Datenschutzbehörde

Rechtssätze

Hinweis: Es wurden keine Rechtssätze für das Dokument 'DSKTE_20130522_K213180_0021_DSK_2013_00' im RIS-Datenbestand gefunden.

Entscheidungstext K213.180/0021-DSK/2013

Entscheidende Behörde

Datenschutzkommission

Dokumenttyp

Entscheidungstext

Entscheidungsart

Empfehlung

Geschäftszahl

K213.180/0021-DSK/2013

Entscheidungsdatum

22.05.2013

Norm

DSG 2000 §1 Abs1;
DSG 2000 §1 Abs2;
DSG 2000 §4 Z1;
DSG 2000 §4 Z2;
DSG 2000 §30 Abs6;
DSG 2000 §46 Abs1;

Text

[Anmerkung Bearbeiter: Namen (Firmen), (Internet-)Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

E M P F E H L U N G

Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Dr. SOUHRADA-KIRCHMAYER, Mag. MAITZ-STRASSNIG, Mag. ZIMMER, Mag. HUTTERER und Dr. GUNDACKER sowie des Schriftführers Dr. SCHMIDL in ihrer Sitzung vom 22. Mai 2013 folgenden Beschluss gefasst:

Aus Anlass der Eingabe der Ärztekammer für Tirol (Einschreiterin) vom 23. Jänner 2013, betreffend Übermittlung der Auswertung der Krankenstandstage von Arbeitnehmern (Krankheitsgruppen-Statistik) an interessierte Tiroler Unternehmen mit mehr als 50 Beschäftigten über einen bestimmten Zeitraum durch die Tiroler Gebietskrankenkasse ergeht gemäß Paragraph 30, Absatz 6, DSG 2000 zur Herstellung des rechtmäßigen Zustands die folgende Empfehlung an die Tiroler Gebietskrankenkasse:

  • Strichaufzählung
    Die Tiroler Gebietskrankenkasse möge geeignete Maßnahmen ergreifen, um sicherzustellen, dass aus den übermittelten Daten ein Personenbezug zu einzelnen Mitarbeitern eines Unternehmens nicht möglich ist.

  • Strichaufzählung
    Für die Umsetzung dieser Empfehlung wird eine Fr i s t von z w e i Mo n a t e n gesetzt.

Rechtsgrundlagen: Paragraph eins, Absatz eins und 2, Paragraph 4, Ziffer eins und 2, Paragraph 30, Absatz 6 und Paragraph 46, Absatz eins, des Datenschutzgesetzes 2000 – DSG 2000, Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, idgF.

G r ü n d e f ü r d i e s e E m p f e h l u n

g

A. Vorbringen der Beteiligten und Verfahrensgang

1. In ihrer Eingabe vom 23. Jänner 2013 führte die Einschreiterin aus, dass die Tiroler Gebietskrankenkasse (TGKK) an interessierte Unternehmen in Tirol mit mehr als 50 Beschäftigten Auswertungen der Krankenstandstage ihrer Arbeitnehmer über einen bestimmten Zeitraum zur Verfügung stelle. Dabei würden folgende Informationen übermittelt: Die Arbeitnehmer würden getrennt nach männlich und weiblich angeführt, jedoch ohne Namen und Geburtsdatum. Darüber hinaus würden in der Auswertung die bei der TGKK beim jeweiligen Arbeitnehmer gespeicherten Diagnosedaten angeführt, sodass in der Krankenstandsauswertung bis zu ca. 50 bis 60 Diagnosen aufschienen. Die Einschreiterin habe Bedenken, dass es für den einzelnen Unternehmer im einen oder anderen Fall möglich sei, einen direkten Personenbezug zwischen Diagnose und Mitarbeitern herzustellen, sodass es sich bei den übermittelten Daten nicht bzw. nicht in jedem Fall um indirekt personenbezogene oder anonymisierte Daten handle. Als Beispiel werde genannt, dass ein Arbeitgeber 100 männliche und zwei weibliche Arbeitnehmer habe. Aus der von der TGKK übermittelten Auswertung ergebe sich, dass im abgelaufenen Jahr nur eine Dienstnehmerin krank gewesen sei und nur eine der Gynäkologie zuzurechnende Diagnose aufscheine. Es könne daher ein direkter Personenbezug hergestellt werden. Auch von der Dauer eines Krankenstandes, etwa im Fall einer Depression, die mit langen Krankenständen verbunden sei, könne auf eine Diagnose und damit auf bestimmte Mitarbeiter geschlossen werden.

2. Über Aufforderung zur Stellungnahme führte die TGKK aus, dass die Übermittlung der Daten eine Maßnahme zur betrieblichen Gesundheitsförderung darstelle. Die Gesundheitsförderung stelle gemäß Paragraph 116, des Allgemeinen Sozialversicherungsgesetzes – ASVG eine Aufgabe der gesetzlichen Krankenversicherung dar. Es gehe um die Verbesserung der Gesundheit und das Wohlbefinden am Arbeitsplatz. Um Betriebe bei ihren Gesundheitsförderungsprojekten zu unterstützen, biete die TGKK – wie auch alle anderen Krankenversicherungsträger – interessierten Betrieben ab 50 Personen die Möglichkeit, Krankenstandsstatistiken ihrer Mitarbeiter auf Anforderung übermittelt zu bekommen. Es würden aber keine personenbezogenen Daten übermittelt, sondern lediglich indirekt personenbezogene (anonymisierte) Daten. Eine entsprechende Meldung sei 2010 im Datenverarbeitungsregister vorgenommen worden. Um es den Arbeitgebern nicht zu ermöglichen, Rückschlüsse auf die Person des betroffenen Arbeitnehmers zu ziehen, würden die Auswertungen, bevor sie an den Dienstgeber versandt würden, überprüft und im Bedarfsfall entweder keine Auswertung getrennt nach Männern und Frauen getätigt oder es würden Diagnosegruppen zusammengefasst, sodass wiederum kein Rückschluss auf eine bestimmte Person möglich sei. Wenn es gelinge, Arbeitgeber zu sensibilisieren, ihre Arbeitsplätze so zu gestalten, dass die Gesundheit und das Wohlbefinden der Mitarbeiter verbessert würden, sei damit zu rechnen, dass langfristig gesehen die Gesundheit der Mitarbeiter wieder hergestellt werde bzw. erhalten bleibe. Die Wiederherstellung der menschlichen Gesundheit und Arbeitsfähigkeit sei seit jeher eine Kernaufgabe der gesetzlichen Krankenversicherung. Zum Beweis werde die zuletzt getätigte Auswertung in anonymisierter Form diesem Schreiben beigelegt.

Aus der der Stellungnahme beigelegten Auswertung mit der Überschrift „Krankheitsgruppen-Statistik“, Berichtsjahr 2012, ist ersichtlich, dass in einer Spalte diverse Krankheitsgruppen (wie bspw. Darminfektion, Virusinfektion, Krebsarten udgl.) angeführt sind und daneben, in weiteren Spalten, die Krankenstandsfälle, getrennt nach Männern und Frauen sowie die sich daraus ergebende Gesamtzahl der betroffenen Arbeitnehmer, und die Krankenstandstage, wiederum getrennt nach Männern und Frauen sowie die sich daraus ergebende Gesamtzahl der betroffenen Arbeitnehmer.

3. Die Einschreiterin führte zu der im Rahmen des Parteiengehörs an sie übermittelten Stellungnahme der TGKK zunächst aus, dass die Arbeitswelt ohne jeden Zweifel einen sehr großen Einfluss auf die Gesundheit der Bevölkerung habe und daher Maßnahmen zur betrieblichen Gesundheitsförderung zu begrüßen seien. Jedoch werde – mit näherer Begründung – nach wie vor die Ansicht vertreten, dass aus den Auswertungsdaten fallbezogen ein Personenbezug herstellbar sei. Darüber hinaus wurde ausgeführt, dass bspw. das Anführen einer Krankheit der weiblichen Geschlechtsorgane nur in den seltensten Fällen mit betrieblicher Gesundheitsvorsorge in Verbindung zu bringen sei und deren Auswertung daher für den von der TGKK angegebenen Zweck der betrieblichen Gesundheitsförderung nicht notwendig sei. Auch sei unklar, wer die Auswertungen erhalte Betriebsinhaber, Betriebsrat, Arbeitsmediziner).

4. In ihrer abschließenden Stellungnahme führte die TGKK zur Replik der Einschreiterin in Bezug auf die Möglichkeit von Rückschlüssen auf die Person des Arbeitnehmers aus, dass seit Herbst 2012 die Auswertung, bevor sie an den Arbeitgeber zustellt werde, händisch von einem Mitarbeiter überprüft werde. Es sei eine Arbeitsgruppe eingerichtet worden, die sich damit beschäftige, wie die Krankenstandsauswertungen so anonymisiert werden könnten, damit nachhaltig gewährleistet sei, dass durch die Auswertung Rückschlüsse auf einen betroffenen Mitarbeiter nicht möglich seien. Es werde angemerkt, dass die TGKK seit der Einleitung des Kontroll- und Ombudsmannverfahrens durch die Einschreiterin keine Krankenstandsauswertungen mehr versandt habe. Zu den Krankheitsgruppen werde ausgeführt, dass es bspw. in landwirtschaftlichen Betrieben durchaus sinnvoll sein könne, wenn Arbeitgeber in Bezug auf bspw. Wurmerkrankungen sensibilisiert würden. Auch gehäuftes Auftreten von Krebserkrankungen könnte einen Bezug zu den Arbeitsbedingungen haben. Die Auswertungen würden von der TGKK an den Arbeitsmediziner des Betriebes bzw., sofern dieser nicht bekannt sei, an den Dienstgeber/Betriebsinhaber übermittelt, keinesfalls jedoch an den Betriebsrat.

5. Die Einschreitern führte in ihrer abschließenden Stellungnahme aus, dass sie die Erlassung einer Empfehlung der Datenschutzkommission anrege.

B. Sachverhaltsfeststellungen

Es wird der folgende Sachverhalt festgestellt:

Die TGKK übermittelt an interessierte Unternehmen in Tirol mit mehr als 50 Arbeitnehmern auf Anfrage eine Krankheitsgruppen-Statistik der Arbeitnehmer für ein Berichtsjahr.

Diese statistische Auswertung ist so gestaltet, dass in einer Spalte diverse Krankheitsgruppen angeführt sind und daneben, in weiteren Spalten, die Krankenstandsfälle, getrennt nach Männern und Frauen sowie die sich daraus ergebende Gesamtzahl der betroffenen Arbeitnehmer, und die Krankenstandstage, wiederum getrennt nach Männern und Frauen sowie die sich daraus ergebende Gesamtzahl der betroffenen Arbeitnehmer.

Die Übermittlung der Krankheitsgruppen-Statistik stellt eine Maßnahme der betrieblichen Gesundheitsförderung dar.

Beweiswürdigung: Diese Feststellungen ergeben sich aus den diesbezüglich übereinstimmenden bzw. unbestrittenen Ausführungen der Einschreiterin und der TGKK sowie aus dem von der TGKK vorgelegten Muster einer Krankheitsgruppen-Statistik aus dem Berichtsjahr 2012.

C. In rechtlicher Hinsicht folgt daraus:

1. anzuwendende Rechtsvorschriften

Die relevanten Vorschriften des DSG 2000 lauten auszugsweise:

Die Verfassungsbestimmung des Paragraph eins, Absatz eins und 2 DSG 2000 lautet samt Überschrift:

„Grundrecht auf Datenschutz

Paragraph eins, (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Artikel 8, Absatz 2, der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), Bundesgesetzblatt Nr. 210 aus 1958,, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.“

Paragraph 4, Ziffer eins und 2 DSG 2000 lautet:

Paragraph 4, Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:

1. „Daten“ („personenbezogene Daten“): Angaben über Betroffene (Ziffer 3,), deren Identität bestimmt oder bestimmbar ist; „nur indirekt personenbezogen“ sind Daten für einen Auftraggeber (Ziffer 4,), Dienstleister (Ziffer 5,) oder Empfänger einer Übermittlung (Ziffer 12,) dann, wenn der Personenbezug der Daten derart ist, daß dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann;

2.„sensible Daten“ („besonders schutzwürdige Daten“): Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben;“

Paragraph 30, Absatz eins und 6 DSG 2000 lautet:

„Kontrollbefugnisse der Datenschutzkommission

Paragraph 30, (1) Jedermann kann sich wegen einer behaupteten Verletzung seiner Rechte oder ihn betreffender Pflichten eines Auftraggebers oder Dienstleisters nach diesem Bundesgesetz mit einer Eingabe an die Datenschutzkommission wenden.

[…]

(6) Zur Herstellung des rechtmäßigen Zustandes kann die Datenschutzkommission, sofern nicht Maßnahmen nach den Paragraphen 22 und 22a oder nach Absatz 6 a, zu treffen sind, Empfehlungen aussprechen, für deren Befolgung erforderlichenfalls eine angemessene Frist zu setzen ist. Wird einer solchen Empfehlung innerhalb der gesetzten Frist nicht entsprochen, so kann die Datenschutzkommission je nach der Art des Verstoßes von Amts wegen insbesondere

1. Strafanzeige nach Paragraphen 51, oder 52 erstatten, oder

2. bei schwerwiegenden Verstößen durch Auftraggeber des privaten Bereichs Klage vor dem zuständigen Gericht gemäß Paragraph 32, Absatz 5, erheben, oder

3. bei Verstößen von Auftraggebern, die Organe einer Gebietskörperschaft sind, das zuständige oberste Organ befassen. Dieses Organ hat innerhalb einer angemessenen, jedoch zwölf Wochen nicht überschreitenden Frist entweder dafür Sorge zu tragen, dass der Empfehlung der Datenschutzkommission entsprochen wird, oder der Datenschutzkommission mitzuteilen, warum der Empfehlung nicht entsprochen wurde. Die Begründung darf von der Datenschutzkommission der Öffentlichkeit in geeigneter Weise zur Kenntnis gebracht werden, soweit dem nicht die Amtsverschwiegenheit entgegensteht.“

Paragraph 46, Absatz , DSG 2000 lautet:

„Wissenschaftliche Forschung und Statistik

Paragraph 46, (1) Für Zwecke wissenschaftlicher oder statistischer Untersuchungen, die keine personenbezogenen Ergebnisse zum Ziel haben, darf der Auftraggeber der Untersuchung alle Daten verwenden, die

1. öffentlich zugänglich sind oder

2. er für andere Untersuchungen oder auch andere Zwecke zulässigerweise ermittelt hat oder

3. für ihn nur indirekt personenbezogen sind.

Andere Daten dürfen nur unter den Voraussetzungen des Absatz 2, Ziffer eins bis 3 verwendet werden.“

2. rechtliche Schlussfolgerungen

2.1. Die Datenschutzkommission anerkennt das Bemühen der TGKK durch die Bereitstellung von Krankheitsgruppen-Statistiken an Betriebe mit mehr als 50 Arbeitnehmern die betriebliche Gesundheitsförderung zu unterstützen und hegt keinen Zweifel, dass dies vom gesetzlichen Auftrag einer Krankenversicherung umfasst ist. Dies hat jedoch im Einklang mit den Bestimmungen des DSG 2000 – insbesondere des Grundrechts auf Datenschutz gemäß Paragraph eins, DSG 2000 – zu erfolgen.

2.2. Der Verfassungsgerichtshof hat ausgesprochen, dass auch bei Statistiken – die grundsätzlich nicht personenbezogen sind – sichergestellt sein muss, dass aufgrund der Veröffentlichung keine Rückschlüsse auf (schutzwürdige und durch das Grundrecht auf Datenschutz auch geschützte) Daten gezogen werden können vergleiche dazu VfSlg. 12.228/1989).

Auch Paragraph 46, Absatz eins, DSG 2000 sieht eine Privilegierung der Verwendung zulässigerweise für andere Untersuchungen oder auch andere Zwecke ermittelter Daten nur dann vor, wenn die angestrebte wissenschaftliche Untersuchung oder die Statistik keine personenbezogenen Ergebnisse zum Ziel hat.

Dieser Grundsatz ist auch auf den vorliegenden Fall anwendbar.

2.3. Ist es einem Arbeitgeber aufgrund der übermittelten Krankengruppen-Statistik nämlich möglich, den Bezug zu einem bestimmten Arbeitnehmer herzustellen, so wird der betroffene Arbeitnehmer durch den von seinem Arbeitgeber gezogenen Rückschluss in seinem schutzwürdigen Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten gemäß Paragraph eins, Absatz eins, DSG 2000 verletzt. Da es sich bei Gesundheitsdaten gemäß Paragraph 4, Ziffer 2, DSG 2000 um sensible Daten handelt, ist diesbezüglich ein besonders strenger Maßstab anzulegen.

2.4. Es wird daher empfohlen, die Krankengruppen-Statistiken so zu gestalten, dass diese für jeden anfragenden Betrieb individuell angepasst wird. Dabei wird auf den Tätigkeitsbereich des Betriebes (bspw. Bauwesen, Landwirtschaft etc.) Rücksicht zu nehmen sein, um lediglich jene Krankheitsdaten in die Statistik miteinzubeziehen, die mit der Tätigkeit dieses Betriebes typischerweise verbunden sind. Eine undifferenzierte Übermittlung sämtlicher Krankheitsdaten würde nämlich über das für die betriebliche Gesundheitsförderung erforderliche Maß hinausgehen vergleiche dazu nochmals das bereits zitierte Erkenntnis des Verfassungsgerichtshofes, in welchem er ausführte, dass auch die Erhebung von Wirtschaftsdaten auf das Erforderliche und Angemessene beschränkt zu bleiben hat).

2.5. Auch wird empfohlen, eine Trennung in männliche und weibliche Mitarbeiter – und damit einhergehend auch die Ausweisung der für diese Gruppe typischen Krankheiten (wie bspw. Krankheiten betreffend der Geschlechtsorgane) – erst dann vorzunehmen, wenn zu einer dieser Gruppen mehr als fünf Personen zu zählen sind. Diese Anzahl scheint nach Ansicht der Datenschutzkommission zu gewährleisten, dass ein Rückschluss auf bestimmte Arbeitnehmer/innen nicht möglich ist.

2.6. Es war daher gemäß Paragraph 30, Absatz 6, DSG 2000 zur Herstellung des rechtmäßigen Zustands die obige Empfehlung zu erteilen. Eine Frist von zwei Monaten scheint in Anbetracht des Umstandes, dass eine erweiterte Überprüfung der angeforderten Krankheitsgruppen-Statistiken notwendig sein wird, angemessen.

Schlagworte

Empfehlungen, Gesundheitsdaten, Statistik, Krankheitsgruppen, betriebliche Gesundheitsförderung, Krankenversicherung

Zuletzt aktualisiert am

07.06.2013

Dokumentnummer

DSKTE_20130522_K213180_0021_DSK_2013_00