2022-0.432.117 – Datenschutzbehörde Entscheidung
Text
GZ: 2022-0.432.117 vom 15. Juni 2022 (Verfahrenszahl: DSB-D770.1336)
[Anmerkung Bearbeiter/in: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.
Der Namen des Beschwerdegegners wurde hier nicht pseudonymisiert, da es sich um eine Körperschaft öffentlichen Rechts handelt, deren Identität aus angewendeten und zitierten Rechtsvorschriften hervorgeht.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Herrn Ing. Martin A*** (Beschwerdeführer) vom 23. Dezember 2021 gegen den Dachverband der Sozialversicherungsträger (Beschwerdegegner) wegen der behaupteten Verletzung im Recht auf Geheimhaltung wie folgt:
1. Die Beschwerde wird als unbegründet abgewiesen .
2. Der Antrag des Beschwerdeführers, die Datenschutzbehörde möge die Datenverarbeitung gemäß § 22 Abs. 4 DSG untersagen, wird abgewiesen .
3. Der Antrag des Beschwerdeführers, die Datenschutzbehörde möge gegen den Beschwerdegegner eine Geldbuße verhängen, wird zurückgewiesen .
Rechtsgrundlagen : § 1 Abs. 1 und Abs. 2, § 22 Abs. 4, § 24 Abs. 1 und Abs. 5 sowie § 30 Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF; Art. 51 Abs. 1, Art. 57 Abs. 1 lit. f sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 04.05.2016, S. 1; § 750 des Allgemeinen Sozialversicherungsgesetzes (ASVG), BGBl. Nr. 189/1955 idgF.; § 18 des Gesundheitstelematikgesetzes 2012 (GTelG 2012), BGBl. I Nr. 111/2012 idgF.; § 25 Abs. 1 des Verwaltungsstrafgesetzes 1991 (VStG), BGBl. Nr. 52/1991 idgF.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
1. Der Beschwerdeführer behauptete in seiner Beschwerde vom 23. Dezember 2021 vom Beschwerdegegner und vom „ Sozialministerium / Service für Bürgerinnen und Bürger “ in seinem Recht auf Geheimhaltung verletzt worden zu sein, da er ein an ihn adressiertes Schreiben betreffend einen Termin für eine Corona-Schutzimpfung erhalten habe, er jedoch davon ausgehe, dass diesem Schreiben eine unzulässige Verarbeitung seiner personenbezogenen Daten zugrunde liege.
Darüber hinaus beantragte der Beschwerdeführer, die Datenschutzbehörde möge die Datenverarbeitung gemäß § 22 Abs. 4 DSG untersagen und gegen den Beschwerdegegner und gegen das „ Sozialministerium / Service für Bürgerinnen und Bürger “ eine Geldbuße verhängen.
2. Die Datenschutzbehörde forderte aufgrund einer Vielzahl gleichlautender Beschwerden den Beschwerdegegner mit ho. Schreiben vom 15. Dezember 2021 zur Abgabe einer Stellungnahme auf da die Datenschutzbehörde, ausgehend von den Beschwerdevorbringen bzw. den vorgelegten Unterlagen, von dessen datenschutzrechtlicher Verantwortlichkeit ausging.
3. In seiner Stellungnahme vom 14. Jänner 2022 brachte der Beschwerdegegner zusammengefasst vor, dass er als alleiniger datenschutzrechtlicher Verantwortlicher – wie in § 750 Abs. 1a ASVG vorgesehen – im Auftrag des Bundesministers für Soziales, Gesundheit, Pflege und Konsumentenschutz an bestimmte Personen, die bis zu einem Stichtag noch keine Impfung gegen SARS-CoV-2 erhalten hätten, einen Brief geschickt habe, in welchem er über das Risiko schwer an COVID-19 zu erkranken und die Möglichkeit der Inanspruchnahme einer kostenlosen Impfung gegen SARS-CoV-2 informiert habe. Die für den Versand der Briefe erforderliche Datenerhebung wäre auf Basis einer klaren gesetzlichen Grundlage, nämlich gemäß § 750 Abs. 1a und Abs. 2 ASVG, erfolgt. Die vom Beschwerdeführer behauptete Verletzung seines Rechts auf Geheimhaltung würde somit nicht vorliegen.
4. Die Datenschutzbehörde gewährte dem Beschwerdeführer zur Stellungnahme des Beschwerdegegners Parteiengehör und teilte darüber hinaus mit, dass aufgrund der Ausführungen des Beschwerdegegners, wonach dieser der alleinige datenschutzrechtliche Verantwortliche der verfahrensgegenständlichen Datenverarbeitung sei, das Verfahren gegen diesen geführt wird.
5. Im Rahmen des erteilten Parteiengehörs gab der Beschwerdeführer keine weitere Stellungnahme mehr ab. Ein entsprechender Weiterleitungsbericht liegt dem Akt bei und liegt auch keine Fehlermeldung eines E-Mail Servers vor.
B. Beschwerdegegenstand
Beschwerdegegenstand ist die Frage, ob der Beschwerdegegner den Beschwerdeführer dadurch in seinem Recht auf Geheimhaltung verletzt hat, indem der Beschwerdegegner die Daten des Beschwerdeführers zum Zweck des Versands eines Schreibens, in welchem der Beschwerdegegner über das Risiko schwer an COVID-19 zu erkranken und die Möglichkeit der Inanspruchnahme einer kostenlosen Impfung gegen SARS-CoV-2 informierte, unrechtmäßig verarbeitet hat.
C. Sachverhaltsfeststellungen
Der Beschwerdegegner ist gemäß § 32 Abs. 1 ASVG eine Körperschaft des öffentlichen Rechts und hat Rechtspersönlichkeit.
Der Beschwerdegegner hat die Daten des Beschwerdeführers verarbeitet und an diesen ein Schreiben, in welchem er ihn über das Risiko schwer an COVID-19 zu erkranken und die Möglichkeit der Inanspruchnahme einer kostenlosen Impfung gegen SARS-CoV-2 informiert, geschickt.
Zur Ermittlung der Daten des Beschwerdeführers hat der Beschwerdegegner im zentralen Impfregister überprüft, ob zum Beschwerdeführer zum Stichtag 22. November 2021 zumindest ein Impfeintrag vorhanden war und hat, da kein solcher Impfeintrag vorhanden war, in einem nächsten Schritt die Wohnadresse des Beschwerdeführers im zentralen Patientenindex ermittelt.
In der Folge hat der Beschwerdegegner einen Lückenbrief mit allgemeinen Brieftext und Impfvorschlag sowie die Daten des Beschwerdeführers an einen Druckdienstleister im Rahmen einer Auftragsdatenverarbeitung übermittelt.
Beim Impfvorschlag handelt es sich um keinen personenbezogenen Termin, weshalb in diesem Zusammenhang auch keine Daten des Beschwerdeführers an Dritte weitergegeben worden sind.
Nach der Übermittlung der Daten an den Druckdienstleister hat der Beschwerdegegner die Daten des Beschwerdeführers gelöscht. Der Druckdienstleister hat gegenüber dem Beschwerdegegner die Löschung der Daten des Beschwerdeführers bestätigt.
Beweiswürdigung : Die Feststellungen ergeben sich aus den Vorbringen der Verfahrensparteien, den vorgelegten, unbedenklichen Unterlagen sowie aus § 32 Abs. 1 ASVG.
D. In rechtlicher Hinsicht folgt daraus:
D1. Zur behaupteten Verletzung im Recht auf Geheimhaltung
§ 750 ASVG samt Überschrift lautet:
„ Informationsschreiben Impfung gegen SARS-CoV-2
(1) Der Dachverband hat die nach den Bundesgesetzen krankenversicherten Personen und deren anspruchsberechtigte Angehörige, welche am 1. März 2021 der COVID-19-Risikogruppe nach der COVID-19-Risikogruppe-Verordnung, BGBl. II Nr. 203/2020, zugeordnet waren, und bis 1. April 2021 noch keine Impfung gegen SARS-CoV-2 erhalten haben, über ihr erhöhtes Risiko, schwer an COVID-19 zu erkranken, und die Möglichkeiten zur Inanspruchnahme der kostenlosen Impfung gegen SARS-CoV-2 zu informieren. Dies gilt nicht für Personen, die am 1. März 2021 das 16. Lebensjahr noch nicht vollendet hatten. Der Bund hat dem Dachverband die daraus resultierenden Aufwendungen aus dem COVID-19-Krisenbewältigungsfonds zu ersetzen.
(1a) Der Dachverband hat über Auftrag des Bundesministers für Soziales, Gesundheit, Pflege und Konsumentenschutz die nach den Bundesgesetzen krankenversicherten Personen und deren anspruchsberechtigte Angehörige, die bis 22. November 2021 noch keine Impfung gegen SARS-CoV-2 erhalten haben, über das Risiko, schwer an COVID-19 zu erkranken, und die Möglichkeiten zur Inanspruchnahme der kostenlosen Impfung gegen SARS-CoV-2 zu informieren. Abs. 1 letzter Satz ist anzuwenden.
(2) Zum Zweck der Ermittlung der gemäß Abs. 1 und Abs. 1a in Betracht kommenden Personen ist der Dachverband berechtigt, die im zentralen Impfregister (§ 24c GTelG 2012) gespeicherten Daten zu den COVID-19-Impfungen einmalig mit eigenen Daten zu verknüpfen (abzugleichen). Für die Verknüpfung ist das bPK-SV zu verwenden. Eine Verarbeitung dieser Daten für andere Zwecke ist unzulässig. Nach der Verarbeitung sind diese Daten umgehend zu löschen. Die ELGA GmbH als für das Impfregister Verantwortliche (§ 27 Abs. 17 GTelG 2012 iVm § 4b eHealth-Verordnung, BGBl. II Nr. 449/2020) ist verpflichtet, dem Dachverband die notwendigen Daten bereitzustellen. Bei der Protokollierung nach § 24f Abs. 5 GTelG ist ein Hinweis darauf aufzunehmen, dass die Datenverarbeitung zum Zweck der Ermittlung der gemäß Abs. 1 und Abs. 1a in Betracht kommenden Personen erfolgt ist.
(3) Der Dachverband ist im übertragenen Wirkungsbereich unter Bindung an die Weisungen des Bundesministers für Soziales, Gesundheit, Pflege und Konsumentenschutz tätig.“
§ 18 GTelG samt Überschrift lautet:
„Überprüfung der Identität von ELGA-Teilnehmer/inne/n
§ 18. (1) Der Dachverband hat im übertragenen Wirkungsbereich einen Patientenindex einzurichten und zu betreiben. Dieser dient:
1. der Überprüfung der eindeutigen Identität (§ 2 Z 2 E-GovG) natürlicher Personen im Rahmen von ELGA oder anderen eHealth-Anwendungen sowie
2. der Lokalisierung von Verweisregistern, in denen sich Verweise auf ELGA-Gesundheitsdaten dieser natürlichen Personen befinden können.
(2) Im Patientenindex sind folgende Daten natürlicher Personen zu verarbeiten:
1. Namensangaben:
a) Vorname(n)
b) Familienname
c) Geburtsname
d) akademische Grade
2. Personenmerkmale:
a) Geburtsdatum
b) Geburtsort, soweit verfügbar
c) Geschlecht
d) Sterbedatum, soweit verfügbar
e) Staatsangehörigkeit
3. Adressdaten
4. Identitätsdaten:
a) Sozialversicherungsnummer
b) lokale Patient/inn/en/kennungen
c) bPK-GH
d) über die Z 1 bis 3 hinausgehenden Daten der europäischen Krankenversicherungskarte
e) sonstige staatliche Identifikatoren.
(3) Die Daten gemäß Abs. 2 sind vorrangig aus den Anwendungen des Dachverbandes gemäß § 30c Abs. 1 Z 2 lit. a ASVG sowie dem Ergänzungsregister gemäß § 6 Abs. 4 E-GovG zu erheben.
(4) Die Überprüfung der Identität der ELGA-Teilnehmer/innen (§ 14 Abs. 1 Z 1) hat in elektronischer Form unter Mitwirkung des ELGA-Teilnehmers/der ELGA-Teilnehmerin zu erfolgen. Dabei sind die im Patientenindex gespeicherten Identitätsdaten mit den im Rahmen der Identifikation erhobenen Identitätsdaten zu vergleichen. Die Erhebung der Identitätsdaten kann durch
1. eine elektronische Prüfung der Gültigkeit der e-card und dem Auslesen von Daten der e-card mittels e-card-System (§§ 31a ff ASVG) oder
2. Verwenden eines E-ID (§ 2 Z 10 E-GovG) oder
3. Verarbeiten von Identitätsdaten einer gemäß § 4 Abs. 2 eindeutig identifizierten natürlichen Person, die bei einem ELGA-Gesundheitsdiensteanbieter gemäß § 2 Z 10 lit. d und e gespeichert sind wobei das IT-Sicherheitskonzept gemäß § 8 die Überprüfung der Identität der ELGA-Teilnehmer/innen technisch abzusichern hat zum Zweck der Verarbeitung der ELGA-Gesundheitsdaten gemäß § 14 Abs. 2 Z 1 oder
4. Verarbeiten von Daten einer elektronischen oder sonst eindeutig identifizierbaren Verordnung oder Zuweisung (§ 14 Abs. 2 Z 1 lit. b), sofern die Erhebung der Identitätsdaten nicht gemäß Z 1 bis 3 erfolgt, oder
5. das Auslesen von Daten der e-card oder eines amtlichen Lichtbildausweises im Format ID-1 mittels geeigneter Technologie für die Identifizierung im Rahmen des elektronischen Impfpasses, wobei als amtlicher Lichtbildausweis in diesem Sinne von einer staatlichen Behörde ausgestellte Dokumente, die mit einem nicht austauschbaren erkennbaren Kopfbild der betreffenden Person versehen sind, und den Namen, das Geschlecht, das Geburtsdatum und die Unterschrift der Person sowie die ausstellende Behörde enthalten, gelten,
erfolgen.
(5) Im Zuge der Erhebung der Identitätsdaten mittels e-card System (§§ 31a ff ASVG) ist im selben Arbeitsschritt, aber technisch von den Datenflüssen des ELSY (§§ 31a ff ASVG) getrennt, auch ein allfälliger Widerspruch gemäß § 16 Abs. 2 Z 2 zu dokumentieren.
(6) Die Überprüfung der Identität der ELGA-Teilnehmer/innen (Abs. 4) darf für den Zugriff und die Verarbeitung der ELGA-Gesundheitsdaten zu den in § 14 Abs. 2 genannten Zwecken durch
1. ELGA-Gesundheitsdiensteanbieter gemäß § 2 Z 10 lit. a, b, d und e und die ELGA-Ombudsstelle gemäß § 2 Z 14 nicht länger als 90 Tage und
2. ELGA-Gesundheitsdiensteanbieter gemäß § 2 Z 10 lit. c nicht länger als zwei Stunden zurückliegen.
(7) Abweichend von Abs. 6 kann ein ELGA-Teilnehmer/eine ELGA-Teilnehmerin einem oder mehreren ELGA-Gesundheitsdiensteanbieter des besonderen Vertrauens gemäß § 2 Z 10 lit. a, b, c und e in Verbindung mit § 21 Abs. 2 mit dessen Zustimmung, eine Frist von bis zu 365 Tagen einräumen.
(8) Abgesehen von den Fällen gemäß § 17 Abs. 4 dürfen Vertretungen von ELGA-Teilnehmer/inne/n im elektronischen Verkehr ausschließlich gemäß § 5 Abs. 1 E-GovG eingetragen werden, wobei:
1. an Stelle der Stammzahl ein bPK des ELGA-Teilnehmers/der ELGA-Teilnehmerin einzutragen ist sowie
2. die Berechtigung zum Zugriff auf ELGA gesondert eingetragen werden muss.
(9) Zehn Jahre nach Kenntnis des Sterbedatums eines ELGA-Teilnehmers/einer ELGA-Teilnehmerin hat der Dachverband die im Patientenindex gespeicherten Daten des/der Verstorbenen automatisch zu löschen.
In der Sache :
Das in § 1 DSG verankerte Grundrecht auf Datenschutz, nach dessen ersten Absatz jedermann, insbesondere im Hinblick auf die Achtung seines Privat- und Familienlebens, einen Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten hat, soweit daran ein schutzwürdiges Interesse besteht, beinhaltet den Schutz des Betroffenen vor der Ermittlung seiner Daten und der Weitergabe der über ihn ermittelten Daten.
Das Grundrecht auf Datenschutz gilt jedoch nicht absolut, sondern darf durch bestimmte, zulässige Eingriffe beschränkt werden. Gemäß § 1 Abs. 2 DSG sind Beschränkungen des Anspruchs auf Geheimhaltung, soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, wobei bei Eingriffen einer staatlichen Behörde diese nur auf Grund von Gesetzen erfolgen dürfen , die aus den in Art. 8 Abs. 2 EMRK genannten Gründen notwendig sind.
Wie festgestellt, verarbeitete der Beschwerdegegner, welcher als Körperschaft des öffentlichen Rechts hinsichtlich der verfahrensgegenständlichen Verarbeitung als Behörde im Sinn des § 1 Abs. 2 DSG zu qualifizieren ist (vgl. dazu Pollirer/Weiss/Knyrim , Datenschutzgesetz 2 § 1 Anm. 13), zum Zweck des Versands eines Informationsschreibens betreffend das Risiko schwer an COVID-19 zu erkranken und die Möglichkeit der Inanspruchnahme einer kostenlosen Impfung gegen SARS-CoV-2, die Daten des Beschwerdeführers aus dem zentralen Impfregister und den eigenen Daten, konkret aus dem zentralen Patientenindex.
Da sich der Beschwerdegegner in diesem Zusammenhang auf § 750 Abs. 1a und Abs. 2 ASVG und somit auf einen tragenden Eingriffstatbestand gemäß § 1 Abs. 2 DSG stützen konnte, hat sich die Beschwerde als nicht berechtigt erwiesen, weshalb sie gemäß § 24 Abs. 5 DSG abzuweisen war.
D2. Zum Antrag auf Untersagung der Datenverarbeitung
Soweit der Beschwerdeführer beantragte, die Datenschutzbehörde möge gemäß § 22 Abs. 4 DSG dem Beschwerdegegner die Verarbeitung seiner Daten untersagen, ist zunächst darauf hinzuweisen, dass die Voraussetzung einer solchen Untersagung das Vorliegen einer wesentlichen unmittelbaren Gefährdung, mithin „Gefahr im Verzug“, ist. Da die verfahrensgegenständliche Verarbeitung allerdings zum Zeitpunkt der Beschwerdeerhebung bereits abgeschlossen war, kann schon aus diesem Grund von keiner wesentlichen unmittelbaren Gefährdung bzw. von „Gefahr im Verzug“ mehr ausgegangen werden, weshalb die Voraussetzungen einer Untersagung gemäß § 22 Abs. 4 DSG auch nicht vorgelegen sind.
Der diesbezügliche Antrag war daher abzuweisen .
D3. Zum Antrag auf Verhängung einer Geldbuße
Soweit der Beschwerdeführer beantragte, die Datenschutzbehörde möge gegen den Beschwerdegegner eine Geldbuße verhängen, ist darauf hinzuweisen, dass im Rahmen eines Administrativverfahrens keine Geldbuße gegen einen Verantwortlichen verhängt werden kann. Während aus Art. 77 Abs. 1 DSGVO bzw. § 24 Abs. 1 und 5 DSG kein subjektives Recht auf Einleitung eines Strafverfahrens gegen einen gewissen Verantwortlichen abgeleitet werden kann, diesbezüglich gilt nach § 25 Abs. 1 VStG das Prinzip der Amtswegigkeit (vgl. Fister in Lewisch/Fister/Weilguni (Hrsg) , VStG Kommentar 2 [2017] § 25 Rz 1), ist im Übrigen darauf hinzuweisen, dass gemäß § 30 Abs. 5 DSG gegen Körperschaften des öffentlichen Rechts keine Geldbußen verhängt werden können.
Der diesbezügliche Antrag war daher zurückzuweisen .
Es war spruchgemäß zu entscheiden.