BÜRGERSCHAFT DER FREIEN UND HANSESTADT HAMBURG Drucksache 21/12883 21. Wahlperiode 08.05.18 Schriftliche Kleine Anfrage des Abgeordneten Deniz Celik (DIE LINKE) vom 30.04.18 und Antwort des Senats Betr.: Durchsuchung des Computers eines Mitarbeiters der Gesundheitsbehörde – Was waren die Gründe? Mitte Februar 2018 wurden sämtliche Daten (inklusive E-Mails) auf dem Computer eines Mitarbeiters der Behörde für Gesundheit und Verbraucherschutz durchsucht. Die Durchsuchung erfolgte ohne Angabe von Gründen. Weder der Mitarbeiter noch der Personalrat wurden zuvor angehört. Ein Gespräch mit dem Mitarbeiter im Beisein des Personalrats fand erst Wochen später statt. Auf dem Rechner befanden sich neben den Dokumenten, die sich auf das Arbeitsgebiet beziehen, auch Dokumente, die in Zusammenhang mit seiner Tätigkeit im Personalrat stehen sowie vertrauliche Korrespondenz mit Patienten/-innen, denn der Mitarbeiter war in seiner Funktion auch für Patienten-/-innenbeschwerden zuständig. Der Mitarbeiter engagiert sich politisch im „Hamburger Bündnis für mehr Pflegepersonal im Krankenhaus“ und für die „Volksinitiative gegen Pflegenotstand im Krankenhaus“. Die Durchsuchung des Computers kann einschüchternd wirken und so den betroffenen Mitarbeiter wie auch die Kollegen/-innen von einem demokratischen Engagement abschrecken. Es besteht die Gefahr, dass Menschen in der Ausübung ihres Grundrechts auf Meinungsfreiheit behindert werden. Vor diesem Hintergrund frage ich den Senat: Für alle Behörden und Ämter einheitlich und für alle ihre Beschäftigten einschließlich der Mitglieder von Interessenvertretungen gilt die zwischen den Spitzenorganisationen der Gewerkschaften und dem Personalamt im Jahr 2001 abgeschlossene Vereinbarung nach § 94 HmbPersVG (alter Fassung) über den Prozess zur Einführung und Nutzung allgemeiner automatisierter Bürofunktionen und multimedialer Technik (Bürokommunikation ) und zur Entwicklung von E-Government (im Folgenden: §-94- Vereinbarung). In deren Ziffer 4 heißt es wörtlich: „Ausnahmsweise ist die Auswertung von gespeicherten Verbindungs- bzw. Nutzungsdaten bei einem (auch zufällig entstandenem ) konkreten Verdacht zur Aufklärung von Missbrauchstatbeständen (Dienstvergehen oder Verletzungen arbeitsvertraglicher Pflichten) zulässig. Der auslösende Sachverhalt ist zu dokumentieren. Der zuständige Personalrat ist möglichst vorher zu unterrichten. Der betroffene Beschäftigte ist zu unterrichten, sobald dies ohne Gefährdung des Aufklärungsziels möglich ist. Daten, die ausschließlich zum Zwecke der Aufklärung erhoben wurden, sind zu löschen, sobald der Verdacht ausgeräumt ist oder sie für Zwecke der Rechtsverfolgung nicht mehr benötigt werden. Die Verbindungs- und Nutzungsdaten sind zu löschen, sobald sie für die oben genannten Zwecke nicht mehr benötigt werden.“ Ferner bestimmt die §-94-Vereinbarung in Abschnitt 6 (Ausstattung der Arbeitsplätze und Nutzung): „Die Nutzung der Bürokommunikationswerkzeuge einschließlich des Drucksache 21/12883 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 2 Internetzugangs ist grundsätzlich für dienstliche Aufgaben vorgesehen. Gelegentliche Nutzungen für private Zwecke sind zugelassen, sofern dadurch dienstliche Belange nicht verletzt werden“. Darüber hinaus sieht sich der Senat aus Gründen des Beschäftigtendatenschutzes sowie – weil der Beschäftigte rechtliche Schritte gegen die Maßnahmen der Dienststelle angekündigt hat – wegen des noch nicht abgeschlossenen Verfahrens im Rahmen der Beantwortung Parlamentarischer Anfragen dazu veranlasst, von näheren Ausführungen zu konkreten Einzelfällen abzusehen. Die Behörde für Gesundheit und Verbraucherschutz (im Folgenden: „BGV“) sieht in derartigen Fällen folgende Verfahrensweise vor: Liegen Anhaltspunkte vor, dass eine Beschäftigte oder ein Beschäftigter während der Arbeitszeit beziehungsweise der Dienstzeit missbräuchlich private Angelegenheiten erledigt oder anderweit der Verdacht einer arbeitsvertraglichen oder dienstlichen Pflichtverletzung besteht, prüft die BGV unter besonderer Berücksichtigung des Grundsatzes der Verhältnismäßigkeit zunächst, ob die vorliegenden Verdachtsmomente hinreichend belastbar und konkret für arbeits- beziehungsweise dienstrechtliche Maßnahmen und in diesem Rahmen auch für einen Zugriff auf Daten im Rahmen des Verfahrens nach der §-94-Vereinbarung sind. Ist dies der Fall, wird zunächst die beziehungsweise der behördliche Datenschutzbeauftragte einbezogen und vor dem Hintergrund der §-94-Vereinbarung um eine Stellungnahme gebeten. Wenn im Ergebnis die Dienststelle ein weiteres Vorgehen nach der §-94-Vereinbarung beabsichtigt, wird hierüber der Vorstand des Personalrats unverzüglich – gegebenenfalls fernmündlich – informiert. Da die Postfachinhalte innerhalb der von der Dataport zentral verwalteten IT- Infrastruktur gespeichert werden, muss für eine beabsichtigte Datensicherung beziehungsweise eine Zurverfügungstellung der Postfachinhalte das Amt für Digitalisierung der Senatskanzlei eingebunden werden. Dabei ist auch die Einbindung des IT- Sicherheitsbeauftragten der Freien und Hansestadt Hamburg vorgesehen. Werden auch von dieser Seite sowie vom Justiziariat von Dataport keine Bedenken geäußert, werden die der BGV auf die zuvor geschilderte Art und Weise zur Verfügung gestellten Daten von der bzw. vom IT-Sicherheitsbeauftragten der BGV über die gesamte Dauer des Verfahrens auf gesicherten Speichermedien verwahrt. Zum Zugriff auf die Daten berechtigt sind dabei nur die befugten Personalverantwortlichen der BGV. Dabei ist zunächst eine kursorische Sichtung der Daten vorgesehen, um einen ersten Überblick über die Art und den Umfang der auszuwertenden Daten zu gewinnen. Bereits diese kursorische Sichtung findet – so das Verfahren – in Anwesenheit der beziehungsweise des behördlichen Datenschutzbeauftragten sowie Informationssicherheitsbeauftragten der BGV statt. Ferner wird der oder die betreffende Beschäftigte unverzüglich von den befugten Personalverantwortlichen über die Sicherung der Daten und deren bevorstehende Auswertung nach der §-94-Vereinbarung informiert, womit ihm beziehungsweise ihr insbesondere die Gelegenheit zur Stellungnahme gegeben werden soll. Selbiges gilt für die zeitgleiche Information des Personalrats über die Datensicherung und die anstehende Auswertung, dem es damit ebenfalls jederzeit möglich ist, eine Stellungnahme gegenüber Vertretern der Dienststelle abzugeben. Vor der eigentlichen Auswertung der Daten durch die befugten Personalverantwortlichen wird vor dem Hintergrund des konkreten Verdachts ein Auswertungskonzept mit der beziehungsweise dem behördlichen Datenschutzbeauftragten abgestimmt. Dabei werden zum Beispiel konkrete Begriffe oder Stichwörter festgelegt, anhand derer die Auswertung ausschließlich erfolgt. Damit soll gewährleistet werden, dass (vertrauliche ) Daten, die in keinem erkennbaren Zusammenhang mit dem zu untersuchenden Verdacht stehen, nicht Gegenstand der Auswertung sind. In dieser Phase wird insbesondere darauf geachtet, solche Daten nicht zu sichten, die privater Natur sind oder aus einem besonderen Vertrauensverhältnis, zum Beispiel einer Personalratstätigkeit, stammen. Die Auswertung selbst erfolgt sodann durch die befugten Personalverantwortlichen , denen für diesen Zweck vom beziehungsweise von der Informationssi- Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode Drucksache 21/12883 3 cherheitsbeauftragten der BGV der Zugriff ermöglicht wird. Zudem ist eine solche Auswertung von der bzw. vom behördlichen Datenschutzbeauftragten zu überwachen. Dies vorausgeschickt, beantwortet der Senat die Fragen wie folgt: 1. Welche Gründe haben zu der Durchsuchung des Computers geführt? 2. Gab es einen konkreten Verdacht auf ein Fehlverhalten? Wenn ja, welches Fehlverhalten wurde vermutet und worin bestanden die Anhaltspunkte für diesen Verdacht genau? Zu welchem Zeitpunkt gelangten welche Verdachtsmomente der Behörde zur Kenntnis? Bitte zeitlichen Ablauf darlegen. Es lagen in mehreren, einem größeren Personenkreis innerhalb der BGV zugänglichen Dateien konkrete Anhaltspunkte für die Verletzung arbeitsvertraglicher Pflichten vor. Im Übrigen siehe Vorbemerkung. 3. Wann wurde die Anweisung zur Durchsuchung des Computers durch welche Stelle gegeben und welche Stellen in welcher sonstigen Form waren involviert? 4. Inwiefern war die Senatorin über die Durchsuchung informiert und hat ihr zugestimmt? 5. Welche Daten wurden gesichtet, gesichert, kontrolliert oder geöffnet? 6. Auf welcher Rechtsgrundlage erfolgte die Durchsuchung des Computers und die Sicherung der Daten? 7. Wann wurde der Personalrat über die Durchsuchung informiert? Hat die Behörde die Mitbestimmungsrechte des Personalrats gewahrt? Wenn ja, inwiefern? 8. Wurden bei der Durchsuchung auch Dateien im Zusammenhang mit der Tätigkeit im Personalrat gesichtet, gesichert, kontrolliert oder geöffnet? Falls nein, wie wurde sichergestellt, dass das nicht passiert und von wem beziehungsweise welcher Stelle wurde das kontrolliert? 9. Wurden bei der Durchsuchung auch Dateien im Zusammenhang mit der Tätigkeit mit Patienten-/-innenbeschwerden gesichtet, gesichert, kontrolliert oder geöffnet? Falls nein, wie wurde sichergestellt, dass das nicht passiert und von wem beziehungsweise welcher Stelle wurde das kontrolliert? 10. Nach § 94 HmbPersVG ist die private Nutzung der Bürokommunikation erlaubt, wenn hierdurch dienstliche Belange nicht beeinträchtigt werden. Wurden in diesem konkreten Fall dienstliche Belange aus Sicht des Senats beeinträchtigt? Wenn ja, inwiefern? 11. Welche Stellen hatten/haben für welchen Zeitraum Zugriff auf die betreffenden Dateien? 12. Inwiefern, durch wen und gestützt auf welche Rechtsgrundlage wurden Dateien kopiert und gespeichert? 13. In welches Dateisystem erfolgte die Speicherung der Dateikopien? 14. Welche Stelle hat wann und gestützt auf welche Rechtsgrundlage Zugriff auf die Dateien in Kopie? Wie sind die Löschfristen und wie wird die Löschung sichergestellt? 15. Weshalb wurde dem Personalrat vor der Durchsuchung keine Möglichkeit zur Stellungnahme gegeben? 16. Weshalb wurde dem Mitarbeiter vor der Durchsuchung keine Möglichkeit zur Stellungnahme gegeben? Drucksache 21/12883 Bürgerschaft der Freien und Hansestadt Hamburg – 21. Wahlperiode 4 17. Warum fand ein Gespräch mit Mitarbeiter und Personalrat erst Wochen nach der Durchsuchung statt? Siehe Vorbemerkung. 18. Wie wird sichergestellt, dass die Mitarbeitenden der Gesundheitsbehörde ihr Grundrecht auf Meinungsfreiheit (Artikel 5 Absatz 1 GG) ausüben können ohne Angst vor Sanktionen? Die in einer Vereinbarung der Freien und Hansestadt Hamburg mit den gewerkschaftlichen Spitzenverbänden statuierte Pflicht aller im öffentlichen Dienst Beschäftigten, während der Dienst- beziehungsweise Arbeitszeit nicht mehr als gelegentlich private Angelegenheiten unter Nutzung der dienstlichen IT-Infrastruktur zu erledigen, schränkt das Recht auf freie Meinungsäußerung nicht ein. Im Übrigen siehe Vorbemerkung.