Das AMS wurde in einem Verfahren vor der DSB mit einem Leistungsauftrag gem. Art 58 Abs 2 lit d DSGVO belegt. Der Bescheid ist nicht rechtskräftig.
Das AMS muss entsprechende technische und organisatorische Maßnahmen treffen, sodass das Geburtsdatum und die Sozialversicherungsnummer nicht mehr in der Betreffzeile von Erinnerungs-Emails im Hinblick auf eine neue abrufbare Nachricht im eAMS-Konto angeführt werden
Verfahren vor der DSB.
Das AMS kommuniziert mit den arbeitssuchenden Personen u.a. auch über E-Mail und informiert diese, wenn eine neue Nachricht im eAMS-Konto (Plattform) eingegangen ist.
Im Betreff der E-Mail-Kommunikation mit den arbeitssuchenden Personen verwendet das AMS u.a. auch die Sozialversicherungsnummer, wobei sich diese aus dem Geburtsdatum und einer vierstelligen Nummer zusammensetzt.
Der Beschwerdeführer erachtete sich dadurch in seinem Recht auf Geheimhaltung verletzt, da es sich um ein schutzwürdiges Datum handelt, das nicht allgemein bekannt ist.
Das AMS argumentierte, dass die Verarbeitung der Sozialversicherungsnummer zulässig sei, und sich das AMS bei der Verwendung auch im Rahmen der Effizienz und Zweckmäßigkeit, Wirtschaftlichkeit und Sparsamkeit leiten zu lassen habe. Dies schließe auch die Vergabe eines zweckmäßigen (Zu-)Ordnungskriterium für arbeitslose Personen mit ein. Ein solches Kriterium habe eindeutig, unverwechselbar und praktikabel zu sein, wobei auch Korrespondenzen des Beschwerdegegners mit diesem Ordnungskriterium zu versehen seien. Dadurch sei gewährleistet, dass Identifikationsirrtümer vermieden und fehlgeschlagene Zustellungen (etwa aufgrund falscher oder stornierter Email-Adressen) problemlos der richtigen Personen zuzuordnen seien.
Das AMS argumentierte auch, dass eine Einwilligung vorliege, da die SVNR auf freiwilliger Basis zur Verfügung gestellt wurde. Es gäbe keine Verpflichtung, die E-Mail-Adresse zur Verfügung zu stellen.
Beschwerdegegenstand
Ausgehend vom Vorbringen des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob der Beschwerdegegner den Beschwerdeführer dadurch im Recht auf Geheimhaltung verletzt hat, indem dieser das Geburtsdatum sowie die SVNR des Beschwerdeführers in der Betreffzeile einer Email vom 8. Juni 2019 angeführt hat.
Einwilligung in die (konkrete) Verarbeitung.
Das AMS kann sich nach Ansicht der DSB auf eine Einwilligung nicht berufen. Eine Beschränkung des Geheimhaltungsanspruchs nach § 1 Abs. 2 DSG durch einen Verantwortlichen des öffentlichen Bereichs ist nur auf gesetzlicher Grundlage iSv Art. 6 Abs. 1 lit. e bzw. Art. 9 Abs. 2 lit. h DSGVO möglich.
Gesetzliche Grundlage zur Verarbeitung.
Verwendung als Ordnungskriterium durch das AMS ist zulässig.
Die Verarbeitung der Sozialversicherungsnummer in Kombination mit dem Geburtsdatum durch das AMS wurde von der DSB als zulässig angesehen, da ein sozialversicherungsrechtlicher Sachverhalt in Zusammenhang mit der Arbeitslosenversicherung gegeben ist.
„Nach Rsp. der DSB darf die SVNR nicht als „genereller Identifikator“ verwendet werden, d.h. in Zusammenhängen, die mit sozialversicherungsrechtlichen Sachverhalten nichts zu tun haben; eine solche Verwendung wurde von der DSB und der ehemaligen DSK bereits wiederholt als unzulässig bezeichnet. Es wurde hingegen als nicht überschießende Datenverwendung gewertet, die SVNR dort zu verwenden, wo die eindeutige und unverwechselbare Bezeichnung des Betroffenen notwendig ist (vgl. dazu etwa die Empfehlungen der DSB vom 23. Mai 2014, GZ DSB-D213.131/0002-DSB/2014, und der ehemaligen DSK vom 19. Juli 2013, GZ K210.714/0016-DSK/2013).
Vor diesem Hintergrund erweist sich die Verwendung der SVNR in Kombination mit dem Geburtsdatum als Ordnungskriterium bzw. Geschäftszahl in dem den jeweiligen Versicherten betreffenden Verfahren als von den in § 31 Abs. 4 Z 1 ASVG und § 460d ASVG angeführten Zwecken als mitumfasst, weil damit auch die eindeutige Zuordnung von beim Beschwerdegegner ein- und ausgehenden Schriftstücken zum jeweiligen Versicherten bzw. dessen Verfahren sichergestellt wird (vgl. den Bescheid der DSB vom 17. Juli 2015, GZ DSB-D122.291/0013-DSB/2015).“
Verhältnismäßigkeit der Verwendung der SVNR im E-Mail-Betreff.
Das AMS hat sich – nach dem Vorbringen - § 31 Abs. 5 AMSG bei allen Tätigkeiten von den Grundsätzen der Effizienz bzw. Zweckmäßigkeit, Wirtschaftlichkeit und Sparsamkeit leiten zu lassen.
„Inwiefern die Verwendung des Geburtsdatums in Kombination mit der SVNR in der Betreffzeile von Erinnerungs-Emails im Hinblick auf eine neue abrufbare Nachricht im eAMS-Konto Identifikationsirrtümer vermeidet und fehlgeschlagenen Zustellungen entgegenwirkt, hat der Beschwerdegegner allerdings nicht dargelegt und ist auch nicht erkennbar.“
Das AMS hat sich – nach dem Vorbringen - § 31 Abs. 5 AMSG bei allen Tätigkeiten von den Grundsätzen der Effizienz bzw. Zweckmäßigkeit, Wirtschaftlichkeit und Sparsamkeit leiten zu lassen.
Ein Ordnungskriterium auf den im eAMS-Konto abrufbaren Dokumenten bzw. Schreiben ist zweckmäßig, allerdings ist der für die Zustellung an die betroffenen Personen maßgebliche Faktor die korrekte Email-Adresse des jeweiligen Versicherten, und nicht das in der Betreffzeile verwendete Ordnungskriterium.
Auch aus dem Inhalt des Emails und der unmittelbaren Adressierung der Versicherten („Sehr geehrte…“) ergibt sich, dass eine abrufbare Information im eAMS-Konto vorhanden ist.
„Sofern der Beschwerdeführer daher vorbringt, dass durch die Verwendung des Geburtsdatums und der SVNR in der Betreffzeile des Emails vom 8. Juli 2018 der Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO) sowie der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) verletzt wurde, ist ihm nicht entgegenzutreten, da die Verwendung der genannten Daten für die Erreichung des angestrebten Zwecks aus den dargelegten Gründen nicht erforderlich und der Beschwerdegegner gehalten ist, die Verwendung der Daten auf das für die Zwecke der Verarbeitung notwendige Maß zu beschränken.“
Es liegt daher durch diese unverhältnismäßige Verwendung der Sozialversicherungsnummer eine Verletzung des Rechts auf Geheimhaltung vor.
Der Leistungsauftrag der DSB.
Nach Art 58 Abs 2 lit d DSGVO haben Aufsichtsbehörden die Möglichkeit, einen Verantwortlichen oder Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit der DSGVO zu bringen.
Diese Möglichkeit hat die DSB im Verfahren genutzt, und folgenden Auftrag erteilt:
Dem Beschwerdegegner wird aufgetragen, innerhalb einer Frist von drei Monaten
a) entsprechende technische und organisatorische Maßnahmen zu treffen, sodass das Geburtsdatum und die Sozialversicherungsnummer nicht mehr in der Betreffzeile von Erinnerungs-Emails im Hinblick auf eine neue abrufbare Nachricht im eAMS-Konto angeführt werden und
b) der Datenschutzbehörde über die durchgeführten Maßnahmen gemäß Spruchpunkt 2 lit. a innerhalb der genannten Frist Bericht zu erstatten.
Fazit und Schlussfolgerung für Verantwortliche:
Bei der Prüfung, ob eine Verarbeitung von (schutzwürdigen) personen-bezogener Daten natürlicher Personen zulässig ist, prüft die DSB
1. Die Zulässigkeit der Verarbeitung der personenbezogenen Daten durch den Verantwortlichen generell und
2. Die konkrete Art der Verarbeitung (Verwendung) von zulässigerweise verarbeiteten personenbezogenen
Daten im Rahmen der Verhältnismäßigkeit.
Die konkrete Verwendung muss für die Erreichung angestrebten Zweck notwendig und erforderlich sein.
Ist die Verarbeitung für die Erreichung des angestrebten Zweckes nicht erforderlich, dann verstößt der
Verantwortliche gegen die Grundsätze der Zweckbindung (Art 5 Abs 1 lit b DSGVO) und Datenminimierung (Art 5 Abs 1 lit c DSGVO).
Dieses „Schema“ sollte daher auch jeder Verantwortliche bei der Prüfung der Verarbeitungen bzw. konkreten Verwendung der Daten anwenden, und insbes. bei der Offenlegung von Daten, die uU an die Öffentlichkeit geraten könnten (zB Addressierung bei Briefen, Betreff-Zeilen in E-Mails) darauf achten, keine Daten zu verwenden, die schutzwürdige Geheimhaltungsinteressen verletzen könnten.
Ein Leistungsauftrag der DSB kann sehr detailliert sein, aber der DSB ist sich bewusst, dass Veränderungen in den Abläufen Zeit benötigen, und gibt den Verantwortlichen die notwendige Zeit für die Arbeit, die notwendig ist, um eine Verarbeitung in Einklang mit der DSGVO zu bringen. Zur Lektüre von Leistungsaufträgen durch die DSB verweise ich auch auf denselben vom 16.11.2018 an eine Tagesklinik.
Kommentar schreiben
Verena Knogler (Montag, 27 Mai 2019 10:34)
Sehr geehrter Herr Mag. Dr. Schweiger, LL. M,
es scheint als wäre beim Absatz:
"Einwilligung in die (konkrete) Verarbeitung.
Das AMS kann sich nach Ansicht der DSB auf eine Einwilligung nicht berufen. Eine Beschränkung des Geheimhaltungsanspruchs nach § 1 Abs. 2 DSG durch einen Verantwortlichen des öffentlichen Bereichs ist nur auf gesetzlicher Grundlage iSv Art. 6 Abs. 1 lit. e bzw. Art. 9 Abs. 2 lit. h DSGVO."
...ein Satztzeil abhanden gekommen. Da für uns sehr relevant würde ich Sie bitten Ihre Analyse hier zu vervollständigen. Besten Dank und fG
Michael Schweiger (Montag, 27 Mai 2019 11:09)
Danke für den Hinweis. Es wurde bereits korrigiert (siehe oben).
lG
MS
JoPhi (Dienstag, 12 Januar 2021 13:17)
Sehr interessant. Wie hat sich das weiterentwickelt? Die Betreffzeilen enthalten immer noch diese Angaben. Ganz liebe Grüße, Jo
JoPhi (Donnerstag, 14 Januar 2021 11:15)
Nachtrag: Es gibt in dem sogenannten E-AMS-Konto keine Möglichkeit die Benachrichtigungen abzuschalten. Per heute gibt es 2 Möglichkeiten. a. gesammelte Benachrichtigung. b. für jede Nachricht eine Benachrichtigung. Es gibt auch keine Möglichkeit Einstellungen zur Betreffzeile zu machen, oder einzustellen, dass man anonymisierte Benachrichtigungen bekommen möchte.
Gulin (Montag, 25 Oktober 2021 16:27)
Kristina Gulin 4.10.1973.Terrassenweg 8,67434 Neustatd.Bitte ich brauche main Sozialversicherungs nummer E mail : tinagulin1973@gmail.com