Zugriffsrechte auf Personalaktendaten

Die Verarbeitung von Personalaktendaten ist grundsätzlich den personalverwaltenden Stellen vorbehalten. Diese „personelle Verarbeitungsbeschränkung“ ist durch technische und organisatorische Maßnahmen hinreichend abzusichern – gleich, ob Personalaktendaten in Papierform oder digital verarbeitet werden. Dass gerade bei der elektronischen Aufbewahrung solcher Daten etwas schiefgehen kann, zeigen zwei Meldungen von Datenschutzverletzungen (vgl. Art. 33 DSGVO), denen ähnliche „Pannen“ bei der Rechteverwaltung zugrunde lagen. Bei meiner Überprüfung dieser Meldungen musste ich auch leider feststellen, dass fehlerhafte Zugriffsrechte nicht das einzige Datenschutzproblem waren.

Sachverhalt

Im ersten Fall hatte eine oberste Landesbehörde über ein Jahrzehnt hinweg quartalsmäßige Excel-Exporte aus dem Personal- und Stellenmanagementsystem VIVA (im Folgenden: VIVA-Exporte) in einem speziellen, eigentlich der Personalstelle vorbehaltenen Ordner digital abgelegt und aufbewahrt. Die VIVA-Exporte enthielten eine Vielzahl an Personaldaten, neben Namen und Geburtsdaten Beschäftigter etwa Angaben zu Qualifikation, tarif- oder besoldungsrechtlichen Zuordnungen sowie zu Art und Umfang der Beschäftigung. Vereinzelt waren mit dem Grad der Behinderung auch Gesundheitsdaten umfasst. Der Unterordner mit den VIVA-Exporten befand sich allerdings in einem allgemein zugänglichen Ordner auf einem IT-System der obersten Landesbehörde. Diese nahm unzutreffend an, dass nur Beschäftigte ihrer Personalstelle auf den Ordner mit den VIVA-Exporten zugreifen konnten. Sie musste dann jedoch feststellen, dass jedenfalls zeitweise alle Beschäftigten der obersten Landesbehörde zugriffsberechtigt gewesen waren. Wie es zu einer ungeplanten Ausweitung von Zugriffsbefugnissen kommen konnte, ließ sich im Nachhinein nicht mehr nachvollziehen.

Im zweiten Fall hielt das Schulverwaltungsamt einer großen kreisfreien Stadt vertrauliche Dokumente der Amtsleitung in einem Ordner digital auf dem Amtslaufwerk vor. Die gespeicherten Dokumente umfassten unter anderem eine Datei mit Bewerbungsunterlagen für ein Stellenbesetzungsverfahren aus dem Jahr 2017, Beschäftigtendaten im Zusammenhang mit der COVID-19-Pandemie sowie Beurteilungen und Zeugnisse Beschäftigter, die teilweise bis in das Jahr 2005 zurückreichten. Der Zugriff auf diesen Ordner sowie auf die in ihm enthaltenen Dokumente war planmäßig der Amtsleitung vorbehalten. Aufgrund versehentlich fehlerhaft gesetzter Zugriffsrechte konnten allerdings alle Beschäftigten des Amtes über einen Zeitraum von etwa zwei Jahren auf den Ordner zugreifen.

Ob „außerhalb“ der vorgesehenen Zugriffsberechtigungen tatsächlich auf den betreffenden Ordner zugegriffen wurde, konnte mir die oberste Landesbehörde im ersten Fall nicht sicher beantworten. Im zweiten Fall waren der betreffenden Stadt zumindest Zugriffe durch zwei ihrer Beschäftigten bekannt; weitere Zugriffe konnten mangels Protokollierung nicht nachgewiesen werden.

Rechtliche Würdigung

Fehlerhafte Zugriffsrechte

Verantwortliche müssen bei „ihren“ Verarbeitungen in technischer und organisatorischer Hinsicht verschiedene Vorgaben des Datenschutzrechts beachten. So haben sie insbesondere durch geeignete technische und organisatorische Maßnahmen nachweisbar sicherzustellen, dass ihre Verarbeitungen im Einklang mit der Datenschutz-Grundverordnung stehen (Art. 24 Abs. 1 Satz 1 DSGVO). Art. 32 Abs. 1 DSGVO verpflichtet Verantwortliche, geeignete technische und organisatorische Maßnahmen zu ergreifen, „um ein dem Risiko der Verarbeitung angemessenes Schutzniveau zu gewährleisten“. In Umsetzung des Grundsatzes der „Vertraulichkeit“ einer Verarbeitung (Art. 5 Abs. 1 Buchst. f DSGVO) umfassen solche Maßnahmen auch die Fähigkeit, die Vertraulichkeit der im Rahmen der Verarbeitung verwendeten Systeme und Dienste auf Dauer sicherzustellen (Art. 32 Abs. 1 Buchst. b DSGVO). Bei der Verarbeitung von besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO (etwa Gesundheitsdaten) haben bayerische öffentliche Stellen nach Art. 8 Abs. 2 Satz 1 BayDSG zudem angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen. Solche Maßnahmen können unter anderem darin bestehen, den Zugang zu diesen sensiblen Daten innerhalb des Verantwortlichen zu beschränken.

Die Excel-Exporte aus dem Personal- und Stellenmanagementsystem VIVA enthielten zumindest überwiegend Personalaktendaten im Sinne von Art. 103 ff. Bayerisches Beamtengesetz (BayBG), § 50 Satz 2 Beamtenstatusgesetz; diese Vorschriften finden auf vertraglich im bayerischen öffentlichen Dienst Beschäftigte grundsätzlich entsprechende Anwendung (Art. 145 Abs. 2 BayBG). Im zweiten Fall wurden neben Personalaktendaten (Beschäftigtendaten im Zusammenhang mit der COVID-19-Pandemie sowie Beurteilungen und Zeugnisse Beschäftigter) auch Bewerbungsdaten verarbeitet. Für die Verarbeitung von Bewerbungs- und Personalaktendaten enthält die personelle Verarbeitungsbeschränkung nach Art. 103 Satz 2 BayBG ein spezifisches Vertraulichkeitserfordernis: Nur Beschäftigte, die vom Dienstherrn mit der Bearbeitung von Personalangelegenheiten betraut worden sind, dürfen diese Daten verarbeiten.

Angesichts dieser Vorgaben hätten die digital aufbewahrten Bewerbungs- und Personalaktendaten in den gemeldeten Sachverhalten somit gegen unbefugte Zugriffe hinreichend gesichert werden müssen. Dem sind die Verantwortlichen in beiden Fällen nicht nachgekommen: Zwar haben sie im Ausgangspunkt entsprechende Zugriffsbeschränkungen vorgesehen und damit im Grundsatz Problembewusstsein gezeigt. Sie haben es aber versäumt, das fortdauernde Bestehen sowie die Wirksamkeit dieser Beschränkungen im Weiteren hinreichend zu überprüfen (vgl. auch Art. 24 Abs. 1 Satz 2 sowie Art. 32 Abs. 1 Buchst. d DSGVO). In der Folge stand die „digitale Tür“ zu diesen Daten für einen erheblichen Zeitraum auch Beschäftigten offen, die nicht mit Personalangelegenheiten betraut waren.

Erforderlichkeit der Verarbeitung

Das geschilderte Zurückbleiben hinter technischen und organisatorischen Vorgaben war schon misslich genug. In beiden Fällen kam aber noch hinzu, dass die jeweiligen Dateiordner personenbezogene Daten enthielten, die entweder überhaupt nicht (erster Fall) oder nicht mehr (zweiter Fall) hätten aufbewahrt werden dürfen. Die fehlerhaft gesetzten Zugriffsrechte ermöglichten damit – jedenfalls theoretisch – einen unbefugten Zugang zu unrechtmäßig gespeicherten Daten.

Ausgangspunkt meiner Prüfung waren insoweit die Datenschutz-Grundsätze in Art. 5 Abs. 1 DSGVO, die Verantwortliche bei jeder Verarbeitung personenbezogener Daten zu beachten haben. Personenbezogene Daten müssen danach insbesondere auf rechtmäßige und in einer auf das zur Zweckerreichung notwendige Maß beschränkten Weise verarbeitet werden (Grundsätze der „Rechtmäßigkeit“ und der „Datenminimierung“, Art. 5 Abs. 1 Buchst. a und c DSGVO). Eine Speicherung personenbezogener Daten ist dabei nur solange zulässig, wie dies zur Erreichung der Verarbeitungszwecke erforderlich ist (Grundsatz der „Speicherbegrenzung“, Art. 5 Abs. 1 Buchst. e DSGVO). Rechtmäßig im Sinne von Art. 5 Abs. 1 Buchst. a DSGVO ist eine Verarbeitung, wenn sie auf eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO, gegebenenfalls in Verbindung mit nationalem Durchführungsrecht, gestützt werden kann. Bei der Verarbeitung von besonderen Kategorien personenbezogener Daten (etwa von Gesundheitsdaten) muss ferner ein Zulässigkeitstatbestand nach Art. 9 Abs. 2 DSGVO erfüllt sein.

Im ersten Fall war die Speicherung der Excel-Exporte aus dem Personal- und Stellenmanagementsystem VIVA an Art. 103 Satz 1 BayBG zu messen:

„¹Der Dienstherr darf personenbezogene Daten über Bewerber und Bewerberinnen sowie aktive und ehemalige Beamte und Beamtinnen verarbeiten, soweit dies

1. zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere zu Zwecken der Personalverwaltung oder Personalwirtschaft erforderlich ist,
2. zusätzlich bei der Verarbeitung besonderer Kategorien personenbezogener Daten Art. 8 Abs. 1 Nr. 2, 3 und 5 sowie Abs. 2 des Bayerischen Datenschutzgesetzes (BayDSG) erlaubt

und nachfolgend nichts anderes bestimmt ist.“

Die Vorschrift kommt auch zur Anwendung, wenn Personalakten in automatisierten Verfahren (zum Beispiel in VIVA) verarbeitet werden (Art. 111 Satz 2 BayBG). Sie lässt die Verarbeitung solcher Daten durch personalverwaltende Stellen damit insbesondere für Zwecke der Personalverwaltung und Personalwirtschaft zu – allerdings nur, soweit die Verarbeitung zur Erreichung dieser Zwecke auch erforderlich ist. Erforderlich ist eine Verarbeitung dabei nicht schon dann, wenn sie für die verfolgten Verarbeitungszwecke lediglich „,förderlich‘ oder ,nützlich‘, also in irgendeiner Weise hilfreich“ ist.

Vor diesem Hintergrund hat sich mir schon nicht erschlossen, weshalb die – sowohl in zeitlicher als auch in inhaltlicher Hinsicht – umfangreiche Speicherung von VIVA-Exporten in einem Dateiordner der personalverwaltenden Stelle für die vorgenannten Zwecke erforderlich sein sollte. Schließlich kann die oberste Landesbehörde die Daten ihrer Beschäftigten unmittelbar in VIVA einsehen und abrufen. Die insoweit praktizierte „doppelte Datenhaltung“ habe ich gerade angesichts des Grundsatzes der Datenminimierung kritisch gesehen. Die oberste Landesbehörde hat die Speicherung der VIVA-Exporte damit begründet, verschiedene personalwirtschaftliche Auswertungen (etwa zur Personalentwicklung oder zur Personalbemessung) zu ermöglichen. In VIVA selbst seien diese Auswertungen nicht oder nur mit erheblichem Aufwand durchführbar.

Zwar nennt Art. 103 Satz 1 BayBG die Personalwirtschaft ausdrücklich als legitimen Zweck zur Verarbeitung von Personalaktendaten. Damit konnte die insoweit rechenschaftspflichtige (vgl. Art. 5 Abs. 2 DSGVO) oberste Landesbehörde aber noch nicht begründen, weshalb die umfangreiche Speicherung von VIVA-Exporten für diesen Zweck erforderlich gewesen war: Zunächst hätte die Behörde nämlich prüfen müssen, ob die genannten Auswertungszwecke eine Speicherung der VIVA-Exporte mit den „Klardaten“ der Beschäftigten überhaupt notwendig machten oder – was aus meiner Sicht nahe lag – ob es nicht ausgereicht hätte, insoweit mit anonymisierten oder zumindest pseudonymisierten Datensätzen zu arbeiten. Ferner wäre zu prüfen gewesen, ob eine Speicherung der VIVA-Exporte in größerem zeitlichem Abstand (etwa jährlich statt quartalsweise) genügt hätte. Diese Prüfungen hatte die öffentliche Stelle nicht vorgenommen.

Im zweiten Fall konnte mir die insoweit rechenschaftspflichtige (vgl. Art. 5 Abs. 2 DSGVO) Stadt zwar erläutern, weshalb die Speicherung von Bewerbungs- und Personalaktendaten anfangs erforderlich gewesen war. Wie die Stadt selbst eingeräumt hat, hätte ihr Schulverwaltungsamt die betreffenden Daten allerdings schon längst wieder löschen müssen:

Bewerbungsunterlagen dürfen nach Art. 103 Satz 1 BayBG verarbeitet werden, soweit dies für die dort genannten Zwecke erforderlich ist. Daten unterlegener Bewerberinnen und Bewerber dürfen ohne deren Einwilligung dabei regelmäßig allenfalls sechs Monate nach Abschluss des Bewerbungsverfahrens aufbewahrt werden. Die von der Amtsleitung aufbewahrten Bewerbungsdaten betrafen ein Stellenbesetzungsverfahren aus dem Jahr 2017; der sechsmonatige Aufbewahrungszeitraum war damit weit überschritten. Die Daten erfolgreicher Bewerberinnen und Bewerber werden Teil des jeweiligen Personalakts, der von der personalverwaltenden Stelle bei der Stadt geführt wird. Nach Abschluss des Bewerbungsverfahrens haben diese Daten bei der Leitung des Schulverwaltungsamts nichts mehr zu suchen.

Die eingangs genannten Personalaktendaten (Beschäftigtendaten im Zusammenhang mit der COVID-19-Pandemie sowie Beurteilungen und Zeugnisse Beschäftigter) hat die Amtsleitung nach Darstellung der Stadt als unselbstständigen Personalnebenakt im Sinn des Art. 104 Abs. 1 Satz 3 BayBG vorgehalten.

Das Führen einer Personalnebenakte bedingt eine gesetzlich vorgesehene „doppelte Datenhaltung“. Deren Erforderlichkeit ist angesichts des Grundsatzes der Datenminimierung stets kritisch zu prüfen:

Im Rahmen der „3G-Zutrittsregel“ am Arbeitsplatz waren zwar auch bayerische Dienstherren und öffentliche Arbeitgeber zunächst befugt, Angaben zum Impf- oder Genesungsstatus Beschäftigter in gewissem Umfang zu verarbeiten, vgl. insbesondere § 28b Abs. 3 Satz 3 Infektionsschutzgesetz (IfSG) a. F. Wie die 3G-Zutrittsregelung nach § 28b Abs. 1 bis 3 IfSG a. F. insgesamt ist auch diese Verarbeitungsbefugnis allerdings zum 19. März 2022 aufgehoben worden. Die auf Grundlage von § 28b Abs. 3 Satz 3 IfSG a. F. (rechtmäßig) erhobenen Daten waren spätestens am Ende des sechsten Monats nach ihrer Erhebung zu löschen, § 28 Abs. 3 Satz 10 Halbsatz 1 IfSG a. F. Schon dem Wortlaut nach handelte es sich hierbei um eine Höchstfrist, deren Einhaltung Verantwortliche durch geeignete Löschroutinen sicherzustellen hatten. Zum Zeitpunkt des Bekanntwerdens des Vorfalls bei der Stadt war diese Höchstfrist bereits überschritten.

Soweit dienstliche Beurteilungen sowie Zeugnisentwürfe Beschäftigte des Schulverwaltungsamts betrafen, sah die Stadt eine Aufbewahrung dieser Dokumente bei der Amtsleitung zwar in gewissem Umfang als erforderlich im Sinne von Art. 103 Satz 1, Art. 104 Abs. 1 Satz 3 BayBG an. Die vorgebrachten zeitlichen Erforderlichkeitsgrenzen waren im vorliegenden Fall jedoch deutlich verletzt worden, da die bei der Amtsleitung gespeicherten Beurteilungen und Zeugnisse teilweise bis in das Jahr 2005 zurückreichten.

In beiden Fällen ist die Speicherung von Beschäftigtendaten folglich unrechtmäßig erfolgt. Die öffentlichen Stellen haben damit nicht nur gegen technische und organisatorische Vorgaben, sondern auch gegen die Grundsätze der Rechtmäßigkeit der Verarbeitung (Art. 5 Abs. 1 Buchst. a, Art. 6 Abs. 1 DSGVO) sowie der Speicherbegrenzung (Art. 5 Abs. 1 Buchst. e DSGVO) verstoßen.

Ergriffene Maßnahmen

Angesichts des Gewichts der Datenschutzverstöße habe ich in beiden Fällen eine förmliche datenschutzrechtliche Beanstandung ausgesprochen. Zugleich habe ich beiden Verantwortlichen Hinweise zur datenschutzkonformen Ausgestaltung ihrer Verarbeitungsvorgänge erteilt.

Im ersten Fall hat die oberste Landesbehörde ihr Vorgehen zur Erstellung von Auswertungen überarbeitet und im Zuge dessen den Umfang der vorgehaltenen Datensätze erheblich reduziert. Durch diese Maßnahmen sei ein Personenbezug bei den vorgehaltenen und künftigen Datensätzen weitgehend entfallen. Die dergestalt verschlankten Datensätze seien zudem in ein neu erstelltes „Personallaufwerk“ überführt worden, auf welches grundsätzlich nur die Personalverwaltung sowie die IT-Administration Zugriff hätten.

Der gemeldeten Datenschutzverletzung im zweiten Fall lag aus Sicht der Stadt ein individuelles Fehlverhalten zugrunde. Zur Vorhaltung von Personalunterlagen habe es bereits im Vorfeld spezifische Regeln gegeben; im Nachgang zur geschilderten Datenschutzverletzung seien die Dienststellenleitungen nun noch einmal grundsätzlich zu dieser Thematik informiert worden. In technischer und organisatorischer Hinsicht hat die Stadt ebenfalls Maßnahmen ergriffen, um vergleichbare Vorfälle künftig zu verhindern. Diesbezüglich befinde ich mich mit der Stadt noch im Austausch.

Fazit

Über die konkreten Vorkommnisse hinaus haben die beiden gemeldeten Datenpannen Dreierlei aufgezeigt:

• Erstens sind notwendige technische und organisatorische Maßnahmen – vorliegend in Form von Zugriffsbeschränkungen – hinreichend effektiv auszugestalten. Dazu gehört es auch, die Wirksamkeit dieser Maßnahmen im erforderlichen Umfang fortlaufend zu überprüfen.
• Zweitens haben Verantwortliche die Erforderlichkeit der von ihnen durchgeführten Verarbeitungen kritisch in den Blick zu nehmen – nicht nur, aber gerade dann, wenn sensible Personalaktendaten verarbeitet werden. Die Erforderlichkeit hat dabei auch eine zeitliche Komponente; vorbehaltlich gesetzlicher Aufbewahrungspflichten wird sie nach Erreichen des Verarbeitungszwecks regelmäßig entfallen. Die Einhaltung des Datenschutzrechts ist für Verantwortliche eine Daueraufgabe.
• So bedauerlich die gemeldeten Vorfälle für sich genommen sind, belegen sie schließlich drittens, dass die in Art. 33 DSGVO vorgesehene Meldepflicht bei Datensicherheitsverletzungen zu einer nachhaltigen Verbesserung des Datenschutzniveaus bei Verantwortlichen beitragen kann.

Quelle: Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Fragen Sie sich, ob Sie als Unternehmen oder Behörde bei Datenschutz und Datensicherheit richtig aufgestellt sind?

Unverbindlich mit einem Datenschutzbeauftragten sprechen.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
• Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
• Tragbarer Tresor für die Reise zum Schutz von Wertsachen
• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
• Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
• Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
• Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen

Dieser Absatz enthält Affiliate-Links/Werbelinks