In der Personalabteilung kommt dem Schutz personenbezogener Daten besondere Bedeutung zu. Die Beschäftigten haben vielfach Zugriff auf umfassende und detaillierte Informationen zu einzelnen Personen. Hinzu kommt, dass auch besondere

Kategorien personenbezogener Daten verarbeitet werden. Es müssen deshalb umfangreiche Maßnahmen ergriffen werden, um den Schutz personenbezogener Daten in der Personalabteilung sicherzustellen.

 

Das aktuelle Datenschutzrecht ist vor diesem Hintergrund dreistufig konzipiert:

1. Stufe: Datenvermeidung

2. Stufe: Information über Datenverarbeitung und Datenschutzverstöße

3. Stufe: Sanktionen bei Nichteinhaltung der datenschutzrechtlichen Vorgaben.

 

Hauptziel ist zunächst die Datenvermeidung.

Im personalrechtlichen Kontext führt der Grundsatz der Datenvermeidung zu drei Schutzzielen:

Der Arbeitgeber muss sich mit einem beschränkten Persönlichkeitsprofil zufrieden geben (eingeschränktes Fragerecht, Recht zur Lüge, eingeschränkte Informationspflichten des Arbeitnehmers während des Beschäftigungsverhältnisses).

Der Arbeitgeber darf keine Informationen sammeln, die zu einer lückenlosen Leistungskontrolle führen.

Der Arbeitgeber darf kein Datenmanagement installieren, das zu einer Verhaltensangleichung führen könnte (Hauptschutzziel des Datenschutzrechts nach der Rechtsprechung des BVerfG).

Speziell im Beamtenrecht gelten diese Schutzziele aber nicht uneingeschränkt. 

Die Verbeamtung auf Lebenszeit und die Amtsübertragung nach Leistung, Eignung und Befähigung führen zu einem deutlich erweiterten Fragerecht des Dienstherrn. Außerdem sind die aufsichtlichen Möglichkeiten wegen der Gesetzesbindung der Verwaltung (und damit des einzelnen Beamten) deutlich umfangreicher; notwendige Folge daraus ist inzident eine größere Leistungskontrolle.

Und schließlich ist es generell auch Zweck des Beamtenrechts, Transparenz zu erzeugen - über die Laufbahn mit ihren Karriereschritten, über die Besoldung und über Fürsorgeleistungen. Die Ämtervergabe erfolgt nach Leistung, Eignung und Befähigung, was voraussetzt, dass Transparenz über Leistung, Eignung und Befähigung des Beamten hergestellt wird - durch die dienstliche Beurteilung, durch amtsärztliche Untersuchungen oder durch Disziplinarverfahren.

Alle personalrechtlich relevanten Vorgänge müssen zudem in der Personalakte dokumentiert werden. Ihr Zweck ist es gerade, kontrollierte Transparenz beispielsweise über den Werdegang des Beamten zu erzeugen, aber auch über seine dienstlichen Leistungen (Teilakte Beurteilung) oder ein etwaiges dienstliches Fehlverhalten (Teilakte Disziplinarvorgänge).

Diese Transparenz dient dem Schutz des Beamten, aber auch dem Schutz der öffentlichen Verwaltung insgesamt, weil nur Transparenz Fehlverhalten und Ämterpratonage verhindern kann. Die Anwendung der datenschutzrechtlichen Vorschriften darf daher keinesfalls zu einer Absenkung des beamtenrechtlichen Transparenzniveaus führen.

Demgegenüber führt der Grundsatz der Datenvermeidung in gewisser Weise zu einer Art Informationsdefizit und damit letztlich Intransparenz. Es ist gerade Zweck des Datenschutzes, dass bestimmte Information erst gar nicht verfügbar werden. Das führt aber gerade im Beamtenbereich zu einem massiven Spannungsfeld. 

 

Bei der Anwendung der DSGVO darf also der spezifische Schutzzweck des öffentlichen Dienstrechts nicht außer Acht gelassen werden. Zudem darf die Erfüllung der datenschutzrechtlichen Pflichten nicht zu einem Selbstzweck werden, sondern muss den spezifischen Schutzzielen des Datenschutzrechts im Personalbereich Rechnung tragen. Berücksichtigt werden muss deshalb auch, dass typischerweise kein grundlegendes Informationsdefizit bzgl. der Datenverarbeitungsvorgänge und der verarbeiteten Daten besteht - dies darf bei der Festlegung der Anforderungen an die Erfüllung der Informationspflichten, an die Auskunftserteilung und an den Umfang des Verzeichnisses der Verarbeitungstätigkeiten nicht unberücksichtigt bleiben.

Der Grundsatz der Datenminimierung

Teilweise wird dezidiert vertreten, dass der Grundsatz der Datenminimierung (nicht der Grundsatz der Singularität der Personalakte - die personalaktenrechtlichen Vorschriften gelten gerade nicht) eine „Mehrfachspeicherung“ in verschiedenen CMS verbieten würde. In der Tat ist es so, dass dieselbe Personaldate mehrfach gespeichert wird – z.B. eine Teilzeitverfügung in der Personalakte, im Personalverwaltungssystem, in der Standard-Datenbanksoftware und in der Verfügungserstellung. Das verletzt jedoch nicht den Grundsatz der Datenminimierung. Die verschiedenen Systeme verfolgen verschiedene Zwecke im Bereich der Personalverwaltung. Die Datenverarbeitung ist für diese Zwecke erforderlich. Der Grundsatz der Datenminimierung verlangt nicht, auf Datenverarbeitungen zu verzichten, um möglichst wenige Daten zu speichern. Es geht vielmehr primär darum, überhaupt nur die Daten zu verarbeiten, die für eine Zweckerreichung erforderlich sind. Art. 111 BayBG erlaubt die entsprechende Personaldatenverarbeitung. Das wäre sinnlos, wenn die Personaldaten von vornherein nicht gespeichert werden dürften.

 

Im Hinblick auf die 3. Stufe - Sanktionen - ist schließlich die Pflicht zur Meldung von Datenschutzverstößen außerordentlich kritisch zu sehen. Zwar gibt es kein generelles Verbot der Pflicht zur Selbstbelastung, wie etwa § 97 InsO zeigt. Auf der anderen Seite zielen aber verschiedene beamtenrechtliche Normen, etwa § 48 BeamtStG, darauf ab, dem Beamten die "Angst vor Fehlentscheidungen" zu nehmen und dadurch seine Entscheidungsfreude zu stärken. Dieser Zweck wird konterkariert, wenn zugleich eine Pflicht zur Meldung jeden Fehlers geschaffen wird.