Anlass für diese Maßnahme der Internen Revision war, dass im Sommer 2020 in der Verwaltungsratssitzung beschlossene – und später wieder verworfene – Übersiedlungspläne ins Haus der Wiener Kaufmannschaft öffentlich bekannt geworden waren. Konkret hatten im August 2020 die „Kronen Zeitung“ und das Onlinemagazin Zackzack vom Beschluss des Verwaltungsrates berichtet, vom Stammsitz in der Brigittenau in das Haus der Wiener Kaufmannschaft auf dem Schwarzenbergplatz zu übersiedeln.
Dieses gehört der Wirtschaftskammer Wien – weshalb die SPÖ damals gegen ein millionenschweres Sponsoring für die vom ÖVP-Wirtschaftsbund dominierte Kammer mobilisierte. Im November wurde der Plan denn auch abgeblasen, die AUVA übersiedelte temporär in die Twin Towers am Wienerberg.
Zentralbetriebsrat sieht interne Regeln verletzt
In der AUVA machte man sich auf die Suche nach Whistleblowern. Die Abteilung Corporate Governance (CG) ordnete die Auswertungen der E-Mails hinsichtlich der „VR-Protokolle“ an, E-Mails im Zeitraum zwischen 30. Juli (Sitzung) und 15. August (Veröffentlichung) sollten gescannt werden.
Laut dem Zentralbetriebsratsvorsitzenden Erik Lenz – der dies auch in einem Schreiben an den Verwaltungsrat beklagte – wurden die internen Vereinbarungen für diese Aktion allerdings zeitlich und inhaltlich gesprengt. Laut Datenschutzgrundverordnung (DSGVO) darf Einsicht in Mitarbeiter-Mails nur nach strengen Regeln (genaue Abgrenzung und Offenlegung im Vorhinein, gute Dokumentation) erfolgen.
Ein Gutachten der GPA – von Lenz eingeholt – kam jedoch zum Schluss, dass offenbar nicht nur die Mails des relevanten Personenkreises weniger Personen, sondern aller 6.000 Mitarbeiter gescannt worden seien. „Eine pauschale Kontrolle aller rund 6.000 Mitarbeiter·innen, um das Verschwinden eines Protokolls bzw. die vermeintliche Übermittlung des Protokolls an eine Internetplattform aufzudecken, wird eindeutig dem Zweck der Datenminimierung widersprechen“, stellte die GPA fest.
AUVA: Mail-Einschau erfolgte in Abstimmung
AUVA-Generaldirektor Alexander Bernart verwies in einer Stellungnahme gegenüber „Dossier“ auf die Zuständigkeit der Internen Revision: „Nachdem ein falsches Wortprotokoll (unvollständig, unrichtig und mit abgewandelten Zitierungen) den Weg in ein Medium fand, wurde die Abteilung Corporate Governance (Interne Revision) offiziell mit einer Einschau beauftragt“, schrieb er.
Und: „Diese Einschau, deren Umfang in der Eigenständigkeit der Internen Revision liegt, erfolgte in Abstimmung und mit Zustimmung mehrerer Abteilungen, insbesondere jedoch mit der Belegschaftsvertretung, dem Datenschutzkoordinator und der Rechtsabteilung.“
Sollte die Datenschutzbehörde eine Verletzung der DSGVO feststellen, könnte sie gegen die AUVA, eine Körperschaft öffentlichen Rechts, allerdings keine Geldbuße verhängen – weil Behörden und öffentliche Stellen von dieser Sanktion ausgenommen sind. Aber die Mitarbeiter und alle Personen, denen durch eine widerrechtliche E-Mail-Einsicht (immaterieller) Schaden entstand, könnten die AUVA auf Schadenersatz klagen.