2007/06/12 Wichtiger Erfolg bei der Feststellung von Datenschutzrechten
Neue Entscheidung der DSK zum Umfang der Auskunftspflicht bei Zutrittskontrollen, Internetprokollen und Mailservern - ARGE DATEN vertritt erfolgreich Mitglied - Finanzministerium beim Datenschutz Nichtgenügend - Erkenntnisse betreffen alle Arbeitnehmer mit eMail-Aufzeichnungen und Protokollierung der Internetverbindungen
Rasche, vollständige und vor allem verständliche Auskunft über die von Behörden und Firmen verwendeten Daten stellt einen Grundpfeiler des Datenschutzrechts dar. Nur auf diesem Weg, so die Theorie, kann der Betroffene erkennen, ob seine Rechte missachtet wurden und welche weiteren Schritte er setzen soll.
Jedoch nicht nur Privatunternehmen ignorieren diesen Anspruch, sondern immer wieder auch Behörden, von denen man die besonders gewissenhafte Befolgung von Gesetzen erwarten könnte. Verzögerung, Falschauskunft und fehlende Auskünfte sind keine Seltenheit.
Im Rahmen eines Verfahrens, welches die ARGE DATEN für einen Betroffenen gegen das Bundesministerium für Finanzen führen musste, wurde in der Entscheidung der DSK dem Beschwerdeführer in wesentlichen Punkten rechtgegeben. Die Entscheidung bringt vor allem wesentliche Erkenntnisse in Hinblick auf die Auskunftspflicht des Arbeitgebers bei verarbeiteten Internetverbindungsdaten und e-mail Daten des Arbeitnehmers.
Ausgangslage
Der Betroffene richtete als Dienstnehmer des BMF an seinen Dienstgeber ein Auskunftsbegehren bezüglich sämtlicher über ihn verarbeiteter, personenbezogener Daten. Die Auskunft wurde zuerst mehree Monate völlig ignoriert, nach einer ersten Beschwerde bei der DSK erfolgte sie mangelhaft. Es wurden zwar einige Daten beauskunftet, die jedoch bei weitem nicht sämtliche über den Betroffenen geführten Datenanwendungen umfasste. Nicht von der Auskunftserteilung umfasst waren etwa Datenanwendungen hinsichtlich Internet-Verbindungsdaten (sogenannter Log-Files), des vom Betroffenen verwendeten e- mail- Programms "groupwise", der Terminverwaltung durch das Programm "groupwise" sowie der verarbeiteten Daten im Rahmen der automatischen Zutrittskontrolle.
Weitere Beschwerde an die Datenschutzkommission
Offenbar war dem Arbeitgeber eine vollständige und korrekte Auskunftserteilung einfach zu aufwendig war. Aus diesem Grund richtete der Betroffene eine Beschwerde an die Datenschutzkommission mit der unter anderem die mangelnde Auskunftserteilung in Bezug auf die nternet- und eMail-Daten moniert wurden.
Log-Files unterliegen der Auskunftspflicht
Bei sogenannten Log-Files handelt es sich um Internetverkehrsdaten, die in diesem Fall seitens des Arbeitgebers für jeweils 14 Tage zur Systemüberprüfung, Wartung sowie der Kontrolle strafrechtswidriger Handlungen im Internet gespeichert wurden. Diese Verbindungsdaten sind auf die jeweiligen Mitarbeiter personenbezogen rückführbar. Nach Rechtsauffassung des Beschwerdegegners wurden diese Daten dennoch nicht als personenbezogene Daten, welche dem Auskunftsrecht unterliegen, sondern vielmehr als sogenannte "sequentiell gespeicherte Protokolldaten" eingestuft. Unter sequentiell gespeicherten Daten sind Daten zu verstehen, welche ausschließlich durch nicht-automationsunterstütztes Durchlesen der gespeicherten Datenbestände den jeweiligen Personen zugeordnet werden können. Gerade im Fall der gespeicherten Log- files wurde durch die DSK allerdings entschieden, dass dieses Kriterium hier nicht zutrifft, da der jeweilige Datenverarbeiter jedenfalls zumindest so weit Auskunft zu erteilen hat, als ihn selbst eine Durchsuchung der Datenbestände möglich ist. Im konkreten Falle wurde davon ausgegangen, dass dem Auftraggeber der Datenverarbeitung jedenfalls ein Durchsuchen der Datenbestände auch auf automationsunterstützter Basis möglich ist, insbesondere zur Kontrolle strafrechtswidriger Internetzugriffe und der Auftraggeber somit auf Basis dieser Möglichkeit auch zur Auskunftserteilung verpflichtet ist.
eMail-Verwaltung
Eine andere Argumentationslinie wurde seitens des Arbeitgebers betreffend des mit dem Programm "groupwise" betriebenen dienstlichen eMail – accounts des Betroffenen angewendet. Betreffend diese Datenverarbeitung wurde vorgebracht, sie sei dem Arbeitgeber als Auftraggeber gar nicht zurechenbar, da nicht er sondern vielmehr die Arbeitnehmer über Speicherdauer von ausgeführten eMails entscheiden würden und daher die Mitarbeiter selbst volle Verfügungsgewalt über ihren eMail-Account hätten. Diese Argumentationslinie des Bundesministeriums wurde von der Datenschutzkommission nicht geteilt, da das Auskunftsbegehren des Beschwerdeführers auf die Tatsache gerichtet war, ob und wann sein Dienstgeber in seinen eMail-Account Einsicht genommen hatte, ein Umstand welcher durch den Beschwerdeführer keineswegs durch Bearbeiten seines eMail-Accounts feststellbar war.
Zutrittskontrolle
Ähnlich wie zu den eMails erfolgte die Auskunft des Arbeitgebers auch bei den in Bezug auf den Beschwerdeführer verarbeiteten Zutrittskontrolldaten. Auch hier wurde vorgebracht, der Zutritt bestimmter Personen sei nur durch "sequentielles Lesen" der verarbeiteten Daten möglich. Die Datenschutzkommission folgte auch hier der Argumentation des Beschwerdeführers und verpflichtete den Arbeitgeber grundsätzlich zur Auskunftserteilung, soweit ihm selbst die Einsichtnahme möglich ist.
Mündliche oder schriftliche Auskunft?
Fast schon skurrile Züge nahm die Argumenteion des BMF zum Auskunftsverfahren selbst an. Grundsätzlich besteht für jeden Betroffenen Anspruch auf schriftliche Auskunft der ihn betreffenden Daten (§26 DSG 2000), er kann jedoch ausdrüchlich auf die schriftliche Erledigung verzichten und sich mit einer mündlichen Auskunft begnügen.
Im Zuge des komplexen Verfahrens gab es auch mehrere Kontakte und Gespräche zwischen dem BMF-Vertreter und dem Betroffenen. Aus der Sicht des Betroffenen war dies als sein Beitrag zur Mitarbeit zu evrstehen. Das BMF drehte jedoch die Argumention um und meinte, dass diese persönlichen Gespräche als Einverständnis zur mündlichen Auskunftserteilung zu bewerten sind. Eine Rechtsposition, der sich die DSK selbstverständlich nicht anschloss. Im Zweifelsfall ist immer von einer schriftlichen Auskunftserteilung auszugehen.
Fazit
Die vorliegende Entscheidung bedeutet einen wichtigen Schritt für Betroffene, die bislang in ihren Auskunftsrechten beschränkt wurden und denen Arbeitgeber oft gerade in Hinblick auf die Datenverwaltung bei EDV-Anwendungen ihr gesetzliches Recht auf Auskunft verweigerten. Nunmehr ist abschließend geklärt, dass das Recht auf Auskunft auch Zugriffe auf eMail-Accounts, Zutrittskontrollen sowie Internetverbindungsdaten betrifft.
mehr --> DSK untersagt Finanzministerium Mitarbeiterkontrolle
mehr --> K121.259/0013-DSK/2007
|
