Datenschutzbehörde

Entscheidungstext DSB-D122.831/0003-DSB/201...

Entscheidende Behörde

Datenschutzbehörde

Dokumenttyp

Entscheidungstext

Entscheidungsart

Bescheid Beschwerde

Geschäftszahl

DSB-D122.831/0003-DSB/2018

Entscheidungsdatum

04.06.2018

Anfechtung beim BVwG/VwGH/VfGH

Dieser Bescheid ist rechtskräftig.

Norm

DSG §1 Abs1
DSG §24 Abs1
DSG §69 Abs4
DSGVO Art5 Abs1 lita impl
DSGVO Art5 Abs1 litb impl
DSGVO Art6 Abs1 impl
DSGVO Art57 Abs1 litf

Text

GZ: DSB-D122.831/0003-DSB/2018 vom 4.6.2018

 

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde der Frau Nora A*** (Beschwerdeführerin) vom 20. Dezember 2017 gegen den Magistrat der Stadt Wien – MA 63 (Beschwerdegegner) wegen Verletzung im Recht auf Geheimhaltung wie folgt:

      Der Beschwerde wird stattgegeben und es wird festgestellt, dass der Beschwerdegegner die Beschwerdeführerin dadurch in ihrem Recht auf Geheimhaltung verletzte, indem es unerlaubte Zugriffe zumindest am 28. November 2016 (Zeit: 14:10:10), am 3. Jänner 2017 (Zeit: 08:44:47), 28. März 2017 (Zeit: 18:46:28 und 20:56:21) und am 12. April 2017 (Zeit: 09:05:51) auf ihren elektronischen Gesundheitsakt (ihre elektronische Krankengeschichte) gab.

Rechtsgrundlagen: §§ 1, 24 und 69 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF; Art. 57 Abs. 1 lit. f und Art. 77 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), ABl. Nr. L 119 S. 1.

BEGRÜNDUNG

A.    Vorbringen der Parteien und Verfahrensgang

1.   Die Beschwerdeführerin, die Mitarbeiterin im Krankenhaus **** Wien, **** Institut, ist, wandte sich mit einer Eingabe betreffend Beschwerde gemäß § 31 Abs. 2 DSG 2000 (idF BGBl. I Nr. 83/2013) vom 20. Dezember 2017 an die Datenschutzbehörde und führte darin aus, dass ohne dienstliche Notwendigkeit Zugriffe auf ihre Daten in ihrem elektronischen Gesundheitsakt stattgefunden hätten, die unberechtigt seien.

2.   Die Datenschutzbehörde leitete aufgrund der Eingabe der Beschwerdeführerin ein Beschwerdeverfahren zur GZ D122.831 ein und forderte den Beschwerdegegner mit Schreiben vom 15. Jänner 2018 zur Stellungnahme auf.

3.   Der Beschwerdegegner teilte mit Schreiben vom 6. Februar 2018 mit, dass nach Auswertung der Zugriffsprotokolle nicht plausible Zugriffe auf den elektronischen Gesundheitsakt der Beschwerdeführerin und in weiterer Folge deren Unzulässigkeit festgestellt wurden. Eine Befassung der Personalabteilung mit diesem Sachverhalt sei eingeleitet worden.

4.   Die Datenschutzbehörde gewährte der Beschwerdeführerin mit Schreiben vom 13. Februar 2018 Parteiengehör.

5.   Die Beschwerdeführerin hat innerhalb der Frist in diesem Verfahren nicht geantwortet.

B. Beschwerdegegenstand

Auf Grund des Vorbringens der Beschwerdeführerin ergibt sich, dass Beschwerdegegenstand die Frage ist, ob der Beschwerdegegner die Beschwerdeführerin dadurch in ihrem Recht auf Geheimhaltung verletzt hat, indem es unberechtigte Zugriffe auf ihren elektronischen Gesundheitsakt gab.

C. Sachverhaltsfeststellungen

1. Die Beschwerdeführerin ist als Kanzleibedienstete der Gemeinde Wien im Krankenhaus **** Wien, **** Institut, beschäftigt.

2. Die Beschwerdeführerin ersuchte am 26. November 2017 per E-Mail an den Datenverantwortlichen des Krankenhauses **** Wien um Auskunft, wer ab dem Zeitraum 09/2015 auf ihre Daten zugegriffen habe:

[Anmerkung Bearbeiter: Der hier im Original als Faksimile wiedergegebene E-Mail-Schriftwechsel kann für Zwecke der Rechtsdokumentation nicht mit vertretbarem Aufwand pseudonymisiert wiedergegeben werden. Zusammengefasst ersuchte die Beschwerdeführerin unter Angabe von Identifikationsdaten (darunter Name, E-Mail-Adresse, Personalnummer und verwendete User-IDs) um Auskunft. Am 6. Dezember 2017 wurde die Beschwerdeführerin von einem Mitarbeiter des Krankenhauses **** um Mitwirkung ersucht und ihr gleichzeitig Auskunft erteilt. Konkret wurden in einer Tabelle ein Zugriff im Jahr 2016 und vier Zugriffe im Jahr 2017 auf Patientendaten der Beschwerdeführerin als scheinbar „nicht plausibel“ aufgelistet und die Beschwerdeführerin um ihre Einschätzung ersucht. Im Antwort-E-Mail vom selben Tag bezeichnete die Beschwerdeführerin nur einen der Zugriffe aus 2017 (Unter dem Stichwort „Notfallmedizin“) als plausibel.]

Beweiswürdigung:

Diese Feststellungen beruhen auf dem Vorbringen der Beschwerdeführerin vom 20. Dezember 2017 und den dortigen Beilagen, insbesondere der Beantwortung des Auskunftsersuchens durch den Beschwerdegegner am 6. Dezember 2017, sowie der Stellungnahme des Beschwerdegegners vom 5. Februar 2018.

D. In rechtlicher Hinsicht folgt daraus:

1. Allgemeines:

Entsprechend der ab 25. Mai 2018 geltenden Rechtslage war das bisher nach § 31 Abs. 2 DSG 2000, BGBl. I Nr. 165/1999 idF BGBl. I Nr. 83/2013, geführte Verfahren als Beschwerdeverfahren nach § 24 DSG, BGBl. I Nr. 165/1999 idgF, nach den Bestimmungen der DSG und der DSGVO fortzuführen (vgl. dazu § 69 Abs. 4 DSG).

2. Zur Zuständigkeit der Datenschutzbehörde:

Gemäß Art. 57 Abs. 1 lit. f DSGVO muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet sich mit Beschwerden einer betroffenen Person befassen.

Gemäß § 24 Abs. 1 DSG idgF hat jede betroffene Person das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt.

Die Beschwerdeführerin beschwert sich wegen einer Verletzung ihres Rechts auf Geheimhaltung sie betreffender personenbezogener Daten.

Die Datenschutzbehörde ist daher zur Entscheidung zuständig.

3. Rechtzeitigkeit:

Gemäß § 24 Abs. 4 DSG erlischt der Anspruch auf Behandlung einer Beschwerde, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behaupteter Maßen stattgefunden hat, einbringt.

Die Beschwerdeführerin hat durch die Auskunft vom 6. Dezember 2017 erstmalig von den unberechtigten Zugriffen Kenntnis erlangt. Selbst wenn man der Beschwerdeführerin Kenntnis vom beschwerenden Ereignis bereits mit 26. November 2017 unterstellen würde, wäre der Antrag (Beschwerde gemäß § 31 Abs. 2 DSG 2000) vom 20. Dezember 2017 an die Datenschutzbehörde rechtzeitig.

4. In der Sache:

Aufgrund des festgestellten Sachverhaltes ist unstrittig, dass es zu den laut Abfrageprotokoll angeführten unberechtigten Zugriffen gekommen ist. Diese Zugriffe durch eine/n Mitarbeiter/in des Beschwerdegegners konnten durch den Beschwerdegegner nicht erklärt werden. Selbst vom Beschwerdegegner wurden diese Zugriffe als unzulässig bezeichnet.

Es war daher die im Spruchpunkt lautende Feststellung zu treffen (vgl. dazu auch den Bescheid der ehemaligen Datenschutzkommission vom 25. Oktober 2013, GZ K121.990/0016-DSK/2013).

Schlagworte

Geheimhaltung, Patientendaten, interne Zugriffe, unrechtmäßige Abfrage, Übergangsfall

Anmerkung

Siehe auch Bescheid vom 6.6.2018, GZ: DSB-D122.829/0003-DSB/2018 (Auskunft)

European Case Law Identifier (ECLI)

ECLI:AT:DSB:2018:DSB.D122.831.0003.DSB.2018

Zuletzt aktualisiert am

30.11.2018

Dokumentnummer

DSBT_20180604_DSB_D122_831_0003_DSB_2018_00