AUVA-Interna

Datenschutzbehörde prüft Mailkontrollen

Die Datenschutzbehörde prüft die Durchsuchung der E-Mail-Accounts von Mitarbeitern im Jahr 2021, berichtet die Rechercheplattform „Dossier“. Anlass für diese Maßnahme der Internen Revision war, dass im Sommer 2020 in der Verwaltungsratssitzung beschlossene - und später wieder verworfene - Übersiedlungspläne ins Haus der Wiener Kaufmannschaft öffentlich bekannt geworden waren. Der Zentralbetriebsrat sieht den intern vereinbarten Rahmen verletzt.

red/Agenturen

Im August 2020 berichteten die „Kronen Zeitung“ und das Onlinemagazin Zackzack vom Beschluss des Verwaltungsrates, vom Stammsitz in Wien-Brigittenau in das Haus der Wiener Kaufmannschaft am Schwarzenbergplatz zu übersiedeln. Dieses gehört der Wirtschaftskammer Wien - weshalb die SPÖ damals gegen ein millionenschweres Sponsoring für die vom ÖVP-Wirtschaftsbund dominierte Kammer mobilisierte. Im November wurde der Plan denn auch abgeblasen, die AUVA übersiedelte temporär in die Twin Towers am Wienerberg.

In der AUVA machte man sich jedoch auf die Suche nach Whistleblowern. Die Abteilung Corporate Governance (CG) ordnete die Auswertungen der E-Mails hinsichtlich der „VR-Protokolle“ an, E-Mails im Zeitraum zwischen 30. Juli (Sitzung) und 15. August (Veröffentlichung) sollten gescannt werden.

Laut dem Zentralbetriebsratsvorsitzenden Erik Lenz - der dies auch in einem Schreiben an den Verwaltungsrat beklagte - wurden die internen Vereinbarungen für diese Aktion allerdings zeitlich und inhaltlich gesprengt. Laut Datenschutzgrundverordnung (DSGVO) darf Einsicht in Mitarbeiter-Mails nur nach strengen Regeln (genaue Abgrenzung und Offenlegung im Vorhinein, gute Dokumentation) erfolgen.

Mails aller Mitarbeiter gescannt

Ein Gutachten der GPA - von Lenz eingeholt - kam jedoch zum Schluss, dass offenbar nicht nur die Mails des relevanten Personenkreises weniger Personen, sondern aller 6.000 Mitarbeiter gescannt worden seien. „Eine pauschale Kontrolle aller rund 6.000 Mitarbeiter:innen, um das Verschwinden eines Protokolls bzw. die vermeintliche Übermittlung des Protokolls an eine Internetplattform aufzudecken, wird eindeutig dem Zweck der Datenminimierung widersprechen“, stellte die GPA fest.

AUVA-Generaldirektor Alexander Bernart verwies in einer Stellungnahme gegenüber „Dossier“ auf die Zuständigkeit der Internen Revision: „Nachdem ein falsches Wortprotokoll (unvollständig, unrichtig und mit abgewandelten Zitierungen) den Weg in ein Medium fand, wurde die Abteilung Corporate Governance (Interne Revision) offiziell mit einer Einschau beauftragt“, schrieb er. Und: „Diese Einschau, deren Umfang in der Eigenständigkeit der Internen Revision liegt, erfolgte in Abstimmung und mit Zustimmung mehrerer Abteilungen, insbesondere jedoch mit der Belegschaftsvertretung, dem Datenschutzkoordinator und der Rechtsabteilung.“

Sollte die Datenschutzbehörde eine Verletzung der DSGVO feststellen, könnte sie gegen die AUVA, eine Körperschaft öffentlichen Rechts, allerdings keine Geldbuße verhängen - weil Behörden und öffentliche Stellen von dieser Sanktion ausgenommen sind. Aber die Mitarbeiter und alle Personen, denen durch eine widerrechtliche E-Mail-Einsicht (immaterieller) Schaden entstand, könnten die AUVA auf Schadenersatz klagen.