Datenschutzbehörde

Entscheidungstext DSB-D122.829/0003-DSB/201...

Entscheidende Behörde

Datenschutzbehörde

Dokumenttyp

Entscheidungstext

Entscheidungsart

Bescheid Beschwerde

Geschäftszahl

DSB-D122.829/0003-DSB/2018Nächster Suchbegriff

Entscheidungsdatum

06.06.2018

Anfechtung beim BVwG/VwGH/VfGH

Dieser Bescheid ist rechtskräftig.

Norm

DSG §24 Abs1
DSG §69 Abs4
DSG 2000 §14 Abs4
DSGVO Art4 Z2
DSGVO Art4 Z9
DSGVO Art4 Z10
DSG §24 Abs5
DSGVO Art15 Abs1 litc
DSGVO Art58 Abs2 litc

Text

GZ: Vorheriger SuchbegriffDSBNächster Suchbegriff-D122.829/0003-Vorheriger SuchbegriffDSBNächster Suchbegriff/2018 vom 6.6.2018

 

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde der Frau Nora A*** (Beschwerdeführerin) vom 20. Dezember 2017 gegen den Magistrat der Stadt Wien – MA 63 (Krankenhaus **** Wien) (Beschwerdegegner) wegen Verletzung im Recht auf Auskunft in Folge unvollständig erteilter Auskunft wie folgt:

1.    Der Beschwerde wird stattgegeben und es wird festgestellt, dass der Beschwerdegegner die Beschwerdeführerin in ihrem Recht auf Auskunft dadurch verletzt hat, indem er ihr nicht beauskunftet hat, wer konkret auf ihren Krankenakt zugegriffen hat.

2.    Der Beschwerdegegner wird angewiesen, innerhalb einer Frist von zwei Wochen die Auskunft zu erteilen.

Rechtsgrundlagen: §§ 24 und 69 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF; Art. 15, Art. 57 Abs. 1 lit. f, Art. 58 Abs. 2 lit. c und Art. 77 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), ABl. Nr. L 119 S. 1.

BEGRÜNDUNG

A. Vorbringen der Parteien und Verfahrensgang

1.           Die Beschwerdeführerin, die Mitarbeiterin im Krankenhaus **** Wien, **** Institut, ist, wandte sich mit einer Eingabe gemäß § 31 Abs. 1 DSG 2000 (BGBl. I Nr. 165/1999 idF BGBl. I Nr. 83/2013) vom 20. Dezember 2017 an die Datenschutzbehörde und führte darin aus, dass der Beschwerdegegner als Vertreter des Krankenhauses **** Wien keine vollständige Auskunft bzw. keine Auskunft darüber gegeben habe, wer konkret unbefugt auf ihre Daten in ihrem elektronischen Gesundheitsakt zugegriffen habe.

2.           Die Datenschutzbehörde leitete aufgrund der Eingabe der Beschwerdeführerin ein Beschwerdeverfahren zur GZ D122.829 ein und forderte den Beschwerdegegner mit Schreiben vom 15. Jänner 2018 zur Stellungnahme auf. Gleichzeitig wurde aufgrund einer Beschwerde der Beschwerdeführerin gegen den Beschwerdegegner wegen einer behaupteten Verletzung im Recht auf Geheimhaltung durch die genannten Zugriffe ein Verfahren nach § 31 Abs. 2 DSG 2000 eingeleitet und zur GZ Vorheriger SuchbegriffDSBNächster Suchbegriff-D122.831 protokolliert.

3.           Der Beschwerdegegner teile mit Schreiben vom 6. Februar 2018 mit, dass einer konkreten Auskunftserteilung über die Zugriffe auf Dokumente der elektronischen Krankengeschichte die Bestimmung des § 14 Abs. 4 DSG 2000 entgegenstehe und die Auskunft daher nicht erteilt werden könne.

4.           Im Rahmen des am 13. Februar 2018 erteilten Parteiengehörs brachte die Beschwerdeführerin vor, dass es sich beim Beschwerdegegenstand Auskunft ihrer Meinung nach um Amtsmissbrauch und Verletzung der Fürsorgepflicht durch den Arbeitgeber „Gemeinde Wien, KAV, Dienststelle Krankenhaus **** Wien“ handle. Weitere Unterlage bezüglich Verletzung der Fürsorgepflicht könnten beigebracht werden.

B. Beschwerdegegenstand

Aufgrund des Vorbringens der Beschwerdeführerin ergibt sich, dass Beschwerdegegenstand die Frage ist, ob der Beschwerdegegner die Beschwerdeführerin dadurch in ihrem Recht auf (vollständige) Auskunft verletzt hat, indem der Beschwerdegegner auf § 14 Abs. 4 DSG 2000 verwies, wonach die Verwendung von Protokolldaten nicht für andere Zwecke, als der Kontrolle der Zulässigkeit der Verwendung des protokollierten Datenbestandes, erlaubt ist, und somit nicht beauskunftet werden durfte, wer konkret auf die Daten der Beschwerdeführerin zugegriffen hat.

C. Sachverhaltsfeststellungen

1.           Die Beschwerdeführerin ist als Kanzleibedienstete der Gemeinde Wien im Krankenhaus **** Wien, **** Institut, beschäftigt.

2.           Die Beschwerdeführerin ersuchte am 26. November 2017 per E-Mail an den Datenverantwortlichen des Krankenhauses **** um Auskunft, wer ab dem Zeitraum 09/2015 auf ihre Daten zugegriffen habe:

[Anmerkung Bearbeiter: Der hier im Original als Faksimile wiedergegebene E-Mail-Schriftwechsel kann für Zwecke der Rechtsdokumentation nicht mit vertretbarem Aufwand pseudonymisiert wiedergegeben werden. Zusammengefasst ersuchte die Beschwerdeführerin unter Angabe von Identifikationsdaten (darunter Name, E-Mail-Adresse, Personalnummer und verwendete User-IDs) um Auskunft. Am 6. Dezember 2017 wurde die Beschwerdeführerin von einem Mitarbeiter des Krankenhauses **** um Mitwirkung ersucht und ihr gleichzeitig Auskunft erteilt. Konkret wurden in einer Tabelle ein Zugriff im Jahr 2016 und vier Zugriffe im Jahr 2017 auf Patientendaten der Beschwerdeführerin als scheinbar „nicht plausibel“ aufgelistet und die Beschwerdeführerin um ihre Einschätzung ersucht. Im Antwort-E-Mail vom selben Tag bezeichnete die Beschwerdeführerin nur einen der Zugriffe aus 2017 (Unter dem Stichwort „Notfallmedizin“) als plausibel.]

3. Mit Schreiben des Beschwerdegegners vom 5. Februar 2018 zur GZ Vorheriger SuchbegriffDSBNächster Suchbegriff-D122.831/0001-Vorheriger SuchbegriffDSBNächster Suchbegriff/2018 gab dieser zu den Zugriffen folgende Stellungnahme ab (Hervorhebung durch Datenschutzbehörde):

„Vom Datenverantwortlichen des Krankenhauses **** wurden dementsprechend die Zugriffsprotokolle ausgewertet, wobei unplausible Zugriffe von einer Person festgestellt wurden. Gemäß den Krankenhaus ****-internen Prozessabläufen wurde eine Stellungnahme von der/dem betreffenden Krankenhaus ****-MitarbeiterIn eingeholt. Die Bewertung der Stellungnahme ergab, dass diese Zugriffe nicht auf Basis eines Behandlungs- bzw. Betreuungsverhältnisses oder einer sonstigen rechtlichen Grundlage erfolgten und somit unzulässig waren.“

4. Mit Bescheid vom 4. Juni 2018, GZ Vorheriger SuchbegriffDSBNächster Suchbegriff-D122.831/0003-Vorheriger SuchbegriffDSBNächster Suchbegriff/2018, wurde der Beschwerde wegen einer behaupteten Verletzung im Recht auf Geheimhaltung infolge unzulässiger Zugriffe stattgegeben.

Beweiswürdigung: Diese Feststellungen beruhen auf dem Vorbringen der Beschwerdeführerin vom 20. Dezember 2017 und den dortigen Beilagen, sowie der Stellungnahme des Beschwerdegegners vom 6. Februar 2018. Ebenso beruhen diese Feststellungen auf den zitierten Dokumenten im Verfahren zur GZ Vorheriger SuchbegriffDSBNächster Suchbegriff-D122.831.

D. In rechtlicher Hinsicht folgt daraus:

1. Allgemeines:

Entsprechend der ab 25. Mai 2018 geltenden Rechtslage war das bisher nach § 31 Abs. 1 DSG 2000, BGBl. I Nr. 165/1999 idF BGBl. I Nr. 83/2013, geführte Verfahren als Beschwerdeverfahren nach § 24 DSG, BGBl. I Nr. 165/1999 idgF, nach den Bestimmungen der DSG und der DSGVO fortzuführen (vgl. dazu § 69 Abs. 4 DSG).

2. Zur Zuständigkeit der Datenschutzbehörde:

Gemäß Art. 57 Abs. 1 lit. f DSGVO muss jede Aufsichtsbehörde in ihrem Hoheitsgebiet sich mit Beschwerden einer betroffenen Person befassen.

Gemäß § 24 Abs. 1 DSG hat jede betroffene Person das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück verstößt.

Die Beschwerdeführerin beschwert sich wegen einer Verletzung ihres Rechts auf Auskunft sie betreffende personenbezogene Daten.

Die Datenschutzbehörde ist daher zur Entscheidung zuständig.

3. Rechtzeitigkeit:

Gemäß § 24 Abs. 4 DSG erlischt der Anspruch auf Behandlung einer Beschwerde, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behaupteter Maßen stattgefunden hat, einbringt.

Die Beschwerdeführerin hat durch die Auskunft vom 6. Dezember 2017 erstmalig von den unberechtigten Zugriffen Kenntnis erlangt. Selbst wenn man der Beschwerdeführerin Kenntnis vom beschwerenden Ereignis bereits mit 26. November 2017 unterstellen würde, wäre der Antrag (Beschwerde gemäß § 31 Abs. 2 DSG 2000) vom 20. Dezember 2017 an die Datenschutzbehörde rechtzeitig.

4. In der Sache:

Zu Spruchpunkt 1:

Art. 15 DSGVO lautet:

Auskunftsrecht der betroffenen Person

(1) Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

a) die Verarbeitungszwecke;

b) die Kategorien personenbezogener Daten, die verarbeitet werden;

c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;

d) falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

e) das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

f) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

g) wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

h) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

(2) Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Artikel 46 im Zusammenhang mit der Übermittlung unterrichtet zu werden.

(3) Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Stellt die betroffene Person den Antrag elektronisch, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt.

(4) Das Recht auf Erhalt einer Kopie gemäß Absatz 1b darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.“

Artikel 4 Z 2 DSGVO lautet:

"Verarbeitung" jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

§ 14 Abs. 4 DSG 2000 lautete:

„Protokoll- und Dokumentationsdaten dürfen nicht für Zwecke verwendet werden, die mit ihrem Ermittlungszweck – das ist die Kontrolle der Zulässigkeit der Verwendung des protokollierten oder dokumentierten Datenbestandes – unvereinbar sind. Unvereinbar ist insbesondere die Weiterverwendung zum Zweck der Kontrolle von Betroffenen, deren Daten im protokollierten Datenbestand enthalten sind, oder zum Zweck der Kontrolle jener Personen, die auf den protokollierten Datenbestand zugegriffen haben, aus einem anderen Grund als jenem der Prüfung ihrer Zugriffsberechtigung, es sei denn, daß es sich um die Verwendung zum Zweck der Verhinderung oder Verfolgung eines Verbrechens nach § 278a StGB (kriminelle Organisation) oder eines Verbrechens mit einer Freiheitsstrafe, deren Höchstmaß fünf Jahre übersteigt, handelt.“

Die Beschwerdeführerin hat mit Schreiben vom 26. November um Auskunft ersucht, wer im Zeitraum September 2015 bis dato (26. November 2017) auf ihre Daten zugegriffen hat.

Art. 15 DSGVO sieht keine besondere Form für das Auskunftsbegehren vor.

In diesem Fall hat die Beschwerdeführerin schriftlich per E-Mail um Auskunft ersucht und die Antwort wunschgemäß auch per E-Mail erhalten.

Für die Beurteilung, ob ein datenschutzrechtliches Auskunftsbegehren vorliegt, ist das Begehren auf seinen Inhalt zu prüfen, wobei jener Maßstab anzulegen ist, der auch für einseitige privatrechtliche Willenserklärungen gilt (Wortlaut und Verständnis der Erklärung aus objektiver Sicht; ,wie sie der Empfänger nach ihrem Wortlaut und dem Geschäftszweck bei objektiver Betrachtung verstehen konnte´, OGH EvBl 1974/185 [Kündigung]; vgl. dazu das Erkenntnis des Bundesverwaltungsgerichtes vom 17. April 2015, GZ W214 2010977-1).

Die Beschwerdeführerin hat in ihrem als Auskunftsbegehren gemäß Art. 15 DSGVO zu wertendem E-Mail vom 26. November 2017 unmissverständlich zu erkennen gegeben, dass sie nur um Beauskunftung der durch andere Mitarbeiter des Beschwerdegegners getätigten Zugriffe auf ihre Gesundheitsdaten (Krankengeschichte) ersucht.

Zur begehrten Beauskunftung interner Zugriffe:

Nach dem Erkenntnis des Bundesverwaltungsgerichts zur GZ W214 2117640-1 vom 11. Juli 2017 zur Frage, ob Protokolldaten nach § 14 DSG 2000 zu beauskunften sind, unterliegen Abfragen von Mitarbeitern des Verantwortlichen, die sich innerhalb des ursprünglichen Aufgabengebietes bewegen, nicht der Auskunftspflicht, solange sie keine Übermittlungen darstellen.

Diese Rechtsprechung ist auf die neue Rechtslage übertragbar.

Auch nach Art. 15 Abs. 1 lit. c DSGVO sind Empfänger, gegenüber denen Daten offengelegt worden sind, zu beauskunften.

Nach Art. 4 Z 9 DSGVO ist „Empfänger“ eine natürlich oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht.

Art. 4 Z 10 DSGVO definiert „Dritter“ als eine natürlich oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

Wie der Beschwerdegegner im Verfahren zur GZ Vorheriger SuchbegriffDSBNächster Suchbegriff-D122.831 selbst zugestanden hat, waren die genannten Zugriffe unzulässig, weil es keine rechtliche Begründung dafür gab. Damit steht aber fest, dass diese Zugriffe durch einen „Dritten“ erfolgt sind, weil die abfragende Person „nicht befugt war, die personenbezogenen Daten zu verarbeiten.“

Gemäß der oben zitierten Rechtsprechung des Bundesverwaltungsgerichtes unterliegen die verfahrensgegenständliche Zugriffe daher der Auskunftspflicht nach Art. 15 DSGVO.

Zu Spruchpunkt 2:

Der Leistungsauftrag stützt sich auf Art. 58 Abs. 2 lit. c DSGVO iVm § 24 Abs. 5 DSG, wobei die in § 24 Abs. 5 leg. cit. normierte Einschränkung auf Verantwortliche des privaten Bereiches aufgrund des unmittelbaren Vorranges des Unionsrechts unangewendet zu bleiben hat.

Soweit die Beschwerdeführerin dem Beschwerdegegner einen Missbrauch der Amtsgewalt vorwirft, ist zur Entscheidung in gerichtlichen Strafsachen die Datenschutzbehörde ebenso wenig wie für arbeits-und sozialgerichtliche Streitigkeiten zuständig.

Schlagworte

Auskunft, Patientendaten, interne Zugriffe, Dritter, Übermittlung, Zweckänderung, unrechtmäßige Abfrage, Name des Abfragers, Leistungsauftrag, Anwendungsvorrang Unionsrecht, Übergangsfall

Anmerkung

Siehe auch Bescheid vom 4.6.2018, GZ: Vorheriger SuchbegriffDSBNächster Suchbegriff-D122.831/0003-Vorheriger SuchbegriffDSBNächster Suchbegriff/2018 (Geheimhaltung)

European Case Law Identifier (ECLI)

ECLI:AT:Vorheriger SuchbegriffDSBNächster Suchbegriff:2018:Vorheriger SuchbegriffDSBNächster Suchbegriff.D122.829.0003.Vorheriger SuchbegriffDSB.2018

Zuletzt aktualisiert am

30.11.2018

Dokumentnummer

DSBT_20180606_DSB_D122_829_0003_DSB_2018_00