Mails aller Beschäftigten gescannt – Datenschutzbehörde rügt AUVA

Symbolbild

Nach Medien-Berichten über Standortverlegungen und Immobiliendeals, ließ die AUVA auf der Suche nach „Maulwürfen“ die Mails aller Beschäftigten durchleuchten. Der Betriebsrat klagte und bekam nun Recht.

Die Allgemeine Unfallversicherungsanstalt (AUVA) hat durch die Durchsuchung der E-Mail-Accounts von Mitarbeiter:innen im Jahr 2021 deren Recht auf Geheimhaltung verletzt. Das hat die Datenschutzbehörde in einem (noch nicht rechtskräftigen) Bescheid festgestellt, der auch RELATUS vorliegt. Anlass für die Maßnahme der AUVA war, dass – später wieder verworfene – Übersiedlungspläne ins Haus der Wiener Kaufmannschaft öffentlich bekannt geworden waren und für heftige Debatten gesorgt hatten.

Im August 2020 berichteten Medien vom Beschluss des Verwaltungsrates, vom Stammsitz in Wien-Brigittenau in das Haus der Wiener Kaufmannschaft am Schwarzenbergplatz zu übersiedeln. Dieses gehört der Wirtschaftskammer Wien – weshalb die SPÖ damals gegen ein millionenschweres Sponsoring für die vom ÖVP-Wirtschaftsbund dominierte Kammer mobilisierte. Im November wurde der Plan dann abgeblasen, die AUVA übersiedelte temporär in die Twin Towers am Wienerberg.

Die Versicherung machte sich jedoch auf die Suche nach Whistleblowern, weil ausführlich aus einer Sitzung berichtet und Geschäftsgeheimnisse verletzt worden seien. Die Abteilung Corporate Governance (CG) ordnete die Auswertungen der E-Mails hinsichtlich der „VR-Protokolle“ an, E-Mails im Zeitraum zwischen 30. Juli (Sitzung) und 15. August (Veröffentlichung) sollten gescannt werden. Laut Zentralbetriebsrat wurden die internen Vereinbarungen für diese Aktion allerdings zeitlich und inhaltlich gesprengt. Laut Datenschutzgrundverordnung (DSGVO) darf Einsicht in Mitarbeiter-Mails nur nach strengen Regeln (genaue Abgrenzung und Offenlegung im Vorhinein, gute Dokumentation) erfolgen. Ein Gutachten der GPA kam jedoch zum Schluss, dass offenbar nicht nur die Mails des relevanten Personenkreises weniger Personen, sondern aller 6.000 Mitarbeiter gescannt worden waren.

„In Gesamtschau der Ereignisse und der vorgenommenen Durchsuchung der technischen Mail- Serverprotokolle (Logfiles), ohne Mailinhalte, kommt die Datenschutzbehörde zu der Ansicht, dass es sich hierbei um keine erforderliche Kontrollmaßnahme seitens der Beschwerdegegnerin gegenüber den Beschwerdeführern gehandelt hat“, heißt es in dem Bescheid. Die Mitarbeiter konnten auch keine Einwilligung in die Kontrollmaßnahme erteilen, da sie erst im Nachhinein von den Durchsuchungen erfuhren.

Die Verhängung einer Geldbuße gegen die AUVA, eine Körperschaft öffentlichen Rechts, ist allerdings nicht möglich – Behörden und öffentliche Stellen sind von dieser Sanktion ausgenommen. Allerdings könnten Mitarbeiter:innen beziehungsweise alle Personen, denen durch eine widerrechtliche E-Mail-Einsicht (immaterieller) Schaden entstanden ist, auf Schadenersatz klagen. (APA/rüm)