Personalverwaltungssystem PVSplus: Noch nicht gelöste datenschutzrechtliche Herausforderungen
Die Einführung des einheitlichen Personalverwaltungssystems PVSplus in der Bundesverwaltung ist mit einigen bisher ungelösten datenschutzrechtlichen Herausforderungen verbunden. Der BfDI wir künftig in seine Beratungs- und Kontrolltätigkeiten in diesem Bereich weiter verstärken.
Seit einigen Jahren hat die Bundesverwaltung mit dem Projekt „Personalverwaltungssystem PVSplus“ ein informationstechnisches Großvorhaben in Angriff genommen. Hierbei sollen die unterschiedlichen Personalverwaltungssysteme in der Bundesverwaltung durch eine einheitliche informationstechnische Lösung großflächig konsolidiert und künftig ausschließlich in den zentralen Rechenzentren des Informationstechnikzentrums Bund (ITZBund) betrieben werden. Die eingesetzte Lösung basiert auf dem Verfahren eines großen Enterprise-Resource-Planning (ERP) Anbieters.
Bislang hat der Bundesbeauftragte im Rahmen seiner aufsichtsbehördlichen Tätigkeit schwerpunktmäßig beratende Unterstützung angeboten, die insbesondere seitens des ITZBund, wo PVSplus für den zentralen Einsatz in der Bundesverwaltung weiterentwickelt wird, rege beansprucht worden ist. Positive Ergebnisse der Beratungen im Bereich des Beschäftigtendatenschutzes waren z. B. Anpassungen bei der Bezügemitteilung. Auch bei der Vereinbarung zur Auftragsverarbeitung hat es Verbesserungen gegeben.
Dennoch sind die im Laufe der Jahre auf diese Weise erreichten datenschutzrechtlichen Ergebnisse noch keineswegs zufriedenstellend. Insbesondere verfügt die eingesetzte Softwareanwendung aktuell über keine ausreichend automatisierten Löschroutinen, um die gesetzlichen Lösch- und Aufbewahrungsvorgaben der durchaus sensiblen personenbezogenen Daten zu gewährleisten.
Neben der beratenden Begleitung des Projektes bzw. Produktes wird der BfDI zukünftig den Fokus auch auf gezielte Kontrollen der Datenverarbeitung über PVSplus bei den Bundesbehörden legen, die PVSplus für ihre Personalverwaltung nutzen. Für diese „Kundenbehörden“ gilt: Solange PVSplus keine verlässliche automatisierte Löschung der personenbezogenen Daten zur Verfügung stellt, ist die Wahrung der gesetzlichen Lösch- und Aufbewahrungsvorgaben durch organisatorische Maßnahmen zu gewährleisten.
Quelle: BfDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks