Die Dienstgeberin hat interessante Methoden, mit unseren (sensiblen) Daten umzugehen.
Datenschutz ist in aller Munde und irgendwie total kompliziert. Schon beim Installieren einer Handy-App drücken die meisten einfach auf „Zustimmen“, wenn
es um die Datenschutzbestimmungen geht. Wer einmal einen Blick in das DSG 2000 (Datenschutzgesetz) gewagt hat, dem kommt vielleicht sogar das
Grausen.
Aus einem anderen Blickwinkel ist Datenschutz eigentlich sehr einfach. Wenn Sie die nächsten Fragen mit „Ja“ beantworten, dann können Sie an dieser Stelle aufhören zu lesen und Ihre Zeit für etwas anderes nutzen. Wenn nicht, dann erwarten Sie spannende Informationen über den Umgang der Dienstgeberin mit Ihren (sensiblen) Daten:
- Wollen Sie, dass alle Ihre KollegInnen über Ihre Krankenstandsdaten (teils mit Diagnosen) Bescheid wissen?
- Wollen Sie, dass all Ihre KollegInnen Ihre exakte Entlohnung (Grundgehalt und Nebengebühren) kennen?
- Wollen Sie, dass Ihr Dienstausweisfoto zustimmungslos öffentlich ausgehängt und im Intranet für 30.000 Mitarbeiter einsehbar ist?
- Wollen Sie, dass all Ihre KollegInnen Ihr Geburtsdatum, Ihre Privatadresse, Ihren Behinderungsgrad, Ihre private Telefonnummer oder Ihren privaten Internet-Provider kennen?
Mit Bescheid der Datenschutzbehörde vom Juli 2017 (DSB-D122.657/0006-DSB/2017) wurde in einer 35-seitigen Abhandlung eine mehr als 15 Punkte umfassenden Liste an Datenschutzverletzungen und rechtswidrigen Vorgangsweisen durch die MA 6 festgestellt. Die ersten Schritte setzten die Unabhängigen Gewerkschafter/Personalvertreter mit einem Schreiben im April 2016. Bis zum formalen Abschluss dieses peinlichen Rechtsbruches mit oa. Bescheid und einem außergerichtlichen Schadenersatz dauerte es fast 18 Monate.
Aber alles der Reihe nach, denn dieses „Schelmenstück“ besteht aus drei Akten:
1. AKT, oder wie alles begann!
Ein Teildienststellenleiter der MA 6 kopierte zustimmungslos alle Dienstausweisfotos seiner MitarbeiterInnen und ließ sich daraus eine Hierarchiepyramide basteln. Er ganz oben, 70 MitarbeiterInnen unter ihm und das Ganze ausgedruckt in Plakatgröße (A0). Aufgehängt in seinem Büro und im Besprechungszimmer, sodass er von seinem Sitzplatz aus immer bildlich an seine Statusherrlichkeit erinnert wurde. Für diese Ego-Pyramide gab und gibt es weder eine Rechtsgrundlage, noch einen dienstlichen Zweck. Einige KollegInnen scheuten die direkte Konfrontation, wollten aber trotzdem ihr Bild nicht als Therapiegegenstand an der Wand hängen lassen und beschwerten sich bei der KIV/UG. Darauf erging im April 2016 ein Schreiben der KIV/UG an den Teildienststellenleiter und an Fr. Albert, in dem das vollumfängliche Abstellen des rechtswidrigen Zustandes gefordert wurde. Die Reaktion der Dienstgeberin war fast gleich Null.
Umso größer und heftiger die Reaktionen der KollegInnenschaft, die uns von da an mit vielfältigen Datenschutzanfragen überhäuften. Die meisten Anfragen bezogen sich auf die Sammelleidenschaft gegenüber Krankenstandsdaten. Denn zusätzlich zu den genehmigten Datenanwendungen (Viper, SES) existierten weitere 5 genehmigungspflichtige Datenanwendungen für Krankenstände, die teilweise auch Diagnosen enthielten. Schon das Erstellen dieser Datenanwendungen war illegal, dass diese überwiegend für alle 70 MitarbeiterInnen auf dem Fileservice einsehbar waren, rundet das Bild über den Umgang mit personenbezogenen Daten ab.
Aber auch die exakten Bezüge (Grundgehalt und Nebengebühren) der KollegInnen und die „Remuliste“ der letzten 12 Jahre gab es frei verfügbar auf dem Fileservice und erheiterten die Kollegenschaft nicht. Die frei zugänglichen Listen mit allen Geburtsdaten, Wohnorten, Urlaubsstichtagen, privaten Handynummern, privaten Internetprovidern usw. gab es nur als „Zuschlag“ obendrauf. Auch die neben den Personalakten geführten „Privatdossiers“ des Teildienststellenleiters über renitente Mitarbeiter lösten wenig Begeisterung aus.
Die beharrlich ausbleibende Reaktion der Dienstgeberin auf das „Foto-Schreiben“ der KIV/UG und der uns zugetragene, eigenartige Umgang mit persönlichen MitarbeiterInnendaten führten direkt zum 2. Akt.
2. AKT – die Datenschutzanfrage, oder wie man einen verkrampften Unterstufenschüler beim Schummeln erwischt!
Nach Sichtung und Verifizierung der von der KollegInnenschaft eingebrachten Anfragen und Daten, erfolgte im August 2016 über einen Rechtsanwalt ein „Auskunfts- und Löschungsbegehren gem. § 26 DSG“ an die Dienstgeberin. Endlich kam Bewegung in die Angelegenheit, jedoch nicht, wie man von einer im Hoheitsbereich angesiedelten Dienststelle erwarten würde. Das Verhalten erinnerte eher an einen beim Schummeln erwischten Schüler, der trotz überwältigender Beweislage krampfhaft an seiner Unschuld festhält.
Plötzlich wurden Listen und Dateien umgeschrieben und Namen bzw. Daten entfernt, was die illegalen Dateien nicht besser machte und nach dem DSG während eines Auskunftsverfahrens streng verboten ist. Es wurden dieabsurdesten Behauptungen aufgestellt: „Datei liegt nicht vor“, „Es liegt gar kein verspeichertes Bild vor (extra Hervorhebung durch Unterstreichung!)“ „Dateien wurden zur Unterstützung der Mitarbeiter auf freiwilliger Basis erstellt“. Anders als behauptet wurde die Ego-Hierarchiepyramide weiter für mehrere Tausend Magistratsbedienstete auf der Stadt Wien Homepage zum Download bereitgehalten. Unserem Anwalt wurde stattdessen eine Unmenge an Papierlisten (SAP, SES, Urlaubslisten etc.) zugeschickt, die wesentlichen Dinge jedoch nicht. Getreu dem Motto „mit unnötigen Unterlagen zuscheißen und gib endlich Ruhe“. Irgendwie ist die MA 6 davon ausgegangen, dass mit Abstreiten, Zurechtbiegen und einer Löschungsorgie alles im Sand verläuft.
Ruhe haben wir natürlich nicht gegeben, sondern eine Beschwerde bei der Datenschutzbehörde (DSB) initiiert und das führt uns zum 3. Akt des Schelmenstücks.
3. AKT – oder wie man sich als Behörde bei einer anderen Behörde lächerlich macht.
Nach anfänglichem Weitermauern, musste unsere Dienstgeberin in etlichen Fällen ihr Fehlverhalten eingestehen. In einigen wichtigen Teilaspekten bestritt sie jedoch beharrlich, dass es diese dienstlichen Datenanwendungen tatsächlich gab bzw. führte mit abenteuerlichen Begründungen aus, warum sie glaubte, diese Datenanwendungen seien rechtskonform.
Als Antragsteller konnten wir mittels Screenshots, internen Dienstanweisungen und gesicherten Dateien die Datenschutzbehörde (DSB) vom fehlenden Wahrheitsgehalt der Dienstgeberargumentation überzeugen. Die vorgelegten Beweismittel waren derart klar, dass es nicht einmal zu einer mündlichen Verhandlung kommen musste. Wir erhielten in allen datenschutzrelevanten Punkten Recht und auf insgesamt 35 Seiten wurden Rechtwidrigkeiten (Geheimhaltung, Löschung, Richtigstellung, Auskunft und Inhaltsmängel) bescheidmäßig festgestellt.
Aus der Fülle der Beispiele nur zwei besonders merkwürdige Fälle:
1. Die Teildienststelle hatte zusätzlich zu den genehmigten Datenanwendungen für Absenzen (SES, VIPER) insgesamt 5 (fünf!!!!) weitere Datenanwendungen betrieben, in denen die Krankenstandsdaten der Mitarbeiter (teilweise mit Diagnosen) gesammelt, verarbeitet und für alle Mitarbeiter einsehbar gespeichert wurden.
Als Begründung hierfür wurden dienstgeberseitig „verwaltungsökonomische Gründe“ angegeben. Warum zehntausende Mitarbeiter außerhalb der MA 6 mit zwei Datenanwendungen auskommen und ein neugieriger Teildienststellenleiter insgesamt sieben Datenanwendungen braucht, konnte auch die Datenschutzbehörde nicht klären. Wir hoffen inständig, dass dieser verwaltungsökonomische Flachwurzler nicht nach diesen Grundsätzen für das Budget der Stadt verantwortlich ist.
2. Der teildienststellenleitende Datensammelprofi hat sich neben den eigentlichen Personalakten noch „Privatdossiers“ über seine MitarbeiterInnen gehalten. Diese „Vernaderungsakten“ aus Papier enthielten alles Mögliche. Zum Beispiel eingebildete Disziplinarangelegenheiten und Artikel aus der PV- und Gewerkschaftszeitung. In einem Akt der intellektuellen Offenbarung gab er bei der Datenschutzbehörde an, er brauche diese Papierdossiers beispielsweise zur Beweisführung in einem Disziplinarverfahren gegen den Beschwerdegegner. Und zwar: „Der Personalvertreter hat seine Personalvertretungsarbeit nicht als Nebenbeschäftigung gemeldet“. Es dürfte ihm in seiner langjährigen Tätigkeit entgangen sein, dass die Personalvertretungsarbeit ein „unbesoldetes Ehrenamt“ ist und die Ergebnisse der Wahlen durch öffentlichen Aushang bekannt gegeben werden.
Jedenfalls hat die DSB, ohne mit der Wimper zu zucken, die Vernichtung des „Verleumdungs- und Vernaderungsdossiers“ angeordnet.
An diesen beiden exemplarischen Fällen ist deutlich ersichtlich wie bis zum Schluss versucht wurde zu tricksen, zu verdrehen und zu vernebeln. Aufgrund der ausgezeichneten Dokumentation unter Mithilfe der KollegInnenschaft hatte es die Datenschutzbehörde leicht, die massiven und umfangreichen Datenschutzverletzungen festzustellen.
Unser Anwalt hat sich auf Grundlage des oa. Bescheides mit der Magistratsdirektion außergerichtlich auf € 3.000,– Schadenersatz geeinigt. Im angezeigten Einzelfall ist daher diese Angelegenheit restlich aufgearbeitet und geklärt.
Um aber das gesamte Schelmenstück zum Abschluss zu bringen und die KollegInnenschaft für die Zukunft auch zu schützen, sind noch einige Fragen offen und harren noch einer Erledigung:
Sehr geehrte Fr. Abteilungsleiterin!
Von Ihrer ersten Kenntnis der Rechtswidrigkeiten bis zu Ihrer ersten Handlung (Bilder, Geburtstagslisten, Krankenstände) zum Schutz der MitarbeiterInnen ist ein Jahr vergangen. Warum hat es so lange gedauert, bis Sie Ihre Fürsorgepflicht wahrgenommen haben?
Wann können die anderen rund 70 geschädigten MitarbeiterInnen mit ihrem Schadenersatz rechnen? Zumindest eine offizielle Entschuldigung im Namen ihrer schwer defizitären Führungskraft wäre doch angebracht (und kostet nichts)!
Wie lange werden Sie noch zuschauen, wenn eine Ihnen unterstellte Führungskraft sich nicht an die Gesetzte hält, 70 Mitarbeiter schadenersatzpflichtig in ihren Rechten beschneidet und sich im abgeschlossenen Verwaltungsverfahren mit Unwahrheiten aus der Affäre zu ziehen versucht?
Ich weiß, als Abteilungsleiterin haben Sie viel zu tun und können sich nicht um alles kümmern. Eine richtige Prioritätensetzung wäre da angebracht. Beispielsweise prüfen Sie ja gaaanz genau Anträge auf Stundenreduktion und Karenzansuchen der MitarbeiterInnen. Ihre Begründung (Personalmangel) kann irgendwie nicht stimmen, denn Anfang 2016 waren 61 Dienstposten unbesetzt und Anfang 2017 sogar 70 Dienstposten. Wenn Sie diese, vom Gemeinderat genehmigten, Dienstposten endlich nachbesetzen, sparen Sie sich das lästige Nachwassern bei Teilzeitanträgen und Karenzansuchen. Und Sie hätten endlich Zeit, sich für Ihre MitarbeiterInnen einzusetzen und diese zu schützen.
P.S. Allen KollegInnen, die nicht auf eine Entschuldigung oder einen freiwilligen Schadenersatz warten wollen, stellen wir gerne den rechtskräftigen Bescheid und den Kontakt zu unserer rechtsfreundlichen Vertretung zur Verfügung.
Das könnte Sie auch interessieren:
Mehr zur Besoldungsreform
Die Besoldungsreform kommt mit 1.1.2018. Das interne und externe Wording zu diesem dienst- und besoldungsrechtlichen Meilenstein können wir uns jetzt schon ausmalen. Den „Alten“ wird man sagen: „Euch betrifft`s eh nicht!“ und den Neuen: „Ihr wusstet worauf ihr euch einlasst.“
Mehr lesen
Datenschutz bei dienstlichen Mails
Neuer Erlass: Der Dienstgeberin ist es nunmehr möglich „im Fall einer durchgängigen krankheitsbedingten längeren Abwesenheit (länger als 30 Tage) eines Mitarbeiters/Mitarbeiterin“ in die Persönlichkeitsrechte einzugreifen und das Email-Postfach zu durchsuchen.
Mehr lesen
Artikel als PDF downloaden:
Grafik: freepik