteilung an den Betroffenen über den erfolgten Zugriff?

· Werden die Zugriffe protokolliert?

· Wer kontrolliert die Zugriffsprotokolle auf unberechtigte Zugriffe?

Durch die vorgesehenen Zugriffsmöglichkeiten von Vorgesetzten ergibt sich eine andere Qualität der (permanenten) Kontrolle. Die Verwaltungsanordnung über die Dienstzeit vom 18.12.96, basierend auf einer § 94er-Rahmendienstvereinbarung, sieht lediglich die stichprobenweise Kontrolle der Zeitwertkarten oder anderer Nachweise als Bestandteil der Dienstaufsicht durch die Vorgesetzten vor.

Auszug aus den Durchführungshinweisen: „Stichprobenweise Kontrollen bedeuten die teilweise Überprüfung der Zeitwertkarten in personeller/oder zeitlicher Hinsicht. Sie kann sich auf eine Gesamtgruppe von Personen (Behörden/Amt) oder einen Gesamtzeitraum (etwa ein Jahr) beziehen. Das bedeutet, dass sowohl die Kontrolle der Zeitwertkarten eines ganzen Amtes (oder einer ganzen Abteilung) in einem bestimmten - zufällig ausgewählten - Monat als auch die Kontrolle der Zeitwertkarten eines bestimmten Personenkreises oder einer bestimmten Person Stichproben sind."

Der Pilotanwender Landesbetrieb Verkehr (LBV) sieht die Einrichtung von dauerhaften Zugriffsrechten durch die Vorgesetzten vor. Nach der Dienstvereinbarung über die Pilotphase zur Einführung eines elektronischen Zeitmanagements des LBV dient der Zugriff den Vorgesetzten zur Präsenzerfassung, zur Auswertung der Arbeitszeitkonten und für steuernde Eingriffe. Dies widerspricht den Durchführungshinweisen. Die Nutzung der technischen Möglichkeit der permanenten Kontrolle der Zeitbuchungen bzw. des Gleitzeitkontos durch die Vorgesetzten werden im LBV zwar durch eine Handlungsanweisung untersagt. Diese organisatorische Vorkehrung reicht jedoch nicht aus, denn ohne Protokollierung des lesenden Zugriffs können missbräuchliche Zugriffe im Nachhinein nicht festgestellt werden.

Da aufgrund der Art der Speicherung im System technisch eine Differenzierung der unterschiedlichen Daten in Bezug auf unterschiedliche Aufbewahrungsfristen (3 Monate bis 5 Jahre) unmöglich sei, hat das ZPD vorgesehen, die längste verbindliche Speicherfrist für alle Inhaltsdaten zu übernehmen. Die Löschungsfrist würde damit im ZPD für sämtliche Daten 5 Jahre betragen, da es sich bei einigen Inhaltsdaten um zahlungsbegründende Unterlagen im Sinne der Landeshaushaltordnung handeln soll, für die eine Aufbewahrungsfrist von 5 Jahren gilt. Es ist derzeit ungeklärt, ob und wie das Verfahren als Kassenverfahren einzustufen ist und welche Verfahrensteile hiervon betroffen sind. Sofern eine technische Differenzierung nach unterschiedlichen Aufbewahrungszeiten nicht möglich ist, muss unabhängig davon geprüft werden, ob Daten mit unterschiedlichen Aufbewahrungszeiten überhaupt in dem gemeinsamen System verwaltet werden dürfen. Unzulässig ist nach der gegenwärtigen Rechtslage die vorgesehene Einbeziehung aller Kommt-/Geht-Zeiten sowie urlaubsbedingter und sonstiger Abwesenheit in die fünfjährige Speicherungsfrist.

Personenbezogene Daten sind zu löschen, wenn ihre Kenntnis für die Daten verarbeitende Stelle zur Erfüllung ihrer Aufgaben nicht mehr erforderlich ist (§ 19 Abs. 3 Nr. 2 HmbDSG). Löschen ist nach § 4 Abs. 2 Nr. 6 HmbDSG das Unkenntlichmachen von Daten oder das Vernichten des Datenträgers. Eine bestehende Löschverpflichtung kann durch eine bloße Sperrung der Daten bzw. Reduzierung der Zugriffsberechtigungen nicht ersetzt werden. Bei der Auswahl des Systems und der Konzeption des Verfahrens müssen entsprechende rechtliche Rahmenbedingungen und Vorgaben berücksichtigt werden.

Das ZPD teilte mit, dass derzeit ein Löschungskonzept erarbeitet werde.

Um bei der Bündelung unterschiedlicher Anwendungen dem Datenschutz Rechnung zu tragen, soll ein Genehmigungsworkflow eingerichtet werden. Dabei ist zu berücksichtigen, dass

· festgelegt wird, wer welche Schreib- und Leserechte für welche Daten sowie für welchen Zweck und Zeitraum hat,

· die Authentizität der Antrags- und Bewilligungsdaten gewährleistet wird,

· die aktuellen Genehmigungsinstanzen eingepflegt sind.

Als Benutzerkennung ist die Personalnummer vorgesehen. Dies würde eine Zweckänderung der Personalnummer bedeuten, da die Nutzung für Identifizierungszwecke in der geltenden § 94er Vereinbarung Propers nicht vorgesehen ist. Durch die Verwendung der Personalnummer als Benutzerkennung würde diese wie eine sonstige Nutzerkennung auch im Zusammenhang mit Anmeldungs- und Abmeldungsprozessen protokolliert (Zugriff durch Administratoren).

Daneben wurde festgestellt, dass nicht benötigte Felder softwareseitig nicht gesperrt werden können. Als Lösung käme gegenwärtig nur in Betracht, diese Felder beim regelmäßigen Datenexport aus PAISY als „leer" zu überschreiben. Dies widerspricht dem Prinzip der Datenvermeidung und -sparsamkeit, da eine manuelle Dateneingabe dennoch nicht verhindert wird.