Verlust von Kundendaten in einer Sparkasse

Sparkassen

Wie ich aus Presseberichten entnommen hatte, waren vertrauliche Kundendaten einer Sparkasse in Form von Listen mit Namen von Schuldnern und die Höhe ihrer jeweiligen Verbindlichkeiten in der Öffentlichkeit aufgetaucht. Ich forderte daraufhin die Sparkasse zu einer schriftlichen Stellungnahme auf und führte eine datenschutzrechtliche Kontrolle in der betroffenen Sparkassenfiliale durch.

Wie sich herausstellte, gelangten die Kundendaten im Zusammenhang mit einem dort ehemalig beschäftigten Mitarbeiter in die Öffentlichkeit, der unter anderem als Kundenbetreuer tätig war. Die näheren Umstände, auf welche Weise und durch wen die Listen an die Öffentlichkeit gelangten, waren Gegenstand staatsanwaltschaftlicher Ermittlungen.

Die aus datenschutzrechtlicher Sicht zu klärende Frage war, ob die Sparkasse alle erforderlichen technischen und organisatorischen Maßnahmen getroffen hatte, um die Ausführung der Vorschriften über den Datenschutz zu gewährleisten. Die Sparkasse übergab die vorhandenen Unterlagen über Regelungen zum Datenschutz. Es handelte sich hierbei um eine allgemeine Dienstanweisung zu Datenschutzbestimmungen sowie um eine spezielle Organisationsanweisung für die Mitarbeiter der Sparkasse, deren Empfang durch jeden einzelnen Beschäftigten bestätigt werden muss, der zugleich auf die gewissenhafte Beachtung der Regelungen verpflichtet wird. Darüber hinaus konnte die Sparkasse sowohl eine Verpflichtung des ausgeschiedenen Mitarbeiters auf das Datengeheimnis sowie dessen Verpflichtung nach dem Verpflichtungsgesetz als auch eine Niederschrift über dessen Gelöbnis nach § 6 BAT vorlegen.

Nach Prüfung aller Unterlagen und unter Berücksichtigung des geschilderten Sachverhalts war festzustellen, dass seitens der Sparkasse keine Versäumnisse im Umgang mit Kundendaten vorlagen, da diese ausweislich der übergebenen Organisations- und Dienstanweisungen sowie der verschiedenen Verpflichtungen die gemäß § 9 BDSG erforderlichen technischen und organisatorischen Maßnahmen getroffen hatte.

Ich hatte der Sparkasse abschließend dringend empfohlen, ausscheidenden Mitarbeitern eine Erklärung darüber abzuverlangen, dass sie keine dienstlichen Unterlagen mit personenbezogenen Kundendaten beim Ausscheiden mitnehmen dürfen. Dieser Hinweis wurde von der Sparkasse aufgenommen.

Kopien des Personalausweises

Das Kopieren von Dokumenten bei der Sparkasse veranlasst immer wieder Kunden, sich an den zu wenden und dort die Zulässigkeit der Maßnahme anzuzweifeln. Dies betrifft insbesondere die Aufforderung der Sparkasse gegenüber dem Kunden, den Personalausweis zum Zwecke der Erstellung einer Kopie vorzulegen.

War in der Vergangenheit der Kunde aufgrund der gesetzlichen Regelung des § 154 Abs. 2 AO bei der Eröffnung eines Girokontos nicht verpflichtet, die Kopie seines Personalausweises zu dulden, erfolgte im Jahre 2003 im Geldwäschegesetz eine Klarstellung. Gemäß § 2 Abs. 1 hat ein Kreditinstitut bei Abschluss eines Vertrages zur Begründung einer auf Dauer angelegten Geschäftsbeziehung, insbesondere bei der Führung eines Kontos und bei den sonstigen in § 154 Abs. 2 Satz 1 der AO genannten Geschäften den Vertragspartner zu identifizieren.

Dem Institut wird die Möglichkeit eingeräumt, die auf dem Ausweispapier genannten Angaben

6. Tätigkeitsbericht des 2004/2005 aufzunehmen oder durch Anfertigung einer Kopie der Seiten des zur Feststellung der Identität vorgelegten Ausweises, die diese Angaben enthalten, aufzuzeichnen und aufzubewahren.

Der hat die anfragenden Sparkassenkunden über die gegebene Rechtslage informiert.

6. Personal

Thüringer Gesetz zur Änderung besoldungs- und anderer dienstrechtlicher Vorschriften

In den vergangenen Tätigkeitsberichten hatte ich schon mehrfach eine gesetzliche Regelung für die in der Praxis bereits durchgeführte Beihilfebearbeitung durch private Versicherungsunternehmen für die Kommunen angemahnt. Unter Berücksichtigung der datenschutzrechtlichen Hinweise des wurde im letzten Berichtszeitraum eine Regelung in das Thüringer Beamtengesetz aufgenommen, wonach es den Gemeinden, Verwaltungsgemeinschaften, Zweckverbänden und Landkreisen und sonstigen der Aufsicht des Freistaats Thüringen unterstehenden Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts erlaubt ist, zur Berechnung und Gewährung von Beihilfen nach dem Thüringer Beamtengesetz geeignete Unternehmen nach Maßgabe der Vorschriften des Thüringer Datenschutzgesetzes zu beauftragen. Eine Aufgabenübertragung ist nicht zulässig.

Einrichtung einer Personalentwicklungsstelle

Mit der Richtlinie zur Vermittlung von Personal sowie zur Besetzung von Stellen/Planstellen in der Thüringer Landesverwaltung (Personalentwicklungsrichtlinie) vom 5. Oktober 2005

2005, S. 2056 ff.) wurde mit Wirkung vom 1. November 2005 das Verfahren für die Besetzung von Stellen/Planstellen in der Thüringer Landesverwaltung geregelt. Die Richtlinie enthält auch die Aufgaben der Personalentwicklungsstelle sowie der Ressorts. Die Ressorts melden der Personalentwicklungsstelle die Beschäftigten, deren Aufgaben infolge Modernisierungsmaßnahmen entfallen und die in anderen Bereichen der Landesverwaltung eingesetzt werden sollen. Zur Vereinfachung des Meldeverfahrens wurde ein Fragebogen unter Beteiligung des erarbeitet, der als Grundlage der Abfrage der Beschäftigtendaten dienen soll. Dieser enthält Angaben zum Beschäftigtenprofil (zur Person, zum derzeitigen Dienstposten und zur Ausbildung) die von der Dienststelle auszufüllen sind, aber auch Angaben, die die Beschäftigten freiwillig machen können. Dies betrifft besondere Kenntnisse, Befähigungen und insbesondere auch den Verwendungswunsch. Die Daten zum Beschäftigtenprofil, die nicht freiwillig abgegeben werden, werden auf der Grundlage des § 101 Abs. 1 Satz 2 ohne dass es einer besonderen Einwilligung des Betroffenen bedarf an die Personalentwicklungsstelle weitergeleitet. Die freiwilligen Angaben können nur mit einer Einwilligung übermittelt werden. Sollen die freiwilligen Angaben auch in der personalführenden Stelle verarbeitet werden, so bedarf dies ebenfalls der Einwilligung. Das zuständige Thüringer Finanzministerium hat meine gegebenen Hinweise zu dem Fragebogen sowie zu der Form der Einwilligungserklärung jeweils eingearbeitet. Daher bestehen gegen den Fragebogen keine datenschutzrechtlichen Bedenken.

Einhaltung des Dienstwegs in Personalangelegenheiten/Bewerbungen auf dem Dienstweg

In Stellenausschreibungen verschiedener Geschäftsbereiche der Thüringer Ministerien war immer wieder zu lesen, dass die Bewerber aufgefordert sind, ihre Bewerbung auf dem Dienstweg an die näher bezeichnete Stelle zu richten. Darüber hinaus wurden im Rahmen der Bearbeitung von Anrufungen des nach § 11 und durchgeführten datenschutzrecht55

6. Tätigkeitsbericht des 2004/2005 lichen Kontrollen in Personalakten von Bediensteten des Landes Bewerbungsunterlagen aufgefunden, obwohl die Bewerbungen nicht erfolgreich und damit auch nicht im unmittelbaren Zusammenhang mit dem Dienstverhältnis standen. Dies bedurfte einer grundsätzlichen Klärung.

Die DSB des Bundes und der Länder haben sich bereits vor geraumer Zeit mit der Zulässigkeit, Bewerbungen auf Stellenausschreibungen auf dem Dienstweg an die ausschreibende Stelle zu richten, beschäftigt und sind einhellig zu der Auffassung gelangt, dass für Bedienstete weder eine auf die beamtenrechtlichen Vorschriften noch auf andere Rechtsvorschriften zu stützende Verpflichtung besteht, eine Bewerbung auf dem Dienstweg an die ausschreibende Personalstelle zu leiten. Soweit ein Informationsbedürfnis des Dienstherrn besteht, wird ihm durch die Verpflichtung des Beamten, seinen Vorgesetzten rechtzeitig über einen angestrebten Wechsel zu unterrichten, Rechnung getragen. Lediglich wenn ein Betroffener dies selbst wünscht, wäre einer Bewerbung auf dem Dienstweg nichts entgegen zu setzen. Insbesondere eine Stellungnahme zu einer Bewerbung bspw. des unmittelbaren Vorgesetzten, wie verschiedenen Stellenausschreibungen zu entnehmen war, ist nach dem Beamtenrecht nicht vorgesehen. Dasselbe gilt auch für Angestellte, die nicht anders behandelt werden können.

Das TIM hat die Auffassung der DSB des Bundes und der Länder mitgetragen und sieht ebenfalls dem Informationsbedürfnis des Dienstherrn durch die Verpflichtung des Beamten, den Vorgesetzten rechtzeitig über einen angestrebten Wechsel zu unterrichten, in ausreichendem Maße Rechnung getragen. Auch zur Problematik der Aufnahme von Unterlagen erfolgloser Bewerbungsunterlagen in die Personalakte hat das TIM der Auffassung des zugestimmt, dass nach § 97 Abs. 1 nur solche Unterlagen zur Personalakte gehören, die in einem unmittelbaren inneren Zusammenhang mit dem Dienstverhältnis stehen. Dies trifft auf Bewerbungsunterlagen insbesondere bei erfolgloser Bewerbung nicht zu, da sich am bestehenden Dienstverhältnis nichts ändert. Bei der Abheftung von Bewerbungsunterlagen darf auch nicht im Einvernehmen mit dem betroffenen Beamten von der eindeutigen Regelung des § 97 Abs. 1 Satz 2 nach dem andere Unterlagen, die nicht im unmittelbaren inneren Zusammenhang mit dem Dienstverhältnis stehen, nicht aufgenommen werden dürfen, abgewichen werden.

Der hat zur Bekräftigung seiner Forderungen sich auf die eindeutige Äußerung des TIM bezogen und die betroffenen Geschäftsbereiche nochmals darauf hingewiesen. Die Ressorts haben angekündigt, ihre Praxis zu ändern.

Aus dem Geschäftsbereich des TFM wurde an mich die Anfrage gerichtet, ob eine Weisung zur Einhaltung des Dienstwegs in Personalangelegenheiten rechtmäßig ist. Die konkrete Weisung war nach Auffassung des für die Betroffenen zu undifferenziert und barg damit die Gefahr, dass Personalvorgänge bei unzuständigen Stellen oder ohne konkrete Erforderlichkeit zur Aufgabenerfüllung bei verschiedenen Teilen der Dienststelle zur Kenntnis gelangen. Aus Gründen der Transparenz müsste angegeben werden, welche Stelle für welche konkreten Aufgaben der Personalverwaltung zuständig ist. Selbstverständlich können bei manchen Anträgen die Kenntnis oder die Befürwortung des unmittelbaren Vorgesetzten und des zur Genehmigung Bestimmten erforderlich sein, bspw. bei Sonderurlaub, Urlaubsübertragung, Teilzeit und Altersteilzeit, Arbeitszeit/Kernzeit und Freistellungen, dies darf jedoch nicht dazu führen, dass diese Unterlagen nicht nur bei der letztendlich zuständigen Stelle zur Personalakte, sondern auch bei den zu durchlaufenden Stellen zu Personalunterlagen genommen werden. Auf die Bedenken des hin wurde die Weisung außer Kraft gesetzt.

Personalaktenführung

Die ordnungsgemäße und datenschutzgerechte Personalaktenführung war im Berichtszeitraum mehrfach Gegenstand durchgeführter Kontrollen: