2020-0.714.215 – Datenschutzbehörde Entscheidung

GZ: 2020-0.714.215 vom 5. November 2020 (Verfahrenszahl: DSB-D124.1749)

[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.

Der Name des Beschwerdegegners als Körperschaft öffentlichen Rechts ist nicht pseudonymisiert worden, da seine gesetzlich definierten Aufgaben der Arbeitsmarktpolitik im Text der Begründung erwähnt werden, und daher eine sinnvolle und sinnerhaltende Pseudonymisierung des Namens in dieser gemäß § 23 Abs. 2 DSG zu veröffentlichenden Entscheidung nicht möglich war.]

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Heinrich A*** (Beschwerdeführer) vom 17. Februar 2020 gegen das AMS Österreich (Beschwerdegegner) wegen Verletzung im Recht auf Geheimhaltung wie folgt:

- Die Beschwerde wird als unbegründet abgewiesen.

Rechtsgrundlagen : Art. 4 Z 15, Art. 9 Abs. 1 und Abs. 2, Art. 51 Abs. 1, Art. 57 Abs. 1 lit. f und Abs. 4 sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 1 Abs. 1 und Abs. 2, 18 Abs. 1 sowie 24 Abs. 1 und Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF; §§ 1 Abs. 1 und Abs. 2, 25 Abs. 1 des Bundesgesetzes über das Arbeitsmarktservice (AMSG), BGBl. Nr. 313/1994 idgF; § 54 des Arbeitslosenversicherungsgesetz 1977 (AlVG), BGBl. Nr. 609/1977 idgF; §§ 2 und 3 Abs. 2 der AlVG-Auszahlungsverordnung (AZV), BGBl. II Nr. 470/1999 idgF sowie §§ 2 Abs. 3 und Abs. 9 des Bundesgesetzes über die Bundesrechenzentrum GmbH (BRZ GmbH), BGBl. Nr. 757/1996 idF BGBl. I Nr. 82/1997 idgF.

BEGRÜNDUNG

A. Vorbringen der Parteien und Verfahrensgang

1. Mit Beschwerde vom 17. Februar 2020 brachte der Beschwerdeführer zusammengefasst vor, dass der Beschwerdegegner im Rahmen seiner gesetzlichen Aufgabenerfüllung nach dem AIVG der F*** Sparkasse, die auftrags des Beschwerdegegners Leistungen aus der Arbeitsversicherung bzw. die Buchung von daraus resultierenden Geldbeträgen abwickele, der Sparkasse ohne Einwilligung des Beschwerdeführers dessen Sozialversicherungsnummer offengelegt habe. Dabei handele es sich um eine unrechtmäßige Offenlegung von besonderen Datenkategorien, namentlich eines Gesundheitsdatums, gem. Art. 9 DSGVO. Es könne aufgrund der Natur bzw. des Zwecks der Sozialversicherungsnummer bei einer unrechtmäßigen Offenlegung derselben an Dritte jedenfalls nicht ausgeschlossen werden, dass diese Dritten mithilfe der Sozialversicherungsnummer Zugriff auf Gesundheitsdaten der betroffenen Person erlangen können.

2. Mit Stellungnahme vom 19. März 2020 replizierte der Beschwerdegegner und beantragte, dass die Beschwerde als unbegründet abzuweisen sei. Im Wesentlichen entgegnete der Beschwerdegegner, dass der Beschwerdeführer keine konkreten Personen angeführt habe, die Kenntnis seiner Sozialversicherungsnummer erhalten haben. Aufgrund der im heutigen Wirtschaftsverkehr vollautomatisiert erfolgenden Buchungen von Konten, tagtäglich würden tausende an Überweisungen und Verbuchungen vollautomatisiert erfolgen, erscheine die seitens des Beschwerdeführers vorausgesetzte Teilhabe von Bankbediensteten am Auszahlungsprozess nicht zu erfolgen. Darüber hinaus würde das Feld mit der Sozialversicherungsnummer nicht in generellen Buchungsansichten, die nur Buchungsbeträge und die zugehörigen Buchungszeiten anzeigen würden, idR erst in Detailbetrachtungen von Buchungen aufscheinen. Ohne die Anführung konkreter Bankbediensteter, denen die Sozialversicherungsnummer zur Kenntnis gelangt wäre, wäre die Beschwerde demnach abzuweisen, da keine tatsächlich erfolgte Rechtsverletzung stattgefunden habe.

Weiters sei die Weitergabe der Sozialversicherungsnummer mit den beteiligten Akteuren betreffend die vollständige und ordnungsgemäße Abwicklung des Verfahrens zur gesetzlichen Leistungserbringung (§§ 7 Abs. 1 ff., 51 AIVG iVm Art. 6 Z. I lit. c DSGVO iVm § 25 Abs. 1 Z 1 lit. b [sic!]), unter anderem mit dem Bundesministerium für Finanzen und der Buchhaltungsagentur des Bundes, abgestimmt. Im Rahmen dessen sei nicht nur die tatsächliche Leistungserbringung, sondern alle notwendigen Tätigkeiten und zugehörigen Verarbeitungsvorgänge, die beispielsweise für nachfolgende Kontroll- und Überprüfungsverfahren die notwendigen Datengrundlagen liefern bzw. auch für jene Fälle geschafften worden, wenn der geplante Regelausgang des Verfahrens nicht oder in gravierender anderer Form eintrete. Betreffend Überweisungen eines Geldbetrages an Leistungsbezieher sei dies regelmäßig der Fall, d.h., dass der Geldbetrag regelmäßig nicht problemfrei überwiesen werde, was wiederum zu einem Leistungsrücklaufverfahren führe, im Zuge dessen nicht nur das AMS die übermittelte Sozialversicherungsnummer zur Identifizierung und Pflege des Datensatzes, sondern insbesondere auch die Buchhaltungsagentur des Bundes für die buchhalterischen Arbeiten im Zuge der Rückbuchung benötige. In diesem Zusammenhang merkt der Beschwerdegegner an, dass er selbst nur eine Zahlungsanweisung des Bundesministeriums für Finanzen ausfüllen und im Nachgang keinen Einfluss auf die tatsächlichen Umsetzungsvorgänge ausüben könne.

Schließlich liege auch keine Verarbeitung besonderer Datenkategorien, konkret eines Gesundheitsdatums iSv. Art. 9 DSGVO vor. Dies sei bei dem Datum Sozialversicherungsnummer differenziert zu betrachten. Im gegenständlich Fall würde die Sozialversicherungsnummer in einer nicht-gesundheitsbezogenen Weise verarbeitet werden.

3. Der Beschwerdeführer antwortete auf das ihm gewährte Parteiengehör vom 06. April 2020 nicht.

4. Mit Schreiben vom 26. August 2020 (eingelangt bei der Datenschutzbehörde am 28. August 2020) erhob der Beschwerdeführer Säumnisbeschwerde gem. Art. 132 Abs. 3 B-VG iVm §§ 7 ff VwGVG.

B. Beschwerdegegenstand

Ausgehend vom Vorbringen des Beschwerdeführers ergibt sich, dass Beschwerdegegenstand die Frage ist, ob der Beschwerdegegner den Beschwerdeführer dadurch im Recht auf Geheimhaltung verletzt hat, indem dieser im Zuge der gesetzlichen Leistungserbringung (Überweisung einer Geldleistung) die Sozialversicherungsnummer des Beschwerdeführers dessen Bankinstitut, der B*** Bank AG, offengelegt hat.

C. Sachverhaltsfeststellungen

Der Beschwerdegegner ist ein Dienstleistungsunternehmen des öffentlichen Rechts, dem die Durchführung der Arbeitsmarktpolitik obliegt. Im Zuge der gesetzlichen Leistungserbringung nach dem Arbeitslosenversicherungsgesetz übermittelte der Beschwerdegegner dem Bankinstitut, bei dem der Beschwerdeführer – zu diesem Zeitpunkt Leistungsbezieher des Beschwerdegegners – sein Empfänger-Konto hat – das ist die B*** Bank AG – u.A. die Sozialversicherungsnummer des Beschwerdeführers, welche im Überweisungsfeld „Buchungsinfo“ neben einer Information zum Bezugszeitraums der Leistung eingetragen war:

[Anmerkung Bearbeiter/in: Der an dieser Stelle als grafische Datei wiedergegebene Kontoauszug bzw. Telebanking-Screenshot kann im RIS nicht problemlos dargestellt und pseudonymisiert werden und wurde daher entfernt.]

In eine derartige Übermittlung seiner Sozialversicherungsnummer hat der Beschwerdeführer nicht eingewilligt.

Beweiswürdigung : Die getroffenen Feststellungen beruhen auf den Eingaben der Verfahrensparteien sowie dem Akteninhalt.

D. In rechtlicher Hinsicht folgt daraus:

1. Allgemeines und maßgebliche Rechtsvorschriften

Eingangs ist festzuhalten, dass im gegenständlichen Fall eine Verletzung im Recht auf Geheimhaltung nach § 1 Abs. 1 DSG zu überprüfen ist und sich Beschränkungen dieses Anspruchs aus Abs. 2 leg. cit., allerdings nicht aus Art. 6 Abs. 1 bzw. Art. 9 Abs. 2 DSGVO ergeben. Die DSGVO und insbesondere auch die darin verankerten Grundsätze sind jedoch zur Auslegung des Rechts auf Geheimhaltung zu berücksichtigen (vgl. den Bescheid der DSB vom 31. Oktober 2018, GZ: DSB-D123.076/0003-DSB/2018).

Gemäß § 1 Abs. 1 DSG hat Jedermann, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht.

Gemäß § 1 Abs. 2 DSG sind Beschränkungen des Anspruchs auf Geheimhaltung, soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen . Derartige Gesetze dürfen die Verwendung von Daten , die ihrer Art nach besonders schutzwürdig sind , nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.

Die Durchführung der Arbeitsmarktpolitik des Bundes obliegt gemäß § 1 Abs. 1 AMSG dem „ Arbeitsmarktservice “. Es handelt sich dabei um ein Dienstleistungsunternehmen des öffentlichen Rechts mit eigener Rechtspersönlichkeit .

Laut § 54 AlVG iVm. §§ 2, 3 Abs. 2 der AlVG-Auszahlungsverordnung obliegt die Anweisung der Leistungen nach dem AlVG der örtlich zuständigen regionalen Geschäftsstelle des Arbeitsmarktservice .

Die Mitwirkung bei der Zahlbarstellung obliegt gemäß § 2 Abs. 3 des Bundesgesetzes über die Bundesrechenzentrum GmbH der Bundesrechenzentrum GmbH. Diese ist als Dienstleister gemäß Abs. 9 leg. cit. bei der Verwendung von Daten an die Weisungen des jeweiligen Auftraggebers gebunden .

Gemäß § 25 Abs. 1 AMSG ist das Arbeitsmarktservice zur Verarbeitung von personenbezogenen Daten insoweit ermächtigt , als diese zur Erfüllung der gesetzlichen Aufgaben eine wesentliche Voraussetzung ist. Die in Frage kommenden Datenarten sind gemäß Z 1 lit. b leg. cit. unter anderem Sozialversicherungsnummer und Geburtsdatum . Die vom Arbeitsmarktservice verarbeiteten Daten dürfen gemäß Abs. 4 leg. cit. an die Bundesrechenzentrum GmbH im Rahmen der von diesen zu erbringenden Dienstleistungen übermittelt werden.

Gemäß Art. 9 Abs. 1 DSGVO ist die Verarbeitung von Gesundheitsdaten untersagt, sofern kein Ausnahmetatbestand des Abs. 2 leg. cit. vorliegt. Laut Art. 4 Z 15 DSGVO handelt es sich bei Gesundheitsdaten um personenbezogene Daten , die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.

2. In der Sache

a. Zur datenschutzrechtlichen Rollenverteilung

Wie den Feststellungen zu entnehmen ist, handelt es sich beim Beschwerdegegner gemäß § 1 Abs. 1 AMSG um ein Dienstleistungsunternehmen des öffentlichen Rechts zur Durchführung der Arbeitsmarktpolitik des Bundes. Trotz organisatorischer Gliederung in Bundes-, Landes- und Regionalorganisationen besitzen die Teilorganisationen des Beschwerdegegners keine eigene Rechtspersönlichkeit, weshalb die Eigenschaft als datenschutzrechtlicher Verantwortlicher nur dem Beschwerdegegner zukommt, nicht jedoch seinen Teilorganisationen (vgl. Jahnel, Handbuch Datenschutzrecht Rz. 3/33).

Der Beschwerdegegner war somit als staatliche Behörde im Sinne des § 1 Abs. 2 DSG zu qualifizieren.

Auch der Umstand, dass im Rahmen der gegenständlichen Abwicklung der Auszahlung die Bundesrechenzentrum GmbH eingebunden wurde, ist für Qualifizierung des Beschwerdegegners als datenschutzrechtlicher Verantwortlicher unerheblich, zumal diese betreffend die Verarbeitung personenbezogener Daten an die Weisungen des Beschwerdegegners gebunden ist (vgl. § 2 Abs. 9 des Bundesgesetzes über die Bundesrechenzentrum GmbH).

Im Übrigen wurde die datenschutzrechtliche Verantwortlichkeit seitens des Beschwerdegegners auch zu keinem Zeitpunkt bestritten.

b. Zur Rechtmäßigkeit der Datenverarbeitung

Einleitend ist festzuhalten, dass es sich bei der Sozialversicherungsnummer um ein personenbezogenes Datum handelt, an dem grundsätzlich ein schutzwürdiges Geheimhaltungsinteresse des Beschwerdeführers im Sinne des § 1 Abs. 1 DSG besteht: diese wird im Geschäfts- und Behördenverkehr sowie gegenständlich im Rahmen der Inanspruchnahme sozialversicherungsrechtlicher Leistungen regelmäßig als Identifikator verwendet (vgl. den Bescheid der ehemaligen DSK vom 3. August 2012, GZ: K121.817/0016-DSK/2012).

Es liegt auch keine – wie vom Beschwerdegegner vorgebracht – bloß „abstrakte Gefährdungsmöglichkeit“ vor. Der Beschwerdegegner übersieht dabei, dass, selbst wenn Buchungen von Konten regelmäßig vollautomatisiert erfolgen sollten, die personenbezogenen Daten des Beschwerdeführers jedenfalls gegenüber der B*** Bank AG – und somit gegenüber einem Dritten – offengelegt wurden.

Die Qualifikation des Beschwerdegegners als „Behörde“ im Sinne des § 1 Abs. 2 DSG setzt überdies voraus, dass Eingriffe in das Grundrecht auf Datenschutz nur auf Basis einer ausreichend determinierten Rechtsgrundlage erfolgen dürfen . Die Ausführungen des Beschwerdeführers, wonach er hinsichtlich der Verarbeitung seiner Daten keine Zustimmung abgegeben habe, sind daher unbeachtlich.

Wie § 25 Abs. 1 AMSG zu entnehmen ist, ist der Beschwerdegegner zur Verarbeitung der Sozialversicherungsnummer insoweit ermächtigt, als diese zur Erfüllung der gesetzlichen Aufgaben eine wesentliche Voraussetzung ist.

Der Beschwerdegegner führt in diesem Zusammenhang aus, die Verarbeitung der Sozialversicherungsnummer ermögliche einerseits die ordnungsgemäße Abwicklung der Auszahlung, andererseits sei dies auch für nachfolgende Kontroll- und Überprüfungsverfahren (insbesondere im Falle eines Leistungsrücklaufverfahrens) jedenfalls notwendig.

Bei der Abwicklung von Auszahlungen aus der Arbeitslosenversicherung handelt es sich zweifelsohne um eine gesetzliche Aufgabe des Beschwerdegegners. Die Verarbeitung der Sozialversicherungsnummer zur ordnungsgemäßen und richtigen Zuordnung der Leistung zum jeweiligen Leistungsempfänger stellt auch insofern keine zweckfremde oder überschießende Datenverwendung dar, als unzweifelhaft ein sozialversicherungsrechtlicher Sachverhalt vorliegt.

Als Zwischenergebnis kann somit festgehalten werden, dass die Verwendung der Sozialversicherungsnummer im Rahmen der Zahlungsanweisung im Zusammenhang mit einer Leistung aus der Arbeitslosenversicherung als grundsätzlich zulässig zu erachten ist. In weiterer Folge ist zu überprüfen, ob die Verwendung der genannten Daten verhältnismäßig war, da nach § 1 Abs. 2 DSG auch im Falle zulässiger Beschränkungen der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden darf (Datenminimierungspflicht).

Für den durchschnittlichen Rechtsunterworfenen ist es jedenfalls nachvollziehbar, dass der Beschwerdegegner einige – in § 25 Abs. 1 AMSG aufgezählte – Datenarten zwangsläufig verarbeiten muss, damit gewisse Leistungen (beispielsweise die Bearbeitung eines Antrags für den Bezug von gewissen Leistungen aus der Arbeitslosenversicherung) erbracht werden können. Auch liegt es innerhalb der allgemeinen Lebenserfahrung, dass es aufgrund des großen Arbeitsaufkommens des Beschwerdegegners durchaus zu Leistungsrücklaufverfahren kommen kann, in dessen Rahmen eine eindeutige Identifizierung der Leistungsempfänger – insbesondere auch aus buchhalterischen Zwecken – zwangsläufig geboten ist.

Die Verwendung der genannten Daten war für die Erreichung des angestrebten Zwecks jedenfalls wesentliche Voraussetzung und liegt im Ergebnis somit ein verhältnismäßiger Eingriff in das Recht auf Geheimhaltung vor.

c. Zur Sozialversicherungsnummer als Gesundheitsdatum

Zuletzt war noch auf das Vorbringen des Beschwerdeführers einzugehen, wonach es sich bei der Sozialversicherungsnummer um ein Gesundheitsdatum im Sinne des Art. 9 Abs. 1 DSGVO handle.

Festzuhalten ist, dass Gesetze in Sinne des § 1 Abs. 2 DSG die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen dürfen und gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen müssen.

Bei Gesundheitsdaten handelt es sich im Lichte des Art. 9 Abs. 1 DSGVO zweifelsohne um besonders schutzwürdige Daten, wobei der Begriff im Sinne der Rsp. des EuGH weit auszulegen ist (vgl. zu Art. 8 Abs. 1 der Richtlinie 95/46 das Urteil des EuGH vom 6. November 2003, C-101/01, Rs Lindqvist, Rz 50). Erfasst sind gemäß Art. 4 Z 15 DSGVO in Zusammenschau mit ErwGr. 35 zweiter Satz DSGVO auch Nummern, Symbole oder Kennzeichen , die einer natürlichen Person zugeteilt wurden, um diese Person für gesundheitliche Zwecke eindeutig zu identifizieren.

Die Datenschutzbehörde vertritt allerdings in ihrer ständigen Rechtsprechung, dass aus Gesundheitsdaten jedenfalls Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen müssen. Unter Berücksichtigung dieser Überlegung sind Kennziffern iSv ErwGr. 35 zweiter Satz DSGVO nicht per se als Gesundheitsdatum zu qualifizieren , sondern muss auch im Hinblick auf solche Kennziffern ein gewisser Bezug zu Informationen über den Gesundheitszustand bestehen (vgl. etwa den Bescheid der DSB vom 9. April 2019, DSB-D123.526/0001-DSB/2019).

Wird die Sozialversicherungsnummer daher als bloßer Indikator – also wie gegenständlich unabhängig von der Inanspruchnahme einer Gesundheitsdienstleistung – verwendet, liegt kein Gesundheitsdatum und somit kein besonders schutzwürdiges Datum im Sinne des § 1 Abs. 2 DSG bzw. Art. 9 Abs. 1 DSGVO vor.

Es war daher spruchgemäß zu entscheiden.