1994/12/31 Heftig umworben I
DIR 'Sehr geehrte Damen und Herren, McKinsey & Company ist eine internationale Beratungsfirma mit über 40 Büros weltweit. .....
'Sehr geehrte Damen und Herren, McKinsey & Company ist eine internationale Beratungsfirma mit über 40 Büros weltweit. ... Sie zählen zu den erfolgreichsten Studenten bzw. Absolventen der Technischen Universität Wien und somit zu jenem Kreis, den wir für McKinsey interessieren möchten. Falls eineKarriere als Unternehmensberater für Sie in Frage kommt oder Sie sich für ein zeitlich begrenztes Praktikum interessieren, würden wir Sie gerne kennenlernen.'
Das so angesprochene ARGE DATEN-Vorstandsmitglied fühlte sich zuerst einmal geschmeichelt. Von einer immerhin 40mal weltweit vertretenen Organisation, mit namhaften Niederlassungen in Städten wie CARACAS, DÜSSELDORF, MINNEAPOLIS und SAN JOSE, als 'erfolgreichster Student' angesprochen zu werden, dasist schon was.
Im zweiten Schritt wird das - fast berufsmäßige - Interesse an Datenschutzfragen geweckt. Wie kommt McKinsey überhaupt an seine Adresse? Wieso weiß McKinsey, daß er Student der TU Wien ist/war? Was weiß McKinsey über seinen Studienerfolg tatsächlich? Stutzig macht ihn die Aufforderung, sich zumelden und dabei auch einen 'Nachweis über den Studienerfolg' mitzubringen. Weiß McKinsey über seinen Studienerfolg bescheid oder nicht? Wozu noch einen Nachweis erbringen? Oder ist das Schreiben ein billiger Werbegag eines profilierungssüchtigen Direct-Mailers, der McKinsey beliebige Jungadressenals Top-Karriere-Studentenadressen verkauft hat? Fragen über Fragen.
Eine DVR-Nummer (der TU Wien) bringt Herrn K.(*) auf die Fährte. Herr K. kontaktiert McKinsey: Woher haben Sie meine Daten? Wer hat die Selektion durchgeführt? Welche Studenten haben Sie angeschrieben? Wurden nur männliche Studenten angeschrieben?
Die Reaktion ist kurz und klar, wie es sich für ein zielstrebiges Beraterunternehmen gebührt: Der TU Wien wurden etliche Briefe mit der Bitte überlassen, sie an erfolgreiche Studenten zu verteilen. Eine Datenübermittlung fand nicht statt - außer der Betroffene hat sich tatsächlich an McKinseygewandt.
Damit war McKinsey 'aus dem Schneider', übrig blieb zu klären, wie die TU Wien dazu kam, Keilerdienste für Privatfirmen zu betreiben.
K. beginnt mit der detektivischen Kleinarbeit. Mehrere Telefonate an der TU Wien bringe es zu Tage:
McKinsey hat der TU Wien postfertige Kuverts (frankiert, verschlossen) übergeben, die TU Wien hat darauf die Adreßetiketten appliziert.
Es wurden rund 50 Studenten angeschrieben, auch andere Universitäten waren beteiligt.
Das BM für Wissenschaft und Forschung war informiert, auch die Wirtschaftsuniversität hat derartige Briefe verschickt.
Die Selektionskriterien (knapp vor Studienende, Absolvierung einer bestimmten Zahl von Prüfungen in bestimmter Zeit, guter Studienerfolg) wurden durch McKinsey vorgegeben.
Geld hat die TU keines verlangt. Man dachte 'McKinsey sei so gut, da würden sich alle Studenten nur freuen' (Univ.-Dir. Schranz, TU-Wien).
Der Par. 6 DSG (Daten bei öffentlichen Stellen dürfen nur aufgrund ausdrücklicher gesetzlicher Ermächtigungen oder wenn es zur Vollziehung eines Gesetzes wesentliche Voraussetzung ist, automationsunterstützt verarbeitet werden) hat sich nicht bis zur TU Wien herumgesprochen.
Resümee der Nachforschungen: Es handelt sich um eine rechtlich unzulässige Zusatzverwertung von Studentendaten unter Mißachtung der Gebote der Effektivität und Wirtschaftlichkeit der Verwaltung (entweder die TU Wien hat zuviel ungenützte EDV-Kapazitäten oder andere Arbeiten blieben liegen), beigleichzeitig mangelndem kaufmännischen Geschick. Die in mehrmonatiger Arbeit selektierten Adressen werden bei Adressenverlagen um gut und gerne 10 S pro Stück gehandelt, wobei in diesem Fall ein Kleinmengenzuschlag verrechnet werden würde. Mit anderen Worten: McKinsey hätte am 'Markt' für auch nurhalb so gut selektierte Adressen zwischen 5.000 und 10.000 S hinlegen dürfen.
Für K. waren die Ergebnisse Anlaß genug, eine Beschwerde bei der DSK einzubringen. Unter GZ 120.434 kam es zur (Nicht-)Entscheidung durch die DSK.
Kern der Beschwerde: Das Verhalten der TU Wien ist nicht durch Par. 6 gedeckt. Es liegt kein gesetzlicher Auftrag vor und es ist auch nicht notwendig zur Erfüllung gesetzlich übertragener Aufgaben.
Im Zuge des Parteiengehörs wurden auch die tatsächlichen Auswahlkriterien offengelegt: 'Für Studenten: Anzahl der abgelegten Semesterwochenstunden pro Studienrichtung größer gleich 90 % der minimalen Semesterwochenstundenanzahl pro Studienrichtung; Anzahl der inskribierten Semester kleiner gleich12; Notendurchschnitt kleiner gleich 1,7; Ablegung der 1. Diplomprüfung und Art der Studienrichtung sind kein Auswahlkriterium. Für Absolventen: Gleiche Kriterien wie bei Studenten, Studienabschluß nicht länger zurück als zwei Jahre.'
An diesem Punkt hakt die DSK ein: Zwar seien Prüfungsergebnisse grundsätzlich schützenswert nach Par. 1 DSG, allerdings gibt es keinen Geheimhaltungsanspruch darauf, daß der Betroffene zu den besten 10 % der Studenten der TU Wien gehört.
Gleichzeitig wurde die Beschwerde aus formellen Gründen (ein Betroffener kann sich nicht darüber beschweren, wenn ein Amt gesetzwidrige Datenverarbeitungen durchführt) abgewiesen: 'Verletzungen des Par. 6 DSG können daher nur in jenem Umfang zum Gegenstand einer Beschwerde nach Par. 14 DSG gemachtwerden, in dem sie gleichzeitig eine Verletzung des Par. 1 DSG und der dort verankerten subjektiven Rechte bilden. Da eine Verletzung des Par. 1 DSG durch die den Gegenstand der Beschwerde bildenden Vorgangsweise der TU Wien nicht erfolgte, und daher auch subjektive Datenschutzrechte nicht verletztwurden, kann die Frage, wieweit Par. 6 DSG verletzt wurde, dahingestellt bleiben.'
Die DSK hat jedoch gegenüber dem BMWuF eine Empfehlung gemäß Par. 41 DSG ausgesprochen, in Zukunft derartige Verarbeitungen zu unterlassen, oder wenn sie als notwendig angesehen werden, auf eine entsprechende gesetzliche Grundlage zu drängen.
Wir sehen das Ergebnis mit einem lachenden und einem weinenden Auge:
In der Sache wurde der Rechtsstandpunkt der ARGE DATEN vollinhaltlich Rechnung getragen. Behörden dürfen nur solche Auswertungen machen, die gesetzlich vorgeschrieben sind oder zum Vollzug von Gesetzen unmittelbare Voraussetzung sind. Alle noch so 'wohlmeinenden' Zusatzverwertungen sindverboten.
Aus der Sicht eines Beschwerdeführers ist das Ergebnis absolut unbefriedigend. Eine Verwaltungsinstitution definiert mehr oder minder nach Gutdünken, wo die Sensibilitätsgrenze von Daten anzusetzen ist. Prüfungsergebnisse sind sensible Daten, der Studienerfolg ist kein sensibles Faktum.
Weiters gibt es keine Beschwerdemöglichkeit bei amtswegigen Gesetzesverletzungen, weil ja ein Amt, eine Bürokratie per Gesetz zum rechtskonformen Handeln verpflichtet ist und daher gar kein Gesetz übertreten kann. Womit wieder belegt ist, daß Österreichs Aufklärung bei Joseph II. steckengebliebenist.
Im Ergebnis dokumentiert auch diese Entscheidung der DSK, wie überfällig eine Reform des Beschwerderechts und eine Stärkung der subjektiven Betroffenenrechte gegenüber den Datenverarbeitern ist.
|