1.3.2.4 Datenschutzrechtliche Aspekte
Artikel Einführung
Ansprechpartner für datenschutzrechtliche Fragen sind die behördlichen Datenschutzbeauftragten. Es empfiehlt sich, diese frühzeitig einzubinden, denn: Im Rahmen von Organisationsuntersuchungen und Personalbedarfsermittlungen wird meist auch eine Vielzahl von personenbezogenen Daten erhoben, verarbeitet und genutzt [1].
Dies geschieht insbesondere im Verlauf der Hauptuntersuchung, wenn regelmäßig mit verschiedenen Methoden und Techniken Einzelangaben über persönliche oder sachliche Verhältnisse bestimmter oder bestimmbarer natürlicher Personen [2] ermittelt werden. So wird beispielsweise mit Fragebogen im Rahmen von Organisationsuntersuchungen ein breites Spektrum von Informationen und Meinungen der Beschäftigten des Untersuchungsbereichs (zum Beispiel Kritikpunkte oder Vorstellungen zu Optimierungspotenzialen) abgefragt. Im Rahmen von Personalbedarfsermittlungen werden Angaben zu Vorkommenshäufigkeiten und Bearbeitungszeiten für Aufgaben an Arbeitsplätzen einzelner Personen erhoben.
Zweck des Datenschutzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird [3]. Es ist unabdingbar, dass bei Organisationsuntersuchungen die Persönlichkeitsrechte der betroffenen Personen gewahrt werden. Im Umgang mit personenbezogenen Daten müssen daher sowohl die einschlägigen bereichsspezifischen Regelungen (z. B. Beamtengesetz, Soldatengesetz) als auch die allgemeinen datenschutzrechtlichen Bestimmungen des Bundesdatenschutzgesetzes (BDSG) beachtet werden. Vor diesem Hintergrund müssen die von einer Organisationsuntersuchung betroffenen Beschäftigten bereits vor Beginn der Erhebungen insbesondere darüber informiert werden [4],
- wer für die Durchführung des Projektes verantwortlich ist,
- zu welchem Zweck die personenbezogenen Daten erhoben, verarbeitet und genutzt werden und
- wem die erhobenen personenbezogenen Daten zur Verfügung gestellt werden.
Der behördliche Datenschutzbeauftragte ist ebenfalls frühzeitig über eine Organisationsuntersuchung zu unterrichten, um ihm ggf. die Durchführung einer datenschutzrechtlichen Bewertung zu ermöglichen. Es dürfen ausschließlich personenbezogene Daten verwendet werden, die zur Aufgabenerfüllung erforderlich sind. Dabei ist der Grundsatz der Datenvermeidung und Datensparsamkeit [5] zu beachten; d. h. die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist zu vermeiden oder auf das unumgängliche Mindestmaß zu beschränken. So ist z. B. die Notwendigkeit einer Datenerhebung vorab festzustellen.
Als ein Ergebnis der Voruntersuchung wird die Vorgehensweise mit den einzusetzenden Verfahren und Techniken für die sich anschließende Hauptuntersuchung festgelegt. Dabei muss entschieden werden, ob und in welchem Umfang personenbezogene Daten erhoben werden müssen. In diesem Zusammenhang muss bedacht werden, dass nur die für die Zielerreichung des Projekts erforderlichen Daten erhoben werden dürfen. Die Erhebung von Daten, die einmal später benötigt werden könnten, ist nicht zulässig [6].
Personenbezogene Daten werden häufig mit Formularen (Fragebogen, Erhebungsbogen für eine Selbstaufschreibung etc.) erhoben. Dabei ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen [7]. Daten können z. B. pseudonymisiert erhoben werden, indem die Formulare nicht mit Namensfeldern, sondern mit Kennziffern versehen werden, die den Personen vorab zugeteilt worden sind. Zwar werden nach wie vor personenbezogene Daten erhoben. Der Personenkreis, dem die Daten bekannt werden, ist dann aber auf das Untersuchungsteam eingegrenzt. Sollten ausgefüllte Formulare abhanden kommen, sind Beschäftigte besser geschützt. Schließlich kann ein Formular ohne Namensangabe auch dazu beitragen, dass eher offene Äußerungen zu Sachverhalten eingetragen werden.
Mit Abschluss einer Organisationsuntersuchung und/oder Personalbedarfsermittlung durch Übergabe des Abschlussberichts an den Auftraggeber stellt sich die Frage, wie lange die Vielzahl der erhobenen und gespeicherten personenbezogenen Daten aufbewahrt werden kann.
Die personenbezogenen Daten sind zu löschen, sobald sie für den Auftraggeber zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben nicht mehr erforderlich sind. Ob und für welche Aufgaben die Speicherung der personenbezogenen Daten noch erforderlich ist, muss im Einzelfall entschieden werden. Eine weitere Speicherung ist jedenfalls dann unzulässig, wenn die Frage, ob die Daten zur Erfüllung der Aufgaben noch notwendig sind, verneint wird. Personenbezogene Daten unterliegen der Zweckbindung; sie dürfen nur für die Zwecke verarbeitet oder genutzt werden, für die sie erhoben wurden. Eine Zweckänderung bedarf einer Rechtsgrundlage oder der Einwilligung der betroffenen Person [8]. Im Zweifel empfiehlt es sich, Kontakt mit dem behördlichen Beauftragten für den Datenschutz aufzunehmen. Die Übermittlung personenbezogener Daten an öffentliche Stellen bzw. nicht-öffentliche Stellen ist nur unter den Voraussetzungen der bereichsspezifischen oder der maßgeblichen allgemein datenschutzrechtlichen Regelungen [9] zulässig. Entsprechend der Art der personenbezogenen Daten sind die erforderlichen technischen und organisatorischen Schutzmaßnahmen umzusetzen [10].
Werden personenbezogene Daten im Auftrag durch Externe [11] erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz verantwortlich.
Fußnote
[1] Vgl. § 3 Abs.3, § 3 Abs.4 und § 3 Abs.5 Bundesdatenschutzgesetz (BDSG).
[2] Vgl. § 3 Abs.1 Abs.1 BDSG.BDSG.
[3] Vgl. § 1 Abs. 1 BDSG.
[4] Vgl. § 4 Abs. 3 S.1 S.1 BDSG.BDSG.
[5] Vgl. § 3a BDSG.
[6] Vgl. Simitis (2006), §13 Rdnr. 26.
[7] Vgl. § 3 Abs. 6, § 3 Abs. 6a und § 3a BDSG.
[8 Vgl. § 14 BDSG.
[9] Vgl. § 15 bzw. § 16 BDSG.
[10] § 9 i.V.m. der Anlage zu § 9 Satz 1 BDSG.
[11] Vgl. § 14 BDSG.