Datenschutzbehörde

Entscheidungstext DSB-D213.462/0001-DSB/201...

Entscheidende Behörde

Datenschutzbehörde

Dokumenttyp

Entscheidungstext

Entscheidungsart

Empfehlung

Geschäftszahl

DSB-D213.462/0001-DSB/2016Nächster Suchbegriff

Entscheidungsdatum

24.05.2016

Anfechtung beim BVwG/VwGH/VfGH

Diese Empfehlung wird nicht rechtskräftig und kann nicht beim BVwG angefochten werden.

Norm

DSG 2000 §1 Abs1
DSG 2000 §4 Z2
DSG 2000 §6 Abs1 Z1
DSG 2000 §14 Abs1
DSG 2000 §14 Abs2 Z5
DSG 2000 §14 Abs2 Z6
DSG 2000 §30 Abs6

Text

GZ: Vorheriger SuchbegriffDSBNächster Suchbegriff-D213.462/0001-Vorheriger SuchbegriffDSBNächster Suchbegriff/2016 vom 24.5.2016

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

 

EMPFEHLUNG

Die Datenschutzbehörde spricht aus Anlass der Meldung der N*** Aktiengesellschaft aus P*** (Auftraggeberin), vertreten durch die D*** Rechtsanwälte OG in P***, vom 21. April 2016, betreffend Verlust eines Datenträgers mit teilweise sensiblen personenbezogenen Daten folgende Empfehlung aus:

1.   Die Auftraggeberin möge durch technische Vorkehrungen und entsprechende Verpflichtung ihrer Dienstleister sicherstellen, dass

a.   die Überlassung sensibler personenbezogener Daten, einschließlich des Datentransfers durch den Austausch von Datenträgern, nur unter dem Schutz einer dem Stand der technischen Möglichkeiten entsprechenden und wirtschaftlich vertretbaren Verschlüsselung erfolgt, und

b.   die zur Entschlüsselung des Datenträgers oder der Datei erforderlichen Daten getrennt vom Datenträger oder der Datei ausgetauscht werden.

2.   Diese Empfehlung ist sofort, das heißt bei der nächsten Datenüberlassung, umzusetzen.

Rechtsgrundlagen: § 1 Abs. 1, § 4 Z 2, § 6 Abs. 1 Z 1, § 14 Abs. 1 und Abs. 2 Z 5 und 6 und § 30 Abs. 6 des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999 idgF.

 

Gründe für diese Empfehlung

A. Vorbringen der Auftraggeberin

Die Auftraggeberin hat sich, anwaltlich vertreten, als datenschutzrechtlich Verantwortliche mit Schreiben vom 21. April 2016 an die Datenschutzbehörde gewendet und folgenden Sachverhalt gemeldet:

Im Rahmen einer Projektumstellung wurde ein Call-Center-Dienstleister gewechselt. Aufgabe des Call-Center-Dienstleisters ist es, Patienten, die mit den von der N*** AG entwickelten, produzierten und vertriebenen Arzneimittelspezialitäten „X***“ und „Y***“ behandelt werden („Patientenserviceprogramm“), und Abonnenten der Zeitschrift „Z***“ zu betreuen. Dem bisherigen Dienstleister wurde im Zuge der Beendigung der Dienstleistung gemäß § 11 Abs. 1 Z 5 DSG 2000 aufgetragen, die im Namen von der Auftraggeberin verarbeiteten Daten in Form einer DVD an die Auftraggeberin herauszugeben. Der Transport der DVD vom alten Dienstleister zur N*** Österreich Zentrale in P*** wurde am 14.4.2016 von einem verlässlichen Mitarbeiter der Auftraggeberin durchgeführt, der bereits derartige Transporte ohne Probleme durchgeführt hat. Dennoch ging der Datenträger während des Transports verloren. Bislang wurde die DVD nicht wieder gefunden.

Die DVD ist nicht beschriftet und daher von außen nicht als DVD der Auftraggeberin erkennbar. Es gibt derzeit keinen Hinweis darauf, dass die Daten-DVD in die Hände unbefugter Dritter gelangt ist und/oder dass die Daten darauf systematisch missbräuchlich verwendet werden bzw. werden sollen. Man halte diese Gefahr, auch aufgrund der für Laien nicht verständlichen Aufbereitung der Daten, für eher gering. Da durch diesen Vorfall ein systematischer Missbrauch der personenbezogenen Daten der Betroffenen durch einen böswilligen Finder denkbar ist und ihnen dadurch ein potentieller Schaden drohen könnte – so könnten Dritte die Informationen verwenden, um das Vertrauen der Betroffenen zu erschleichen – hat die Auftraggeberin die Teilnehmer des Patientenprogramms und die Abonnenten mit den angeschlossenen Informationsschreiben über den Datenverlust im Sinne des § 24 Abs. 2a DSG 2000 informiert.

Im Detail sind auf der DVD die folgenden Datenarten von Teilnehmern am Patientenprogramm enthalten: Kundennummer, Betreuungseinrichtung (z.B. Krankenhaus und Krankenhausabteilung), Name, Anschrift, Kontaktdaten (Telefon- und/oder Faxnummer und E-Mail-Adresse), Bestellungen, Therapieinformationen, behandelnde Ärzte und Krankenschwestern/Krankenpfleger, Protokolle und technisch relevante Anmerkungen über Telefonate der Betroffenen mit dem ehemaligen Call-Center-Dienstleister im Rahmen der Erbringung der Patientenserviceprogramme und etwaiges Abonnement der Patientenzeitschrift „Z***“.

Im Detail sind auf der DVD die folgenden Datenarten von (nur) Abonnenten enthalten: Kundennummer, Name, Anschrift, Kontaktdaten (Telefon- und/oder Faxnummer und E-Mail-Adresse), Status als Abonnement der Zeitschrift „Z***“ und Protokolle und technisch relevante Anmerkungen über Telefonate der Betroffenen mit dem ehemaligen Call-Service-Dienstleister im Rahmen des Abonnements.

Die Daten stammen aus den Standardanwendungen SA001 (z.B. Bestellungen), SA022 (z.B. Betreuungsdaten wie Telefonate und das Zeitungsabonnement) und aus der beim DVR gemeldeten Datenanwendung „Patientenservice“, DAN-Nr. ****. Zur Erbringung der Call-Center-Dienstleistungen des Patientenservices hatte der Auftraggeber den Dienstleister F*** e.U. beauftragt und mit ihm einen Dienstleistervertrag gemäß § 11 DSG 2000 abgeschlossen.

Zur weiteren Information und Betreuung der betroffenen Personen wurde eine Hotline eingerichtet. Von dem Vorfall Betroffene können sich bei Fragen oder Auskunftsersuchen daher jederzeit an die Auftraggeberin wenden; die Auftraggeberin nimmt ihre datenschutzrechtliche Verantwortung vollumfänglich wahr. Weitere Maßnahmen, insbesondere die Prüfung der relevanten Bereiche durch externe Experten und die Setzung entsprechender Maßnahmen, sind bereits in die Wege geleitet. Speziell zur zukünftigen Vermeidung eines solches Vorfalles wird die Auftraggeberin entsprechende interne Standards weiter verstärken.

B. Sachverhaltsfeststellungen

Die Datenschutzbehörde legt die glaubwürdige Darstellung der Auftraggeberin ihren rechtlichen Erwägungen zugrunde, ergänzt um die Feststellung (nach Überprüfung der Behandlungszwecke der angegebenen Arzneimittelspezialitäten „X***“ und „Y***“ mittels öffentlich verfügbarer Quellen), dass es sich bei „Z***“ hier um die unheilbare ***erkrankung [Anmerkung Bearbeiter: genaue Bezeichnung der Krankheit aus Pseudonymisierungsgründen entfernt] handelt.

C. In rechtlicher Hinsicht folgt daraus:

Aus dem Sachverhalt ergibt sich die klare Schlussfolgerung, dass die Auftraggeberin sensible Daten, nämlich solche, bei denen auf eine Erkrankung von Betroffenen (Patienten) an Z*** geschlossen werden kann, verloren hat.

Ein derartiger Verlust sensibler Gesundheitsdaten, auch wenn er bisher keine negativen Folgen für die Betroffenen gehabt hat, stellt eine Verletzung datenschutzrechtlicher Verpflichtungen dar, da sich aus § 6 Abs. 1 Z 1 iVm § 14 Abs. 1 und Abs. 2 Z 5 und 6 DSG 2000 eine Pflicht der Auftraggeberin ergibt, stets die Kontrolle über die im eigenen Zuständigkeitsbereich verarbeiteten Daten aufrecht zu erhalten und Datenträger gegen die Einsicht und Verwendung durch Unbefugte zu sichern. Die Beförderung des unverschlüsselten Datenträgers durch einen als zuverlässig eingestuften Boten war hier nicht ausreichend. Auch droht den Betroffenen weiterhin ein Schaden für ihre Privatsphäre und ihr Geheimhaltungsrecht, solange der Datenträger sich nicht wieder im Machtbereich der Auftraggeberin befindet. Daher hat die Auftraggeberin jedenfalls im Sinne des Gesetzgebers richtig gehandelt, als sie sich im Zweifel für die Pflicht nach § 24 Abs. 2a DSG 2000 entschieden und die Betroffenen verständigt hat. Ein Zweifelsfall liegt hier vor, da der Tatbestand der systematischen unrechtmäßigen Datenverwendung nicht nachgewiesen ist. Dieser wäre zweifelsfrei beispielsweise dann erfüllt, wenn der Datenträger von einem Dritten eingesehen und der Dateninhalt veröffentlicht würde, was hier nicht geschehen ist, aber auch noch nicht auf Dauer ausgeschlossen werden kann.

Daher war gegenüber der Auftraggeberin zur Vermeidung zukünftiger Fälle die Empfehlung auszusprechen, das pflichtgemäße Maß an Datensicherheit beim Transfer sensibler Daten durch die Anwendung einer § 14 Abs. 1 DSG 2000 entsprechenden Datensicherung durch Verschlüsselung herzustellen. Weiters war klarzustellen, dass die zur Entschlüsselung erforderlichen Daten (etwa ein Passwort) nicht gemeinsam mit dem Datenträger oder der Datei befördert oder ausgetauscht werden dürfen.

Zweck dieser Empfehlung ist es insbesondere, sicherzustellen, dass bei einem Verlust des Datenträgers während des Transportes (etwa durch Diebstahl des Transportbehälters oder Fahrlässigkeit des Boten) die Daten von einem unbefugten Empfänger nicht einfach im Klartext gelesen und nach Kenntnisnahme vom Inhalt eventuell auch unredlich verwertet werden können. Die Datenschutzbehörde geht dabei davon aus, dass die Dateninhalte im gegenständlichen Fall selbst nicht Ziel eines gefährlichen Angriffs waren, sondern dass lediglich eine Schutzvorkehrung gegen den unvorhergesehenen Verlust der Daten geboten ist.

Es war folglich gemäß § 30 Abs. 6 DSG 2000 zur Herstellung des rechtmäßigen Zustandes die obige Empfehlung zu erteilen. Die Einräumung einer Frist scheint nicht geboten zu sein, da gebrauchsfertige Verschlüsselungsprogramme erhältlich sind und die Auftraggeberin sich ohnehin in einem Prozess des Wechsels des Dienstleisters befindet.

Schlagworte

Empfehlung, Amtswegiges Prüfverfahren, Meldung eines Auftraggebers, Pharmaunternehmen, sensible Daten, Verlust eines Datenträgers, Datensicherheit, Verschlüsselung

European Case Law Identifier (ECLI)

ECLI:AT:Vorheriger SuchbegriffDSBNächster Suchbegriff:2016:Vorheriger SuchbegriffDSBNächster Suchbegriff.D213.462.0001.Vorheriger SuchbegriffDSB.2016

Zuletzt aktualisiert am

30.05.2016

Dokumentnummer

DSBT_20160524_DSB_D213_462_0001_DSB_2016_00