BERLIN (ee) - Um in den Unternehmen Massenarbeiten der Personaladministration zu automatisieren, wurden auch Überlegungen an- und Forderungen aufgestellt, den notwendigen und teilweise vorgeschriebenen Belegtransport an die verschiedenen Datenempfänger durch Datenträgeraustauschverfahren (Magnetband-, Kassettenaustausch) zu ersetzen.
Für fehlerfreie Datenträger-Austauschverfahren bildet die Schaffung und Festlegung einheitlicher Magnetband-Spezifikationen, deren Datensätze, Identifizierungsmerkmale und Codesysteme, eine wesentliche Voraussetzung. Daneben müssen beispielsweise die Zuständigkeit und Verantwortung für Datenlieferanten und -empfänger, die Abgabe- und Verarbeitungstermine sowie die erforderlichen Kontroll- und Sicherungsmaßnahmen zwischen diesen vereinbart und geregelt sein.
Mit Praxis und Detailfragen beschäftigte sich auf dem IKD Bernd Hentschel von der GDD (Gesellschaft für Datenschutz und Datensicherung, Bonn).
In der Personalpraxis kommen derzeit folgende Datenträgeraustauschverfahren zum Zuge, deren Anwendung von der Unternehmensgröße, dem DV-Organisationsgrad und den unternehmensspezifischen Erfordernissen abhängig sind:
- Belegloser Zahlungsverkehr - Magnetband-Clearingverfahren der Kreditwirtschaft - bei der Überweisung von Löhnen und Gehältern sowie Vermögenswirksamen Leistungen zu Gunsten der Giro- und Anlagekonten der Arbeitnehmer,
- Übermittlung der meldepflichtigen Tatbestände der Sozialversicherung auf maschinell verwertbaren Datenträgern - DÜVO-Verfahren,
- Auszahlung des Kindergeldes ausländischer Arbeitnehmer deren Kinder im Heimatland wohnhaft sind mittels Magnetbandaustausch mit der Bundesanstalt für Arbeit,
- Inkassoverfahren im Rahmen der maschinellen Lohn- und Gehaltsabrechnung für externe Stellen durch Bereitstellung von Magnetbändern wie zum Beispiel für den Einzug von Gewerkschaftsbeiträgen, Lebensversicherungsprämien, Krankenkassenbeiträgen etc.,
- Ermittlung der Anwartschaften für die betriebliche Altersversorgung durch Rentenberechnungsinstitute, die über Magnetbandaustausch abgewickelt werden,
- für die Abwicklung der steuerlichen und statistischen Meldepflichten gibt es Ansätze und Modellvorstellungen, die bislang nur partiziell zu Verfahren geführt haben oder sich noch in der Diskussionsphase befinden.
Neben den genannten Verfahren, wo Adressat der Übermittlung externe Stellen sind, gibt es Unternehmens- und konzerninterne Austauschverfahren, die insbesondere bei zentralisierten Organisationsstrukturen üblich sind. In überwiegendem Maße handelt es sich bei den angewandten DTA-Verfahren um Einwegübermittlungen mit Rückgabe des Datenträgers.
Zweiweg-Übermittlungen (Daten fließen zum Empfänger und zusätzliche oder neue Informationen werden mit gleichen Datenträgern wieder an den Anwender zurückübemittelt) sind noch selten anzutreffen.
Datenträgeraustauschverfahren setzen für deren Durchführung eine Normierung und Standardisierung der technischen und organisatorischen Einzelheiten sowie der zu vereinbarenden Modalitäten voraus.
Soweit es sich um Datenträgeraustauschverfahren handelt, die nur zwischen einem Absender und Empfänger abgewickelt werden, können die spezifischen Belange der beiden Beteiligten voll zum Tragen kommen und individuell vereinbart werden. Sowie aber mehrere Beteiligte an einem Verfahren partizipieren, sind einheitliche Regelungen umgänglich.
So sind es für den Bereich des automatisierten Zahlungsverkehrs mit der K(...)ditwirtschaft- Magnetband-Clearingverfahren- die Kundenbedingungen, die im einzelnen das Teilnahme- und Vertragsverhältnis zwischen den Partnern regeln.
Das Meldeverfahren der Sozialversicherung bei maschineller Datenübermittlung ist gesetzlich durch die Datenübermittlungs-VO - DÜVO- geregelt, das für die Teilnahme eine gesonderte Zulassungsprüfung voraussetzt.
Die beiden genannten Beispiele zeigen, daß eindeutige Verfahrensbestimmungen und Spezifikationsregeln bei einer Teilnahme an den Verfahren zu beachten und zwingend einzuhalten sind.
Geregelt sind bei allen derzeit in Anwendung befindlichen Datenträgeraustauschverfahren durchweg nur die erforderlichen Kontrollmaßnahmen und Prüfauflagen sowie Maßnahmen zur Verlustsicherung. Letztere wird überwiegend über Duplizierungs- (Duplikatbänder) und Dokumentationsauflagen (Programmdokumentation, Protokollierung) sowie Versandvorgaben, etwa unzerbrechliche Behälter, Kartonage geregelt.
Offen und nicht geregelt sind die durch das Bundesdatenschutzgesetz anstehenden Schutz- und Sicherungspflichten, was verständlich ist, wenn man beachtet, daß die Einrichtung dieser Verfahren zeitlich vor dem BDSG liegt. Diese Verfahren bedürfen der Überprüfung inwieweit sie datenschutzrelevant, datenschutzkonform und den Datensicherungsauflagen entsprechen.
An erster Stelle steht die Prüfung, ob die Datenträgeraustauschverfahren zulässig (° 3 BDSG) sind. Ausgangspunkt ist hierbei die Feststellung, daß nicht nur die per EDV-Datenträger zu übermittelnden personenbezogenen Daten der Arbeitnehmer und Pensionäre aus Dateien gewonnen und damit geschützte personenbezogene Daten sind, sondern daß diese Datenträger selbst Dateien darstellen, die zum Zwecke der Weitergabe von personenbezogenen Daten unmittelbar durch die Datenverarbeitung gewonnen werden.
Tangiert sind somit die Phasen "Speichern" und "Übermitteln", wobei erstere in einem ambivalenten Verhältnis zur Übermittlung steht, da der Zweck der weiteren Verwendung des Datenträgers durch den Verwendungszweck der Übermittlung vorgegeben ist.
Die Zulässigkeitsprüfung kann damit auf die Erlaubniskriterien für die Übermittlung reduziert werden.
Ausgehend von den eingangs aufgezeigten in Anwendung befindlichen Datenträgeraustauschverfahren ergeben sich folgende Erlaubnisse* zur Datenübermittlung insoweit sie zweckgebunden ist:
Einfacher ist es, die für diese Berechnung erforderlichen Angaben nicht personenbezogen, das heißt mit Mitarbeiterangabe abzuwickeln, sondern anonym zu übermitteln, in dem die Identifizierung des Arbeitnehmers (Name, Pers.- Nr.) durch einen numerischen Begriff ersetzt wird.
Übermittlung innerhalb der speichernden Stelle stets zulässig
-Tochtergesellschaft Konzern = Zulässig entweder aus Arbeitsvertrag oder berechtigtem Interesse
In diesem Fall wird der Arbeitgeber im Auftrage für die Bundesanstalt für Arbeit tätig. = Zulässigkeit gegeben aus Bundeskindergeldgesetz.
Zusammenfassend kann festgestellt werden, daß die in Anwendung befindlichen Übermittlungen grundsätzlich die Zulässigkeitsvoraussetzungen erfüllen.
Literaturnachweis
GDD-Dokumentation No. 9 - Vertragsgestaltung nach ° 22 Abs. 2 BDSG
GDD-Dokumentation No. 1 1 - Vorrangige Rechtsvorschriften im Personalwesen
GDD-Dokumentation No. 15 - Verwaltungsvorschriften der Aufsichtsbehörden zu den Abschn. 3 und 4 BDSG
Gesellschaft für Datenschutz und Datensicherung (GDD) e. V., Alfred-Bucherer-Str. 18, 5300 Bonn 1
*Siehe auch GDD-Dokumentation No. 11 "Vorrangige Rechtsvorschriften im Personalwesen" erlaubt, die in Form eines Musterstammsatzes für eine Personaldatei die in Rechtsvorschriften festgelegten Speicher- und Übermittlungstatbestände enthält. Bezugsnachweis: DATAKONTEXT-Verlag GmbH, Postfach 400 553, 5000 Köln 40.