GZ: 2022-0.777.583 vom 15. November 2022 (Verfahrenszahl: DSB-D124.5167)
[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
BESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde von Wolfgang A*** (Beschwerdeführer), vertreten durch die B*** Partner Rechtsanwälte GbR vom 18. Oktober 2021, verbessert am 28. Oktober 2021 gegen Dr.med. Erik N*** (Beschwerdegegner), vertreten durch die C*** Partner Rechtsanwälte GmbH wegen Verletzung im Recht auf Geheimhaltung wie folgt:
- Die Beschwerde wird als unbegründet abgewiesen .
Rechtsgrundlagen : Art. 51 Abs. 1, Art. 57 Abs. 1 lit. f sowie Art. 77 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1; §§ 1, 18 Abs. 1 sowie 24 Abs. 1 und Abs. 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF; §§ 2 Z 10 lit. a, 13 Abs. 2, 14 Abs. 2, 20a, 24c, 24f, 27 Abs. 14b Gesundheitstelematikgesetz 2012 (GTelG 2012), BGBl. I Nr. 111/2012 idF BGBl. I Nr. 34/2021.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
1. Der Beschwerdeführer brachte in seiner verfahrenseinleitenden Beschwerde vom 18. Oktober 2021, verbessert am 28. Oktober 2021 zusammengefasst vor, der Beschwerdegegner habe ihn in seinem Recht auf Geheimhaltung verletzt, indem er am 28. Februar 2021 (sic!) um 13:53 eine Abfrage der e-Medikationsdaten des Beschwerdeführers durchgeführt habe, obwohl der Beschwerdegegner zu keinem Zeitpunkt sein behandelnder Arzt gewesen sei. Beigelegt war ein ELGA Abfrageprotokoll des Beschwerdeführers, auf dem ein Aufruf der e-Medikationsdaten am 18. Februar 2021 um 13:53:25 durch den Beschwerdegegner ausgewiesen war.
2. Der Beschwerdegegner brachte daraufhin in seiner Stellungnahme vom 16. November 2021 zusammengefasst vor, Frau Olivia A*** sei am 18. Februar 2021 mit ihrem minderjährigen Sohn Tobias A***, der auch der Sohn des Beschwerdeführers sei und bei beiden Elternteilen mitversichert sei, in die Ordination des Beschwerdegegners gekommen, um ihn untersuchen und behandeln zu lassen. Beim Stecken der e-Card eines Minderjährigen würden auf dem Bildschirm nicht nur die Daten des Minderjährigen selbst, sondern auch die Namen jener Personen angezeigt werden, mit denen der Minderjährige mitversichert sei. Um eine korrekte Abrechnung mit dem jeweiligen Sozialversicherungsträger vornehmen zu können, sei einer dieser hauptversicherten Personen anzuklicken. In diesem Fall werde dessen Kartei automatisch von der Software geöffnet und je nach Einstellung entweder das Behandlungs- oder Stammdatenblatt angezeigt. Eine Rückfrage beim Softwarehersteller habe folgendes ergeben: sollte der Beschwerdegegner oder seine Assistentin irrtümlich den Beschwerdegegner angeklickt haben, hätte sich eine neue Karteikartei generiert und in dem auf dem Bildschirm erscheinenden Stammdatenblatt diese Personen sowie dessen Geburtsdatum und Sozialversicherungsnummer angezeigt. Diese Daten seien auf der e-Card des Minderjährigen gespeichert, mehr Informationen seien nicht ersichtlich. Es würde jedoch bereits eine Verbindung zur ELGA hergestellt und daher im ELGA-Protokoll der Person der Vermerk gesetzt, dass die e-Medikationsdaten aufgerufen worden seien, um dies jedoch tatsächlich zu tun, würde es einen weiteren „Klick“ benötigen, eine solche hätte definitiv nicht stattgefunden, dies sei auch aus dem e-Medikationsdaten-Abrufprotokoll der Ordination des Beschwerdegegners ersichtlich. Der Beschwerdegegner kenne den Beschwerdeführer nicht und habe auch sonst keinen Grund gehabt, in dessen e-Medikationsdaten Einsicht zu nehmen. Vielmehr dürfte die Assistentin des Beschwerdegegners diesen irrtümlich angeklickt und sodann erkannt haben, dass dieser nicht als Patient in der Ordination angelegt sei, da nicht mal dessen Adressdaten angezeigt worden seien, und daher das automatisch generierte Stammdatenblatt wieder geschlossen haben. Vor der Covid19-Pandemie habe man e-Medikationsdaten grundsätzlich nur dann aufrufen können, wenn entweder die e-Card der betreffenden Person oder die Ordinationskarte des behandelnden Arztes gesteckt worden sei, dies sei jedoch pandemiebedingt mittels Änderung des Gesundheitstelematikgesetzes vorerst bis 31. März 2022 geändert worden, um eine ärztliche Beratung auch per Telefon zu ermöglichen. Dadurch sei es dazu gekommen, dass bereits durch Anklicken der hauptversicherten Person eine e-Card Verbindung aufgebaut worden sei und zu dem Vermerk „e-Medikationsdaten aufgerufen“ geführt habe.
3. Der Beschwerdeführer erwiderte darauf in seiner Stellungnahme vom 3. Dezember 2021, die Ausführungen des Beschwerdegegners seien nicht nachvollziehbar, insbesondere könne nicht nachvollzogen werden, demzufolge laut dem vom Beschwerdegegner selbst vorgelegten Abfrageprotokoll eine Verbindung beim Stecken der e-Card und damit bereits um 11:26 und jedenfalls spätestens um 12:15 erfolgt sein, und nicht erst um 13:53. Sollte bereits beim bloßen Anklicken der hauptversicherten Person auch ohne Stecken der e-Card die Verbindung zur ELGA aufgebaut werden und es in weiterer Folge zum Vermerk „e-Medikationsdaten aufgerufen“ kommen, so würde dadurch das System der Nachvollziehbarkeit der Zugriffe ad absurdum geführt werden.
4. Der Beschwerdegegner entgegnete darauf in einer weiteren Stellungnahme vom 16. Dezember 2021, dass der 18. Februar 2021 ein Donnerstag gewesen sei, an diesem Tag sei die Ordination des Beschwerdegegners lediglich am Vormittag geöffnet, allerdings würden die Assistentinnen regelmäßig nach Ordinationsschluss alle Patientenkarteien der an diesem Tag behandelnden Patienten nochmals kontrollieren und allenfalls Korrekturen vornehmen. Im Rahmen einer weiteren Nachfrage beim Softwarehersteller habe man nun eruieren können, wie es zu der Divergenz der Abfragezeiten gekommen sein könnte: alle Patienten würden im Aufrufprotokoll nur einmal angeführt, die Zeit vom ersten Öffnen bis zum letzten Schließen werde angeführt. Dies sei hier von 11:26 Uhr bis 12.15 Uhr der Fall gewesen. In dieser Zeit sei der Beschwerdeführer als hauptversicherte Person nicht angeklickt worden. Es sei wohl so gewesen, dass bei der Bearbeitung der Patientenkarteien am Nachmittag, konkret um 13:53 Uhr das Stammdatenblatt des Beschwerdegegners irrtümlich angeklickt worden sei, worauf der Vermerk gesetzt worden sei.
5. Der Beschwerdeführer replizierte darauf in seinen Stellungnahmen vom 11. Jänner 2022 und vom 27. Jänner 2022 zusammengefasst vor, dass der Beschwerdegegner erneut angebe, dass im Aufrufprotokoll die Zeit vom ersten Öffnen bis zum letzten Schließen angeführt werde, wenn jedoch das letzte Schließen um 12:15 Uhr stattgefunden habe, würde dies nach wie vor nicht erklären, wie es zu dem Vermerk gekommen sei, der mit 18. Februar 2021 um 13:53 Uhr protokolliert worden sei. Darüber hinaus habe der Beschwerdeführer nunmehr auch feststellen müssen, dass der Beschwerdegegner auch am 2. November 2021 und am 11. November 2021 seine e-Impfpassdaten und e-Medikationsdaten abgerufen habe.
6. Der Beschwerdegegner erläuterte in seiner Stellungnahme vom 18. Februar 2022, dass bei einem Patienten, der bereits angelegt sei, die Patientenkartei beim Stecken der e-Card geöffnet werden, diese würde aus Stammblatt, Behandlungsblatt, Statusblatt, Laborblatt und Befundblatt bestehen. Werde das Behandlungsblatt geöffnet, würde eine Verbindung zur ELGA hergestellt, ohne dass dort gespeicherte Daten angezeigt würden, um dieses jedoch tatsächlich zu öffnen würde es einen weiteren Klick auf die Schaltfläche „Medikationsliste“ benötigen. Gleiches gelte für das Statusblatt, über das auch in weiterer Folge auf die Impfdaten zugegriffen werden könne. Sowohl der Vermerk „e-Medikationsdaten aufgerufen", als auch der Vermerk „Impfpassdaten aufgerufen" werde also gesetzt, sobald das Behandlungsblatt bzw. das Statusblatt geöffnet worden sei, mit einer tatsächlichen Einsichtnahme in diese Daten habe dies jedoch nichts zu tun. Zum Vermerk vom 18. Februar 2021 wurde im Wesentlichen vorgebracht wie bisher. Zum Vermerk vom 2. November 2021 brachte der Beschwerdegegner vor, dass ihm wenige Tage zuvor erstmals das Schreiben der ELGA-Ombudsstelle vom 27. Oktober 2021 zugestellt worden sei, dass am 18. Februar 2021 eine Einsicht erfolgt sei. Um diesen Vorfall nachvollziehen zu können habe er die am 18. Februar 2021 automatisch generierte Patientenkartei geöffnet, dabei sei es zu dem Vermerk gekommen, es sei jedoch nur das Stammblatt und damit der Name, Sozialversicherungsnummer und Geburtsdatum des Beschwerdeführers ersichtlich gewesen, eine weitere Einsicht in die e-Medikationsdaten sei nicht erfolgt. Zum Vermerk vom 11. November 2021 sei es gekommen, da der Beschwerdegegner in seiner Ordination an diesem Tag einen Termin mit seiner rechtsfreundlichen Vertretung vereinbart hatte, um die von der Datenschutzbehörde mit Schreiben vom 2. November 2021 geforderte Stellungnahme abgeben zu können. Dabei sei auch die Funktionsweise der Software erläutert worden, dem Beschwerdegegner sei zu diesem Zeitpunkt noch nicht bewusst gewesen, dass auf Grund der Änderung des Gesundheitstelematikgesetzes auch bereits das Öffnen der Patientenkartei einen Vermerk bewirken würde. Dies habe man erst durch umfangreiche Gespräche mit der Softwarefirma X*** GmbH aufklären können. Zu keinem Zeitpunkt habe man in die Impfdaten oder die e-Medikationsdaten des Beschwerdeführers Einsicht genommen.
7. Die ELGA GmbH gab auf Nachfrage der Datenschutzbehörde in ihrem Schreiben vom 21. Juli 2022 an, dass bezüglich der e-Medikationsdaten keine Zuständigkeit der ELGA GmbH bestehe, diese liege gemäß den §§ 20 und 22 des Gesundheitstelematikgesetzes 2012 (GTelG) beim jeweiligen ELGA-GDA bzw. den ELGA-Systempartnern. Das Zentrale Impfregister sei technisch so umgesetzt, dass Zugriffe darauf immer zu protokollieren wären (§ 24f Abs. 5 GTelG). Da der ELGA GmbH der gegenständliche Protokollauszug nicht vorliege und die ELGA GmbH technisch nicht auf das Protokoll zugreifen könne, könne von ihr auch kein Grund für die Setzung eines Vermerks angeben werden, allerdings erscheine die vorgelegte Erklärungsvariante des ELGA-GDA ( Anm. Gesundheitsdiensteanbieter, gemeint ist hier der Beschwerdegegner ) nachvollziehbar. Einsicht-nehmen und Abrufen seien in der technischen Umsetzung der Anbindung von ELGA-GDA an ELGA unterschiedliche Schritte. Es könne daher sein, dass ein Protokolleintrag gesetzt werde, ohne dass der ELGA-GDA die ELGA-Daten "gesehen" habe. Nachdem der ELGA GmbH zur ärztlichen Praxis, Arztsoftware und konkreten Handhabung in der konkreten Ordination keine Informationen vorliegen würde, werde diesbezüglich auf den ELGA-GDA bzw. Hersteller der Arztsoftware verwiesen.
8. Die X*** GmbH gab auf Nachfrage der Datenschutzbehörde in ihren Schreiben vom 25. August 2022 (ho. eingelangt am 29. August 2022) sowie vom 19. September 2022 zusammengefasst an wie folgt: im gegenständlichen Zeitraum (18. Februar 2021 bis 2021) sei bei einem Hauptversicherten durch Öffnen der Patientenkartei – Bereich Behandlungsblatt ein Vermerk gesetzt worden, dass seine e-Medikationsdaten abgerufen worden seien und durch Öffnen der Patientenkartei – Bereich Status/Impfmodul zu einem Vermerk, dass e-Impfdaten abgerufen worden seien. Zur Frage, ob ein solcher Vermerk beim Hauptversicherten gesetzt worden sein könne, sobald in die Patientendaten eines Mitversicherten (auch ohne Stecken der e-Card) Einsicht genommen werde wurde ausgeführt, dass grundsätzlich immer dann, wenn ELGA Daten angesteuert werden, immer nur jene der aktiv geöffneten Patientenkartei angezeigt werden könnten. Es sei jedoch möglich, über die Angehörigenverwaltung im Stammblatt vom Mitversicherten in die Kartei des Hauptversicherten zu wechseln. Hier werde sehr wohl, meist aufgrund von Routinekontrollen zur Kassenabrechnung, die Kartei des Hauptversicherten angesteuert worden sein, dies sei eine typische Vorgehensweise in Arztordinationen.
Zur Frage, ob ein solcher Vermerk beim Hauptversicherten auch dann gesetzt worden sein könne, ohne dass tatsächlich in die e-Medikationsdaten bzw. e-Impfdaten des Hauptversicherten Einsicht genommen wurde wird ausgeführt, dass die Umsetzung der Software zur Einsichtnahme in ELGA Daten immer unter der Prämisse der Zugriffsberechtigung via Steckung der Patienten e-Card lt. ursprünglicher Vorgabe (Datenschutzregelung) erfolgt sei, diese Vorgabe sei aufgrund der COVID-Situation aufgehoben worden und nur mehr der Nachweis als GDA, durch das Stecken der Admin Karte, erforderlich gewesen sei. Zu den angefragten Zeiträumen sei diese Regelung aktiv gewesen, weshalb der Zugriff auf ELGA Daten auch ohne der Patienten e-Card möglich gewesen sei. Da es aufgrund Ladezeiten aus der ELGA Datenbank teilweise zu Verzögerungen gekommen sei, habe man die Software so programmiert, dass ELGA Daten bereits im jeweiligen Bereich im Hintergrund herunterladen würden, ohne dass diese sofort eingesehen werden können. Wenn eine Einsicht in die Daten erforderlich sei, habe es eines weiteren Mausklicks auf die jeweilige Schaltfläche (zB. ELGA Medikationsliste) bedürfen. Ein Vermerk, dass ELGA Daten abgerufen wurden, habe daher auch gesetzt werden können, ohne das tatsächlich in diese Daten beim Hauptversicherten Einsicht genommen worden sei. Weshalb im Abrufprotokoll der Aufruf mit der Uhrzeit 13:26 nicht aufscheine, könne nicht mehr rekonstruiert werden, es sei jedoch vorgekommen, dass PC Arbeitsplätze nicht regulär heruntergefahren worden seien oder im Standby-Betrieb oder teilweise Dauerbetrieb gelaufen seien, weshalb es dazu gekommen sein könne, dass das Abrufprotokoll nicht korrekt erfasst worden sei.
9. Die Stellungnahmen der ELGA-GmbH und der X*** GmbH wurden den Verfahrensparteien mit Schreiben der Datenschutzbehörde vom 21. September 2022 übermittelt.
10. Der Beschwerdegegner brachte darauf in seinem Schreiben vom 29. September 2022 vor, dass er sein bisheriges Vorbringen durch die Angaben der X*** GmbH insoweit bestätigt sehe, dass ELGA Daten im Hintergrund heruntergeladen werden würden, ohne dass diese sofort eingesehen werden können und dass es sich beim Einsicht-nehmen und Abrufen in der technischen Umsetzung um unterschiedliche Schritte handle. Abschließend wies der Beschwerdegegner auch nochmals ausdrücklich darauf hin, dass der Beschwerdeführer nicht Patient in seiner Ordination gewesen sei, er den Beschwerdeführer nicht einmal kenne und es daher keinen Grund gebe, in die Medikationsdaten einer ihm unbekannten Person einzusehen.
11. Der Beschwerdeführer brachte in seiner Stellungnahme vom 31. Oktober 2022 vor, dass es nach den Stellungnahmen der X*** GmbH sowie der ELGA GmbH entsprechend wohl theoretisch möglich sei, dass der Beschwerdegegner die Daten des Beschwerdeführers abgerufen hab, ,, ohne das tatsächlich in diese Daten bei Hauptversicherten Einsicht genommen wurde ", dabei handle es sich jedoch nur um eine Möglichkeit dar, es könne nicht gesagt werden, dass tatsächlich keine Einsicht genommen worden sei. Es sei davon auszugehen, dass der Beschwerdegegner mehrmals unberechtigterweise Einsicht in die e-Medikationsdaten bzw. e-Impfdaten des Beschwerdeführers genommen habe. Die Aussagen des Beschwerdegegners seien unrichtig und widersprüchlich, die gegenständliche Beschwerde sei am 28. Oktober 2021 eingebracht worden, der Beschwerdegegner habe jedoch zum Vermerk vom 2. November 2021 angegeben, dass ihm an oder wenige Tage vor diesem Tage erstmals das Email der ELGA-Ombudsstelle vom 27. Oktober 2021 zugestellt worden sei, in dem er über den Vermerk vom 18. Februar 2021 informiert worden sei nachzuvollziehen, wie es zu diesem Vermerk gekommen sei und es im Zuge dessen zu den Vermerken vom 02.11.2021 gekommen sei. Diese Ausführungen seien jedoch nach dem eigenen Vorbringen des Beschwerdegegners unrichtig, da dieser in seiner Stellungnahme vom 16. November 2021 ausführt, dass ihm die Beschwerde erst am 10. November 2021 zugestellt worden sei. Der Beschwerdegegner habe somit nach dem eigenen Vorbringen am 2. November 2021 die Beschwerde noch gar nicht zugestellt bekommen, weshalb auch die Behauptungen, wie es zu den Vermerken vom 2. November 2021 gekommen sei, evident unrichtig sei. Darüber hinaus werde angemerkt, dass die Ex-Gattin des Beschwerdeführers mit den gemeinsamen Kindern regelmäßig in der Ordination des Beschwerdegegners gewesen sei und genau zu jener Zeit mehrere Gerichtsverfahren (Scheidungsverfahren, Aufteilungsverfahren, Besitzstörungsverfahren, Unterhaltsverfahren, Strafverfahren) zwischen dem Beschwerdeführer und seiner Ex-Gattin anhängig gewesen seien, man könne daher nur mutmaßen, wozu allfällige Medikationsdaten in diesen Verfahren von Nutzen sein könnten.
B. Beschwerdegegenstand
Beschwerdegegenstand ist die Frage, ob der Beschwerdegegner den Beschwerdeführer in seinem Recht auf Geheimhaltung verletzt hat, indem er
- am 18. Februar 2021 um 13:53 Uhr in die e-Medikationsdaten
- am 2. November 2021 um 9:52 in die e-Impfpassdaten und die e-Medikationsdaten
- am 11. November 2021 um 18:24 in die e-Medikationsdaten
des Beschwerdeführers Einsicht genommen hat.
C. Sachverhaltsfeststellungen
1. Der minderjährige Sohn des Beschwerdeführers war am 18. Februar 2021 mit dessen Mutter zur Untersuchung und Behandlung in der Ordination des Beschwerdegegners.
2. Der minderjährige Sohn des Beschwerdeführers ist beim Beschwerdeführer und seiner Mutter mitversichert.
Beweiswürdigung : Die getroffenen Feststellungen C.1. und C.2. beruhen auf dem insoweit unbestrittenen Vorbringen des Beschwerdegegners in seiner Stellungnahme vom 16. November 2021.
3. Die vom Beschwerdegegner verwendete Arztsoftware wurde von der X*** GmbH erworben.
Beweiswürdigung : Die getroffene Feststellung C.3. beruht auf den übereinstimmenden Angaben des Beschwerdegegners und der X*** GmbH.
4. Beim Stecken der e-Card eines mitversicherten Minderjährigen werden auf dem Bildschirm nicht nur die Daten des Minderjährigen selbst, sondern auch die Namen jener Personen angezeigt, bei denen der Minderjährige mitversichert ist.
5. Um eine korrekte Abrechnung mit dem jeweiligen Sozialversicherungsträger vornehmen zu können, ist einer der hauptversicherten Personen anzuklicken. In diesem Fall wird dessen Kartei automatisch von der Software geöffnet und je nach Einstellung entweder das Behandlungs- oder Stammdatenblatt angezeigt. (Formatierung nicht 1:1 wiedergegeben)
[Anmerkung Bearbeiter: die grafische Datei (Abb. 1 Patienten Stammblatt) wurde entfernt, da sie im RIS nicht pseudonymisiert dargestellt werden kann.]
6. Ist eine Patientenkartei einmal automatisch generiert worden, konnte im beschwerdegegenständlichen Zeitraum zwischen 18. Februar 2021 und 11. November 2021 auch ohne erneutes Stecken der e-Card auf das Behandlungs-und Stammdatenblatt zugegriffen werden.
7. Wird ein Hauptversicherter ausgewählt und dessen Behandlungsblatt angeklickt, wird im ELGA-Protokoll der hauptversicherten Person der Vermerk gesetzt, dass die e-Medikationsdaten aufgerufen worden sind, auch wenn es dadurch zu keiner tatsächlichen Einsicht in die e-Medikationsdaten gekommen ist. Die Anzeige der e-Medikationsdaten erfordert ein weiteres Anklicken der Schaltfläche „Medikationsliste“ (Formatierung nicht 1:1 wiedergegeben)
[Anmerkung Bearbeiter: die grafische Datei (Abb. 2 Behandlungsblatt) wurde entfernt, da sie im RIS nicht pseudonymisiert dargestellt werden kann.]
8. Wird ein Hauptversicherter ausgewählt und dessen Statusblatt angeklickt, wird im ELGA-Protokoll der hauptversicherten Person der Vermerk gesetzt, dass die e-Impfpassdaten aufgerufen worden sind, auch wenn es dadurch zu keiner tatsächlichen Einsicht in die e-Impfpassdaten gekommen ist. Die Anzeige der e-Impfpassdaten erfordert ein weiteres Anklicken der Schaltfläche „Impfungen“. (Formatierung nicht 1:1 wiedergegeben)
[Anmerkung Bearbeiter: die grafische Datei (Abb. 3 Statusblatt) wurde entfernt, da sie im RIS nicht pseudonymisiert dargestellt werden kann.]
Beweiswürdigung : Die getroffenen Feststellungen C.4. bis C.8. beruhen auf dem Vorbringen des Beschwerdegegners in seiner Stellungnahme vom 18. Februar 2022 sowie den damit vorgelegten Unterlagen und den insoweit übereinstimmenden Angaben der X*** GmbH vom 19. September 2022.
9. Laut ELGA-Protokoll wurden am 18. Februar 2021 um 13:53 die e-Medikationsdaten des Beschwerdeführers vom Beschwerdegegner abgerufen (Formatierung nicht 1:1 wiedergegeben).
[Anmerkung Bearbeiter: die grafische Datei (ELGA-Protokoll- Eintrag vom 18.02.2021) wurde entfernt, da sie im RIS nicht pseudonymisiert dargestellt werden kann.]
Beweiswürdigung : Die getroffene Feststellung C.9. beruht auf dem Vorbringen des Beschwerdeführers in seiner verfahrenseinleiten Beschwerde und den damit vorgelegten Unterlagen.
10. Laut ELGA-Protokoll wurde darüber hinaus am 2. November 2021 um 9:52 die e-Impfpassdaten und die e-Mediationsdaten und am 11. November 2021 um 18:24 erneut die e-Medikationsdaten des Beschwerdeführers durch den Beschwerdegegner aufgerufen (Formatierung nicht 1:1 wiedergegeben).
[Anmerkung Bearbeiter: die grafische Datei (ELGA- Protokoll-Einträge vom 11.11.2021, 02.11.2021 und 18.02.2021) wurde entfernt, da sie im RIS nicht pseudonymisiert dargestellt werden kann.]
Beweiswürdigung : Die getroffene Feststellung C.10. beruht auf dem insoweit unbestrittenen Vorbringen des Beschwerdeführers in seiner Stellungnahme vom 27. Jänner 2021.
11. Der Vermerk vom 18. Februar 2021 ist auf Grund der Untersuchung und Behandlung des beim Beschwerdeführer mitversicherten Sohnes erfolgt. Dabei wurde im Zuge der Abfrage der Patientenkartei des mj. Sohnes des Beschwerdeführers auch die Stammdaten des Beschwerdeführers und damit sein Name, Geburtsdatum und Sozialversicherungsnummer abgerufen.
12. Der Beschwerdegegner wurde mit Schreiben der ELGA-Ombudstelle vom 27. Oktober 2021 über die behauptete Einsichtnahme vom 18. Februar 2021 informiert.
13. Die Vermerke vom 2. November 2021 und vom 11. November 2021 sind durch den Beschwerdegegner im Zuge der Untersuchung und Rekonstruktion des gegenständlichen Falles erfolgt.
14. Der Beschwerdegegner hat weder in die e-Medikationsdaten noch in die e-Impfpassdaten Einsicht genommen.
Beweiswürdigung : Die getroffenen Feststellungen C.11. bis C.14. beruhen auf der Stellungnahme des Beschwerdegegners vom 18. Februar 2022. Der Datenschutzbehörde erscheint das Vorbringen insoweit nachvollziehbar, da ein solcher Vermerk beim hauptversicherten Beschwerdeführer – wie auch von der X*** GmbH bestätig – in jedem Fall gesetzt wird, wenn die Patientenkartei des bei ihm mitversicherten aufgerufen wird. Auch liegen sonst keinerlei Anhaltspunkte vor, weshalb der Beschwerdegegner auf diese Daten des Beschwerdeführers tatsächlich hätte zugreifen sollen oder die darauf hindeuten würden, dass er dies tatsächlich getan hat. Auch erscheint es nachvollziehbar, dass vom Beschwerdegegner versucht wurde, den erstmals durch die ELGA-Ombudstelle mit Schreiben vom 27. Oktober 2021 und anschließend mit Übermittlung der gegenständlichen Beschwerde durch die Datenschutzbehörde an ihn herangetragenen Fall zu rekonstruieren und es daher auch ohne Stecken der e-Card des mitversicherten Sohnes des Beschwerdeführers bzw. eines tatsächlichen Termins es zu den Vermerken vom 2. November 2021 und vom 11. November 2021 gekommen ist, ohne dass tatsächlich in die e-Medikationsdaten oder die e-Impfpassdaten des Beschwerdeführers Einsicht genommen wurde.
D. In rechtlicher Hinsicht folgt daraus:
Allgemeines
Nach § 1 Abs. 1 DSG hat jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
Die DSGVO und insbesondere auch die darin verankerten Grundsätze sind zur Auslegung des Rechts auf Geheimhaltung zu berücksichtigen (vgl. den Bescheid der DSB vom 31. Oktober 2018, GZ DSB-D123.076/0003-DSB/2018).
Auf Grund des Beschwerdevorbringens ist gegenständlich zu prüfen, ob der Beschwerdegegner unrechtmäßig in die e-Medikationsdaten und e-Impfassdaten des Beschwerdeführers Einsicht genommen hat. Da sich diese Daten unzweifelhaft auf den Beschwerdeführer beziehen, ist der Anwendungsbereich von § 1 Abs. 1 DSG eröffnet.
Der Beschwerdegegner ist ELGA-Gesundheitsdiensteanbieter gemäß § 2 Z 10 lit. a Gesundheitstelematikgesetz 2012 (GTelG).
Gemäß § 13 Abs. 2 iVm § 14 Abs. 2 GTelG haben ELGA-Gesundheitsdiensteanbieter (ELGA-GDA) das Recht, zur Behandlung oder Betreuung von ELGA-TelnehmerInnen ELGA-Gesundheitsdaten in ELGA zu speichern und unter Berücksichtigung der jeweiligen Berufspflichten zu erheben. Zu den ELGA Gesundheitsdaten zählen auch e-Medikationsdaten gemäß § 20a GTelG.
Bei den im Rahmen der eHealth Anwendung „e-Impfpass“ verarbeiteten Daten handelt es sich um eine elektronische Verarbeitung der Daten des zentralen Impfregisters, auf diese Daten kann der Beschwerdegegner gemäß § 24f Abs. 4 Z 1 iVm § 24c Abs. 2 Z 1 GTelG zugreifen. Gemäß § 24f Abs. 5 GTelG ist jeder Zugriff zu protokollieren.
Grundsätzlich ist vor der Abfrage von ELGA Daten die Identität nachzuweisen, dieser Nachweis erfolgt in der Regel durch Stecken der e-Card. Im Zuge der Covid-19 Pandemie kam es jedoch zu mehreren Änderungen des GTelG, dieses sah in § 27 Abs. 14b der Fassung BGBl. I Nr. 34/2021 die Möglichkeit vor, die Identität anhand des Namens und der Sozialversicherungsnummer auch ohne Stecken der e-Card zu überprüfen.
In der Sache
Gegenständlich war der mj. Sohn des Beschwerdeführers, der beim Beschwerdeführer mitversichert war, am 18. Februar 2021 beim Beschwerdegegner zur ärztlichen Behandlung.
Wie der Beschwerdegegner glaubhaft vorgebracht hat wurde dabei wohl irrtümlich der hauptversicherte Beschwerdeführer angeklickt, obwohl stattdessen die den minderjährigen Patienten begleitende (ebenfalls hauptversicherte) Mutter auszuwählen gewesen wäre. Wie aus dem festgestellten Sachverhalt erhellt wurde bereits dadurch ein Vermerk im ELGA Protokoll gesetzt, auch wenn es tatsächlich zu keiner Einsicht in die e-Medikationsdaten gekommen ist.
Ebenso nachvollziehbar erscheint das Vorbringen des Beschwerdegegners, dass die weiteren Vermerke vom 2. November 2021 und 11. November 2021 im Rahmen der Untersuchung und Rekonstruktion des gegenständlichen Falls gesetzt worden sind. Es ist nicht ersichtlich, weshalb der Beschwerdeführer hier davon ausgeht, dieses Vorbringen sei in sich widersprüchlich und damit unrichtig. Der Beschwerdegegner hat ausdrücklich dargelegt, dass er erstmalig am 2. November 2021 auf Grund des E-Mails der ELGA-Ombudstelle vom 27. Oktober 2021 den Fall untersuchend tätig geworden ist. Nachdem dem Beschwerdegegner nach eigenen Angaben die gegenständliche Beschwerde von der Datenschutzbehörde am 10. November 2021 zugestellt wurde, erscheint es damit ebenso nachvollziehbar, dass er sowohl am 2. November 2021 nach Erhalt des Schreibens der ELGA-Ombudstelle als auch am 11. November 2021 nach Erhalt der Aufforderung zur Stellungnahme durch die Datenschutzbehörde zur Rekonstruktion des Falls die automatisch generierte Patientenkartei erneut geöffnet hat und es dadurch zu den Vermerken gekommen ist, ohne dass es zu einer tatsächlichen Einsicht in die e-Medikationsdaten bzw. e-Impfpassdaten gekommen ist.
Soweit der Beschwerdeführer vorbringt, der Beschwerdegegner habe mutmaßlich auf Grund anhängiger Gerichtsverfahren zwischen dem Beschwerdeführer und dessen Ex-Gattin in seine Gesundheitsdaten Einsicht genommen, so handelt es sich dabei – wie der Beschwerdeführer selbst eingesteht – um eine bloße Mutmaßung. Ein allgemeines Vorbringen, das aus bloßen Mutmaßungen besteht, läuft jedoch auf einen unzulässigen Erkundungsbeweis hinaus, zu dessen Aufnahme eine Behörde nicht verpflichtet ist (vgl. das Erkenntnis des VwGH vom 3. Jänner 2018, Ra 2017/11/0207, Rs. 3). Dass die Ex-Gattin des Beschwerdeführers über den Beschwerdegegner erlangte Gesundheitsdaten des Beschwerdeführers in einem dieser Verfahren auch tatsächlich vorgelegt hat, wurde nicht mal behauptet.
Darüber hinaus liegen auch sonst keinerlei Anhaltspunkte vor, dass tatsächlich in die e-Medikationsdaten bzw. e-Impfpassdaten des Beschwerdeführers Einsicht genommen wurde. Die Datenschutzbehörde ist daher im Rahmen der Beweiswürdigung zu der Feststellung gelangt, dass eine solche Einsicht in die e-Medikationsdaten bzw. e-Impfpassdaten nicht stattgefunden hat.
Die Beschwerde war daher spruchgemäß als unbegründet abzuweisen.
Rückverweise
RIS