Fortbildung
Das ZPD beabsichtigt, für die Anwendung von SP-Expert eine § 94erRahmendienstvereinbarung abzuschließen, deren Verhandlungen wir aus datenschutzrechtlicher Sicht begleiten werden. Bis dahin darf eine Anwendung nur im Umfang der geltenden Dienstvereinbarung erfolgen. Darüber hinaus werden wir die Gespräche mit dem ZPD fortsetzen, um eine datenschutzgerechte Lösung der noch offenen Fragen zu erreichen. Die Daten verarbeitenden Stellen haben zu gewährleisten, dass SPExpert nur in dem gegenwärtig zulässigen Rahmen eingesetzt wird.
CLIX - Zentrale Fortbildung
Mit der Einrichtung des Zentrums für Aus- und Fortbildung verändert sich die Seminarverwaltung. Die dabei auftretenden datenschutzrechtlichen Probleme sind noch nicht abschließend geklärt.
Das Zentrum für Aus- und Fortbildung (ZAF) plant und verwaltet Seminarangebote für alle Angehörigen des Öffentlichen Dienstes in Hamburg. Die bisher zur Unterstützung dieser Aufgabe eingesetzte Software wird durch die Standardsoftware CLIX (Corporate Learning & Information eXchange) abgelöst. Die Einführung ist in vier Stufen vorgesehen, in denen Daten unterschiedlicher Vertraulichkeit verarbeitet oder veröffentlicht werden:
· Stufe 1 (1. Juli 2005): Planung und Erstellung des Fortbildungsangebotes
· Stufe 2 (voraussichtlich Mitte Januar 2006): Möglichkeit der Online-Anmeldung zu Fortbildungsveranstaltungen für die Beschäftigten einschließlich der elektronischen Unterstützung der nötigen behördlichen Genehmigungsund Mitbestimmungsverfahren.
· Stufe 3 (voraussichtlich I. Halbjahr 2006): Aufbau eines E-Learning-Portals für die Durchführung der Fortbildung zu den MicrosoftOffice-Produkten
· Stufe 4 (voraussichtlich II. Halbjahr 2006): Berechnung des geldwerten Vorteils Daten verarbeitende Stelle ist das ZAF, Dienstleister sind jeweils ZPD für die Anwendung und Dataport für die technische Realisierung.
Durch die Online-Anmeldung (Stufe 2) erhalten die Beschäftigten die Möglichkeit, direkt aus dem Online-Katalog Seminare auszuwählen und sich für diese Seminare anzumelden. Jede Anmeldung startet einen Genehmigungsworkflow. Zur Vereinfachung der Anmeldung und zur Erhöhung der Datenqualität war bisher geplant, die notwendigen Daten regelmäßig aus dem Hamburg Service Informationssystem (HaSI) und dem Personalabrechnungsverfahren PAISY zu importieren. Für diesen Import ist jedoch eine Rechtsverordnung notwendig, die derzeit von der Finanzbehörde vorbereitet wird. Solange der Senat diese Rechtsverordnung nicht beschlossen hat, dürfen keine Daten aus anderen Systemen zu CLIX importiert werden. Für die Benutzer von CLIX bedeutet dies, dass sie sich einmalig beim ZAF anmelden und dann alle persönlichen Daten manuell eingeben. Weiterhin müssen die Benutzer diese Daten regelmäßig auf aktuellem Stand halten.
Daneben besteht für alle Mitarbeiter die Möglichkeit, sich wie bisher formularmäßig anzumelden. Die Daten werden dann von den Mitarbeitern des ZAF erfasst.
Mit der Einführung der Online-Anmeldung bei Veranstaltungen im Verwaltungsseminar Kupferhof e.V. sollten auch Daten an den Kupferhof zur Organisation der Übernachtung übergeben werden. Der direkte Zugriff von Mitarbeitern des Kupferhofs auf diese Daten ist jedoch gegenwärtig unzulässig. Der Kupferhof ist als eingetragener Verein eine nicht öffentliche Stelle, ungeachtet der Beteiligung durch die FHH (§ 2 Abs. 1 Satz 2 HmbDSG).
Das Einräumen einer Zugriffsberechtigung stellt einen automatisierten Abruf dar. Ein automatisiertes Verfahren zum Abruf personenbezogener Daten durch Dritte darf nur eingerichtet werden, wenn eine Rechtsvorschrift dies ausdrücklich zulässt (§ 11 Abs. 1 HmbDSG). Das Verfahren muss daher so gestaltet werden, dass keine Zugriffsberechtigung für den Kupferhof eingerichtet wird. Die personenbezogenen Daten der Teilnehmer dürfen jedoch vom ZAF an den Kupferhof übermittelt werden.
Für die Personalentwickler der jeweiligen Behörden, die im Verhältnis zum ZAF als Daten verarbeitende Stelle Dritte sind, ist ein lesender Zugriff auf die Kurshistorie vorgesehen. Die insoweit bestehenden datenschutzrechtlichen Fragen werden mit dem Personalamt erörtert.
Die Dauer der Speicherung der Kurshistorie konnte noch nicht abschließend geklärt werden.
Derzeit sind 5 Jahre vorgesehen.
PIA Projekt interner Arbeitsmarkt
Die datenschutzrechtlichen Anforderungen sind wegen der Sensibilität der personenbezogenen Daten hoch.
PIA soll im Sinne einer Personalberatungs- und Vermittlungsagentur folgende Aufgaben erfüllen:
· Analyse des internen und externen Arbeitsmarktes, einschließlich der Überwachung des restriktiven Einstellungsverfahrens.
· Beratung von Beschäftigten und Behörden in allen Fragen der individuellen und strukturellen Mobilität.
· Qualifizierung der Beschäftigten, Vorbereitung auf neue Aufgaben.
· Vermittlung von Beschäftigten in neue Aufgabenfelder.
· Aktive Erschließung neuer Aufgabenfelder, die im Einzelfall auch außerhalb der hamburgischen Verwaltung liegen können.
· Unterstützung bei der Aufnahme selbstständiger Tätigkeit.
· Entwicklung von Instrumenten, die zur Verbesserung der Steuerung des internen Arbeitsmarktes dienen und dessen Transparenz erhöhen.
Die Beschäftigungsbehörden erstellen mittels eines Fragebogens, der mit dem Hamburgischen Datenschutzbeauftragten abgestimmt wurde, erste Kompetenzprofile in Zusammenarbeit mit den von strukturellen Veränderungen betroffenen Beschäftigten (strukturelle Mobilität) und übermitteln diese Profile an PIA. Auch können sich Mitarbeiterinnen und Mitarbeiter aus eigener Initiative mit einem Veränderungswunsch an PIA wenden (individuelle Mobilität). Zudem ist PIA für die Stellenausschreibungen der gesamten FHH zuständig.
PIA hat sich zur Datenverarbeitung für eine externe ASP (Application Service Provider)Lösung auf Basis einer webbasierten Applikation entschieden. Da es sich um sensible Mitarbeiterdaten handelt, sind die dafür notwendigen datenschutzrechtlichen Anforderungen zu erfüllen. Neben der Festlegung der technischen und organisatorischen Maßnahmen gegenüber dem Auftragnehmer waren folgende Vorkehrungen zu treffen:
· Sicherer Transportweg zum Auftragnehmer (verschlüsselt).
· Administrationskonzept (Ausschluss des Zugriffs auf die Datenbank durch externe Administratoren).
· Berechtigungskonzept (nur PIA-Mitarbeiter haben Zugriff auf die Datenbank).
· Sichere Authentifizierung der Nutzer (Client-Zertifizierung).
· Keine personenbezogene Kommunikation mit den Beschäftigten über das Internet.
Nach der § 94er-Rahmendienstvereinbarung Bürokommunikation, Anlage E-Mail-Nutzung, dürfen sensible personenbezogene Daten elektronisch nur verschlüsselt übermittelt werden.
Innerhalb des FHHinfoNET ist dies durch die in Outlook bereitgestellte Funktionalität „Erweiterte Sicherheit" grundsätzlich möglich (vgl. 18. TB, 11.1). PIA hat dazu in Abstimmung mit dem Hamburgischen Datenschutzbeauftragten eine Liste erstellt, welche Inhalte unverschlüsselt gesendet werden können und welche nur verschlüsselt übermittelt werden dürfen.