K121.138/0019-DSK/2006 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. SPENLING und in Anwesenheit der Mitglieder Mag. HUTTERER, Dr. STAUDIGL, Dr. KOTSCHY, Dr. ROSENMAYR-KLEMENZ und Mag. ZIMMER sowie des Schriftführers Mag. SUDA in ihrer Sitzung vom 29. September 2006 folgenden Beschluss gefasst:

S p r u c h

- Die Beschwerde des Dr.med. Egon H*** (Beschwerdeführer) aus N*** gegen den Magistrat der Stadt N*** (Beschwerdegegner) vom 1. März 2006 (Eingangsdatum) wegen Verletzung im Recht auf Geheimhaltung schutzwürdiger personenbezogener Daten (Weitergabe von Gesundheitsdaten) samt weiteren Anträgen, wird gemäß § 31 Abs.2 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999 idF BGBl. I Nr. 13/2005, zurückgewiesen.

B e g r ü n d u n g:

Der Beschwerdeführer hat am 28. 2. 2006 folgende Beschwerde bei der Datenschutzkommission eingebracht: „Aus formalrechtlichen Gründen lege ich somit eine Beschwerde wegen Verletzung der Geheimhaltung von Daten durch das Gesundheitsamt N*** ein. Begründung: Das Gesundheitsamt N*** sammelt Gesundheitsdaten und gibt diese sensiblen Daten weiter. Wie der Datenschutzkommission genau bekannt ist, hat die Gemeinde N*** hierfür offensichtlich keine Meldung (keine entsprechende DVR-Nummer) einer Datenanwendung bei der Datenschutzkommission getätigt.

Dies ist gesetzwidrig und die Datenschutzkommission hat gegen das Gesundheitsamt einzuschreiten.“

Der Magistrat der Stadt N***, von der Datenschutzkommission mit Erledigung vom 3. März 2006, GZ: K121.138/0002-DSK/2006, zur Stellungnahme aufgefordert, brachte in seiner Stellungnahme vom 20. März 2006 vor, der Beschwerdeführer beziehe sich „wahrscheinlich“ auf die beim Amt der niederösterreichischen Landesregierung vorhandene Impfdokumentation. Es sei bekannt, dass der Beschwerdeführer die Rechtmäßigkeit der Datenverarbeitung für Zwecke der Impfdokumentation dem Umfang nach bestreite und seine Mitwirkung an der Datenermittlung seiner Patienten (zwecks Dokumentation der ordnungsgemäßen Verwendung öffentlich finanzierter Impfstoffe) verweigere. Zwischen dem Beschwerdeführer und der Stadt N*** sei diesbezüglich ein Rechtsstreit um das Bestehen von Honoraransprüchen aus der Tätigkeit des Beschwerdeführers als Impfarzt anhängig (AZ: *1 C ***9/04h des Bezirksgerichts N***). Der Magistrat der Stadt N*** werde im Rahmen des Impfkonzeptes aber lediglich als Bezirksverwaltungsbehörde und „verlängerter Arm“ des Amtes der Landesregierung tätig; die entsprechende Datenanwendung „Impfdokumentation“ des Auftraggebers Amt der niederösterreichischen Landesregierung sei zu DVR: 0059986 gemeldet und registriert worden. Weiters leitete der Beschwerdegegner ein Auskunftsbegehren des Beschwerdeführers wegen behaupteter Zuständigkeit der Datenschutzkommission an diese weiter (zurückgeleitet gemäß § 6 Abs.1 AVG mit Erledigung der Datenschutzkommission vom 4. April 2006, GZ: K121.138/0004-DSK/2006). Der Beschwerdegegner legte mit seiner Stellungnahme auch mehrere Urkundenkopien vor, darunter das fragliche Auskunftsbegehren und Prozessakten aus dem erwähnten Zivilprozess (Verhandlungsprotokoll, Urteil des BG N***).

Der Beschwerdeführer, dem zu den vorliegenden Ergebnissen des Ermittlungsverfahrens mit Erledigung der Datenschutzkommission vom 17. Mai 2006, GZ: K121.138/0005-DSK/2006, erstmals Parteiengehör gewährt wurde, brachte sinngemäß vor, der Beschwerdegegner sammle für Zwecke der Impfdokumentation weit mehr Daten, als im „Impfkonzept 2000“ des Hauptverbands der Sozialversicherungsträger vorgesehen. Dies widerspreche dem Ärztegesetz und sei bereits Gegenstand eines „Aufrollungsverfahrens“ bei der Datenschutzkommission (DVR). Die gesammelten Gesundheitsdaten würden überdies unverschlüsselt weitergegeben, was dem Medizinproduktegesetz widerspreche, dem Impfstoffe unterlägen. Die Datenanwendung „Impfdokumentation“ des Beschwerdegegners sei bisher nicht registriert worden.

Der Beschwerdegegner, mit Erledigung der Datenschutzkommission vom 13. Juni 2006, GZ: K121.138/0007-DSK/2006, zur Stellungnahme zu der Frage aufgefordert, ob er im Rahmen des Impfkonzepts als Auftraggeber oder Dienstleister tätig werde, bestritt mit Stellungnahme vom 11. Juli 2006, Zl. H/1-DIV- ***/17-2006, als Auftraggeber tätig zu werden.

Der Beschwerdeführer, dem zu den weiteren Ergebnissen des Ermittlungsverfahrens Parteiengehör eingeräumt wurde, drängte in seiner Stellungnahme vom 12. August 2006 auf Beantwortung seiner Auskunftsbegehren (bzw. stellte ein neues an die Datenschutzkommission) und behauptete Rechtswidrigkeiten bei den zu DVR: 0059986 (Auftraggeber: Amt der niederösterreichischen Landesregierung) registrierten Datenanwendungen.

Die Datenschutzkommission hat wie folgt erwogen:

Aus dem oben Gesagten ergibt sich, dass die vom Beschwerdeführer behauptete Datenschutzverletzung (Weitergabe von sensiblen Gesundheitsdaten) nicht Daten zu seiner Person, sondern Daten von seinen Patienten betrifft, die im Zusammenhang mit der Impfdokumentation verarbeitet werden.

Die Verfassungsbestimmung § 1 Abs.1 DSG 2000 lautet unter der Überschrift „Grundrecht auf Datenschutz“:

„ § 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind“.

§ 31 DSG 2000 lautet unter der Überschrift „Beschwerde an die Datenschutzkommission“:

„ § 31. (1) Die Datenschutzkommission erkennt auf Antrag des Betroffenen über behauptete Verletzungen des Rechtes auf Auskunft gemäß § 26 durch den Auftraggeber einer Datenanwendung, soweit sich das Auskunftsbegehren nicht auf die Verwendung von Daten für Akte der Gesetzgebung oder der Gerichtsbarkeit bezieht.

(2) Zur Entscheidung über behauptete Verletzungen der Rechte eines Betroffenen auf Geheimhaltung, auf Richtigstellung oder auf Löschung nach diesem Bundesgesetz ist die Datenschutzkommission dann zuständig, wenn der Betroffene seine Beschwerde gegen einen Auftraggeber des öffentlichen Bereichs richtet, der nicht als Organ der Gesetzgebung oder der Gerichtsbarkeit tätig ist.“

Wie schon in früheren Verfahren behauptet der Beschwerdeführer im Kern seines Vorbringens ein Recht, im Interesse seiner Patienten die Datenschutzkommission anzurufen. Insbesondere können aber im Zusammenhang mit der Impfdokumentation nur die Daten der Patienten (also etwa die Angabe, an einem bestimmten Tag eine Polio-Schutzimpfung erhalten zu haben) als sensible Gesundheitsdaten gemäß § 4 Z.2 DSG 2000 gelten.

Daten des Arztes als Vertreter eines Gesundheitsberufs, eine Behandlung durchgeführt oder eine Impfung verabreicht zu haben, sind dagegen regelmäßig wie in diesem Beschwerdefall keine Gesundheitsdaten des Arztes . Alle Ausführungen der Beschwerde, die sich auf Gesundheitsdaten beziehen, gehen daher, was die Verletzung subjektiver Rechte des Beschwerdeführers betrifft, ins Leere.

Auf die Durchführung eines Verfahrens gemäß § 22 Abs.4 DSG 2000 (Überprüfung der Registrierung, vgl. § 30 Abs.6 Z.1 DSG 2000, das vom Beschwerdeführer so bezeichnete „Aufrollungsverfahren“) besteht kein subjektives Recht des einzelnen Betroffenen einer Datenverwendung. Dies wurde dem Beschwerdeführer im Übrigen bereits in der Begründung des Bescheids vom 25. Juni 2004, GZ: K120.877/0017-DSK/2004, mitgeteilt. Tauglicher Gegenstand eines Beschwerdeverfahrens nach § 31 DSG 2000 kann nur die behauptete Verletzung eines der subjektiven Rechte sein, die im Grundrecht auf Datenschutz enthalten sind. Dies sind die Rechte auf Geheimhaltung , Löschung und Richtigstellung schutzwürdiger personenbezogener Daten (§ 31 Abs.2 DSG 2000) sowie das Recht auf Auskunft über eigene Daten (§ 31 Abs.1 DSG 2000).

Der Beschwerdeführer hat nun behauptet, der Beschwerdegegner sammle ohne taugliche Rechtsgrundlage Gesundheitsdaten. Im Übrigen sei die Meldepflicht durch den Beschwerdegegner verletzt worden bzw. sei betreffend DVR: 0059986 ein Verfahren zur Überprüfung der Registrierung durchzuführen.

Wie bereits oben dargelegt, kann der Beschwerdeführer als Impfarzt durch die Verarbeitung von Gesundheitsdaten, die nur Daten seiner Patienten sein können, nicht im Recht auf Geheimhaltung verletzt worden sein und kommt daher auch nicht als Betroffener in Frage. Nur Betroffenen steht aber das Recht zu, gemäß § 31 DSG 2000 die Datenschutzkommission anzurufen. Auf die Durchsetzung der Meldepflicht besteht kein subjektives Recht.

Da der Beschwerdeführer somit schon nach seinem eigenen Vorbringen nicht als Betroffener in subjektiven Datenschutzrechten verletzt worden sein kann, war die Beschwerde als unzulässig zurückzuweisen.