BETRIEBSRATSBLOG UM & RM

Das Bundesverwaltungsgericht bestätigte einen Bescheid der Datenschutzbehörde, wonach die umfangreiche Whistleblower-Suche das Recht auf Geheimhaltung verletzte.

Die AUVA-Spitze blitzte mit einer Beschwerde beim Bundesverwaltungsgericht ab: Das Gericht bestätigte die Ansicht der Datenschutzbehörde, wonach die AUVA E-Mail-Logfiles von Mitarbeitern unrechtmäßig durchsucht hat.

Die AUVA, die sich derzeit wegen der Absiedelung des Lorenz-Böhler-Krankenhauses im Krisenmodus befindet, hat im Februar 2021 die E-Mail-Logfiles von 6.000 Mitarbeiterinnen und Mitarbeitern ohne Mailinhalte durchsuchen lassen. Konkret kam der Auftrag von der Generaldirektion an die Abteilung Corporate Governance (HCG). Grund für die Maßnahme war die Suche nach einem Whistleblower. Drei Betriebsräte gingen nach der erfolgten Durchsuchung der Logfiles stellvertretend für die Mitarbeiter dagegen vor.

Nun bestätigte das Bundesverwaltungsgericht (BVwG) einen Bescheid der Datenschutzbehörde, wonach die E-Mail-Logfiles von der AUVA „unrechtmäßig durchsucht“ worden seien. Damit habe die AUVA die Beschwerdeführer „in ihrem Recht auf Geheimhaltung verletzt“. Das BVwG wies eine Beschwerde der AUVA dagegen „als unbegründet“ ab, wie es in der Entscheidung von Ende Jänner 2024 heißt. Diese liegt dem STANDARD vor.

Was war passiert? Medial wurden im August 2020 Pläne des Verwaltungsrats der AUVA bekannt, wonach eine Übersiedlung vom Stammhaus in der Brigittenau ins Haus der Wiener Kaufmannschaft am Schwarzenbergplatz beschlossen wurde. Dazu kam es schlussendlich aber nicht: Im November 2020 folgte der Beschluss zur temporären Übersiedlung in die Twin Towers am Wienerberg.

Wortprotokoll landete auf „Zackzack“

Teile des Wortprotokolls des Verwaltungsrats aus der Sitzung vom 30. Juli 2020 tauchten wenig später im August jedenfalls in einem Artikel des Online-Mediums Zackzack auf. Die AUVA-Generaldirektion vermutete eine Verletzung der Verschwiegenheitspflicht und damit eine Dienstpflichtverletzung einer Mitarbeiterin oder eines Mitarbeiters – und begab sich auf die Suche nach dem möglichen Whistleblower. Der Auftrag lautete, die E-Mail-Logfiles aller rund 6.000 Mitarbeiterinnen und Mitarbeiter der AUVA in einem Zeitraum von mehreren Monaten zu durchsuchen: Herausgefiltert werden sollten jene technischen Mail-Serverprotokolle ohne Mailinhalte nach dem Versender- oder Empfängerdomain „zackzack.at“.

Die AUVA verwies darauf, dass der Betriebsratsvorsitzende der AUVA-Hauptstelle die Zulässigkeit der Maßnahme per E-Mail genehmigt habe. Auch der Datenschutzbeauftragte sei vor Einleitung der Maßnahmen einbezogen worden. Das BVwG hielt hingegen in seinem Entscheid fest: „Der Zentralbetriebsrat und die örtlichen Betriebsratskörperschaften […] haben der durchgeführten Auswertung der E-Mail-Logfiles der MitarbeiterInnen nicht zugestimmt.“ Die Durchsuchung fand im Februar 2021 statt: Schlussendlich konnte die AUVA die gewünschten E-Mail-Logfiles für den Zeitraum Juli bis August 2020 aber gar nicht erhalten, weil diese nur 90 Tage verfügbar waren. Der mutmaßliche Whistleblower wurde demnach mit dieser Vorgehensweise von der AUVA auch nicht gefunden.

Die Datenverarbeitung war jedenfalls mit der pauschalen Überprüfung von 6000 Logfiles nicht verhältnismäßig. Die von der Datenschutzbehörde festgestellten Verstöße der AUVA gegen den Datenschutz wurden vom BVwG also bestätigt. Direkte Konsequenzen hat der BVwG-Bescheid für die AUVA-Spitze aber nicht: Die Verhängung einer Geldbuße ist nicht möglich, weil die AUVA eine Körperschaft öffentlichen Rechts darstellt und von diesen Sanktionen ausgenommen ist.

Gegen die Entscheidung des BVwG kann von der AUVA noch eine außerordentliche Revision an den Verwaltungsgerichtshof und eine Beschwerde an den Verfassungsgerichtshof erhoben werden. Eine entsprechende Anfrage des STANDARD bei der AUVA, ob von diesen Möglichkeiten Gebrauch gemacht wird, läuft und wird bei Vorliegen der Antwort ergänzt.