GZ: 2020-0.764.719 vom 25. November 2020 (Verfahrenszahl: DSB-D124.2559)
[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Angaben zum Datum, Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
B E S C H E I D
S P R U C H
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Dr. Elvira A*** (Beschwerdeführerin) vom 20. Mai 2020 gegen 1) S*** Universität T***stadt (Erstbeschwerdegegnerin), 2) U*** Kliniken GmbH (Zweitbeschwerdegegnerin) und 3) Dr. Anton V*** (Drittbeschwerdegegner), letzterer vertreten durch Mag. Peter R***, Rechtsanwalt in T***stadt, wegen Verletzung im Grundrecht auf Geheimhaltung wie folgt:
1. Der Beschwerde gegen den Drittbeschwerdegegner wird stattgegeben und es wird festgestellt , dass der Drittbeschwerdegegner die Beschwerdeführerin in ihrem Recht auf Geheimhaltung verletzt hat, indem er unrechtmäßigerweise
a) Zwei Mal im Mai 2019 über das Krankenhausinformationssystem (KIS) der Zweitbeschwerdegegnerin auf die gynäkologischen Befunde der Beschwerdeführerin zugegriffen und
b) die Information der Fehlgeburt der Beschwerdeführerin („Schwangerschaft – Verlust durch Abort“) an die N*** K***versicherung AG übermittelt hat.
2. Die Beschwerde gegen die Erst- und Zweitbeschwerdegegnerin wird als unbegründet abgewiesen.
Rechtsgrundlagen : Art. 5, Art. 6, Art. 9, Art. 24 Abs. 1, Art. 51 Abs. 1, Art. 57 Abs. 1 lit. f sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 1 Abs. 1 und Abs. 2, 18 Abs. 1 sowie 24 Abs. 1 und Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF.
B E G R Ü N D U N G
A. Vorbringen der Parteien und Verfahrensgang
1. Die Beschwerdeführerin brachte in ihrer verfahrenseinleitenden Beschwerde vom 20. Mai 2020 zusammengefasst vor, dass sie sich am **. und **. Mai 2019 auf Grund einer Fehlgeburt in stationärer Behandlung im „Krankenhaus für Frauenheilkunde T***stadt“ befunden und der Drittbeschwerdegegner – zum damaligen Zeitpunkt Facharzt für S*** und Facharzt für O*** in Ausbildung – laut Krankenhausinformationssystem (KIS) am **. Mai 2019 sowie am **. Mai 2019 auf ihre gynäkologischen Befunde zugegriffen habe. Der Drittbeschwerdegegner habe diese darüber hinaus in Folge gespeichert und an die N*** K***versicherung AG weitergeleitet. Zum Drittbeschwerdegegner habe kein Behandlungsverhältnis bestanden und sei auch keine Einwilligung zur Einsicht und Weiterleitung der hochsensiblen und persönlichen Befunde erteilt worden. Zwischen dem Drittbeschwerdegegner und ihr habe privater Kontakt bestanden und er sei auch als potentieller Erzeuger des verstorbenen Kindes in Betracht gekommen, eine Partnerschaft bzw. Lebensgemeinschaft habe jedoch nicht bestanden. Dennoch hatten die Beschwerdeführerin und der Drittbeschwerdegegner im Zeitraum um den stationären Aufenthalt eine gemeinsame Reise geplant, diese sei jedoch auf Grund der Fehlgeburt storniert worden. Durch Übermittlung der Informationen aus der Krankenakte habe der Drittbeschwerdegegner versucht, eine Rückerstattung der Reisekosten von der Versicherung zu erlangen.
2. In ihrer Stellungnahme vom 14. Juli 2020 bestätigte die Zweitbeschwerdegegnerin die Zugriffe des Drittbeschwerdegegners auf die Patientenakte der Beschwerdeführerin über das Krankenhausinformationssystem (KIS). Die Zweitbeschwerdegegnerin habe daraufhin bezüglich des Vorwurfes des unberechtigten Zugriffes mit dem Drittbeschwerdegegner Kontakt aufgenommen, dieser habe in einem Telefonat mit dem bei der Zweitbeschwerdegegnerin beschäftigten Datenschutzbeauftragten angegeben, dass die Zugriffe privat begründet und nicht durch seine berufliche Tätigkeit gerechtfertigt seien.
3. Die Erstbeschwerdegegnerin brachte in ihrer Stellungnahme vom 15. Juli 2020 zusammengefasst vor, dass der zweifache Zugriff des Drittbeschwerdegegners auf die Patientenakte der Beschwerdeführerin unstrittig sei. Die Erstbeschwerdeführerin sei jedoch bis zur Übermittlung der mitsamt der Beschwerde vorgelegten Unterlagen davon ausgegangen, dass der Zugriff durch die vorherige Zustimmung der Beschwerdeführerin legitimiert gewesen sei. Erst im Laufe des gegenständlichen Verfahrens habe man von dem Telefonat zwischen dem Datenschutzbeauftragten der Zweitbeschwerdegegnerin und dem Drittbeschwerdegegner erfahren, in welchem letzterer zugegeben haben soll, dass der Zugriff ohne vorheriger Zustimmung der Beschwerdeführerin erfolgt sei. Es sei nunmehr festzuhalten, dass der Zugriff in keinem Zusammenhang mit der beruflichen Tätigkeit erfolgt sei und der Drittbeschwerdegegner somit alleinig die Verantwortung dafür zu tragen habe.
4. Der anwaltlich vertretene Drittbeschwerdegegner brachte in seiner Stellungnahme vom 15. Juli 2020 zusammengefasst vor, dass er zum Zeitpunkt des Zugriffes sowohl der behandelnde Arzt als auch Lebensgefährte der Beschwerdeführerin gewesen und als Arzt in sämtliche medizinische Belange der Beschwerdeführerin eingebunden gewesen sei. Davon sei auch der Zugriff auf die Patientenakte der Beschwerdeführerin mitumfasst gewesen. Der Drittbeschwerdegegner sei darüber hinaus der Erzeuger des verstorbenen Fötus gewesen. Ausdrücklich festgehalten werde, dass durch ihn kein Klinikdokument an seinen Versicherer oder sonstigen Dritten weitergegeben worden sei.
5. Am 13. August 2020 wurde von der Datenschutzbehörde ein informierter Vertreter des Reiseveranstalters einvernommen, bei dem die Beschwerdeführerin und der Drittbeschwerdegegner für den Zeitraum **. Mai 2019 bis **. Juni 2019 eine Reise gebucht hatten und welche in Folge nicht angetreten wurde.
6. Auf die Fragen der Datenschutzbehörde vom 14. August 2019 gab der Drittbeschwerdegegner in seinem Schreiben vom 10. September 2020 an, die Behauptung der Erstbeschwerdegegnerin, er habe in einem Telefongespräch zugegeben, dass der Zugriff ohne Einwilligung der Beschwerdeführerin erfolgt sei, sei unrichtig. Tatsächlich sei eine dementsprechende Zustimmung für die von ihm getätigten Zugriffe am **. Mai 2020 und am **. Mai 2020 vorgelegen. Auf Grund der Liebesbeziehung zwischen ihm und der Beschwerdeführerin sowie auf Grund der Tatsache, dass er ihr behandelnder Arzt gewesen sei, gebe es darüber keinen Nachweis oder Dokumentation. Für etwaige Datenverarbeitungen im Zusammenhang mit der Reiserückabwicklung bestehe keine Anwendung der DSGVO, da diese ausschließlich im Zusammenhang mit persönlichen und familiären Tätigkeiten gemäß Art. 2 DSGVO erfolgt sei. Der Drittbeschwerdegegner habe lediglich auf Wunsch der Beschwerdeführerin als behandelnder Arzt einen MR-Befund ausgedruckt, es sei jedoch kein Dokument an dritte Personen weitergegeben worden.
7. Am 5. Oktober 2020 übermittelte der Drittbeschwerdegegner das von ihm bei der N*** K***versicherung AG eingereichte „Schadensformular Storno“ zur Rückerstattung der Reisekosten für die nicht angetretene Reise vom **. Mai 2019 bis **. Juni 2019. Als Grund für den Nichtantritt ist in diesem Formular „Schwangerschaft – Verlust durch Abort“ angeführt. Weiters wurde vom Drittbeschwerdegegner beantragt, dieses Schriftstück von der Akteneinsicht auszunehmen.
8. Die Zweitbeschwerdegegnerin führte in ihrer ergänzenden Stellungnahme vom 11. November 2020 aus, dass der Drittbeschwerdegegner gegenüber der Zweitbeschwerdegegnerin im Zuge eines Telefonats im Juni 2019 bestätigt habe, dass die Zustimmung der Beschwerdeführerin vorgelegen habe und begründete dies damit, dass der Zugriff privat begründet gewesen sei. Dies sei nicht ausreichend gewesen um festzustellen, ob das Einverständnis der Beschwerdeführerin vorgelegen sei und der Drittbeschwerdegegner habe auch keine weiteren Angaben zur Klarstellung tätigen können.
9. Die Beschwerdeführerin brachte in einer erneuten Stellungnahme vom 18. November 2020 zusammengefasst vor, dass beide Zugriffe ohne ihr Wissen und ohne ihr Einverständnis erfolgt seien. Der Drittbeschwerdegegner habe bis zuletzt eine Weiterleitung der Gesundheitsdaten aus ihrer Patientenakte an die N*** K***versicherung AG negiert. In einer schriftlichen Stellungnahme des Anwalts des Drittbeschwerdegegners gegenüber der Erstbeschwerdegegnerin habe dieser jedoch angegeben, dass eine Übermittlung der entsprechenden Unterlagen für die Schadensabwicklung im Rahmen der Stornoreisekostenversicherung durch den Drittbeschwerdegegner erforderlich gewesen sei. Es werde weiterhin betont, dass zu keinem Zeitpunkt eine Lebensgemeinschaft zwischen der Beschwerdeführerin und dem Drittbeschwerdegegner bestanden habe.
B. Beschwerdegegenstand
Beschwerdegegenstand ist die Frage, ob die Beschwerdegegner die Beschwerdeführerin dadurch in ihrem Grundrecht auf Geheimhaltung verletzt haben, indem diese a) am **. Mai 2019 sowie am **. Mai 2019 auf die gynäkologischen Befunde der Beschwerdeführerin zugegriffen und b) Informationen im Zusammenhang mit der Fehlgeburt der Beschwerdeführerin an eine Versicherung übermittelt haben.
C. Sachverhaltsfeststellungen
1. Der Drittbeschwerdegegner ist Facharzt für S*** und Facharzt für O*** in Ausbildung. Die Erstbeschwerdegegnerin ist Dienstgeberin des Drittbeschwerdegegners.
2. Die Beschwerdeführerin war **. und **. Mai 2019 auf Grund einer Fehlgeburt in stationärer Behandlung im „Krankenhaus für Frauenheilkunde T***stadt“.
3. Der Drittbeschwerdegegner hat **. Mai 2019 und am **. Mai 2019 über das Krankenhausinformationssystem (KIS) auf die Krankenakte der Beschwerdeführerin zugegriffen. Darin waren u.a. gynäkologischen Befunde enthalten. Beim Krankenhausinformationssystem (KIS) handelt es sich um das von der Zweitbeschwerdegegnerin geführte zentrale Patienteninformationssystem (elektronische Krankenakte).
4. Der Drittbeschwerdegegner und die Beschwerdeführerin hatten ein privates Naheverhältnis. Der Drittbeschwerdegegner kam als potentieller Erzeuger des ungeborenen Kindes der Beschwerdeführerin in Betracht.
6. Die Beschwerdeführerin und der Drittbeschwerdegegner haben für den Zeitraum im Frühsommer über einen Reiseveranstalter eine Reise gebucht. Der Drittbeschwerdegegner hat für diese Reise eine Stornoversicherung bei der N*** K***versicherung AG abgeschlossen. Die Reise wurde in Folge storniert.
Beweiswürdigung : Die getroffenen Feststellungen beruhen auf den insoweit unstrittigen Angaben der Beschwerdeführerin in ihrer verfahrenseinleitenden Beschwerde 20. Mai 2020 sowie den damit übereinstimmenden Angaben der Erstbeschwerdegegnerin vom 15. Juli 2020, der Zweitbeschwerdegegnerin vom 14. Juli 2020 und des Drittbeschwerdegegners vom 15. Juli 2020 und vom 14. August 2020.
7. Der Drittbeschwerdegegner hat im Zusammenhang mit der Reisekostenrückerstattung u.a. die Information über die Fehlgeburt der Beschwerdeführerin an die N*** K***versicherung AG weitergeleitet.
Beweiswürdigung : Die getroffene Feststellung beruht einerseits auf dem Vorbringen der Beschwerdeführerin in ihrer verfahrenseinleitenden Beschwerde vom 20. Mai 2020 sowie der damit vorgelegten Stellungnahme der rechtsfreundlichen Vertretung des Drittbeschwerdegegners gegenüber der Erstbeschwerdegegnerin vom 16. September 2019, welche dem Akt beiliegt (Beilage I) und in welcher dieser angibt, dass der Drittbeschwerdegegner von einer Einwilligung „zur Einsichtnahme und Übermittlung der Unterlagen an die Versicherung ausgehen durfte“. In den mit der Beschwerde vorgelegten Unterlagen wird auch mehrmals vom Vorliegen einer „konkludenten Zustimmung“ gesprochen. Die Feststellung beruht weiters auf dem vom Drittbeschwerdegegner in seiner Stellungnahme vom 14. August 2020 vorgelegten und von ihm ausgefüllten „Schadensformular Storno“ zur Rückerstattung der Reisekosten bei der N*** K***versicherung AG . In diesem Formular gibt der Drittbeschwerdegegner als Stornogrund „Verlust durch Abort“ an.
8. Sowohl der Zugriff auf die Krankenakte der Beschwerdeführerin über das Krankenhausinformationssystem (KIS) am **. Mai 2019 sowie am **. Mai 2019 als auch die Weitergabe von Informationen über die Fehlgeburt der Beschwerdeführerin an die oben genannte N*** K***versicherung AG durch den Drittbeschwerdegegner erfolgte ohne Einwilligung der Beschwerdeführerin. Weiters stand der Zugriff des Drittbeschwerdegegners auf die Krankenakte der Beschwerdeführerin nicht im Zusammenhang mit der beruflichen Tätigkeit des Drittbeschwerdegegners.
Beweiswürdigung : Die getroffenen Feststellungen beruhen auf den Angaben der Beschwerdeführerin in ihren Schreiben vom 20. Mai 2020 und vom 18. November 2020. Die Feststellungen, dass der Zugriff und die Weitergabe der Informationen aus der Krankenakte der Beschwerdeführerin durch den Drittbeschwerdeführer zu privaten Zwecken erfolgten, beruhen auf den Angaben der Beschwerdeführerin in ihrer verfahrenseinleitenden Beschwerde vom 20. Mai 2020 sowie den damit übereinstimmenden Angaben der Zweitbeschwerdegegnerin in ihren Stellungnahmen vom 14. Juli 2020 und vom 11. November 2020, in welchen diese ausführt, der Drittbeschwerdegegner habe ihr gegenüber in einem Telefonat angegeben, dass der Zugriff zu privaten Zwecken erfolgt ist. In diesen Stellungnahmen führt die Zweitbeschwerdegegnerin ebenso aus, dass keine Anhaltspunkte vorlagen, von einer Einwilligung der Beschwerdeführerin auszugehen und diesbezüglich vom Drittbeschwerdegegner auch keine Angaben getätigt werden konnten, die Gegenteiliges nahegelegt hätten. Dies deckt sich auch mit den wiederholten Angaben der Beschwerdeführerin vom 20. Mai 2020 und 18. November 2020. Der Drittbeschwerdegegner konnte – trotz entsprechender Verpflichtung (siehe dazu die rechtliche Beurteilung) und trotz Aufforderung der Datenschutzbehörde – auch keinen Nachweis dafür erbringen, dass eine Einwilligung der Beschwerdeführerin für die verfahrensgegenständliche Datenverwendung eingeholt wurde.
D. In rechtlicher Hinsicht folgt daraus:
1. Zu Spruchpunkt 2
a) Allgemeines zur datenschutzrechtlichen Rollenverteilung
Nach dem Verständnis der ehemaligen Art. 29-Datenschutzgruppe ist die Datenverarbeitung durch eine natürliche Person, die für ein Unternehmen arbeitet und die Daten innerhalb der Tätigkeit des Unternehmens nutzt, dem Unternehmen als verantwortliche Stelle zuzurechnen (vgl. Art. 29 Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169, 00264/10/DE S 21).
b) In der Sache
Wie aus den Sachverhaltsfeststellungen erhellt, war der Drittbeschwerdegegner (jedenfalls zum damaligen Zeitpunkt) bei der Zweitbeschwerdegegnerin beschäftigt, allerdings erfolgte der Zugriff auf die Krankenakte der Beschwerdeführerin zu Zwecken, die außerhalb der Tätigkeit der Zweitbeschwerdegegnerin (und auch der Erstbeschwerdegegnerin) liegen.
Auch die darauffolgende Datenweitergabe an die Reiseversicherung erfolgte außerhalb des Einflussbereiches der Erst- und Zweitbeschwerdegegnerin.
Da der Drittbeschwerdegegner somit alleinig die Entscheidung getroffen hat, aus persönlichen Motiven auf die Krankenakte der Beschwerdeführerin zuzugreifen und die Information im Zusammenhang mit einer Fehlgeburt an die N*** K***versicherung AG zu übermitteln, ist hierfür nur dieser als Verantwortlicher gemäß Art. 4 Z 7 DSGVO zu qualifizieren.
Ebenso liegen keine Anhaltspunkte vor – und wurde dies im Übrigen auch nicht vorgebracht – dass der gegenständliche Datenzugriff des Drittbeschwerdegegners durch mangelnde Sicherheitsmaßnahmen gemäß Art. 32 Abs. 1 DSGVO der Erst- und Zweitbeschwerdegegnerin ermöglicht worden wäre (vgl. den Bescheid der Datenschutzbehörde vom 9. Oktober 2019, GZ: DSB-D130.073/0008-DSB/2019, wonach eine Verletzung von Art. 32 DSGVO auch zu einer Verletzung des Grundrechts auf Geheimhaltung führen kann).
Die Beschwerde gegen die Erst- und Zweitbeschwerdegegnerin war daher (mangels Eigenschaft als Verantwortlicher) spruchgemäß abzuweisen.
2. Zu Spruchpunkt 1
a) Zum Anwendungsbereich des Rechts auf Geheimhaltung
Nach § 1 Abs. 1 DSG hat jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
Der Drittbeschwerdegegner beruft sich in diesem Zusammenhang auf die in Art. 2 Abs. 2 lit. c DSGVO normierte Ausnahmebestimmung (so genannte „Haushaltsausnahme“) und führt ins Treffen, dass die Zugriffe auf die gynäkologischen Befunde der Beschwerdeführerin und die darauffolgende Datenweitergabe an die N*** K***versicherung AG ausschließlich in Ausübung persönlicher oder familiärer Tätigkeiten erfolgt sei.
Gemäß Art. 2 Abs. 2 lit. c DSGVO findet die DSGVO auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten keine Anwendung.
Die Datenschutzbehörde hat bereits festgehalten, dass die DSGVO und insbesondere auch die darin verankerten Ausnahmebestimmungen und Grundsätze zur Auslegung des Rechts auf Geheimhaltung heranzuziehen sind (vgl. den Bescheid der DSB vom 31. Oktober 2018, GZ DSB-D123.076/0003-DSB/2018).
Art. 3 Abs. 2 zweiter Gedankenstrich der RL 95/46/EG (nunmehr Art. 2 Abs. 2 lit. c DSGVO) ist dahingehend auszulegen, dass er nur Tätigkeiten betrifft, die zum Privat- oder Familienleben von Privatpersonen gehören . Insofern kann eine Tätigkeit nicht als ausschließlich persönlich oder familiär im Sinne dieser Vorschrift angesehen werden, wenn sie zum Gegenstand hat, personenbezogene Daten einer unbegrenzten Zahl von Personen zugänglich zu machen, oder wenn sie sich auch nur teilweise auf den öffentlichen Raum erstreckt und dadurch auf einen Bereich außerhalb der privaten Sphäre desjenigen gerichtet ist, der die Daten verarbeitet (siehe Urteil des EuGH vom 10. Juli 2018, C-25/17, Rz 42 mwN).
Art. 2 Abs. 2 lit. c DSGVO ist als Ausfluss des Art. 7 EU-GRC (Art. 8 EMRK) zu sehen, welcher die Privatsphäre vor Eingriffen, sei es durch den Staat, ein Unternehmen oder eine Privatperson, schützen soll. Eine Datenverarbeitung zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten bedingt, dass der Verarbeitende ausschließlich persönliche oder familiäre Zwecke verfolgt (vgl. Zukinc , Die Reichweite der Haushaltsausnahme der DS-GVO am Beispiel sozialer Online-Netzwerke und Bildaufnahmen, in Jahnel , Datenschutzrecht, Jahrbuch 2019, 61).
Im gegenständlichen Fall erfolgte die Datenverwendung des Drittbeschwerdegegners allerdings nicht – wie vom Wortlaut des Art. 2 Abs. 2 lit. c DSGVO ausdrücklich gefordert – „ausschließlich“ im Rahmen von persönlichen oder familiären Tätigkeiten, da die Information über die Fehlgeburt der Beschwerdeführerin im Ergebnis für einen wirtschaftlichen Zweck, nämlich einer Reisekostenrückerstattung, verwendet wurde.
Der bloße Umstand, dass in der Vergangenheit ein Naheverhältnis zur Beschwerdeführerin bestand, kann nach Auffassung der Datenschutzbehörde nicht dazu führen, dass Art. 2 Abs. 2 lit. c DSGVO zur Anwendung gelangt:
Bei anderer Betrachtung wäre jegliche Datenverarbeitung – losgelöst vom Kontext – innerhalb eines Freundes- oder Familienkreises dem Anwendungsbereich des Grundrechts auf Geheimhaltung und der DSGVO entzogen.
Eine derartige Auslegung würde zudem im Widerspruch zur stRsp des EuGH stehen, wonach sich Ausnahmen und Beschränkungen des Grundrechts auf Datenschutz auf das absolut notwendige Minimum zu beschränken haben (vgl. Urteil des EuGH vom 14. Februar 2019, C-345/17, Rz 64 mwN) und wonach – angesichts des Zwecks von nunmehr Art. 9 Abs. 1 DSGVO – von einem weiten Schutzbereich von Gesundheitsdaten auszugehen ist (vgl. das Urteil des EuGH vom 6. November 2003, C-101/01, Lindqvist Rz 50).
Als Zwischenergebnis ist daher festzuhalten, dass der Anwendungsbereich von § 1 Abs. 1 DSG eröffnet ist und der Drittbeschwerdegegner als datenschutzrechtlicher Verantwortlicher gemäß Art. 4 Z 7 DSGVO (siehe oben) zu sehen ist.
b) Zur Rechtmäßigkeit der Datenverwendung
Beschränkungen des Anspruchs auf Geheimhaltung sind gemäß § 1 Abs. 2 DSG dann zulässig, wenn personenbezogene Daten im lebenswichtigen Interesse des Betroffenen verwendet werden, der Betroffene seine Zustimmung (bzw. in der Terminologie der DSGVO: Einwilligung) erteilt hat, wenn eine qualifizierte gesetzliche Grundlage für die Verwendung besteht, oder wenn die Verwendung durch überwiegende berechtigte Interessen eines Dritten gerechtfertigt ist.
In diesem Zusammenhang ist zu beachten, dass im gegenständlichen Fall Gesundheitsdaten (konkret: gynäkologischen Befunde) verwendet wurden, weshalb – dem Konzept von Art. 9 Abs. 2 DSGVO folgend – der Tatbestand der „berechtigten Interessen“ nicht in Betracht kommt.
Lebenswichtige Interessen der Beschwerdeführerin oder eine qualifizierte gesetzliche Grundlage kommen ebenso wenig in Betracht und wurde dies seitens des Drittbeschwerdegegners auch nicht vorgebracht.
Fraglich ist, ob eine ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) der Beschwerdeführerin für die gegenständliche Datenverwendung vorliegt:
Wie aus den Sachverhaltsfeststellungen erhellt, liegt weder für die am **. Mai 2019 sowie am **. Mai 2019 erfolgten Zugriffe auf die gynäkologischen Befunde, noch für die Übermittlung von Informationen im Zusammenhang mit der Fehlgeburt eine Einwilligung der Beschwerdeführerin vor.
Ergänzend zu der im Rahmen der Sachverhaltsfeststellung getroffenen Beweiswürdigung ist ausdrücklich festzuhalten, dass es dem Verantwortlichen im Rahmen seiner Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO iVm Art. 24 Abs. 1 DSGVO obliegt, den Nachweis für die Einhaltung der Grundsätze und der Rechtmäßigkeit der Verarbeitung – und hierzu zählt auch der Nachweis für die Einholung einer Einwilligung – zu erbringen.
Ein solcher Nachweis wurde durch den Drittbeschwerdegegner – trotz ausdrücklicher Aufforderung der Datenschutzbehörde – allerdings nicht erbracht.
Im Ergebnis ist daher davon auszugehen, dass die gegenständliche Datenverarbeitung durch keinen Erlaubnistatbestand nach Art. 9 Abs. 2 DSGVO gerechtfertigt ist und daher unrechtmäßigerweise erfolgte.
Es war daher spruchgemäß zu entscheiden.
Rückverweise
RIS