Vorbemerkung
Ich verwende Nachfolgende die Begriffe Gemeindevorstand und Magistrat synonym. In Hessen besorgt der Gemeindevorstand die laufende Verwaltung, er trägt in Städten die Bezeichnung Magistrat. [1] In anderen Bundesländern tragen die entsprechenden Gremien teilweise andere Namen (z.B. Gemeinderat in Bayern [2])
Ausgangslage
Bei einem unserer Kunden bekommen die Mitglieder des Magistrats im Rahmen der Beratungen über Beförderungen, Eingruppierungen u.a. regelmäßig die gesamten Personalakten der betroffenen Personen zur Einsichtnahme ausgehändigt.
Dabei kam zu folgender Situation:
Ein Magistratsmitglied nahm sich im Rahmen der Beratung über die Höhergruppierung des gemeindlichen Mitarbeiters Schmidt die Personalakte des Hr. Schmidt mit dem Kommentar: „So, Herr Schmidt, dann wollen wir doch mal in Ihrer Akte schauen… Oh, so jung sind sie und haben schon zwei Kinder!?„
Herr Schmidt war in dieser Magistratssitzung als Protokollführer anwesend und fühlte sich durch dieses Vorgehen gestört und fragte, ob es denn rechtmäßig ist, dass Magistratsmitglieder seine gesamte Personalakte „durchstöbern“ dürfen.
Grundsätzliche Überlegungen
Es geht hier, wie immer im Datenschutz, um die allgemeinen Persönlichkeitsrechte der betroffenen Personen. Eine Datenverarbeitung (hier der Zugriff auf die Personalakte) ist nur erlaubt, wenn dadurch keine Persönlichkeitsrechte beeinträchtigt werden.
Als erstes stellt sich daher immer die Frage, ob die Datenverarbeitung überhaupt erlaubt ist:
Dazu schauen wir uns den Artikel 88 der Datenschutzgrundverordnung DSGVO an [3]:
- Datenverarbeitung im Beschäftigungskontext
(1) Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere
Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener
Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags
einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarung en festgelegten Pflichten, des
Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der
Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für
Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte
und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen.
(2) Diese Vorschriften umfassen angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der
berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der
Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von
Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz.
Daraus ergibt sich der §26 des BDSG, hier ist nur Absatz 1 von Bedeutung [4]:
- 26 Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
(1) Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet
werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach
Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung
oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung
(Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich
ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet
werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene
Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich
ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht
überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
Für die Kommunen in Hessen gilt das HDSIG, dort findet sich der nahezu identische Wortlaut im §23 [5]. Somit ist die Datenverarbeitung grundsätzlich erlaubt.
Dazu sind, wie bei jeder Datenverarbeitung, die „Grundsätze für die Verarbeitung personenbezogener Daten“ aus Artikel 5 der DSGVO [6] zu beachten, dort speziell
Art. 5 Abs. 1 lif c:
Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“).
Art. 5 Abs. 1 lif f:
Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).
Dürfen die Magistratsmitglieder / Gemeindevorstände denn überhaupt Einblick in die gesamte Personalakte haben?
Die Hessische Gemeindeordnung (HGO) sagt in §73: [7]
- 73 Personalangelegenheiten
(1) Der Gemeindevorstand stellt die Gemeindebediensteten ein, er befördert und entlässt sie; […]
Dass zur Ausübung dieser Aufgaben die Informationen über das Personal erforderlich sind, liegt auf der Hand. Aber rechtfertigt das auch den Zugriff auf die gesamte Personalakte? Nach den in Art. 5 DSGVO genannten Grundsätzen ist dies an dieser Stelle sehr fraglich.
Hinzu kommt, dass in einer Personalakte höchstwahrscheinlich auch Daten aus den sog. besonderen Kategorien nach Art. 9 der DSGVO [8] zu finden sind. Diese Daten dürfen nur unter besonders strengen Grundsätzen verarbeitet werden.
Doch welche Vorschriften gibt es, die regeln, auf welche Daten der Gemeindevorstand zugreifen darf, um seine Aufgaben gemäß HGO erfüllen zu können?
Zunächst stellt sich die Frage, wie die Unterschiede zwischen Beamten und Angestellten in der Kommunalverwaltung zu berücksichtigen sind. Da die geltenden Vorschriften in Ihren grundsätzlichen Regelungen identisch sind, gibt es in der Praxis keinen Unterschied. [9]
Die Pflicht zur Führung einer Personalakte ergibt sich aus § 50 Beamtenstatusgesetz – BeamtStG. Dort ist vorgegeben, dass die Personalakte vertraulich zu behandeln ist. [10]
Für Hessen gilt das Hessische Beamtengesetz (HBG), dort steht in § 86 Abs. 3: [11]
Die Verarbeitung von Personalaktendaten erfolgt ausschließlich durch Beschäftigte, die im Rahmen der Personalverwaltung oder Personalwirtschaft mit der Bearbeitung von Personalangelegenheiten beauftragt sind, und nur soweit es zu diesen Zwecken erforderlich ist.
Für andere Bundesländer finden sich identische Rechtsvorschriften in der Landesgesetzgebung.
In vielen Kommunen arbeiten die Gemeindevorstands- / Magistratsmitglieder ehrenamtlich. Sitzungen finden häufig abends statt, Tagungsort ist nicht selten ein Gemeinschaftshaus o.ä., das nicht direkt an die Verwaltung angeschlossen ist. Alleine hieraus ergibt sein enormes Risiko für die Vertraulichkeit der Personalakte. Man stelle sich vor, eine Personalakte wird beim Transport aus einer Aktentasche entwendet… Das wäre ein gewaltiger Datenschutzverstoß, der mit einer Meldung an die Aufsichtsbehörde und ggf. den entsprechenden Sanktionen verbunden ist.
Ergebnis
Dass die Mitglieder des Gemeindevorstands auf eine komplette Personalakte zugreifen dürfen und diese in der entsprechenden Sitzung des Gremiums für alle einsehbar ist, ist aufgrund der Regelungen in der DSGVO, des BeamtStG und des HBG ausgeschlossen. Um über Beförderungen, Eingruppierungen o.ä. zu beraten und zu entscheiden, dürfen dem Gemeindevorstand nur die Unterlagen zur Verfügung gestellt werden, die für die jeweilige Aufgabenstellung erforderlich sind. Die gesamte Personalakte darf es niemals sein.
Weiterführende Links und Quellen:
[1] https://www.rv.hessenrecht.hessen.de/bshe/document/jlr-GemOHE2005pP9
[2] https://www.gesetze-bayern.de/Content/Document/BayGO-30
[3] https://dsgvo-gesetz.de/art-88-dsgvo/
[4] https://dejure.org/gesetze/BDSG/26.html
[5] https://www.lexsoft.de/cgi-bin/lexsoft/justizportal_nrw.cgi?templateID=document&xid=8074311,24
[6] https://dsgvo-gesetz.de/art-5-dsgvo/
[7] https://www.lexsoft.de/cgi-bin/lexsoft/justizportal_nrw.cgi?xid=146137,85
[8] https://dsgvo-gesetz.de/art-9-dsgvo/
[9] In Hessen fehlt eine explizite Regelung im HDSIG, in einschlägigen Kommentaren (vgl. Ambrock / Zilkens / Gollan: Datenschutz in der Kommunalverwaltung, Rn. 794) wird auf das Datenschutzgesetz aus Nordrhein-Westfalen verwiesen: https://recht.nrw.de/lmi/owa/br_bes_detail?sg=0&menu=1&bes_id=38824&anw_nr=2&aufgehoben=N&det_id=408182
[10] https://www.gesetze-im-internet.de/beamtstg/__50.html
