Entscheidende Behörde

Datenschutzbehörde

Entscheidungsdatum

29.06.2023

Geschäftszahl

2023-0.420.407

Anfechtung beim BVwG/VwGH/VfGH

Dieses Straferkenntnis ist teilweise rechtskräftig. Es ist mit Bescheidbeschwerde an das Bundesverwaltungsgericht (BVwG) vom 26. Juli 2023 nur hinsichtlich der Strafhöhe angefochten worden.

Text

GZ: 2023-0.420.407 vom 29. Juni 2023 (Verfahrenszahl: DSB-D550.747)


[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

Straferkenntnis

Beschuldigter: Dr. Dieter N***, geb. am **.**.1960

Sie haben als Verantwortlicher im Sinne des Artikel 4, Ziffer 7, der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: „DSGVO“), ABl. Nr. L 119 vom 04.05.2016 S. 1 idgF, nachstehenden Sachverhalt verwirklicht und dadurch folgende Verwaltungsübertretung(en) begangen:

-      Sie haben in ihrer Rolle als Verantwortlicher jedenfalls im Zeitraum von 27.09.2022 bis 03.10.2022 besondere Kategorien personenbezogener Daten im Bundesgebiet Österreich unrechtmäßig verarbeitet, indem Sie in Reaktion auf eine W***net-Rezension Gesundheitsdaten von Frau Karina U*** veröffentlicht haben. Dies, ohne dass eine Ausnahme des Verarbeitungsverbotes besonderer Kategorien personenbezogener Daten gemäß Artikel 9, Absatz 2, DSGVO vorgelegen ist.

Sie haben dadurch folgende Vorgaben der DSGVO verletzt:

      Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Artikel 9, DSGVO

      Grundsatz der Verarbeitung von personenbezogenen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise gemäß Artikel 5, Absatz eins, Litera a, DSGVO („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“)

      Grundsatz der Verarbeitung von personenbezogenen Daten für festgelegte, eindeutige und legitime Zwecke gemäß Artikel 5, Absatz eins, Litera b, DSGVO („Zweckbindung“)

      Grundsatz der dem Zweck angemessenen und erheblichen sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkte Verarbeitung von personenbezogenen Daten gemäß Artikel 5, Absatz eins, Litera c, DSGVO („Datenminimierung“)

Verwaltungsübertretung(en) nach:

Artikel 5, Absatz eins, Litera a,, Litera b und Litera c, sowie Artikel 9, Absatz eins, in Verbindung mit Artikel 83, Absatz eins, und 5 Litera a, DSGVO ABl. L 2016/119, S. 1, idgF

Wegen dieser Verwaltungsübertretung wird folgende Strafe verhängt:

[Anmerkung Bearbeiter/in: Dieses Straferkenntnis ist hinsichtlich der festgesetzten Höhe der Strafe beim Bundesverwaltungsgericht angefochten worden und daher, Stand November 2023, in diesem Punkt nicht rechtskräftig.]

Geldstrafe von Euro

falls diese uneinbringlich ist, Ersatzfreiheitsstrafe von

gemäß

10.000,00 Euro

336 Stunden

Artikel 83, Absatz 5, Litera a, DSGVO in Verbindung mit Paragraph 16, Verwaltungsstrafgesetz 1991 – VStG

Ferner haben Sie gemäß Paragraph 64, des Verwaltungsstrafgesetzes 1991 – VStG zu zahlen:

1.000,00

Euro als Beitrag zu den Kosten des Strafverfahrens, das sind 10% der Strafe, mindestens jedoch 10 Euro;

     

Euro als Ersatz der Barauslagen für

     

Der zu zahlende Gesamtbetrag (Strafe/Kosten/Barauslagen) beträgt daher

11.000,00

Euro

Zahlungsfrist:

Wird keine Beschwerde erhoben, ist dieses Straferkenntnis sofort vollstreckbar. Der Gesamtbetrag ist in diesem Fall binnen zwei Wochen nach Eintreten der Rechtskraft auf das Konto [hier gekürzt] lautend auf die Datenschutzbehörde, einzuzahlen. Als Verwendungszweck möge die Geschäftszahl sowie das Erledigungsdatum angegeben werden.

Erfolgt binnen dieser Frist keine Zahlung, kann der Gesamtbetrag eingemahnt werden. In diesem Fall ist ein pauschalierter Kostenbeitrag in der Höhe von fünf Euro zu entrichten. Erfolgt dennoch keine Zahlung, wird der ausstehende Betrag vollstreckt und im Fall seiner Uneinbringlichkeit die diesem Betrag entsprechende Ersatzfreiheitsstrafe vollzogen.

Begründung:

1.        Folgender entscheidungsrelevanter Sachverhalt steht auf Grund des durchgeführten Beweisverfahrens fest:

1.1.       Der Beschuldigte ist Facharzt für Gynäkologie und Geburtshilfe und betreibt eine Kassenordination an der Adresse K***platz **4, **** T***.

1.2.      Frau Karina U*** (in weiterer Folge: die Betroffene) hat am 21. September 2022 aufgrund einer akuten gesundheitlichen Beschwerde die Ordination des Beschwerdegegners aufgesucht. Der Beschwerdegegner diagnostizierte bei ihr eine Scheideninfektion.

1.3.      Am 26. September 2022 verfasste die Betroffene unter ihrem Klarnamen folgende W***net-Rezension:

[Anmerkung Bearbeiter/in: Das an dieser Stelle als Faksimile (grafische Datei) wiedergegebene Rezension der Frau U*** kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt. Sie enthält sinngemäß folgenden Inhalt (nicht wörtlich wiedergegeben): Als Arzt nicht zu empfehlen. Er hat sich mir gegenüber herablassend verhalten, keine Spur von Empathie und ist absolut nicht auf mich als Patientin eingegangenen, auch als ich verzweifelt war und zu weinen begonnen habe. Fragte mich nicht einmal nach dem Grund für den Arztbesuch, und ich wurde sofort an seine Assistentin verwiesen. Ich sehe den Zeitdruck bei der Zahl der Patientinnen, dennoch wäre ein gewisses Maß an Empathie und Verständnis wünschenswert. Dies würde auch keine Zeit in Anspruch nehmen.]

1.4. Der Beschuldigte reagierte mit öffentlicher Antwort vom 27. September 2022 wie folgt auf die Bewertung der Betroffenen:

[Anmerkung Bearbeiter/in: Die an dieser Stelle als Faksimile (grafische Datei) wiedergegebene Antwort des Beschuldigten kann mit zumutbarem Aufwand nicht pseudonymisiert werden und wurde daher entfernt. Sie enthält folgenden Inhalt:]

„Hallo Karina!

Ich habe ihre Scheideninfektion diagnostiziert und sofort fachgerecht behandelt. Sie konnten am selben Tag kommen und mussten nichts zahlen. Leider ist das nicht ausreichend für Sie und nun werfen Sie mir mangelnde Empathie vor….

Ich erwarte meinerseits auch ein gewisses Maß an Kooperation und Aufmerksamkeit damit ich das nötige Arztgespräch durchführen kann.“

1.5.      Die Diagnose der Betroffenen war zumindest bis zum 03.10.2022 der öffentlich einsehbaren Antwort des Beschuldigten zu entnehmen.

1.6. Der Beschuldigte gab im Rahmen des Verwaltungsstrafverfahrens seine Einkommens- und Vermögensverhältnisse sowie allfällige Sorgepflichten gegenüber der Datenschutzbehörde trotz zweimaliger Aufforderung nicht bekannt. Die Datenschutzbehörde musste daher eine Schätzung vornehmen (siehe unten bei Strafzumessung).

2.        Die Feststellungen werden auf Grund folgender Beweiswürdigung getroffen:

2.1.      Im Rahmen seiner Rechtfertigung vom 02.06.2023 bestätigte der Beschuldigte, die unter Punkt 1.4. ersichtliche Antwort verfasst zu haben. Sämtliche in den Punkten 1.1. bis 1.4. getroffenen Feststellungen waren als unstrittig anzusehen.

2.2.       Dass der Beschuldigte die medizinische Diagnose der Betroffenen zumindest bis zum 03.10.2023 veröffentlicht hat, ergibt sich aus der das Verfahren zur Verfahrenszahl D124.1332/22 einleitenden Beschwerde, in welcher die Betroffene ausführte, dass die Antwort des Beschuldigten zum Zeitpunkt 03.10.2023 nach wie vor öffentlich einsehbar gewesen sei. Dies wurde vom Beschuldigten weder im Beschwerdeverfahren noch im gegenständlichen Verwaltungsstrafverfahren bestritten.

2.3. Der Beschuldigte wurde mit Aufforderung zur Rechtfertigung vom 09.05.2023 und mit weiterem Schreiben vom 12.06.2023 aufgefordert, seine Vermögensverhältnisse sowie allfällige Sorgepflichten gegenüber der Datenschutzbehörde bekanntzugeben. In seiner Rechtfertigung vom 02.06.2023 ging der Beschuldigte darauf nicht ein, auf das zweite Schreiben der Datenschutzbehörde vom 12.06.2023 reagierte er nicht.

3.    Rechtlich folgt daraus:

3.1. Zum sachlichen Anwendungsbereich der DSGVO und zur Zuständigkeit der Datenschutzbehörde

3.1.1.  Der sachliche Anwendungsbereich der DSGVO gemäß Artikel 2, DSGVO ist im gegenständlichen Fall zweifelsfrei erfüllt. Ein dahingehendes Vorbringen, wonach die DSGVO nicht zur Anwendung gelangen würde, hat der Beschuldigte auch nicht vorgebracht. Die sog. Haushaltsausnahme gemäß Artikel 2, Absatz 2, Litera c, DSGVO ist nicht erfüllt.

3.1.2.  Artikel 83, Absatz 5, Litera a, DSGVO legt fest, dass bei Verstößen gegen die Bestimmungen der Artikel 5,, 6, 7 und 9 DSGVO Geldbußen von bis zu 20 000 000 Euro oder im Fall eines Unternehmens von bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden können, je nachdem, welcher der Beträge höher ist. Nach Paragraph 22, Absatz 5, DSG liegt die Zuständigkeit für die Verhängung von Geldbußen gegenüber natürlichen und juristischen Personen für Österreich als nationaler Aufsichtsbehörde bei der Datenschutzbehörde.

3.1.3.   Im Ergebnis gelangt somit die DSGVO für den konkreten Fall zur Anwendung und die Datenschutzbehörde ist sowohl sachlich als auch örtlich für das gegenständliche Verwaltungsstrafverfahren zuständig.

3.2. Zur Unrechtmäßigkeit der Datenverarbeitung und zur Verletzung von Verarbeitungsgrundsätzen

3.2.1     Artikel 4, Ziffer 2, DSGVO definiert den Begriff „Verarbeitung“ als jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

3.2.2.   Artikel 4, Ziffer 7, DSGVO definiert den Begriff „Verantwortlicher“ als die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

3.2.3.   Gemäß Artikel 4, Ziffer eins, DSGVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Von einer identifizierten Person ist auszugehen, wenn die Identität der Person unmittelbar aus der Information selbst folgt. Eine Person ist identifizierbar, wenn die Information zwar für sich genommen nicht ausreicht, um sie einer Person zuzuordnen, dies aber gelingt, sobald die Information mit weiteren Informationen verknüpft wird.

3.2.4.   Gemäß Artikel 4, Ziffer 15, DSGVO sind „Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.

3.2.5.  Nach Artikel 9, Absatz eins, DSGVO sind besondere Kategorien personenbezogener Daten (früher „sensible Daten“) solche Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.

3.2.6.   Gegenständlich ist unbestritten, dass der Beschuldigte als Verantwortlicher durch die Veröffentlichung seiner Antwort personenbezogene Daten der Betroffenen verarbeitet hat.

3.2.7.   Es besteht auch kein Zweifel daran, dass es sich bei der Information betreffend eine Scheideninfektion einer Person um ein Gesundheitsdatum iSd Artikel 4, Ziffer 15, DSGVO handelt.

3.2.8.   Die Verarbeitung von Gesundheitsdaten ist gemäß Artikel 9, Absatz eins, DSGVO generell untersagt, sofern nicht eine der in Absatz 2, leg. cit abschließend aufgezählten Ausnahmen greift.

3.2.9.  Artikel 9, Absatz 2, DSGVO statuiert Ausnahmen vom Verarbeitungsverbot des Artikel 9, Absatz eins, DSGVO und schränkt die Zulässigkeit der Datenverarbeitung auf bestimmte in Absatz 2, Litera a, bis j leg. cit. angeführte Tatbestände ein, die enger sind als jene für die Verarbeitung „nicht-sensibler“ Daten in Artikel 6, Absatz eins, DSGVO, insbesondere fehlen die Zulässigkeitstatbestände der „Verarbeitung im berechtigten Interesse des Verantwortlichen oder eines Dritten“ (Artikel 6, Absatz eins, Litera f,) und jener der „Verarbeitung zur Vertragserfüllung“ (Artikel 6, Absatz eins, Litera b,) vergleiche Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm, Artikel 9, DSGVO, Rz 1).

3.2.10. Gegenständlich konnte die Offenlegung der Gesundheitsdaten der Betroffenen auf keinen der in Artikel 9, Absatz 2, DSGVO aufgezählten Tatbestände gestützt werden. Eine Verarbeitung aufgrund des allgemeinen Rechtfertigungstatbestandes der berechtigten Interessen iSd. Artikel 6, Absatz eins, Litera f, DSGVO scheidet im Falle von Gesundheitsdaten aus. Das Vorbringen des Beschuldigten in seiner Rechtfertigung vom 02.06.2023, wonach es ihm daran lag, ein wahrheitsgemäßes Gesamtbild zu für potentielle Leserinnen und Leser zu erzeugen, geht somit ins Leere.

3.2.11. Als Zwischenergebnis ist festzuhalten, dass der Beschuldigte jedenfalls gegen Artikel 9 und Artikel 5, Absatz eins, Litera a, (Grundsatz der Rechtmäßigkeit) verstoßen hat.

3.2.12. Nach Artikel 5, Absatz eins, Litera b, DSGVO müssen personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden („Zweckbindung“).

3.2.13. Im vorliegenden Fall lag weder ein konkrete, kohärente oder ausreichend enge Verbindung zwischen dem Zweck der Datenerhebung und der Weiterverarbeitung der Daten vor, noch war es für die Betroffene in irgendeiner Weise vorhersehbar, dass der Beschuldigte Daten zu ihrer medizinischen Diagnose als Reaktion auf ihre W***net-Bewertung veröffentlicht.

3.2.14. Der Beschuldigte hat daher auch gegen den Grundsatz der Zweckbindung gemäß Artikel 5, Absatz eins, Litera b, DSGVO verstoßen.

3.2.15. Gemäß Artikel 5, Absatz eins, Litera c, DSGVO müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

3.2.16. Der Zweck der Veröffentlichung der Diagnose der Betroffenen war nach Angaben des Beschuldigten, sein replizierendes Posting als nachvollziehbar zu gestalten und ein wahrheitsgemäßes Bild für Leserinnen und Leser zu erzeugen.

3.2.17. Dieser Zweck konnte jedoch nicht nur dadurch erfüllt werden, dass die medizinische Diagnose der Betroffenen im Kommentar erwähnt wird. Der negativen Rezension hätte der Beschuldigte ohne Weiteres auch ohne Anführung der medizinischen Diagnose begegnen können.

3.2.18. Der Beschuldigte hat daher auch den Grundsatz der Datenminimierung gemäß Artikel 5, Absatz eins, Litera c, DSGVO verletzt.

3.4. Zur subjektiven Tatseite

3.4.1.   In subjektiver Hinsicht ist im vorliegenden Fall festzuhalten, dass aufgrund der bewussten Veröffentlichung der medizinischen Diagnose der Betroffenen davon auszugehen ist, dass der Beschuldigte die gegenständliche Verarbeitung vorsätzlich vorgenommen hat. Es liegt daher auf der subjektiven Tatseite Verschulden in Form von Vorsatz im Sinne des Artikel 83, Absatz 2, Litera b, DSGVO vor.

4.    Zur Strafzumessung ist Folgendes festzuhalten:

[Anmerkung Bearbeiter/in: Dieses Straferkenntnis ist hinsichtlich der festgesetzten Höhe der Strafe beim Bundesverwaltungsgericht angefochten worden und daher, Stand November 2023, in diesem Punkt nicht rechtskräftig.]

4.1.       Gemäß Artikel 83, Absatz eins, DSGVO hat die Datenschutzbehörde sicherzustellen, dass die Verhängung von Geldbußen für Verstöße gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Näherhin bestimmt Absatz 2, leg cit., dass bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag in jedem Einzelfall Folgendes gebührend zu berücksichtigen ist:

a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;

b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;

c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;

d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;

e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;

f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;

g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;

h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;

i) […]

j) […]

k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

4.2.       Die Strafbemessung innerhalb eines gesetzlichen Strafrahmens ist eine Ermessensentscheidung, die nach den vom Gesetzgeber im Paragraph 19, VStG festgelegten Kriterien vorzunehmen ist vergleiche VwGH 05.09.2013, 2013/09/0106).

4.3.       Gemäß Paragraph 19, Absatz eins, VStG sind die Grundlagen für die Bemessung der Strafe die Bedeutung des strafrechtlich geschützten Rechtsgutes und die Intensität seiner Beeinträchtigung durch die Tat. Überdies sind nach dem Zweck der Strafdrohung die in Betracht kommenden Erschwerungs- und Milderungsgründe, soweit sie nicht schon die Strafdrohung bestimmen, gegeneinander abzuwägen. Auf das Ausmaß des Verschuldens ist besonders Bedacht zu nehmen. Unter Berücksichtigung der Eigenart des Verwaltungsstrafrechtes sind die Paragraphen 32, bis 35 des Strafgesetzbuches sinngemäß anzuwenden. Die Einkommens- und Vermögensverhältnisse und allfällige Sorgepflichten des Beschuldigten sind bei der Bemessung von Geldstrafen zu berücksichtigen; dies allerdings nur in dem Ausmaß, als nicht die unmittelbar zur Anwendung gelangenden Bestimmungen der DSGVO die Bestimmungen des VStG verdrängen und in dem Umfang, welcher von Artikel 83, Absatz 8, DSGVO und Erwägungsgrund 148 im Hinblick auf die zu gewährleistenden Verfahrensgarantien angeordnet ist.

4.4.      Wenn eine Geldstrafe gegen eine natürliche Person verhängt wird, ist gemäß Paragraph 16, Absatz eins, VStG zugleich für den Fall ihrer Uneinbringlichkeit eine Ersatzfreiheitsstrafe festzusetzen. Die Ersatzfreiheitsstrafe darf dabei das Höchstmaß der für die Verwaltungsübertretung angedrohten Freiheitsstrafe und, wenn keine Freiheitsstrafe angedroht und nicht anderes bestimmt ist, zwei Wochen nicht übersteigen.

4.5. Nach der Rechtsprechung des VwGH hat die Behörde dann mit einer Einschätzung der Einkommens- und Vermögensverhältnisse vorzugehen, wenn der Beschuldigte im Zuge des Verwaltungsstrafverfahrens Angaben über diese Umstände verweigert vergleiche z.B. VwGH 30.06.2004, 2001/09/0120; 22.04.1992, 92/03/0019, 21.06.1999, 98/17/0009). Der Beschuldigte hat es in diesem Fall seiner unterlassenen Mitwirkung zuzuschreiben, sollte die Behörde über diese Einschätzung zum Nachteil des Beschuldigten Umstände unberücksichtigt gelassen haben, die ohne seine Mitwirkung der Behörde nicht zur Kenntnis gelangen konnten.

4.6.       Im vorliegenden Fall konnten die Einkommens- und Vermögensverhältnisse des Beschuldigten – mangels Angaben des Beschuldigten –nicht festgestellt und daher in Folge auch nicht berücksichtigt werden. Die Datenschutzbehörde hatte daher eine amtswegige Schätzung als Grundlage zur Strafbemessung heranzuziehen.

4.7.       Laut dem allgemeinen Einkommensbericht des Rechnungshofes verdienten Fachärztinnen und ‑ärzte im Schwerpunkt selbstständige Arbeit im Mittel EUR 153.399,- im Jahr 2022 (siehe https://www.statistik.at/fileadmin/publications/Einkommensbericht-2022.pdf, S. 183).

4.8.       Auf Basis dessen wird im vorliegenden Fall von einem monatlichen Bruttoverdienst des Beschuldigten iHv € 12.800,- ausgegangen.

4.9.       Bezogen auf den vorliegenden Sachverhalt wurde bei der Strafzumessung Folgendes erschwerend berücksichtigt:

      Art und Schwere des Verstoßes: Die gegenständliche Verarbeitung durch den Beschuldigten stellt einen gravierenden Eingriff in datenschutzrechtliche Rechte der Betroffenen dar. Die Betroffene konnte darauf vertrauen, dass ihre Gesundheitsdaten in Form einer medizinische Diagnose vom Beschuldigten nicht in weiterer Folge im Internet veröffentlicht wird. Im Ergebnis sind die Art und die Intensität des Eingriffs in das Grundrecht als hoch einzustufen.

      Vorsätzlichkeit: Der Verstoß wurde vom Beschuldigten vorsätzlich begangen (siehe Punkt 3.5.).

4.10.     Mildernd wurde bei der Strafzumessung Folgendes berücksichtigt:

      Vorstrafen: Gegen den Beschuldigten lagen bis dato bei der Datenschutzbehörde keine einschlägigen Vorstrafen aufgrund von Verstößen gegen die DSGVO oder das DSG vor.

      Mitwirkung im Verwaltungsstrafverfahren: Der Beschuldigte hat auf die Aufforderung zur Rechtfertigung im Verwaltungsstrafverfahren fristgerecht reagiert. Der Beschuldigte räumte gegenüber der Datenschutzbehörde, die Antwort mit den Gesundheitsdaten der Betroffenen veröffentlicht zu haben. Dies trug einen Teil zur Aufklärung des Sachverhaltes bei.

4.11.    Bei der Bemessung der Strafe dürfen nach ständiger Rechtsprechung des VwGH auch Überlegungen der Spezialprävention und Generalprävention einbezogen werden vergleiche VwGH 15.5.1990, 89/02/0093, VwGH 22.4.1997, 96/04/0253, VwGH 29.1.1991, 89/04/0061). Die Aufsichtsbehörden müssen zudem nach Artikel 83, Absatz eins, DSGVO sicherstellen, dass die Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sind.

4.12.    Die Verhängung ist im generalpräventiven Sinne erforderlich, um Verantwortliche (etwa andere Verantwortliche im Gesundheitswesen) in Bezug auf derartige unrechtmäßige Datenverarbeitungen zu sensibilisieren.

4.13.    Für die Höhe der verhängten Geldstrafe liegen im vorliegenden Fall auch spezialpräventive Gründe vor. Der Datenschutzbehörde wurde der Eindruck vermittelt, dass der Beschuldigte auch in Zukunft derartige Verstöße begehen könnte. So führte er in seiner Rechtfertigung aus, dass er gezwungen gewesen sei, die Vorgeschichte zum darzustellen, um ein wahrheitsgemäßes Bild zu erzeugen. Des Weiteren ergibt sich aus weiteren Antworten des Beschuldigten auf W***net-Rezensionen zu bei ihm stattgefundenen Arztbesuchen das Bild, dass der Beschuldigte laufend Details der von ihm durchgeführten Untersuchungen in Reaktion auf schlechte Bewertungen erwähnt. Entsprechende Screenshots finden sich im Verfahrensakt der Datenschutzbehörde. Zukünftige Veröffentlichungen medizinischer Diagnosen durch den Beschuldigten scheinen zum jetzigen Zeitpunkt nicht unwahrscheinlich.

4.14.     Die konkret verhängte Strafe erscheint daher unter Berücksichtigung der festgestellten Einkommensverhältnisse des Beschuldigten im Hinblick auf den verwirklichten Tatunwert gemessen am zur Verfügung stehenden Strafrahmen des Artikel 83, Absatz 5, DSGVO von bis zu € 20.000.000 tat- und schuldangemessen und ihre Verhängung erforderlich, um den Beschuldigten und Dritte von der Begehung gleicher oder ähnlicher strafbarer Handlungen abzuhalten.

European Case Law Identifier

ECLI:AT:DSB:2023:2023.0.420.407