K211.413/006-DSK/2002 – Datenschutzkommission Entscheidung

[Anmerkungen des Bearbeiters: 1. Hervorhebungen (Unterstreichungen etc.) im RIS nicht dargestellt; 2. Name (Firma) und Rechtsform eines Unternehmens können aus Anonymisierungsgründen verändert sein.]

Die Datenschutzkommission hat unter Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. DUSCHANEK, Mag. HUTTERER, Dr. KLEISER, Dr. KOTSCHY und Mag. ZIMMER sowie des Schriftführers Mag. LECHNER in der Sitzung vom 3. September 2002 den Beschluss gefasst, gemäß § 30 Abs. 6 DSG 2000, BGBl I Nr. 1999/165, folgende

Empfehlung

zur Herstellung des rechtmäßigen Zustandes abzugeben:

Dem Ö-Unternehmen (als Auftraggeber) und der F-Bank reg. Gen.m.b.H. (als Dienstleister) wird empfohlen, die bisher geübte Praxis der Bereithaltung bzw. Aushändigung von Gehalts- bzw. Lohnzettel in offener, das heißt unkuvertierter Form, dahingehend zu ändern, dass bei der Handhabung dieser Zettel im Bankinstitut ein angemessener Schutz vor der Einsichtnahme durch Unbefugte gewährleistet ist.

Zur Befolgung dieser Empfehlung wird eine Frist von drei Monaten gesetzt. Es wird ersucht, spätestens nach Ablauf dieser Frist einen Bericht darüber vorzulegen, wie dem Inhalt der vorliegenden Empfehlung entsprochen wurde.

Begründung

Der Beschlussfassung der Datenschutzkommission lag folgender, das Ergebnis der Ermittlungen darstellender Sachverhalt zugrunde:

Zwischen dem Ö-Unternehmen (kurz Ö) und der F-Bank reg. Gen.m.b.H. (im folgenden kurz F-Bank) als kontoführender Bank besteht ein Dienstleistervertrag vom 14. Dezember 1993. Vertreten wurde letztere beim Vertragsabschluss durch die F-Haupt- und Zentralbank AG Wien. Gegenstand des Dienstleistungsvertrages ist die monatliche Übergabe von Datenträgern gemäß dem Datenträgerabkommen vom 20. November 1987 und dem Übereinkommen über die bargeldlose Verrechnung der Bezüge mit den Daten der Bezugsabrechnung der Ö-Bediensteten/Ruhe- und Versorgungsgenussempfängern an die von diesen gewählte Kontostelle zum Zweck der Herstellung, Auf- und Verteilung sowie der Zuteilung des Ausdrucks der Bezugsabrechnung der oben genannten Personen und Aufbewahrung bis zur Abholung bzw. Zusendung. Dies alles unter strikter Einhaltung der Bestimmungen des Datenschutzgesetzes (vgl. § 1 des Dienstleistervertrages).

Gemäß § 4 des Dienstleistervertrages verpflichtet sich der Dienstleister zur Geheimhaltung der Daten gem. den Vorgaben des DSG (jetzt § 15 DSG 2000). Gem. § 5 des Dienstleistervertrages erklärt der Dienstleister zudem rechtsverbindlich, dass er ausreichende Sicherheitsmaßnahmen im Sinne des DSG (jetzt § 14 DSG 2000) ergriffen hat, um zu verhindern, dass Daten ordnungswidrig verwendet werden oder Unbefugten auch innerhalb des Dienstleisterbereiches zur Kenntnis gelangen.

Soweit die F-Bank als kontoführendes Institut von Arbeitnehmern des Auftraggebers Ö tätig wird, stellt sie die Lohn- bzw. Gehaltszettel nicht selbst her, sondern bedient sich hiefür des zentralen Rechenzentrums. Letzteres übermittelt an die F-Bank die einschlägigen Papierbelege in einem 'Postkoffer', welcher mittels des konzerneigenen Versandsystems zugestellt wird. Das Rechenzentrum bei der F-Haupt- und Zentralbank führt keine Kuvertierung der Papierausdrucke durch, sondern packt diese in loser, offener Form in den bezüglichen Postkoffer.

Erst vor Ort, d.h. im Gebäude der F-Bank erfolgt eine entsprechende Sortierung, bzw. Einordnung der Kontounterlagen in dafür vorgesehene Aktenschränke. Diese Aktenschränke sind während der Bankbetriebszeiten unversperrt. Die Aushändigung der Gehalts- bzw. Lohnzettel an die Kunden erfolgt in der Form, dass auf Basis einer entsprechenden persönlichen Vorsprache der Kunden der jeweilige Kundenbetreuer die passenden Lohnzettel aus den genannten Aktenschränken heraussucht und diese in offener Form überreicht.

Nach Darstellung der F-Bank ist es ausschließlich den Kundenbetreuern gestattet, auf einschlägige Kontounterlagen und damit auch auf Gehalts- und Lohnzettel zuzugreifen, und zwar ausschließlich auf die Belege der Kunden, die sie selbst betreuen.

Aus der Sicht der F-Bank ist allein durch letztere Regelung dem Datenschutz ausreichend Rechnung getragen. Darüber hinaus betont die F-Bank, dass ihre Mitarbeiter aufgrund der Bankausbildung im Umgang mit diskreten Kundendaten besonders geschult seien und zudem das gesetzlich geschützte Bankgeheimnis gem. § 38 Bankwesengesetz zu wahren hätten. Dieses Geheimnis gelte selbstverständlich auf für den Inhalt des Lohnzettels und die Verpflichtung zur Wahrung des Bankgeheimnisses bestehe zeitlich unbegrenzt. Insgesamt sei daher für eine ausreichende Datensicherheit für jeden Ö-Mitarbeiter, welcher ein Gehaltskonto bei der F-Bank besitze, gesorgt.

Durch die vorstehend skizzierte Praxis der Handhabung der Gehaltszettel in 'ungeschützter' bzw 'offener' Form erachtete sich nun Herr A in seiner Eigenschaft als Ö-Bediensteter bzw. Kunde der F-Bank in seinem Grundrecht auf Datenschutz verletzt und richtete eine entsprechende Beschwerde gem. § 30 DSG 2000 an die Datenschutzkommission, dort eingelangt am 3. Juli 2001.

Rechtlich war zu erwägen:

Gem. § 14 Abs. 1 DSG 2000 sind für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Dabei ist je nach der Art der verwendeten Daten nach Umfang und Zweck der Verwendung, sowie unter Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit insbesondere sicherzustellen, dass die Daten ordnungsgemäß verwendet werden und Unbefugten nicht zugänglich sind. Soweit im Sinne der vorstehend genannten Kriterien erforderlich, ist unter anderem die Aufgabenverteilung bei der Datenverwendung zwischen den Organisationseinheiten und zwischen den Mitarbeitern ausdrücklich festzulegen; erforderlichenfalls ist auch Protokoll zu führen, damit tatsächlich durchgeführte Verwendungsvorgänge, wie insbesondere Änderungen, Abfragen und Übermittlungen, im Hinblick auf Ihre Zulässigkeit im notwendigen Ausmaß nachvollzogen werden können. Es ist darauf hinzuwirken, dass insgesamt ein Schutzniveau gewährleistet ist, das den von der Verwendung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist (vgl. § 14 Abs. 2 DSG 2000).

Im vorliegenden Fall könnte zunächst fraglich sein, ob ein Kunde der F-Bank in Bezug auf den Inhalt seiner Gehaltszettel gegenüber dem als Dienstleister seines Arbeitgebers fungierenden Bankinstitut bzw. gegenüber dessen Mitarbeitern überhaupt ein schutzwürdiges Geheimhaltungsinteresse geltend machen kann. An dieser Stelle ist in Erinnerung zu rufen, dass gemäß § 10 Abs. 1 DSG 2000 Auftraggebern grundsätzlich die Berechtigung zukommt, bei ihren Datenanwendungen Dienstleister in Anspruch zu nehmen, wenn diese eine ausreichende Gewähr für eine rechtmäßige und sichere Datenverwendung bieten. Eine Zustimmung der Betroffenen ist nicht erforderlich. Gegen den Umstand, dass die Ö sich für die Herstellung der Gehaltszettel eines Dienstleisters bedienen, kann also grundsätzlich seitens der betroffenen Mitarbeiter kein rechtserheblicher Einwand erhoben werden.

Aus dem vorzitierten § 10 Abs. 1 DSG 2000 ergibt sich freilich auch, dass ein Auftraggeber bei der Auswahl eines Dienstleisters kein völlig freies Ermessen üben kann. Vielmehr ist er bei der Auswahlentscheidung an das Kriterium der Gewährleistung einer rechtmäßigen und sicheren Datenverwendung gebunden. Dabei ist insbesondere auch auf die Qualität der zu verarbeitenden Daten Bedacht zu nehmen. Je sensibler die betreffenden Daten, desto sorgfältiger wird ein Auftraggeber der Frage nachzugehen haben, wie weit ein in Aussicht genommener Dienstleister als geeignet im Sinne des § 10 DSG 2000 angesehen werden kann, bzw. welche Verpflichtungen einem solchen Dienstleister - vor einem datensicherheitstechnischen Hintergrund - vertraglich auferlegt werden müssen.

Im gegebenen Kontext ist nun festzuhalten, dass Lohn- bzw. Gehaltszettel im Einzelfall eine Reihe von Informationen enthalten können, an denen nach allgemeiner Lebenserfahrung ein erhebliches Geheimhaltungsinteresse des Betroffenen anzunehmen ist. Zu denken ist hier etwa an Abzugsposten, die auf Unterhaltsverpflichtungen, auf Gehaltsexekutionen oder (bei Beamten) Bezugsminderungen aus disziplinären Gründen hinweisen. Darüber hinaus können Gehaltszettel auch sensible Daten im Sinne des § 4 Ziff. 2 DSG 2000 beinhalten: Man denke hier etwa an die Erteilung einer Ermächtigung an den Arbeitgeber zum Direktabzug von Gewerkschaftsbeiträgen sowie an Mitgliedsbeiträge für religiöse Gemeinschaften.

Aus dem vorstehend Gesagten ergibt sich, dass ein Gehaltszettel gerade in der heutigen Zeit in einem erheblichen Umfang Aufschluss über das Privatleben bzw. soziale Umfeld einer Person zu geben vermag. Wenn nun ein Dienstleister, welcher ja strikt an die Vorgaben des Auftraggebers gebunden ist (vgl. § 11 Abs. 1 Ziff. 1 DSG 2000), Kenntnis von derartigen Informationen erhält, an welchen er ausschließlich hinsichtlich der technischen Abwicklung der Datenverarbeitung interessiert ist, scheint die Missbrauchsgefahr nicht so groß. Dort, wo ein Unternehmen aber nicht ausschließlich oder primär als Dienstleister am Markt auftritt, sondern eine Dienstleistung nur als 'Zusatzleistung' zu einer Leistung anbietet, aus der sich ein 'Eigeninteresse' an den Dateninhalten ergibt, können datenschutzrechtliche Probleme auftreten. Ein solcher Fall ist auch der hier vorliegende: Die auf dem Gehaltszettel angeführten Informationen sind für die kontoführende Bank etwa aus werbewirtschaftlicher oder bonitätsprüfender Sicht naturgemäß von Interesse.

Die Nutzung von Informationen des Gehaltszettels für andere Zwecke als die technische Herstellung bzw. Administration dieser Gehaltszettel im Auftrag des Auftraggebers ist als 'Übermittlung' im Sinn des § 4 Zif. 12 DSG 2000 zu qualifizieren, deren Zulässigkeit anhand § 7 Abs. 2f DSG 2000 zu beurteilen ist. Die Gefahr, dass Informationen des Gehaltszettels für eigentliche Bankleistungen auch bei fehlender Übermittlungszulässigkeit nutzbar gemacht werden, ist wohl als sehr groß einzustufen.

Die vorstehenden Erwägungen zeigen, dass die Heranziehung von kontoführenden Instituten als Dienstleister zum Zwecke der Aushändigung von Gehaltszetteln zwar wirtschaftlich gesehen eine naheliegende Lösung sein mag, aus datenschutzrechtlicher Sicht jedoch damit ein nicht zu unterschätzendes Gefährdungspotential verbunden ist. Dieses Gefährdungspotential kann nur durch besondere Sorgfalt bzw. durchdachte organisatorische Vorkehrungen innerhalb der dienstleistenden Institute minimiert werden (vgl. auch DSK GZ 120.499, ZfVBDat 1996/1).

Die derzeitige Praxis der F-Bank im Umgang mit den Gehaltszetteln ihrer Kunden stellt sich vor dem Hintergrund der obigen Ausführungen als 'nicht sicher' im Sinne der §§ 10, 11 und 14 DSG 2000 dar. Wie die F-Bank selbst im Zuge des Ermittlungsverfahrens dargelegt hat, sind für die Aushändigung der Gehaltszettel die Kundenbetreuer zuständig. Gerade ein Kundenbetreuer hat üblicherweise Interesse daran, seine Kunden auch werbetechnisch zu betreuen und hinsichtlich ihrer Bonität zu beobachten. Schon aus dieser Überlegung ergibt sich ein nicht zu unterschätzendes Eigeninteresse an der Kenntnisnahme der Daten von Gehaltszetteln.

Die F-Bank hat in einer Stellungnahme darauf hingewiesen, dass es den Kundenbetreuern dienstrechtlich untersagt sei, auf andere Kontounterlagen, die nicht ihre eigenen Kunden betreffen, zuzugreifen. Dieses Argument ist im vorliegenden Fall deshalb nicht zielführend, weil es ja gerade um die Geheimhaltung von Daten des Gehaltszettels auch – oder gerade – gegenüber dem zuständigen Kundenbetreuer geht.

Abhilfe könnte dadurch geschaffen werden, dass sämtliche einlangende Gehaltszettel bereits durch das zentrale Rechenzentrum, jedenfalls aber noch vor Weitergabe an die kundenbetreuenden Bankschalter kuvertiert werden. Alternativ dazu wären etwa auch elektronische Systeme denkbar, die es den Kunden selbst ermöglichen, auf Druckern ihre Gehaltszettel auszudrucken, ohne dass hiezu noch Manipulationen durch Bedienstete der Bank nötig wären.