Endet mit dem Jobverlust auch das Recht auf Datenschutz?
Eine aktuelle Entscheidung der DSK legt dies nahe - Häufung von Beschwerden - Private AMS-Schulungsanbieter stellen ein besonderes Problem dar - Daten ohne Einwilligung an Dritte weiter gegeben
In letzter Zeit häufen sich die Beschwerden über den Umgang, welchen das Arbeitsmarktservice im Zusammenhang mit der Wahrnehmung seiner gesetzlichen Aufgaben mit den persönlichen Daten von betroffenen Jobsuchenden an den Tag legt. Ein besonderes Problem stellt dabei dar, dass das AMS Teile seiner arbeitsmarktbezogenen Programme- etwa Schulungen- nicht selbst wahrnimmt, sondern an privatrechtlich organisierte Dienstleistungsanbieter auslagert, um von diesen die entsprechenden Maßnahmen durchführen zu lassen. Somit werden verschiedene Daten von Betroffenen nicht nur innerhalb des AMS verarbeitet, sondern - ohne Einwilligung und Information der Betroffenen - auch an private Dritte weitergegeben, was bei Jobsuchenden häufig für Unmut sorgt.
Datenverarbeitung innerhalb des AMS
Im Rahmen seiner arbeitsmarktspezifischen Aufgaben ermittelt und verarbeitet das AMS in der Regel eine umfassende Anzahl von persönlichen Daten betroffener Jobsuchender. Neben den persönlichen Stammdaten ( Name, Geburtsdatum, Adresse, Sozialversicherungsnummer, etc..) erfolgt in der Regel eine Verarbeitung von Daten bezüglich der Ausbildung und beruflichen Laufbahn der Betroffenen, von bekanntgegebenen Berufs- und Betreuungswünschen der Betroffenen sowie die Erstellung eines chronologischen Protokolls des Betreuungsverlaufs innerhalb des AMS. Wie die Erfahrung gezeigt hat, kann es innerhalb dieser groben Datenverarbeitungskategorien aber auch zur Verwendung sensibler Daten - vor allem aus dem gesundheitlichen Bereich- kommen. Davon noch mehr im Laufe des Artikels.
Im Rahmen seiner Betreuungsarbeit bedient sich das AMS sowohl bei Schulungsmaßnahmen als auch bei der Wiedereingliederung in den Arbeitsmarkt zahlreicher privater Anbieter.
Wie die Erfahrung gezeigt hat, gibt das AMS an diese privaten Dienstleister in der Regel sämtliche Daten weiter, die es über die Betroffenen selbst verarbeitet. Somit gelangen Privatunternehmen in großem Umfang zu zum Teil sensiblen Daten von Privatpersonen. Kann das mit datenschutzrechtlichen Bestimmungen vereinbar sein?
Spezielle gesetzliche Grundlagen erlauben umfassende Datenverarbeitung sowie Weitergabe
Zunächst ist festzuhalten, dass die entsprechende Rechtsgrundlage des AMS, das Arbeitsmarkservicegesetz, eigenständige, datenschutzrechtliche Bestimmungen enthält, welche die einfachgesetzlichen Bestimmungen des DSG zum Teil ergänzen bzw. derogieren.
Gem. § 25 Abs 1 AMSG ist das Arbeitsmarktservice zur Ermittlung und Verarbeitung von personenbezogenen Daten ermächtigt, als diese zur Erfüllung seiner gesetzlichen Aufgaben eine wesentliche Voraussetzung sind. Dazu gehören Name, Geburtsdatum, Geschlecht, Adresse (Wohnsitz), Staatsangehörigkeit, Familienstand, Sorgepflichten, Rechtsgrundlage für den Aufenthalt in Österreich, Versicherungsnummer, Dienstgeberkontonummer, auf das Arbeits- und Beschäftigungsverhältnis bezogene Daten, auf Ausbildung und Ausbildungswünsche bezogene Daten, vermittlungsrelevante Betriebsdaten und sonstige vermittlungsrelevante Daten.
Gem. § 25 Abs 2 AMSG dürfen die vom Arbeitsmarktservice oder vom Bundesministerium für Arbeit, Gesundheit und Soziales ermittelten und verarbeiteten Daten an Behörden, Gerichte, Träger der Sozialversicherung, die Bundesrechenzentrum GmbH, die gesetzlichen Interessenvertretungen der Arbeitgeber und der Arbeitnehmer und das Statistische Zentralamt, soweit sie für die Vollziehung der ihnen gesetzlich übertragenen Aufgaben eine wesentliche Voraussetzung bilden, und an Einrichtungen, denen Aufgaben des Arbeitsmarktservice übertragen sind, soweit die Daten unabdingbare Voraussetzung für die Erfüllung der übertragenen Aufgaben sind, im Wege der automationsunterstützten Datenverarbeitung übermittelt werden.
An der spezialgesetzlichen Regelung zur Datenverarbeitung im AMS fallen folgende Umstände besonders auf: Die Bestimmung jener Daten, welche durch das AMS verarbeitet werden dürfen, erfolgt letztlich ohne konkrete Schranken und mit sehr weit gefassten Begriffen. Der Gesetzgeber spricht von "auf das Arbeits- und Beschäftigungsverhältnis bezogenen Daten", "auf Ausbildung und Ausbildungswünsche bezogenen Daten" und "sonstigen, vermittlungsrelevanten Daten. sofern diese zur Erfüllung der Aufgaben des AMS eine wesentliche Voraussetzung sind". Der Gesetzgeber lässt somit dem AMS weitgehend freie Hand bei der Auswahl an Daten, die es verarbeiten möchte. Eine entsprechende Einengung der Befugnisse kann letztlich nur durch die Rechtsprechung erfolgen.
Auch bei der Frage, welche der verarbeiteten Daten an Private, sofern "diese mit den Aufgaben des AMS betreut sind", weitergegeben werden dürfen, enthält sich der Gesetzgeber konkreter Antworten - diese müssen aber zumindest "unabdingbare Voraussetzung" dafür sein, dass solche Einrichtungen ihre Aufgaben erfüllen können. Dies lässt zumindest den Schluss zu, dass das AMS nicht nach Belieben sämtliche Daten, die es selbst verarbeitet, an den jeweiligen privaten Dienstleister weitergeben darf sondern vielmehr im Einzelfall durchaus begründen wird müssen , warum der private Dienstleister dieses Datum des Betroffenen unbedingt benötigt, um seine Maßnahmen durchführen zu können.
Zwischenergebnis daher: Die Bestimmung, welche Daten das AMS überhaupt selbst verarbeiten darf, bedürfte Konkretisierungen. Das AMS wird im Einzelfall aber begründen müssen, warum die entsprechenden Daten zur Erfüllung der Aufgaben des AMS eine wesentliche Voraussetzung sind. Bei der Weitergabe an private Dienstleister ist im Einzelfall zu berücksichtigen, ob dieser die entsprechenden Daten überhaupt benötigt, eine "Pauschalweitergabe" an private Dienstleister ist gesetzlich nicht gedeckt.
Jüngste Entscheidung der DSK
Wo bislang Fälle bei der DSK anhängig gemacht wurden, waren die Ergebnisse im Sinne des Datenschutzes leider wenig erfreulich. Als Beispiel kann dafür die Entscheidung der DSK K121.102/0012-DSK 2006 vom 9.8.2006 genannt werden.
Ausgangslage war, dass das AMS die psychiatrische Diagnose einer Jobsuchenden im Rahmen seiner Datensätze verarbeitete. Bei der Betroffenen war eine sogenannte "bipolar affektive Störung" diagnostiziert worden. Das AMS gelangte dadurch in Kenntnis dieses gesundheitsbezogenen Datums, als dieses Grundlage eines Bescheids der Pensionsversicherung gewesen war, in welchem der Betroffenen die Gewährung einer Berufsunfähigkeitspension verwehrt wurde und die Jobsuchende dem AMS diesen Bescheid auf Verlangen des AMS zur Verfügung gestellt hatte. In Folge begnügte sich das AMS aber nicht damit, selbst im Besitz einer Information über eine psychische Störung seiner Klientin gekommen zu sein sondern leitete im Rahmen eines Schulungs- und Reintegrationsprogramms dieses Datum unter dem wohlweislichen Hinweis, dass es sich um eine "schwere, psychische Erkrankung" handle auch an einen privaten Dienstleister weiter. Auf eine Einwilligung der Betroffenen wurde dabei selbstredend ebenso verzichtet wie auf die Begründung, warum diese Weitergabe überhaupt nötig sei. Mit Recht war die Betroffene verärgert und erhob Beschwerde bei der DSK.
Ein Schelm, wer sich nun erwartet, die DSK hätte sich in ihrer Entscheidung damit auseinandergesetzt, ob diese Information eigentlich "unabdingbare Voraussetzung" für die Arbeit des Dienstleisters ist. Zunächst wird - wenig überraschend - festgestellt, dass die Verarbeitung des gesundheitsbezogenen Datums zumindest AMS-intern kein Problem sei, da "vermittlungsrelevant". Anstatt sich weitergehend damit zu beschäftigen, warum darüberhinaus auch die Weitergabe des Datums gesetzlich gedeckt sei, kommt die DSK zum verblüffenden Ergebnis, die entsprechende Regelung des AMSG sei gar nicht mehr anzuwenden, ob die Datenweitergabe somit unbedingte Voraussetzung für die Arbeit des Dienstleisters war, daher gar nicht zu überprüfen.
Wie das ? Das DSG 2000 sei letztendlich erst nach dem AMSG in Kraft getreten und habe dieses "teilweise derogiert". Das DSG enthalte in §10, das die Datenüberlassung an Dienstleister regle, aber keinerlei weitere Voraussetzung für die Überlassung an Dienstleister als die Einhaltung von Datensicherheitsmaßnahmen.
Ergebnis: Das AMS darf nach Lesart der DSK offenbar sämtliche Daten des Betroffenen, die es selbst verarbeitet, auch an private Dienstleister weitergeben, wenn diese Aufgaben des AMS erledigen. Eine spezielle Überprüfung, ob dies im Einzelfall unbedingt nötig ist, wie es das Arbeitsmarktservicegsetz eigentliche vorsehen würde, entfällt.
DSK ignoriert rechtliche Schutzvorschriften
Über die ohnehin weit gefassten Grundlagen der Datenverarbeitung im AMSG sowie über die Bestimmung zur Datenüberlassung an Dienstleister ließen sich speziell in Bezug auf die Verfassungsmäßigkeit und Vereinbarkeit mit Europarecht Seiten füllen. Das ist aber gar nicht das Thema, da die DSK den Betroffenen ja selbst jene ohnehin schon eingeschränkten Schutzmechanismnen verweigern möchte, die das AMSG bietet.
Dass das DSG das AMSG in der entsprechenden Bestimmung aufheben soll, widerspricht jedenfalls juristischen Grundprinzipien. Neben der Grundregel, dass "ein später in Kraft getretenes Gesetz das frühere aufhebt" - welche die DSK zitiert- steht nebenbei der Grundsatz, dass ein Spezialgesetz in seinem Anwendungsbereich die jeweilige generelle Bestimmung verdrängt.
Das AMSG regelt als Spezialgesetz den Datenschutz im Rahmen der arbeitsmarktspezifischen Aufgaben des AMS, das DSG dagegen die Überlassung von Daten an Dienstleister im allgemeinen. Das AMSG wurde in den entsprechenden Teilen durch den Gesetzgeber nach Inkrafttreten des DSG 2000 nicht aufgehoben, was auf den Wunsch hindeutet, dass in diesem speziellen Bereich eben auch eine spezifische, gesetzliche Grundlage gewünscht ist und aufgrund der Sensibilität des Bereiches besondere Schutzvorschriften einzuhalten sind.
Warum die DSK dem Grundsatz, dass ein Spezialgesetz in seinem Anwendungsbereich die generelle Regelung verdrängt, überhaupt keine Betrachtung einräumt, ist unklar. Insbesondere wäre interessant, warum insoferne mit zweierlei Maß gemessen wird, als die DSK dort, wo es um die Datenverarbeitung innerhalb des AMS geht, sehr wohl davon ausgeht, dass die entsprechenden Bestimmungen noch anzuwenden sind und nicht durch Inkrafttreten des DSG aufgehoben wurden.
Somit stellt sich die Frage: Kann man bei der DSK mit juristischen Grundlagen nicht umgehen oder ist man der Ansicht, dass für Personen, die keiner geregelten Arbeit nachgehen, auch kein Datenschutz existieren soll?
Wie damit umgehen?
Trotz der aktuellen Entscheidung der DSK ist Betroffenen jedenfalls zu raten, mittels Auskunftsbegehren vom AMS zu erfragen, welche personenbezogenen Daten dort verarbeitet werden bzw. dann, wenn man den Eindruck gewinnt, diese Daten wären nicht "vermittlungsrelevant" bzw. würden ohne Anlass an Private weitergeleitet, ein entsprechende Beschwerde an die DSK zu erheben. Es ist zu hoffen, dass die aktuelle Judikatur der DSK in diesem Bereich höchstgerichtlich korrigiert und den Betroffenen wieder zu einem Schutz vor der beliebigen Datenüberlassung an Private verholfen wird.
|