K213.009/0002-DSK/2007 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Anonymisierungsgründen abgekürzt und/oder verändert sein.]

M A N D A T S B E S C H E I D

Die Datenschutzkommission erlässt durch das Geschäftsführende Mitglied gemäß § 20 Abs 2 des Datenschutzgesetzes 2000, BGBl I Nr 165/1999 idF BGBl I Nr 13/2005 (DSG 2000) iVm § 38 Abs 1 DSG 2000 und § 57 Abs 1 des Allgemeinen Verwaltungsverfahrensgesetzes 1991, BGBl Nr 51/1991 idF BGBl I Nr 13/2004 (AVG) den Mandatsbescheid mit dem

S p r u c h:

Herrn Anton K*** (auch Toni K***), geboren am **. *. 1960 (datenschutzrechtlicher Auftraggeber) wird als Inhaber des nicht-protokollierten Unternehmens mit der Bezeichnung „K*** T. Consulting“ (im Folgenden kurz: KTC) der Betrieb einer Datenanwendung (Bezeichnung unbekannt), einschließlich der Datenermittlung durch eine Patientenbefragung, mit dem Zweck der Verarbeitung gesundheitsbezogener Daten von Patienten, die wegen Hörminderung ein Hörgerät verwenden, vorläufig untersagt.

B e g r ü n d u n g:

A. vorläufige Sachverhaltsannahme

Durch eine Eingabe (Vorlage von Urkundenkopien) einer anonym bleibenden Person, durch Einsichtnahme in das eigene Datenverarbeitungsregister (DVR) sowie in das Firmenbuch, und die Firmendatenbank der Wirtschaftskammer Österreich, sieht die Datenschutzkommission folgenden Sachverhalt als bescheinigt:

Anton alias Toni K*** betreibt unter der Bezeichnung „K*** T. Consulting“ ein nicht im Firmenbuch eingetragenes Beratungsunternehmen. Am **. *** 2007 wandte er sich mit einem Schreiben an die österreichischen Fachärzte für Hals, Nasen und Ohren (im Folgenden kurz: HNO-Ärzte), dem ein schriftliches Vertragsanbot (Formular „Vereinbarung“), eine Darstellung „Ablauf HNO Patientenbefragung“ und ein Fragebogen für besagte Patientenbefragung angeschlossen waren. Darin gab er, unter Bezugnahme auf eine bereits im Februar 2007 erfolgte schriftliche Kontaktaufnahme, seinen Entschluss bekannt, eine Datenerhebung über die Versorgung von Patienten mit Hörproblemen mit Hörgeräten durchzuführen. Dabei machte er jedem angesprochenen HNO-Arzt das vertragliche Anbot, für die Durchführung dieser Patientenbefragung ein Honorar von Euro 60,-- pro geliefertem Datensatz (Patientenfragebogen mit fünf inhaltlichen Fragen) zu bezahlen. Die Befragung soll personenbezogen erfolgen, sieht allerdings bei näherer Betrachtung nur die Datenerfassung von Patienten vor, die mit einem Hörsystem der „Audio X***“ (Audio X*** akustischelektronische Geräte AG Co OG, FN ***123a,), versorgt sind. Der datenschutzrechtliche Auftraggeber war früher als [Funktionsbezeichnung gelöscht] bei der „Audio-X***“ tätig. Die „Audio-X***“ unterstützt die Befragung.

Vorgesehen ist die Ermittlung folgender Daten, bis auf die Namenserhebung jeweils durch Ankreuzen einer Antwort (siehe Klammerausdrücke):

Vor- und Zuname des Patienten

Den HNO-Ärzten, die die Daten für den datenschutzrechtlichen Auftraggeber erheben sollen, werden vom Auftraggeber keinerlei datenschutzrechtliche Vorgaben gemacht (beispielsweise zur Informationspflicht gemäß § 24 DSG 2000). Die Einholung einer Zustimmungserklärung der Betroffenen ist nicht vorgesehen.

Nach den Angaben des datenschutzrechtlichen Auftraggebers, werden die Daten „durch die KTC gesammelt und ausgewertet“. Es ist vorgesehen, die Befragung jährlich zu wiederholen, um eine „kontinuierliche Weiterentwicklung“ zu ermöglichen, und die Ergebnisse öffentlich zu präsentieren und Interessierten zur Verfügung zu stellen (keine Angabe, ob statistisch aufbereitet oder personenbezogen).

Im bei der Datenschutzkommission eingerichteten DVR ist weder ein Anton noch ein Toni K*** oder eine K*** T. Consulting eingetragen. Es ist auch keine Meldung des datenschutzrechtlichen Auftraggebers eingegangen oder ein Registrierungsverfahren anhängig.

B. rechtliche Schlussfolgerungen

1. anzuwendende Rechtsvorschriften

Gemäß § 4 Z 2 DSG 2000 sind (u.a.) Daten zur Gesundheit natürlicher Personen sensible Daten.

Gemäß § 4 Z 7 DSG 2000 ist eine „Datenanwendung“ die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte (Z 8), die zur Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet sind und zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell und programmgesteuert, erfolgen (automationsunterstützte Datenanwendung).

Gemäß § 4 Z 8 DSG 2000 ist „Verwenden von Daten" jede Art der Handhabung von Daten einer Datenanwendung, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten.

Gemäß § 4 Z 9 und 10 DSG 2000 umfasst das „Verarbeiten von Daten“ das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen (Z 11), Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Daten einer Datenanwendung durch den Auftraggeber oder Dienstleister mit Ausnahme des Übermittelns (Z 12) von Daten, wobei unter „Ermitteln von Daten“ das Erheben von Daten in der Absicht, sie in einer Datenanwendung zu verwenden, zu verstehen ist.

Gemäß § 17 Abs. 1 DSG 2000 hat jeder Auftraggeber, soweit nicht bestimmte, hier irrelevante Ausnahmen Platz greifen, vor Aufnahme einer Datenanwendung eine Meldung an die Datenschutzkommission mit dem in § 19 DSG 2000 festgelegten Inhalt zum Zweck der Registrierung im DVR zu erstatten.

Gemäß § 18 Abs. 2 Z 1 DSG 2000 darf der Betrieb einer Datenanwendung, die die Verarbeitung sensibler Daten der Betroffenen bezweckt, erst nach Prüfung (Vorabkontrolle) durch die Datenschutzkommission aufgenommen werden.

Werden der Datenschutzkommission Umstände bekannt, die den Verdacht der Mangelhaftigkeit einer Registrierung oder der rechtswidrigen Unterlassung einer Meldung begründen, so hat sie gemäß § 22 Abs. 4 DSG 2000 ein Verfahren zur Feststellung des für die Erfüllung der Meldepflicht erheblichen Sachverhalts einzuleiten.

Gemäß § 20 Abs. 2 DSG 2000 kann die Datenschutzkommission (gemäß § 38 Abs. 1 DSG 2000 durch das Geschäftsführende Mitglied) im Prüfungsverfahren betreffend meldepflichtige Datenanwendungen die Weiterführung mit Mandatsbescheid gemäß § 57 Abs. 1 AVG vorläufig untersagen, wenn Gefahr im Verzug und eine wesentliche Gefährdung schutzwürdiger Geheimhaltungsinteressen vorliegen.

2. rechtliche Schlussfolgerungen

Aus den Sachverhaltsannahmen ist der zwingende Schluss zu ziehen, dass der datenschutzrechtliche Auftraggeber als Inhaber der KTC begonnen hat, Daten für Zwecke einer Datenanwendung mit sensiblen Daten zu verarbeiten. Als Gehilfen bzw. Dienstleister bedient er sich dabei jener HNO-Ärzte, die sich dazu vertraglich verpflichten, und die für die Datenermittlung bei ihren Patienten im Auftrag der KTC von dieser pro Datensatz entlohnt werden. Dass Angaben a) zur Tatsache, dass eine bestimmte Person unter einer Minderung des Hörvermögens leidet und b) zum Verlauf und zu den sozialen Folgen der Erkrankung (Patientennamen in Verbindung mit Fragen 1, 2 und 3) sensible Daten (Gesundheitsdaten) darstellen, bedarf keiner näheren Begründung.

Dass der Tatbestand der „Gefahr im Verzug“ gemäß § 20 Abs. 2 DSG 2000 gegeben ist, ergibt sich aus den vorliegenden Urkundenkopien. Demnach hat der datenschutzrechtliche Auftraggeber bereits begonnen, Daten durch Ermitteln zu verarbeiten.

Dass eine wesentliche Gefährdung schutzwürdiger Geheimhaltungsinteressen gemäß der zuletzt zitierten Gesetzesbestimmung vorliegt, ergibt sich aus drei Tatsachen. Zum einen ganz allgemein daraus, dass der datenschutzrechtliche Auftraggeber begonnen hat, unter Missachtung mehrerer im DSG 2000 vorgesehener, teilweise grundlegender Schutzmechanismen des Datenschutzrechts sensible Daten zu verarbeiten. Darunter fallen die Erfüllung der Meldepflicht beim DVR (§ 17 Abs. 1 DSG 2000), das Abwarten des Ergebnisses des Vorabkontrollverfahrens vor Aufnahme des Vollbetriebs (§ 18 Abs. 2 Z 1 DSG 2000), die Einholung von ausdrücklichen Zustimmungserklärungen der Betroffenen (§ 9 Z 6 DSG 2000) – in Ermanglung anderer absehbarer Rechtfertigungsgründe gemäß § 9 DSG 2000 - sowie die gebotene Überbindung der Pflicht zu Aufklärung und Information gemäß § 24 DSG 2000 an die HNO-Ärzte als Vertragspartner. Zu anderen daraus, dass die Durchführung der Befragung durch HNO-Ärzte die Gefahr birgt, dass die Betroffenen ohne Information und Aufklärung durch den Arzt als Autoritätsperson zur Preisgabe sensibler Daten überredet werden könnten. Die Entlohnung pro Kopf ist überdies ein Ausdruck der datenschutzrechtlich höchst unerwünschten Behandlung von sensiblen personenbezogenen Daten als Objekt eines Rechtsgeschäftes (vgl. dazu die jederzeitige Widerrufbarkeit von datenschutzrechtlichen Zustimmungserklärungen, die synallagmatische Verträge des Betroffenen über die Verwendung eigener Daten praktisch unwirksam macht, §§ 8 Abs. 1 Z 2, 9 Z 6 DSG 2000). Drittens schließlich daraus, dass der Zweck der Datenanwendung beim Auftraggeber höchst undurchsichtig ist und keine klare Beurteilung der Zulässigkeit des Eingriffs in schutzwürdige Geheimhaltungsinteressen zulässt. Der den HNO-Ärzten gebotene sehr hohe Lohn von 60 Euro für die Beschaffung von Daten zu lediglich fünf gesundheitsbezogenen Fragestellungen pro Betroffenem, muss jedenfalls als Indiz gedeutet werden, dass bedeutende wirtschaftliche Interessen an der Verarbeitung dieser Gesundheitsdaten interessiert sind.

Die Datenschutzkommission war daher von Amts wegen verpflichtet, ein Verfahren zur Überprüfung der Registrierung des Auftraggebers einzuleiten. In einem solchen anhängigen Verfahren kann ein Bescheid gemäß § 20 Abs. 2 DSG 2000 bei Auslegung dieser Bestimmung nach Ziel und Zweck auch ohne Vorliegen einer Registermeldung ergehen, da es sonst dem Auftraggeber entgegen Ziel und Zweck des Gesetzes möglich wäre, durch gesetzwidriges Unterlassen einer Meldung auch einen Untersagungsbescheid der Datenschutzkommission unmöglich zu machen, der eben jene Interessen schützen soll, zu deren Schutz auch Meldepflicht und Vorabkontrolle dienen.

Dies konnte gemäß § 57 Abs. 1 AVG wegen Gefahr im Verzug als unaufschiebbare Maßnahme ohne Durchführung eines vollständigen Ermittlungsverfahrens angeordnet werden.

[Anmerkung Bearbeiter: Gegen diesen Mandatsbescheid wurde vom Auftraggeber keine Vorstellung erhoben. Eine entsprechende Datenanwendung – mit reduziertem Umfang (keine namentliche Erfassung der Patienten mehr vorgesehen) – wurde später beim DVR gemeldet, das diesbezügliche Registrierungsverfahren ist noch offen. Weiters wurde gegen den Auftraggeber bei der zuständigen Verwaltungsstrafbehörde wegen Verdachts mehrfacher Verwaltungsübertretungen (nach § 52 Abs.2 Z.1 und 3) Anzeige erstattet.]