AUVA ließ unrechtmäßig E-Mail-Logfiles von 6.000 Mitarbeitern durchsuchen

www.derstandard.at

AUVA ließ unrechtmäßig E-Mail-Logfiles von 6.000 Mitarbeitern durchsuchen

Das Bundesverwaltungsgericht bestätigte einen Bescheid der Datenschutzbehörde, wonach die umfangreiche Whistleblower-Suche das Recht auf Geheimhaltung verletzte.

Die AUVA-Spitze blitzte mit einer Beschwerde beim Bundesverwaltungsgericht ab: Das Gericht bestätigte die Ansicht der Datenschutzbehörde, wonach die AUVA E-Mail-Logfiles von Mitarbeitern unrechtmäßig durchsucht hat.

Die AUVA, die sich derzeit wegen der Absiedelung des Lorenz-Böhler-Krankenhauses im Krisenmodus befindet, hat im Februar 2021 die E-Mail-Logfiles von 6.000 Mitarbeiterinnen und Mitarbeitern ohne Mailinhalte durchsuchen lassen. Konkret kam der Auftrag von der Generaldirektion an die Abteilung Corporate Governance (HCG). Grund für die Maßnahme war die Suche nach einem Whistleblower. Drei Betriebsräte gingen nach der erfolgten Durchsuchung der Logfiles stellvertretend für die Mitarbeiter dagegen vor.

Nun bestätigte das Bundesverwaltungsgericht (BVwG) einen Bescheid der Datenschutzbehörde, wonach die E-Mail-Logfiles von der AUVA „unrechtmäßig durchsucht“ worden seien. Damit habe die AUVA die Beschwerdeführer „in ihrem Recht auf Geheimhaltung verletzt“. Das BVwG wies eine Beschwerde der AUVA dagegen „als unbegründet“ ab, wie es in der Entscheidung von Ende Jänner 2024 heißt. Diese liegt dem STANDARD vor.

Was war passiert? Medial wurden im August 2020 Pläne des Verwaltungsrats der AUVA bekannt, wonach eine Übersiedlung vom Stammhaus in der Brigittenau ins Haus der Wiener Kaufmannschaft am Schwarzenbergplatz beschlossen wurde. Dazu kam es schlussendlich aber nicht: Im November 2020 folgte der Beschluss zur temporären Übersiedlung in die Twin Towers am Wienerberg.

Wortprotokoll landete auf „Zackzack“

Teile des Wortprotokolls des Verwaltungsrats aus der Sitzung vom 30. Juli 2020 tauchten wenig später im August jedenfalls in einem Artikel des Online-Mediums Zackzack auf. Die AUVA-Generaldirektion vermutete eine Verletzung der Verschwiegenheitspflicht und damit eine Dienstpflichtverletzung einer Mitarbeiterin oder eines Mitarbeiters – und begab sich auf die Suche nach dem möglichen Whistleblower. Der Auftrag lautete, die E-Mail-Logfiles aller rund 6.000 Mitarbeiterinnen und Mitarbeiter der AUVA in einem Zeitraum von mehreren Monaten zu durchsuchen: Herausgefiltert werden sollten jene technischen Mail-Serverprotokolle ohne Mailinhalte nach dem Versender- oder Empfängerdomain „zackzack.at“.

Die AUVA verwies darauf, dass der Betriebsratsvorsitzende der AUVA-Hauptstelle die Zulässigkeit der Maßnahme per E-Mail genehmigt habe. Auch der Datenschutzbeauftragte sei vor Einleitung der Maßnahmen einbezogen worden. Das BVwG hielt hingegen in seinem Entscheid fest: „Der Zentralbetriebsrat und die örtlichen Betriebsratskörperschaften […] haben der durchgeführten Auswertung der E-Mail-Logfiles der MitarbeiterInnen nicht zugestimmt.“ Die Durchsuchung fand im Februar 2021 statt: Schlussendlich konnte die AUVA die gewünschten E-Mail-Logfiles für den Zeitraum Juli bis August 2020 aber gar nicht erhalten, weil diese nur 90 Tage verfügbar waren. Der mutmaßliche Whistleblower wurde demnach mit dieser Vorgehensweise von der AUVA auch nicht gefunden.

Die Datenverarbeitung war jedenfalls mit der pauschalen Überprüfung von 6000 Logfiles nicht verhältnismäßig. Die von der Datenschutzbehörde festgestellten Verstöße der AUVA gegen den Datenschutz wurden vom BVwG also bestätigt. Direkte Konsequenzen hat der BVwG-Bescheid für die AUVA-Spitze aber nicht: Die Verhängung einer Geldbuße ist nicht möglich, weil die AUVA eine Körperschaft öffentlichen Rechts darstellt und von diesen Sanktionen ausgenommen ist.

Gegen die Entscheidung des BVwG kann von der AUVA noch eine außerordentliche Revision an den Verwaltungsgerichtshof und eine Beschwerde an den Verfassungsgerichtshof erhoben werden. Eine entsprechende Anfrage des STANDARD bei der AUVA, ob von diesen Möglichkeiten Gebrauch gemacht wird, läuft und wird bei Vorliegen der Antwort ergänzt.

Quelle: https://www.derstandard.at/story/3000000210929/auva-liess-unrechtmaessig-e-mail-logfiles-von-6000-mitarbeitern-durchsuchen vom 11. März 2024

Posted in Allgemein by Leave a comment

AUVA: Suche nach ZackZack-Whistleblower verletzte Datenschutz

www.zackzack.at

AUVA: Suche nach ZackZack-Whistleblower verletzte Datenschutz

Die Datenschutzbehörde hat festgestellt: Mit ihrer Suche nach einem Whistleblower nach einer ZackZack-Enthüllung hat die AUVA den Datenschutz ihrer Mitarbeiter verletzt.

Wien, 15. Dezember 2022 | Nach Bespitzelungs-Verdacht in der AUVA hat die Datenschutzbehörde (DSB) der Beschwerde des Zentralbetriebsrats stattgegeben. Das berichtete die Investigativ-Plattform “Dossier” Donnerstagfrüh. Auch ZackZack liegt der Spruch vor. Die DSB hat geurteilt, dass die AUVA das Recht auf Geheimhaltung verletzt hatte. Indem sie die Mail-Serverprotokolle auf Kommunikation aller Mitarbeiter mit ZackZack „unrechtmäßig durchsucht“ hat. Der Spruch ist nicht rechtskräftig, die AUVA kann Beschwerde gegen ihn einlegen. Erik Lenz, Vorsitzender des AUVA-Zentralbetriebsrats, freut sich über die Feststellung der DSB, auch wenn „der Umstand ziemlich ernüchternd“ ist, wie er gegenüber ZackZack sagte. Nun sei abzuwarten, wie die AUVA auf den Spruch reagiert. Mit seiner Forderung nach Löschung der Suchergebnisse hatte der Zentralbetriebsrat allerdings keinen Erfolg. Die AUVA ist einer Bitte um Stellungnahme bisher nicht nachgekommen.

Ausgelöst worden war die Whistleblower-Suchaktion der AUVA durch eine Recherche von ZackZack und der „Kronen Zeitung“, die im August 2020 Wellen schlug. Der Text enthielt betriebsinterne Informationen und Textpassagen aus dem Protokoll einer Verwaltungsratssitzung vom 30. Juli 2020.

Umfassende Maulwurf-Suche

Wie dem Spruch der DSB zu entnehmen ist, waren 26 Personen als Whistleblower infrage gekommen, weil sie zum fraglichen Zeitpunkt Zugriff auf die Sitzungsprotokolle hatten. Weil es aber keinen konkreten Verdacht gegeben hatte, habe man die Suche nach Mail-Kontakt mit ZackZack nicht eingeschränkt, nahm die AUVA Stellung.

Der Zentralbetriebsrat konnte mit den Beteuerungen der AUVA wenig anfangen. Erstens, so die Argumentation der Beschwerdeführer, gäbe es keinen Nachweis darüber, dass tatsächlich nur Mail-Protokolle und nicht auch Mail-Inhalte durchsucht worden seien. Auch der zeitliche Abstand zwischen Artikel-Veröffentlichung im August 2020 und Whistleblower-Jagd im Februar 2021 sei „nicht schlüssig begründet“. Die AUVA konterte, der Suchauftrag sei bereits im Oktober 2020 erteilt worden, war aber nicht mit besonderer Dringlichkeit versehen – schließlich sei das Wortprotokoll bereits nach außen gelangt.

Zu viel, zu spät

Auch die DSB findet den zeitlichen Verzug nicht nachvollziehbar. Für sie fehlt ein zeitlicher Zusammenhang zwischen der ZackZack-Veröffentlichung und der Server-Auswertung. Sie urteilt außerdem, dass die Suche auf bestimmte Personen oder Arbeitsgruppen eingeschränkt werden hätte müssen, anstatt dass pauschal die Mail-Serverprotokolle der gesamten 6.000 Mitarbeiter zu scannen. Es hätte für die Durchsuchung außerdem die Zustimmung des Betriebsrats gebraucht. Auch dessen Mailverkehr war gescannt worden, die AUVA hatte gegenüber der DSB allerdings nicht erklärt, wieso das notwendig gewesen war.

Der Forderung des Zentralbetriebsrats, dass die Untersuchungsergebnisse vernichtet werden, gab die DSB nicht statt.

Neues System, klare Regeln

Derzeit werde auf ein neues EDV-System umgestellt, erzählt Zentralbetriebsrat-Vorsitzender Lenz. Man versuche, bei der Gelegenheit auch gleich „ordentliche Spielregeln“ aufzustellen, damit sich der Fall nicht wiederhole. „Ich will, dass wir auf eine vernünftige Ebene kommen, auf der sich niemand mehr vor so etwas fürchten muss. Wir wollen ein attraktiver Arbeitgeber sein“, so Lenz gegenüber ZackZack.

Umzugs-Aufregung

Die „Kronen Zeitung“ und ZackZack hatten im August 2020 berichtet, dass der Verwaltungsrat (VR) beschlossen hatte, dass die AUVA vom Stammsitz in Wien-Brigittenau in das Haus der Wiener Kaufmannschaft am Schwarzenbergplatz übersiedeln sollte. Dieses gehört der Wirtschaftskammer Wien – weshalb die SPÖ damals gegen ein millionenschweres Sponsoring für die vom ÖVP-Wirtschaftsbund dominierte Kammer mobilisierte. Im November wurde der Plan dann auch abgeblasen. Die AUVA übersiedelte temporär in die Twin Towers am Wienerberg, dort sitzt sie bis heute.

Die Abteilung Corporate Governance (CG) ordnete aber nach der ZackZack-Recherche die Auswertungen der E-Mails aller Mitarbeiter hinsichtlich der “VR-Protokolle” an. E-Mails im Zeitraum zwischen 30. Juli (Sitzungstag) und 15. August 2020 (Veröffentlichung) sollten gescannt werden. Ab April 2022 prüfte daraufhin die DSB die Beschwerde des Zentralbetriebsrats.

(pma)

Quelle: https://zackzack.at/2022/12/15/auva-suche-nach-zackzack-whistleblower-verletzte-datenschutz mit Stand vom 16.12.2022 um 10:02 Uhr

Posted in Pressespiegel by Leave a comment

Datenschutzbehörde prüft bei der AUVA

Anlass für diese Maßnahme der Internen Revision war, dass im Sommer 2020 in der Verwaltungsratssitzung beschlossene – und später wieder verworfene – Übersiedlungspläne ins Haus der Wiener Kaufmannschaft öffentlich bekannt geworden waren. Konkret hatten im August 2020 die „Kronen Zeitung“ und das Onlinemagazin Zackzack vom Beschluss des Verwaltungsrates berichtet, vom Stammsitz in der Brigittenau in das Haus der Wiener Kaufmannschaft auf dem Schwarzenbergplatz zu übersiedeln.

Dieses gehört der Wirtschaftskammer Wien – weshalb die SPÖ damals gegen ein millionenschweres Sponsoring für die vom ÖVP-Wirtschaftsbund dominierte Kammer mobilisierte. Im November wurde der Plan denn auch abgeblasen, die AUVA übersiedelte temporär in die Twin Towers am Wienerberg.

Zentralbetriebsrat sieht interne Regeln verletzt
In der AUVA machte man sich auf die Suche nach Whistleblowern. Die Abteilung Corporate Governance (CG) ordnete die Auswertungen der E-Mails hinsichtlich der „VR-Protokolle“ an, E-Mails im Zeitraum zwischen 30. Juli (Sitzung) und 15. August (Veröffentlichung) sollten gescannt werden.

Laut dem Zentralbetriebsratsvorsitzenden Erik Lenz – der dies auch in einem Schreiben an den Verwaltungsrat beklagte – wurden die internen Vereinbarungen für diese Aktion allerdings zeitlich und inhaltlich gesprengt. Laut Datenschutzgrundverordnung (DSGVO) darf Einsicht in Mitarbeiter-Mails nur nach strengen Regeln (genaue Abgrenzung und Offenlegung im Vorhinein, gute Dokumentation) erfolgen.

Ein Gutachten der GPA – von Lenz eingeholt – kam jedoch zum Schluss, dass offenbar nicht nur die Mails des relevanten Personenkreises weniger Personen, sondern aller 6.000 Mitarbeiter gescannt worden seien. „Eine pauschale Kontrolle aller rund 6.000 Mitarbeiter·innen, um das Verschwinden eines Protokolls bzw. die vermeintliche Übermittlung des Protokolls an eine Internetplattform aufzudecken, wird eindeutig dem Zweck der Datenminimierung widersprechen“, stellte die GPA fest.

AUVA: Mail-Einschau erfolgte in Abstimmung
AUVA-Generaldirektor Alexander Bernart verwies in einer Stellungnahme gegenüber „Dossier“ auf die Zuständigkeit der Internen Revision: „Nachdem ein falsches Wortprotokoll (unvollständig, unrichtig und mit abgewandelten Zitierungen) den Weg in ein Medium fand, wurde die Abteilung Corporate Governance (Interne Revision) offiziell mit einer Einschau beauftragt“, schrieb er.

Und: „Diese Einschau, deren Umfang in der Eigenständigkeit der Internen Revision liegt, erfolgte in Abstimmung und mit Zustimmung mehrerer Abteilungen, insbesondere jedoch mit der Belegschaftsvertretung, dem Datenschutzkoordinator und der Rechtsabteilung.“

Sollte die Datenschutzbehörde eine Verletzung der DSGVO feststellen, könnte sie gegen die AUVA, eine Körperschaft öffentlichen Rechts, allerdings keine Geldbuße verhängen – weil Behörden und öffentliche Stellen von dieser Sanktion ausgenommen sind. Aber die Mitarbeiter und alle Personen, denen durch eine widerrechtliche E-Mail-Einsicht (immaterieller) Schaden entstand, könnten die AUVA auf Schadenersatz klagen.
(Information gesehen auf orf.at, 07.04.2022)

Weitere Links zum Thema: Datenschutzbehörde prüft AUVA
|| DOSSIER – Maulwurfjagd mit Folgen: Datenschutzbehörde prüft Unfallversicherung
|| Wurden AUVA-Mitarbeiter*innen bespitzelt? – Ö1 Mittagsjournal 07.04. – ORF-Radiothek

Posted in AUVA, Interessenvertretung, Zentralbetriebsrat by Leave a comment