Am 2. August 2021 landete ein RSb-Brief in der Zentrale der börsennotierten OMV AG. Seit März 2021 hatte die Datenschutzbehörde (DSB) wegen möglicher Verstöße gegen die Datenschutzgrundverordnung (DSGVO) ermittelt. Geprüft wurde die vom Vorstand angeordnete Überwachung von E-Mail-Accounts und Diensthandys von Angestellten. Die Behörde stellte Rechtsverletzungen fest, wie DOSSIER berichtete.
Im August brachte die OMV dagegen eine Beschwerde ein, die seit Oktober am Bundesverwaltungsgericht (BVwG) anhängig ist.
Die Datenschützer bringen den OMV-Vorstand in eine prekäre Situation. Das geht aus dem DOSSIER exklusiv vorliegenden Bescheid über die „Datenschutzüberprüfung gemäß Art. 58 Abs. 1 lit. B DSGVO (‚amtswegiges Prüfverfahren‘) OMV Aktiengesellschaft“ hervor. Demnach sei die „Verarbeitung personenbezogener Daten von 73 Personen zwischen Jänner und März 2021 für Zwecke interner Ermittlungen auf Basis der angegebenen Rechtfertigungstatbestände unrechtmäßig“ gewesen.
Das Behördenpapier erschüttert die Verteidigungslinie der OMV-Führung. Denn die dem Bescheid zugrundeliegende Begründung offenbart schwere Fehler aufseiten der OMV – und die könnten teure Folgen haben. Zur Erinnerung: Die DSB sorgte zuletzt für Schlagzeilen, weil sie die börsennotiere Post AG und den Jö-Bonus-Club – die OMV ist hier eine Jö-Partnerfirma – zu (nicht rechtskräftigen) Millionenstrafen verdonnerte.
Dieses Schicksal könnte nun der OMV blühen.
„Andere Rechtsauffassung“
Anlässlich seines Ausscheidens als OMV-Vorstandsvorsitzender wurde Rainer Seele im August mehrfach auf das Datenschutzverfahren angesprochen. „Die Datenschutzbehörde hat gesagt, dass die Untersuchung begründet und vernünftig war“, sagte Seele in der Puls-4-Fernsehsendung Milborn am 23. August 2021. „Sie hat nur gesagt, wir hätten bei der Durchführung vorher den Betriebsrat miteinbinden müssen. Und da haben wir eine vollkommen andere Rechtsauffassung.“
Das ist nicht die ganze Wahrheit.
Im 16 Seiten starken DSB-Bescheid ist die Frage der Einbindung des Betriebsrats – anders als von Seele dargestellt – ein Randthema. Die Behörde hatte sich nur der Vollständigkeit halber damit befasst. Denn die Überwachungsmaßnahme wurde seitens der OMV nur auf Basis von „Einwilligungserklärungen“ eingeleitet, die der OMV zufolge von Betroffenen freiwillig unterzeichnet worden sein sollen. Das bezweifelt die Datenschutzbehörde.
Die OMV habe erst im Zuge des Prüfverfahrens ein „berechtigtes Interesse“ im Sinne der DSGVO als Begründung für die Überwachung geltend gemacht: nämlich die Aufdeckung eines internen Leaks, um zu verhindern, dass Firmengeheimnisse weiter nach außen gespielt werden. So etwas aufzuklären berechtige zwar zu Überwachungsmaßnahmen. Doch die Begründung wurde nicht vorgebracht, als die Rasterfahndung losging.
„Zum Einmaleins in Sachen DSGVO“
Die Begründung im Nachhinein zu ändern, widerspricht dem Transparenzgebot der DSGVO. „Das gehört zum Einmaleins in Sachen DSGVO“, sagt der auf Datenschutzrecht spezialisierte Rechtsanwalt Markus Dörfler. „Überwachungsmaßnahmen müssen im Voraus begründet werden. Jede Verarbeitung von personenbezogenen Daten muss im Vorfeld auf ihre Rechtmäßigkeit überprüft werden. Wenn die Rechte von Arbeitnehmerinnen und Arbeitnehmern berührt werden, muss man besonders genau und vorsichtig sein.“
„Die Einführung von Kontrollmaßnahmen, die zur Kontrolle der Arbeitnehmer dienen, sofern hiervon die Menschenwürde berührt ist, zählt zu jenen Maßnahmen, welche der Zustimmung des Betriebsrates nach Paragraf 96 Absatz 1 Ziffer 3 Arbeitsverfassungsgesetz für ihre Rechtswirksamkeit bedürfen“, steht im DSB-Bescheid unmissverständlich.
Alfred Redlich, Vorsitzender des OMV-Konzernbetriebsrats, sagt gegenüber DOSSIER: „In die Überwachungsvorgänge waren wir zu keinem Zeitpunkt eingebunden und haben erst im Nachhinein über die Medien davon erfahren.“
“Ungleichgewicht der Macht"
Den Kontrollmaßnahmen liegen Zustimmungserklärungen der betroffenen Personen zugrunde, kontert das Management. Aus OMV-Sicht wurden die Mitarbeiterinnen und Mitarbeiter zu nichts gezwungen, sie agierten freiwillig. „Das Element ‚frei‘ impliziert, dass die betroffenen Personen eine echte Wahl und die Kontrolle haben“, heißt es laut DSB-Bescheid.
„Im Allgemeinen schreibt die DSGVO vor, dass eine Einwilligung nicht gültig ist, wenn die betroffene Person keine wirkliche Wahl hat, sich zur Einwilligung gedrängt fühlt oder negative Auswirkungen erdulden muss, wenn sie nicht einwilligt.“ Aus Sicht der Datenschutzbehörde herrschte ein „Ungleichgewicht der Macht“. Eine echte Freiwilligkeit lag nicht vor.
Es war der Kardinalfehler von Robert Eichler, die gesamte Überwachungsaktion nur auf dünne Einwilligungserklärungen zu stützen. Als Senior Vice President Internal Audit & Compliance steuerte Eichler die Operation – und muss sich nun auch gegenüber Vorstand und Aufsichtsrat verantworten. Und es war nicht sein einziger Murks.
Bestellen Sie jetzt das neue DOSSIER-Magazin: Wolfgang Sobotkas Schule der Macht
In einer investigativen Biografie haben wir Wolfgang Sobotkas Leben und Laufbahn nachgezeichnet. Unsere Recherche führte uns in die Machtzentren der Republik – und in die Chefetagen großer Medienhäuser.
Jetzt nur für kurze Zeit zum Vorverkaufspreis von 19 Euro
„Hinzu kommt – wie bereits erwähnt –, dass die betroffenen Personen über die allfälligen mehrfachen Rechtsgrundlagen für die Verarbeitung gemäß (...) DSGVO bereits bei der Erhebung der Daten zu informieren sind“, heißt es im DSB-Bescheid. „Im gegenständlichen Fall sind die betroffenen Personen nicht über das berechtigte Interesse gemäß (...) DSGVO informiert worden, sondern sind lediglich zur Einwilligung mittels Einwilligungserklärung aufgefordert worden.“
Das ist zu wenig – und stellt einen weiteren Verstoß dar.
Was laut DSB-Bescheid ebenfalls nicht gestattet sei: „Rückwirkend (...) ein berechtigtes Interesse (...) als Grundlage für die Rechtfertigung der Verarbeitung zu wählen, wenn massive Probleme mit der Gültigkeit der Einwilligung aufgetreten sind.“ Genau das tat die OMV im DSB-Verfahren. Darum stellte die DSB nüchtern fest: „Verantwortliche müssen bereits im Vorfeld entscheiden, welche Rechtsgrundlage für eine Verarbeitung anwendbar ist und bereits zum Zeitpunkt der Erhebung der personenbezogenen Daten angeben, welche Rechtsgrundlage anwendbar ist.“
Robert Eichler, der die OMV am Bundesverwaltungsgericht (BVwG) vertritt, will die Vorwürfe gegenüber DOSSIER nicht kommentieren.
Ein Fall für das Gericht
„Wir machen etliche materielle und verfahrensbezogene Beschwerdepunkte geltend“, sagt OMV-Pressesprecher Andreas Rinofner gegenüber DOSSIER. Wie die OMV die Vorwürfe der DSB kontert? Rinofner: „Auf die Details dieser ausführlichen Beschwerde möchte ich nicht eingehen, bevor sich das zuständige Gericht damit befasst.“
Jetzt ist das Gericht am Zug. BVwG-Pressesprecher Dietmar Rust: „Die Beschwerde der OMV gegen die Entscheidung der Datenschutzbehörde ist seit 5. Oktober 2021 am Bundesverwaltungsgericht anhängig. In einem ersten Schritt wird sich die zuständige Richterin in den Akt einlesen und die weitere Verfahrensführung festlegen.“
Das Gerichtsurteil wird nicht nur von Datenschützern mit Spannung erwartet. Die OMV AG gehört zu 31,5 Prozent der Republik Österreich. Auch Aktionärinnen und Aktionäre der börsennotierten OMV AG sind am Verfahrensausgang interessiert, weil DSGVO-Verletzungen hoch bestraft werden.
Der Öl- und Gasriese wird an der Wiener Börse aktuell mit rund 17 Milliarden Euro bewertet und machte im Jahr 2020 rund 16,5 Milliarden Euro Umsatz. Die theoretische Höchststrafe bei DSGVO-Verstößen liegt bei vier Prozent des Vorjahresumsatzes.