Maulwurfjagd mit Folgen

Die Unfallversicherung AUVA soll die E-Mail-Accounts von rund 6.000 Mitarbeiter·innen durchleuchtet haben. Die umstrittene Überwachungsaktion hat nun ein Nachspiel. Die Datenschutzbehörde leitete ein Prüfverfahren gegen die AUVA ein.

Text: Ashwien Sankholkar

Andere Themen7.4.2022 

Aufmacherfoto: Hans Ringhofer / picturedesk.com

Update vom 15. Dezember 2022: 

Datenschutzbehörde rügt AUVA

Der staatliche Unfallversicherer AUVA hat das Datenschutzgesetz verletzt. Das Fazit laut Bescheid der Datenschutzbehörde (DSB) vom 7. Dezember 2022 lautet: »Es liegt eine Verletzung im Recht auf Geheimhaltung vor.« Geprüft wurde eine Maulwurfsuche in der AUVA-Belegschaft, wie DOSSIER berichtete (siehe unten).

Die umstrittene Überwachungsaktion wurde von einer Gruppe von AUVA-Mitarbeiter·innen im Februar 2022 bei der DSB angezeigt. »Der Beschwerde wird stattgegeben, und es wird festgestellt, dass die Beschwerdegegnerin (AUVA, Anm.) die Beschwerdeführer in ihrem Recht auf Geheimhaltung verletzt hat«, heißt es im DOSSIER vorliegenden DSB-Bescheid.

»In Gesamtschau der Ereignisse und der vorgenommenen Durchsuchung (...) kommt die Datenschutzbehörde zu der Ansicht, dass es sich hierbei um keine erforderliche Kontrollmaßnahme (...) gehandelt hat«, so die DSB. »Die Mitarbeiter konnten keine Einwilligung in die Kontrollmaßnahme erteilen, da sie erst im Nachhinein von den Durchsuchungen erfuhren.« Der Bescheid ist nicht rechtskräftig.

 

Ein von ganz oben ausgelöster Betriebsunfall sorgt in der AUVA für Aufregung. Im Jahr 2021 wurden die E-Mail-Accounts von rund 6.000 Mitarbeiter·innen elektronisch durchsucht. DOSSIER-Informationen zufolge hat das ein Nachspiel: Die Datenschutzbehörde (DSB) hat 2021 ein amtswegiges Prüfverfahren gegen die Allgemeine Unfallversicherungsanstalt (AUVA) gestartet. 

»Das Verfahren ist nach wie vor anhängig«, bestätigt der stellvertretende DSB-Leiter Matthias Schmidl gegenüber DOSSIER. Wie konnte es so weit kommen, dass die AUVA unter Spitzelverdacht steht und von der Datenschutzbehörde untersucht wird?

Am 15. August 2020 berichteten die Kronen Zeitung und das Onlinemagazin Zackzack über das Ergebnis einer gemeinsamen Recherche. Die Infos sollen aus einem Protokoll der AUVA-Verwaltungsratssitzung vom 30. Juli 2020 stammen, wo ein umstrittener Übersiedelungsplan enthüllt wurde: Die Unfallversicherer sollten vom einstigen Stammsitz in Wien-Brigittenau ins Haus der Wiener Kaufmannschaft übersiedeln. 

Das war der Plan der Dienstgebervertreter im Verwaltungsrat der AUVA. Ein Deal zum Vorteil der Wirtschaftskammer Wien – sie besitzt das Haus am Schwarzenbergplatz –, weil die AUVA ein Mieter mit bester Bonität ist und pünktlich zahlt. Der Deal hatte aber einen Haken: Das Haus in Toplage ist sanierungsbedürftig und dessen technische Infrastruktur veraltet. 

Für die AUVA wäre die Übersiedlung somit teuer gewesen. Weil der Plan publik wurde, platzte das Vorhaben. Die AUVA übersiedelte schließlich auf den Wienerberg in Wien-Favoriten.

 

Werden Sie Mitglied und erhalten das DOSSIER-Magazin im Abo

Unterstützen Sie kritischen Journalismus dauerhaft: Sie erhalten unser investigatives Printmagazin per Post und zusätzlich im Digital-Abo.

Ihre Vorteile als Mitglied

  • Vier DOSSIER-Magazine im Jahr
  • Online-Zugriff auf alle Artikel mit dem Digital-Abo
  • Einladung zum DOSSIER-Hinterzimmer

Mehr erfahren

Eine Kettenreaktion 

Hinter den Kulissen lösten die Medienberichte eine Kettenreaktion aus. Die Whistleblower, die die Info über die Übersiedlung geleakt hatten, sollten dingfest gemacht werden. Von ganz oben wurde zur Maulwurfjagd geblasen. 

Die Abteilung Corporate Governance (CG) ordnete die Durchführung von »Auswertungen im Zuge unseres Einschauthemas ›VR-Protokolle‹« an, wie aus DOSSIER vorliegenden E-Mailverkehr hervorgeht. Nach »Abklärung mit dem Datenschutzkoordinator sowie dessen Rücksprache mit der Rechtsabteilung« gaben die Verantwortlichen der Internen Revision die Order, alle Mails im fraglichen Zeitraum zu scannen. 

In einer vertraulichen CG-Mail vom 19. Februar 2021 heißt es: »Auswertung von Mails nach Betreff, Dateiname und Volltextsuche für den Zeitraum 30.7.2020 bis 15.8.2020 (Artikelveröffentlichung auf zackzack.at)«. In die Wege geleitet werden soll: eine »Dateizugriffsauswertung« – wer welche Dateien geöffnet beziehungsweise auf welche zugegriffen hat – sowie eine »Druckauftragsauswertung«, also eine genaue Auflistung ausgedruckter Dokumente und deren Auftraggeber.

Uneingeschränkte Rasterfahndung?

»Der zugrundeliegende Zeitraum dieser Verschwiegenheitsverletzung war zwischen dem 30. Juli 2020 (Tag der Sitzung) und dem 15. August 2020 (Tag der Veröffentlichung von Teilen des Wortprotokolls durch Zackzack)«, schreibt AUVA-Zentralbetriebsratsvorsitzender Erik Lenz am 18. Juli 2021 in einem E-Mail (Betreff: "Datenschutz in der AUVA - Verdacht auf schwere Mängel") an den zwölfköpfigen Verwaltungsrat. 

Die AUVA-Spürhunde dürften nicht eng genug an die Leine genommen worden sein, wie Lenz festhält: »Bei der Suche wurde aber dann keine Einschränkung auf einen Zeitraum vorgenommen.« Warum das relevant ist? »Damit wurde der Suchradius extrem ausgeweitet, was dem Grundsatz der Datenminimierung und der Achtung der Persönlichkeitsrechte zu widersprechen scheint.« 

Damit könnte die Datenschutzgrundverordnung (DSGVO) verletzt worden sein. Die Datenschutzbehörde ist bei der Einsichtnahme in E-Mail-Accounts von Mitarbeiter·innen sehr streng. Wer aus einem berechtigten Interesse, wie etwa zur Aufklärung der unrechtmäßigen Weitergabe von Firmeninterna, eine elektronische Datenauswertung durchführt, der oder die muss das Vorhaben im Vorhinein offenlegen, gut dokumentieren und sich an den vorgelegten Plan halten. 

Der AUVA-intern vereinbarte Rahmen soll jedoch nicht nur zeitlich, sondern auch inhaltlich gesprengt worden sein. Die Angestelltengewerkschaft GPA verfasste im Auftrag des AUVA-Zentralbetriebsratsvorsitzenden Erik Lenz ein datenschutzrechtliches Gutachten, das nun auch Gegenstand des Verfahrens vor der Datenschutzbehörde ist. 

»Nach derzeitigem Kenntnisstand der Betriebsräte ist davon auszugehen, dass die E-Mail-Accounts sämtlicher Mitarbeiter·innen der AUVA in ganz Österreich, somit rund 6.000 Personen, untersucht worden waren«, heißt es im DOSSIER exklusiv vorliegenden GPA-Papier. Die Suche habe sich nicht »auf einen relevanten Personenkreis von wenigen Personen, die üblicherweise Zugang zu den Protokollen der Verwaltungsratssitzungen haben«, beschränkt, sondern wurde massiv ausgeweitet. Das sei als Verstoß gegen das Datenschutzgesetz zu qualifizieren.

Das Gutachten der Gewerkschaft

Die GPA-Gutachter erinnern, dass »Mitarbeiter·innen der AUVA oft von Versicherten per E-Mail kontaktiert werden und im betreffenden E-Mail-Verkehr teilweise auch persönliche Gesundheitsdaten der Versicherten aufscheinen«. Dass dieser Umstand von den Revisoren der AUVA de facto ignoriert wurde, sei »erschwerend zu berücksichtigen«. 

Zudem geben die GPA-Experten zu bedenken, dass »E-Mail-Accounts mit typischerweise besonders schutzwürdigen Daten (z. B. von Arbeitsmediziner·innen, Betriebsratsmitgliedern etc.)« sowie elektronische Postfächer von »Mitarbeiter·innen, die im Zeitraum vom 30.7. bis 15.8.2020 erwiesenermaßen nicht anwesend waren und daher gar keinen Zugang zum fraglichen Protokoll haben konnten«, bei der Datenauswertung nicht sofort ausgeschieden wurden.

Aus Sicht der Gewerkschaft erfolgte die Maulwurfsuche ohne Maß und Ziel.

Das GPA-Fazit: »Eine pauschale Kontrolle aller rund 6.000 Mitarbeiter·innen, um das Verschwinden eines Protokolls bzw. die vermeintliche Übermittlung des Protokolls an eine Internetplattform aufzudecken, wird eindeutig dem Zweck der Datenminimierung widersprechen.« 

Auskunftsbegehren an die AUVA

Aus Sicht von AUVA-Generaldirektor Alexander Bernart lief alles korrekt ab. »Nachdem ein falsches Wortprotokoll (unvollständig, unrichtig und mit abgewandelten Zitierungen) den Weg in ein Medium fand, wurde die Abteilung Corporate Governance (Interne Revision) offiziell mit einer Einschau beauftragt«, heißt es im AUVA-Statement gegenüber DOSSIER. Bernart selbst geht in Deckung und putzt sich an den Involvierten ab. »Diese Einschau, deren Umfang in der Eigenständigkeit der Internen Revision liegt, erfolgte in Abstimmung und mit Zustimmung mehrerer Abteilungen, insbesondere jedoch mit der Belegschaftsvertretung, dem Datenschutzkoordinator und der Rechtsabteilung.« Mehr sei nicht zu sagen. 

Der Ausgang des DSB-Prüfverfahrens ist jedenfalls offen. »Geldbußen nach der DSGVO können (...) nicht gegen Behörden und öffentliche Stellen verhängt werden«, so DSB-Vizechef Matthias Schmidl gegenüber DOSSIER. »Die AUVA ist eine Körperschaft öffentlichen Rechts und somit eine öffentliche Stelle im Sinne dieser Bestimmung.« 

Doch auch die Sonderstellung der AUVA hat ihre Grenzen: »Körperschaften öffentlichen Rechts sind nicht von Klagen wegen immaterieller Schäden ausgenommen«, so Schmidl. Im Rahmen eines Auskunftsbegehrens an die AUVA können Betroffene erfragen, ob und welche Daten verarbeitet wurden. Nicht nur die rund 6.000 Mitarbeiter·innen können den Klagsweg beschreiten, sondern jede Person, der durch die widerrechtliche E-Mail-Einsicht ein Schaden entstanden ist. Bei mehr als vier Millionen Versicherten könnte es für die AUVA dann doch noch teuer werden.