2021-0.101.211 – Datenschutzbehörde Entscheidung
Text
GZ: 2021-0.101.211 vom 15. Februar 2021 (Verfahrenszahl: DSB-D124.3158)
[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Dr. Walter A*** (Beschwerdeführer), vertreten durch Dr. Josef B***, Rechtsanwalt in ****, vom 22. Oktober 2020 (ha. eingelangt am 27. Oktober 2020) gegen die N*** Ärztezentrum - Dr. U*** Co GmbH (Beschwerdegegnerin) wegen Verletzung im Recht auf Geheimhaltung wie folgt:
- Die Beschwerde wird als unbegründet abgewiesen .
Rechtsgrundlagen : Art. 4 Z 15, Art. 6 Abs. 1 lit. c, Art. 9 Abs. 1 und Abs. 2 lit. i sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 1 Abs. 1 und Abs. 2 sowie 24 Abs. 1 und Abs. 5 des Datenschutzgesetzes (im Folgenden: DSG), BGBl. I Nr. 165/1999 idgF; §§ 1 Abs. 1 Z 1 und Abs. 2, 2 Abs. 1, 3 Abs. 1 Z 1, Z 1a und Abs. 2 sowie 4 des Epidemiegesetz 1950 (im Folgenden: EpiG), BGBl. Nr. 186/1950 idgF; §§ 1 sowie 2 der Verordnung des Bundesministers für Gesundheit betreffend elektronische Labormeldungen in das Register anzeigepflichtiger Krankheiten, BGBl. II Nr. 184/2013 idgF.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
1. Der anwaltlich vertretene Beschwerdeführer behauptete in seiner Eingabe vom 22. Oktober (ha. eingelangt am 27. Oktober 2020), ergänzt am 6. November 2020 (ha. eingelangt am 10. November 2020), eine Verletzung im Recht auf Geheimhaltung.
Zusammengefasst wurde vorgebracht, dass dieser am 28. September 2020 im Primärversorgungszentrum der Beschwerdegegnerin einen freiwilligen PCR-Test (SARS-CoV-2) vornehmen habe lassen. Mit SMS vom 28. September 2020 sei er mit folgendem Wortlaut verständigt worden, dass der Befund seines PCR-Tests verfügbar sei: „Ihr Befund ist verfuegbar! Download unter https://befunde.***labor.at. Mit Ihrer SV-Nummer (10-stellig) und diesem TAN anmelden: XXX“ . In Folge habe er den Befund angefragt und festgestellt, dass der Befund negativ sei. Am Folgetag habe er eine SMS mit folgendem Wortlaut erhalten: „Ihr Testergebnis der Probeentnahme vom 28. September 2020 ist eingelangt. COVID-19 Test für Walter, Jg. 19** ist NEGATIV. Ihre Bezirksverwaltungsbehörde“ .
Eine Rückfrage bei der Beschwerdegegnerin habe ergeben, dass diese auf dem Standpunkt stehe, dass sie die Daten aufgrund der VO des Bundesministers für Gesundheit betreffend elektronische Labormeldungen in das Register anzeigepflichtiger Krankheiten, BGBl. II Nr. 184/2013 idF BGBl. II 323/2020, weitergeben dürfe. Dies werde allerdings bestritten. Es werde daher begehrt, eine Verletzung seiner Rechte festzustellen.
2. Mit Stellungnahme vom 4. Dezember 2020 (ha. eingelangt am 22. Dezember 2020) brachte die Beschwerdegegnerin , vertreten durch die T*** Laborbetriebs GmbH („im Namen der Dr. U*** Co GmbH“), zusammengefasst Folgendes vor:
Als medizinisches Fachlabor sei sie verpflichtet, den Meldepflichten des EpiG nachzukommen. Sie habe entsprechend den geltenden Gesetzen gehandelt. Weiters werde auf eine vom Bundesministerium am 13. Oktober 2020 veröffentlichte „Österreichische Teststrategie zu SARS-CoV 2“ hingewiesen. Unter Punkt 3.1 (Seite 19 und Seite 20) stehe, dass eine Übermittlung von negativen Testergebnissen gemäß Labormeldeverordnung in das Epidemiologische Meldesystem (EMS) zu erfolgen habe.
3. Der Beschwerdeführer replizierte darauf – nach Parteiengehör zu den Ergebnissen des Ermittlungsverfahrens – in seiner Stellungnahme vom 5. Februar 2021 (ha. eingelangt am 9. Februar 2021) zusammengefasst Folgendes:
Die seitens der Beschwerdegegnerin angeführte Verordnung des Bundesministers für Gesundheit betreffend elektronische Labormeldungen in das Register anzeigepflichtiger Krankheiten sei keine taugliche Grundlage für die hier relevante Datenverwendung. Die Registrierung einer negativen Testung in das Register der anzeigepflichtigen Krankheiten sei im Gesetz nicht vorgesehen. Somit sei auch eine verordnungsmäßige Verpflichtung zur Einmeldung negativer Testergebnisse in das Register der anzeigepflichtigen Krankheiten unzulässig.
B. Beschwerdegegenstand
Ausgehend vom Vorbringen ergibt sich, dass Beschwerdegegenstand die Frage ist, ob die Beschwerdegegnerin den Beschwerdeführer dadurch im Recht auf Geheimhaltung verletzt hat, indem diese die Information, dass der am 28. September 2020 bei der Beschwerdegegnerin durchgeführte PCR-Test (SARS-CoV-2) des Beschwerdeführers negativ war, an eine Bezirksverwaltungsbehörde weitergeleitet hat.
C. Sachverhaltsfeststellungen
1. Die Beschwerdegegnerin betreibt ein Primärversorgungszentrum. Unter ihrer Verantwortung werden u.a. PCR-Tests auf SARS-CoV-2 durchgeführt.
2. Der Beschwerdeführer hat am 28. September 2020 im genannten Primärversorgungszentrum der Beschwerdegegnerin einen solchen PCR-Test durchgeführt.
3. Der Beschwerdeführer hat daraufhin am 28. September 2020 folgende Nachricht per SMS an seine Rufnummer erhalten (Formatierung nicht 1:1 wiedergegeben):
[Anmerkung Bearbeiter: die an dieser Stelle als grafische Datei (Screenshot) wiedergegebene SMS kann mit vertretbarem Aufwand nicht pseudonymisiert werden. Sie hat den in der Beschwerde (siehe oben 1.) angegebenen Inhalt.]
4. In weiterer Folge hat der Beschwerdeführer am 29. September 2020 folgende Nachricht per SMS an seine Rufnummer erhalten (Formatierung nicht 1:1 wiedergegeben):
[Anmerkung Bearbeiter: die an dieser Stelle als grafische Datei (Screenshot) wiedergegebene SMS kann mit vertretbarem Aufwand nicht pseudonymisiert werden. Sie hat den in der Beschwerde (siehe oben 1.) angegebenen Inhalt.]
5. Eine Rückfrage an die Beschwerdegegnerin habe ergeben, dass diese die Information, dass der am 28. September 2020 bei der Beschwerdegegnerin durchgeführte PCR-Test des Beschwerdeführers negativ war, an eine Bezirksverwaltungsbehörde weitergeleitet hat.
Beweiswürdigung : Die getroffenen Feststellungen stützen sich auf die Eingabe des Beschwerdeführers vom 22. Oktober 2020 (ha. eingelangt am 27. Oktober 2020) und auf die darin vorgelegten Screenshots. Die Eingabe des Beschwerdeführers wurde insofern seitens der Beschwerdegegnerin nicht bestritten. Diese bestätigte auch implizit die Weitergabe des negativen Testergebnisses an eine Bezirksverwaltungsbehörde, indem sie Ausführungen zur Rechtmäßigkeit der hier relevanten Datenweitergabe machte. Auch aus den FAQ der Beschwerdegegnerin ergibt sich, dass diese (jedenfalls bei einem positiven Test) eine behördliche Meldung erstattet, siehe dazu https://www.***aerztezentrum***.at/sars-cov-2-pcr-testung***/ unter Punkt „Was passiert wenn ich positiv getestet werde?“ (abgerufen am 12. Februar 2021).
D. In rechtlicher Hinsicht folgt daraus:
1. Anzuwendende Rechtsvorschriften:
§ 1 Abs. 1 Z 1 und Abs. 2 EpiG lautet samt Überschrift wie folgt (Hervorhebung durch die Datenschutzbehörde):
Anzeigepflichtige Krankheiten.
§ 1. (1) Der Anzeigepflicht unterliegen:
1. Verdachts-, Erkrankungs- und Todesfälle an Cholera, Gelbfieber, virusbedingtem hämorrhagischem Fieber, infektiöser Hepatitis (Hepatitis A, B, C, D, E), Hundebandwurm (Echinococcus granulosus) und Fuchsbandwurm (Echinococcus multilocularis), Infektionen mit dem Influenzavirus A/H5N1 oder einem anderen Vogelgrippevirus, Kinderlähmung, bakteriellen und viralen Lebensmittelvergiftungen, Lepra, Leptospiren-Erkrankungen, Masern, MERS-CoV (Middle East Respiratory Syndrome Coronavirus/„neues Corona-Virus“ ), Milzbrand, Psittakose, Paratyphus, Pest, Pocken, Rickettsiose durch R. prowazekii, Rotz, übertragbarer Ruhr (Amöbenruhr), SARS (Schweres Akutes Respiratorisches Syndrom), transmissiblen spongiformen Enzephalopathien, Tularämie, Typhus (Abdominaltyphus), Puerperalfieber, Wutkrankheit (Lyssa) und Bissverletzungen durch wutkranke oder -verdächtige Tiere,
(2) Der Bundesminister für Gesundheit und Frauen kann, wenn dies aus epidemiologischen Gründen gerechtfertigt oder auf Grund internationaler Verpflichtungen erforderlich ist, durch Verordnung weitere übertragbare Krankheiten der Meldepflicht unterwerfen oder bestehende Meldepflichten erweitern.
§ 2 Abs. 1 EpiG lautet samt Überschrift wie folgt:
Erstattung der Anzeige.
§ 2. (1) Jede Erkrankung, jeder Sterbefall an einer anzeigepflichtigen Krankheit, in den Fällen des § 1 Abs. 1 Z 1 auch jeder Verdacht einer solchen Erkrankung, ist der Bezirksverwaltungsbehörde (Gesundheitsamt), in deren Gebiet sich der Kranke oder Krankheitsverdächtige aufhält oder der Tod eingetreten ist, unter Angabe des Namens, des Alters und der Wohnung und, soweit tunlich, unter Bezeichnung der Krankheit binnen 24 Stunden anzuzeigen.
§ 3 Abs. 1 Z 1, Z 1a und Abs. 2 EpiG lautet samt Überschrift wie folgt (Hervorhebung durch die Datenschutzbehörde):
Zur Anzeige verpflichtete Personen.
§ 3. (1) Zur Erstattung der Anzeige sind verpflichtet:
1. Der zugezogene Arzt, in Kranken-, Gebär- und sonstigen Humanitätsanstalten der Leiter der Anstalt oder der durch besondere Vorschriften hiezu verpflichtete Vorstand einer Abteilung;
1a. jedes Labor , das den Erreger einer meldepflichtigen Krankheit diagnostiziert;
[…]
(2) Die Verpflichtung zur Anzeige obliegt den unter Z 2 bis 8 bezeichneten Personen nur dann, wenn ein in der obigen Aufzählung unter Z 1 bis 7 früher genannter Verpflichteter nicht vorhanden ist .
§ 4 EpiG lautet samt Überschrift wie folgt:
Register der anzeigepflichtigen Krankheiten
§ 4. (1) Der für das Gesundheitswesen zuständige Bundesminister hat ein elektronisches Register betreffend die Anzeigen nach § 1 Abs. 1 und 2, § 2 Abs. 2, § 28c und die Anzeigen nach §§ 5 und 11 des Tuberkulosegesetzes, BGBl. Nr. 127/1968, zu betreiben. Der für das Gesundheitswesen zuständige Bundesminister ist Verantwortlicher. Hinsichtlich der Verarbeitung personenbezogener Daten nach diesem Bundesgesetz besteht kein Widerspruchsrecht gemäß Art. 21 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1.
(2) Das Anzeigenregister dient der Erfüllung der Aufgaben der Bezirksverwaltungsbehörden zur Durchführung von Erhebungen über das Auftreten anzeigepflichtiger Krankheiten (§ 5 dieses Bundesgesetzes und § 6 Tuberkulosegesetz) sowie zur Verhütung der Weiterverbreitung und Bekämpfung anzeigepflichtiger Krankheiten (§§ 6 bis 26a dieses Bundesgesetzes und §§ 7 bis 14 und 23 Tuberkulosegesetz) und der Erfüllung der Aufgaben der Landeshauptmänner im Rahmen ihrer Koordinierungsfunktion gemäß § 43 Abs. 6 und 7.
(3) Die Bezirksverwaltungsbehörden sind verpflichtet, die Daten aus Anzeigen nach § 1 Abs. 1 und 2 und § 2 Abs. 2, § 28c, die Daten, die im Rahmen von Erhebungen über das Auftreten anzeigepflichtiger Krankheiten gesammelt werden, und die Daten, die im Zusammenhang mit getroffenen Maßnahmen stehen, im Register zu verarbeiten. Die Bezirksverwaltungsbehörden sind weiters verpflichtet, die Daten aus Anzeigen nach §§ 5, 10 und 11 Tuberkulosegesetz, die Daten, die im Rahmen von Erhebungen über das Auftreten von Tuberkulose gesammelt werden, und die Daten, die im Zusammenhang mit getroffenen Maßnahmen stehen, im Register zu verarbeiten.
(4) Im Register werden folgende Datenkategorien verarbeitet:
1. Daten zur Identifikation von Erkrankten, einer Erkrankung Verdächtigen, Gebissenen, Verstorbenen oder Ausscheidern (Name, Geschlecht, Geburtsdatum, Wohnsitz, soweit vorhanden Telefonnummer und E-Mail-Adresse, Sozialversicherungsnummer und bereichsspezifisches Personenkennzeichen (§ 9 E-GovG, BGBl. I Nr. 10/2004)),
2. gegebenenfalls Sterbedaten (Datum, Todesursache, Autopsiestatus),
3. die für die anzeigepflichtige Krankheit relevanten klinischen Daten (Vorgeschichte und Krankheitsverlauf) und Labordaten,
4. Daten zum Umfeld des Erkrankten, einer Erkrankung Verdächtigen, Gebissenen, Verstorbenen oder Ausscheiders, soweit sie in Bezug zur anzeigepflichtigen Erkrankung stehen, sowie Daten zur Identifikation von Kontaktpersonen (Name, Telefonnummer, E-Mail-Adresse, Wohnsitz) und
5. Daten zu den getroffenen Vorkehrungsmaßnahmen.
(5) Bei der Datenverarbeitung gemäß Abs. 2 bis 4 ist die Verwendung des Namens und des bereichsspezifischen Personenkennzeichens GH zulässig.
(6) Jede Verwendung der im Register verarbeiteten Daten darf nur in Vollziehung dieses Bundesgesetzes, in Vollziehung des Tuberkulosegesetzes oder in Vollziehung des Zoonosengesetzes, BGBl. I Nr. 128/2005, erfolgen.
(7) Die Bezirksverwaltungsbehörde darf im Rahmen ihrer Zuständigkeit für Zwecke der Erhebungen über das Auftreten und der Verhütung und Bekämpfung einer anzeigepflichtigen Krankheit nach diesem Bundesgesetz und nach dem Tuberkulosegesetz alle Daten einer Person im Register, die im Zusammenhang mit einem bestimmten Verdachts-, Erkrankungs- oder Todesfall stehen, personenbezogen verarbeiten. Der Landeshauptmann darf im Rahmen seiner Koordinierungsfunktion gemäß § 43 Abs. 5 und 6 alle Daten einer Person im Register, die im Zusammenhang mit einem bestimmten Verdachts-, Erkrankungs- oder Todesfall stehen, personenbezogen verarbeiten. Sofern vom für das Veterinärwesen zuständigen Bundesminister gemäß § 3 Abs. 7 des Zoonosengesetzes bzw. vom für das Gesundheitswesen zuständigen Bundesminister gemäß § 5 Abs. 4 dieses Bundesgesetzes ein Sachverständiger zur Abklärung bundesländerübergreifender Zoonosenausbrüche bzw. Ausbruchscluster bestellt wurde, darf dieser alle Daten von Personen im Register, die im Zusammenhang mit diesem Zoonosenausbruch oder Ausbruchscluster stehen können, personenbezogen verarbeiten, soweit dies zur Abklärung dieses Zoonosenausbruchs oder Ausbruchsclusters erforderlich ist. Eine Übermittlung der personenbezogenen Daten an Dritte und eine Datenweiterverarbeitung der personenbezogenen Daten zu anderen Zwecken ist nicht zulässig. Der für das Gesundheitswesen zuständig Bundesminister darf zur Erfüllung der Verpflichtungen nach Art. 15 und 16 Datenschutz-Grundverordnung die Daten einer Person im Register personenbezogen verarbeiten.
(8) Der für das Gesundheitswesen zuständige Bundesminister darf für Zwecke der epidemiologischen Überwachung, Qualitätssicherung und zur Erfüllung von sich aus EU-Recht ergebenden Meldeverpflichtungen die Daten im Register in pseudonymisierter Form verarbeiten. Der für das Gesundheitswesen zuständige Bundesminister kann dazu Dritte als Auftragsverarbeiter heranziehen. Die Bezirksverwaltungsbehörde und der Landeshauptmann dürfen für Zwecke der epidemiologischen Überwachung die Daten im Register in pseudonymisierter Form verarbeiten.
(9) Der für das Gesundheitswesen zuständige Bundesminister, Familie und Jugend hat sicherzustellen, dass jeder Zugriff auf das Register nur unter Nachweis der eindeutigen Identität (§ 2 Z 2 E-GovG) und der Authentizität (§ 2 Z 5 E-GovG) möglich ist. Er muss sicherstellen, dass geeignete, dem jeweiligen Stand der Technik entsprechende Vorkehrungen getroffen werden, um eine Vernichtung, Veränderung oder Abfrage der Daten des Registers durch unberechtigte Benutzer oder Systeme zu verhindern, und dass alle durchgeführten Verwendungsvorgänge, wie insbesondere Eintragungen, Änderungen, Abfragen und Übermittlungen, im notwendigen Ausmaß protokolliert werden.
(10) Die Vertraulichkeit der Datenübermittlung ist durch dem Stand der Technik entsprechende verschlüsselte Übermittlungsverfahren zu gewährleisten.
(11) Die Daten im Register sind zu löschen, sobald sie zur Erfüllung der Aufgaben der Bezirksverwaltungsbehörden im Zusammenhang mit der Erhebung über das Auftreten und im Zusammenhang mit der Verhütung und Bekämpfung einer anzeigepflichtigen Krankheit nach diesem Bundesgesetz und nach dem Tuberkulosegesetz nicht mehr erforderlich sind.
(12) Der Bezirkshauptmann, der Landeshauptmann und der für das Gesundheitswesen zuständige Bundesminister sind verpflichtet, die Zugriffsberechtigung für die einzelnen Benutzer individuell zuzuweisen und zu dokumentieren. Zugriffsberechtigte sind von der weiteren Ausübung ihrer Zugriffsberechtigung auszuschließen, wenn sie diese zur weiteren Erfüllung der ihnen übertragenen Aufgaben nicht mehr benötigen oder sie die Daten nicht entsprechend ihrer Zweckbestimmung verarbeiten.
(13) Die Bezirksverwaltungsbehörden und der Landeshauptmann haben durch organisatorische und technische Vorkehrungen sicherzustellen, dass der Zutritt zu Räumen, in denen sich eine Zugriffsmöglichkeit auf das Register befindet, grundsätzlich nur Bediensteten der Behörde möglich ist. Ist es erforderlich, dass in Räumen mit einer Zugriffsmöglichkeit auf das Register Parteienverkehr stattfindet, ist jedenfalls sicherzustellen, dass eine Einsichtnahme in die Daten des Registers durch Außenstehende nicht möglich ist.
(14) Wird die kommunikationstechnische Einrichtung, die den Zugang zum Register ermöglicht, aus dem Behördenbereich entfernt, ist sicherzustellen, dass eine unberechtigte Einsichtnahme und Verwendung ausgeschlossen ist.
(15) Labors haben ihrer Meldeverpflichtung (§ 1 in Verbindung mit § 3 Abs. 1 Z 1a dieses Bundegesetzes und § 5 Abs. 2 des Tuberkulosegesetzes) elektronisch durch Eingabe der Meldung in das Register nachzukommen. Der für das Gesundheitswesen zuständige Bundesminister hat durch Verordnung Details dieser Meldungen festzulegen.
(16) Die Österreichische Agentur für Gesundheit und Ernährungssicherheit als nationale Referenzzentrale und Referenzlabor für Tuberkulose hat ihrer Meldeverpflichtung nach § 1 in Verbindung mit § 3 Abs. 1 Z 1a (Laborbefunde) elektronisch durch Eingabe der Meldung in das Register nachzukommen. Weiters sind die Ergebnisse der Resistenzprüfung und Typisierung elektronisch in das Register einzugeben.
(17) Der für das Gesundheitswesen zuständige Bundesminister kann durch Verordnung nach Maßgabe der technischen Möglichkeiten vorsehen, dass Meldepflichtige nach § 3 Abs. 1 Z 1 ihrer Meldeverpflichtung nach § 1 auch elektronisch durch Eingabe der Meldung in das Register nachkommen können. Dabei sind von den Meldepflichtigen sinngemäß die in den Abs. 12 bis 14 vorgesehenen Datensicherheitsmaßnahmen zu ergreifen.
Die §§ 1 und 2 der VO betreffend elektronische Labormeldungen lautet wie folgt:
§ 1. (1) Labors im Sinne dieser Verordnung sind Einrichtungen, die Erreger anzeigepflichtiger Krankheiten beim Menschen direkt oder indirekt diagnostizieren.
(2) Labors sind verpflichtet, ihrer Meldeverpflichtung nach § 3 Abs. 1 Z 1a des Epidemiegesetzes 1950, BGBl. Nr. 186/1950, in der jeweils geltenden Fassung, elektronisch in das Register anzeigepflichtiger Krankheiten nachzukommen.
(3) Die Meldung umfasst folgende Datenarten:
1. Daten zur Identifikation von Erkrankten, Verstorbenen oder Ausscheidern (Name, Geschlecht, Geburtsdatum, Wohnsitz, soweit vorhanden Telefonnummer und E-Mail-Adresse sowie Sozialversicherungsnummer),
2. Art des Erregers,
3. untersuchtes Material,
4. Details zur Untersuchungsmethode,
5. Details zum Analysenergebnis, jedenfalls im Falle einer Pandemie mit COVID-19 auch alle negativen und ungültigen Ergebnisse und.
6. Kategorie der Probe.
(4) Im Falle eines technischen Ausfalls des Registers hat die Meldung innerhalb von 24 Stunden auf andere geeignete Weise (z.B. telefonisch) zu erfolgen.
§ 2. (1) Die elektronische Übermittlung hat ausschließlich über eine vom Bundesministerium für Gesundheit zur Verfügung gestellte Schnittstelle für Laborinformationssysteme zu erfolgen.
(2) Labors sind verpflichtet, die jeweils gültige Version der Laborschnittstellenbeschreibung, die vom Bundesministerium für Gesundheit zur Verfügung gestellt wird, zur Übermittlung der Daten zu nutzen.
2. Zum Recht auf Geheimhaltung
2.1 Anwendungsbereich des Rechts auf Geheimhaltung
Nach § 1 Abs. 1 DSG hat jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
Die DSGVO und insbesondere auch die darin verankerten Grundsätze sind zur Auslegung des Rechts auf Geheimhaltung heranzuziehen (vgl. den Bescheid der DSB vom 31. Oktober 2018, GZ DSB D123.076/0003-DSB/2018).
Im gegenständlichen Fall ist der Anwendungsbereich von § 1 Abs. 1 DSG eröffnet, da sich die hier relevanten Informationen – nämlich, dass das PCR-Testergebnis des Beschwerdeführers negativ ist –gemäß Art. 4 Z 1 DSGVO unstrittig auf diesen beziehen.
2.2 Allgemeines zur Einschränkung des Rechts auf Geheimhaltung
Beschränkungen des Anspruchs auf Geheimhaltung sind gemäß § 1 Abs. 2 DSG dann zulässig, wenn personenbezogene Daten im lebenswichtigen Interesse des Betroffenen verwendet werden, der Betroffene seine Zustimmung (bzw. in der Terminologie der DSGVO: Einwilligung) erteilt hat, wenn eine qualifizierte gesetzliche Grundlage für die Verwendung besteht, oder wenn die Verwendung durch überwiegende berechtigte Interessen eines Dritten gerechtfertigt ist.
2.3 Zum Negativtest als Gesundheitsdatum
Vor einer Überprüfung der Zulässigkeit der Einschränkung des Rechts auf Geheimhaltung ist jedoch zu hinterfragen, ob auch ein Negativtest – also der Befund, dass eine Person (bis zu einem gewissen Zeitpunkt und mit einer gewissen Wahrscheinlichkeit) nicht mit SARS-CoV-2 infiziert ist – als Gesundheitsdatum gemäß Art. 4 Z 15 DSGVO zu qualifizieren ist.
Dies ist relevant, da gemäß § 1 Abs. 2 DSG und Art. 9 Abs. 1 DSGVO die Verwendung von Datenkategorien, die ihrer Art nach besonders schutzwürdig sind, nur unter strengen Voraussetzungen zulässig ist.
Diesbezüglich ist zunächst festzuhalten, dass der Wortlaut des Art. 4 Z 15 DSGVO nicht an eine gewisse (Mindest-) Beeinträchtigung der körperlichen oder geistigen Gesundheit anknüpft, was für einen weite Auslegung des Begriffs „Gesundheitsdatums“ spricht.
Noch deutlicher wird dies in ErwGr. 35 der Verordnung, wonach zu den personenbezogenen Gesundheitsdaten alle Daten zählen sollten, aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen.
Diese Überlegungen finden auch in der Judikatur des EuGH Deckung, wonach der Begriff „Gesundheitsdatum“ weit auszulegen ist (vgl. zur insofern vergleichbaren Rechtslage nach der Richtlinie 95/46 das Urteil des EuGH vom 6. November 2003, C 101/01, Rs Lindqvist, Rz 50 f).
Als Zwischenergebnis ist somit festzuhalten, dass (auch) der Negativtest des Beschwerdeführers gemäß Art. 4 Z 15 DSGVO als Gesundheitsdatum zu qualifizieren ist und der Schutzbereich des Art. 9 Abs. 2 leg. cit. als Maßstab bei der folgenden Überprüfung der Rechtmäßigkeit zu beachten ist.
2.4 Zur Rechtmäßigkeit der Datenweitergabe
Die hier relevante Datenweitergabe – also die Übermittlung des Negativtests des Beschwerdeführers an eine Bezirksverwaltungsbehörde – liegt nicht im lebenswichtigen Interesse des Beschwerdeführers und eine Zustimmung liegt ebenso wenig vor.
Auch auf den Tatbestand des berechtigten Interesses gemäß Art. 6 Abs. 1 lit. f DSGVO kann im Schutzbereich des Art. 9 Abs. 2 leg. cit. nicht zurückgegriffen werden.
Es stellt sich jedoch die Frage, ob eine qualifizierte gesetzliche Grundlage, konkret eine gesetzliche Verpflichtung der Beschwerdegegnerin zur hier relevanten Datenweitergabe, besteht.
Aus einer Zusammenschau der (oben angeführten) Bestimmungen von Art. 9 Abs. 1 lit. i DSGVO iVm § 3 Abs. 1 Z 1, Z 1a sowie Abs. 2 EpiG ergibt sich, dass die zuständige Anstalt oder subsidiär das verantwortliche Labor, das den Erreger einer meldepflichtigen Krankheit (wie das Coronavirus) diagnostiziert, zur Anzeige an die jeweils zuständige Bezirksverwaltungsbehörde (als Gesundheitsamt) verpflichtet ist. Zur Erfüllung dieser rechtlichen Verpflichtung ist es daher im Umkehrschluss notwendig (und somit zulässig), dass die jeweilige Stelle eine behördliche Meldung über einen positiven PCR-Test abgibt.
Im gegenständlichen Fall wurde allerdings eine behördliche Meldung über einen negativen PCR-Test abgegeben.
Die Verpflichtung zur Abgabe einer behördlichen Meldung über einen negativen PCR-Test ist aus dem Wortlaut des § 3 Abs. 1 Z 1 und Z 1a EpiG nicht abzuleiten.
Die in § 3 Abs. 1 EpiG benannte Pflicht zur Abgabe einer behördlichen Meldung kann gemäß § 1 Abs. 2 leg. cit. seitens durch den Bundesminister für Gesundheit allerdings dann erweitert werden, wenn dies aus epidemiologischen Gründen gerechtfertigt oder auf Grund internationaler Verpflichtungen erforderlich ist.
Von dieser Möglichkeit zur Erweiterung der Meldepflichten wurde im Rahmen der aktuellen Pandemie rund um COVID-19 Gebrauch gemacht:
Die Verordnung des Bundesministers für Gesundheit betreffend elektronische Labormeldungen in das Register anzeigepflichtiger Krankheiten, BGBl. II Nr. 184/2013 idgF, wurde mit einer Novelle durch das BGBl. II Nr. 323/2020 dahingehend geändert, dass gemäß dessen § 1 Abs. 3 Einrichtungen dazu verpflichtet sind, im Falle einer Pandemie mit COVID-19 auch alle negativen und ungültigen Ergebnisse an die Bezirksverwaltungsbehörde zu übermitteln.
Die hier relevante Verordnung, mit der die Meldepflicht erweitert wurde, beruht auf der gesetzlichen Grundlage des § 3 Abs. 1 EpiG und bindet die jeweiligen medizinischen Einrichtungen gleichermaßen. Zudem muss nach ErwGr. 41 erster Satz DSGVO eine Rechtsgrundlage, auf die (der hier relevante) Art. 9 Abs. 2 lit. i DSGVO abgestellt, auch nicht notwendigerweise auf einem von einem Parlament angenommenen Gesetzgebungsakt beruhen.
Weiters bestehen auch keine Bedenken im Hinblick auf das Determinierungsgebot von Normvorschriften:
Anders als die seitens der Datenschutzbehörde beanstandete Wiener Contact-Tracing Verordnung (siehe dazu den Bescheid vom 19. November 2020, GZ 2020-0.743.659), sind die Tragweite und Anwendung von § 3 Abs. 1 EpiG iVm § 1 Abs. 3 der erwähnten Verordnung des Gesundheitsministers klar und präzise und ist für betroffene Personen aus dem Wortlaut dieser Normen erkennbar, dass auch negative und ungültige PCR-Tests von der Meldepflicht an die Bezirksverwaltungsbehörde umfasst sind (vgl. ErwGr. 41 zweiter Satz DSGVO).
Die Erweiterung der Meldepflicht des § 3 Abs. 1 EpiG ist der Bekämpfung von COVID-19 auch zweckdienlich, da das Datenmaterial (also länder- und bundesspezifische Informationen über negative und ungültige PCR-Tests) relevant für die Ausrichtung der Pandemiestrategie – insbesondere der Teststrategie – ist.
Wenngleich dies seitens des Beschwerdeführers nicht beanstandet wurde, ist – in gebotener Kürze –auch darauf hinzuweisen, dass die Normen des EpiG und der angeführten Verordnung des Gesundheitsministers auch Vorgaben im Hinblick auf Zweckbindung, Datenminimierung und Datensicherheit enthalten.
Ferner handelt es sich bei einem PCR-Test (also der Erhebung, ob eine Person infiziert ist) um keinen besonderen Datenverarbeitungsvorgang – wie etwa Profiling gemäß Art. 4 Z 4 DSGVO – sodass auch nicht davon auszugehen ist, dass der in Art. 9 Abs. 2 lit. i leg. cit. enthalte Maßstab an nationale Normen, „angemessene und spezifische Schutzmaßnahmen“ zu normieren, verletzt wäre.
3. Ergebnis
Vor dem Hintergrund all dieser Überlegungen kommt die Datenschutzbehörde daher zu dem Ergebnis, dass die hier relevante Datenweitergabe auf die in § 3 Abs. 1 EpiG iVm § 1 Abs. 3 der erwähnten Verordnung des Gesundheitsministers normierte gesetzliche Verpflichtung der Beschwerdegegnerin, auch negative PCR-Testergebnisse an die zuständige Bezirksverwaltungsbehörde zu übermitteln, gestützt werden kann.
Die hier relevante Datenweitergabe erweist sich daher als rechtmäßig und ist von keiner Verletzung im Recht auf Geheimhaltung des Beschwerdeführers auszugehen.
Es war daher spruchgemäß zu entscheiden.
Auf die Frage, ob es zulässig war, dass die zuständige Bezirksverwaltungsbehörde in Folge per SMS über das negative Testergebnis informiert hat, war nicht einzugehen, da dies nicht mehr vom Beschwerdegegenstand gedeckt umfasst ist.