K121.990/0016-DSK/2013 – Datenschutzkommission Entscheidung

[Anmerkung Bearbeiter: Namen (Firmen), (Internet )Adressen, Aktenzahlen (und dergleichen), Rechtsformen und Produktbezeichnungen etc. sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

B E S C H E I D

Die Datenschutzkommission hat unter dem Vorsitz von Dr. KURAS und in Anwesenheit der Mitglieder Dr. BLAHA, Mag. MAITZ-STRASSNIG, Dr. KÖNIG, Mag. HEILEGGER und Dr. HEISSENBERGER sowie des Schriftführers Mag. HILD in ihrer Sitzung vom 25. Oktober 2013 folgenden Beschluss gefasst:

S p r u c h

Über die Beschwerde der A*** B*** (Beschwerdeführerin) vom 12. Juli 2013 gegen den Gemeindeverband Bezirkskrankenhaus X*** als Träger des a.ö. Bezirkskrankenhauses X*** (Beschwerdegegner), wegen Verletzung im Recht auf Geheimhaltung in Folge Abfrage zur Person der Beschwerdeführerin in der EDV-gestützten Patientenverwaltung „P[…]dok“, wird entschieden:

1. Der B e s c h w e r d e wird teilweise s t a t t g e g e b e n und festgestellt, dass der Beschwerdegegner die Beschwerdeführerin durch Einsicht in die in der EDV-gestützten Patientenverwaltung „P[…]dok“ gespeicherte Krankengeschichte der Beschwerdeführerin am 10. Oktober 2012 im Zeitraum zwischen 12:06:16 Uhr und 12:07:15 Uhr in ihrem Grundrecht auf Geheimhaltung schutzwürdiger personenbezogener Daten verletzt hat.

2. Im Übrigen wird die B e s c h w e r d e a b g e w i e s

e n.

Rechtsgrundlagen: §§ 1 Abs. 1 und 2, 4 Z 2, 7 Abs. 1 und Abs. 3, 9 Z 3 und 12, 31 Abs. 2, 32 Abs. 1 des Datenschutzgesetzes 2000 – DSG 2000, BGBl. I Nr. 165/1999 idgF; § 10 Abs. 1 und 3 des Krankenanstalten- und Kuranstaltengesetzes – KAKuG, BGBl. Nr. 1/1957 idgF; § 15 Abs. 1 und 2 des Tiroler Krankenanstaltengesetzes – Tir KAG, LGBl. Nr. 5/1958 idgF; § 1 Abs. 1 und 4 des Tiroler Bezirkskrankenhäuser-Gemeindeverbände-Gesetzes, LGBl. Nr. 32/1984 idgF.

B e g r ü n d u n g

A. Verfahrensgang und Vorbringen der Parteien

1. In der am 16. Juli 2013 in der Geschäftsstelle der Datenschutzkommission eingelangten Beschwerde, über Aufforderung – tlw. im Rahmen des Parteiengehörs – konkretisiert bzw. ergänzt mit Eingaben vom 1. August, 2. September und 28. September 2013, bringt die Beschwerdeführerin , die seit 1996 als diplomierte Gesundheits- und Krankenschwester (DGKS) im a.ö.

Bezirkskrankenhaus X*** (BKH X***), dessen Träger der Beschwerdegegner ist, tätig ist, vor, sich am 8. Oktober 2012 im BKH X*** einem kleinen operativen Eingriff unterzogen zu haben. Ihre unmittelbare Arbeitskollegin, DGKS B*** C***, habe am 10. Oktober 2012 gegen 12:06 Uhr – was durch die Dokumentation der Zugriffe nachweisbar sei – aus persönlichem Interesse auf die in der EDV-gestützten Patientenverwaltung „P[…]dok“ gespeicherten gynäkologischen Dokumente der Beschwerdeführerin zugegriffen. Weiters habe H*** I***, die den Schreibdienst auf der Anästhesie-Ambulanz wahrgenommen habe, zwei Tage nach der gynäkologischen Operation der Beschwerdeführerin am 10. Oktober 2012 gegen 15:22 Uhr – was ebenfalls durch die Dokumentation der Zugriffe nachweisbar sei – unbefugt in die in P[…]dok gespeicherten medizinischen Dokumente der Beschwerdeführerin Einsicht genommen. Selbst wenn B*** C*** die gespeicherten Dokumente nicht geöffnet, sondern lediglich die Auflistung von vorhandenen medizinischen Dokumenten abgefragt habe, gewähre dies Einblick in personenbezogene schutzwürdige Daten. Die Beschwerdeführerin habe gegenüber B*** C*** in Gesprächen niemals den operativen Eingriff selbst, sondern lediglich einen geplanten Krankenstand erwähnt. Die relevanten Operationsunterlagen (Befunde, Fieberkurve etc.) seien nachweislich erst am 11. Oktober 2012 in P[…]dok abgespeichert worden, der Zugriff von H*** I*** habe aber bereits am 10. Oktober 2012 stattgefunden, zu einem Zeitpunkt, als die Krankengeschichte noch auf der Station gelegen sei.

Der Beschwerde sowie der Eingabe vom 2. September 2013 beigelegt sind – soweit verfahrensrelevant – die protokollierten Zugriffe auf die Patientendaten der Beschwerdeführerin im Zeitraum 10. Oktober 2012 von 12:06:16 Uhr bis 15:22:36 Uhr.

2. Der Beschwerdegegner bringt in seinen Stellungnahmen vom 9. August und 19. September 2013 vor, dass hinsichtlich B*** C*** Ermittlungen geführt worden seien, wobei festgestellt worden sei, dass mit der Benutzerkennung von B*** C*** Einsicht in die Auflistung der vorhandenen medizinischen Dokumente genommen worden sei. Es könne nicht gänzlich ausgeschlossen werden, dass sich infolge eines Sorgfaltsmangels von B*** C*** eine dritte Person kurzfristig der Benutzerkennung habe bemächtigen können. Es sei jedenfalls eine Dienstpflichtverletzung festgestellt worden. Allerdings habe sich B*** C*** durch die (unzulässige) Einsichtnahme in die Auflistung der vorhandenen Dokumente keine Informationen verschaffen können, die ihr nicht bereits aus Gesprächen mit der Beschwerdeführerin selbst bekannt gewesen wären.

In Bezug auf H*** I*** führt der Beschwerdegegner aus, dass das BKH X*** gesetzlich verpflichtet sei, zu jedem Patienten eine vollständige Krankengeschichte zu führen. H*** I***, welche mittlerweile verstorben sei und daher zu dem Sachverhalt nicht mehr habe befragt werden können, sei als Sekretärin unter anderem damit betraut gewesen, die Vollständigkeit der Krankengeschichten hinsichtlich der Anästhesie/OP-bezogenen Dokumentation sicherzustellen. Dies erfordere einen Überblick über die bereits archivierten Dokumente eines jeden Patienten. Eine Einsicht in konkrete, in P[…]dok gespeicherte Dokumente habe jedoch nicht stattgefunden, wie das Zugriffskürzel „pa99show“ beweise. Damit werde eine Übersicht über vorliegende Dokumente am Bildschirm generiert. Bei Einsichtnahme in konkrete Dokumente würde das Zugriffskürzel „pa99mcp“ lauten. Ein lesender Zugriff auf Dokumente sei daher auszuschließen. Die Dokumentation der Krankengeschichte bestehe aus Dokumenten, die vor einer Operation und solchen, die im Zuge der Operation angefertigt würden. Diese Dokumente müssten elektronisch archiviert werden, wobei sicherzustellen sei, dass sämtliche Dokumente vorhanden seien. Würde ein Dokument fehlen, müsste es gesucht werden. Wenn die Beschwerdeführerin daher ausführe, dass ihre Krankengeschichte am 10. Oktober 2012 noch auf der Station gelegen sei, so werde diese für Teile der Krankengeschichte zutreffend sein, nicht aber für alle Elemente der Krankengeschichte. Die „ANA-Protokolle“ seien jedenfalls erst am 11. Oktober 2012 nachweislich eingescannt worden. Es erscheine daher aufgrund der betrieblichen Abläufe äußerst unwahrscheinlich, dass die am 11. Oktober 2012 eingescannten Dokumente erst am 11. Oktober 2012 zum Scannen vorbereitet worden seien. Vielmehr sei anzunehmen, dass sie ein oder zwei Tage vor der Archivierung auf dem Schreibtisch von H*** I*** zum Zweck der Vervollständigung, Sortierung und Vorbereitung für die Archivierung gelegen seien. Der Vorgang des Überblick verschaffenden Zugriffs am Vortag der Dokumenterfassung in P[…]dok sei jedenfalls plausibel und zum Arbeitsverlauf passend.

Darüber hinaus sei per Dienstanweisung und Verschwiegenheitsverpflichtung festgelegt, dass Zugriffe nur anlassbezogen und zweckbezogen erfolgten.

B. Beschwerdegegenstand

Auf Grund des Vorbringens der Beschwerdeführerin ergibt sich, dass Beschwerdegegenstand die Frage ist, ob der Beschwerdegegner durch Einsicht in die in P[…]dok gespeicherten Patientendaten der Beschwerdeführerin am 10. Oktober 2012 im Zeitraum von 12:06:16 Uhr bis 15:22:36 Uhr diese in ihrem Recht auf Geheimhaltung der sie betreffenden personenbezogenen Daten verletzt hat.

C. Sachverhaltsfeststellungen

Ausgehend vom Beschwerdegegenstand wird der folgende Sachverhalt festgestellt:

Die Beschwerdeführerin hat sich am 8. Oktober 2012 einem operativen Eingriff im BKH X*** unterzogen. B*** C*** und H*** I*** waren zu diesem Zeitpunkt im BKH X*** als Dienstnehmerinnen beschäftigt, B*** C*** als diplomierte Gesundheits- und Krankenschwester und H*** I*** als Sekretärin und Schreibkraft. B*** C*** war in den operativen Eingriff vom 8. Oktober 2012 nicht eingebunden. H*** I*** oblag im Rahmen ihrer Tätigkeit auch die Dokumentation der Krankengeschichte der Beschwerdeführerin, was auch die Kontrolle der Vollständigkeit der Dokumente sowie das Einscannen der Dokumente in P[…]dok beinhaltete. Die Mitarbeiter des BKH X*** sind per Dienstanweisung und Verschwiegenheitsverpflichtung angehalten, dass Zugriffe auf in P[…]dok gespeicherte Daten nur anlass- und zweckbezogen erfolgen.

Beweiswürdigung: Diese Feststellungen beruhen auf den unbestrittenen Angaben der Beschwerdeführerin und des Beschwerdegegners.

Am 10. Oktober 2012 erfolgten im Zeitraum von 12:06:16 Uhr bis 12:07:15 Uhr insgesamt fünf Zugriffe mit der Benutzerkennung von B*** C*** auf Patientendaten der Beschwerdeführerin, wobei das Zugriffskürzel einmal „pa15npa“ (nicht früher erklärt) und viermal „pa99show“ lautet.

Beweiswürdigung: Diese Feststellungen beruhen auf dem von der Beschwerdeführerin vorgelegten und vom Beschwerdegegner nicht bestrittenen Auszug der dokumentierten Zugriffe auf in P[…]dok gespeicherte Patientendaten der Beschwerdeführerin.

Am 10. Oktober 2012 erfolgten im Zeitraum von 15:22:28 Uhr bis 15:22:36 Uhr insgesamt zwei Zugriffe mit der Benutzerkennung von H*** I*** auf Patientendaten der Beschwerdeführerin, wobei das Zugriffskürzel jeweils „pa99show“ lautet.

Beweiswürdigung: Diese Feststellungen beruhen ebenfalls auf dem von der Beschwerdeführerin vorgelegten und vom Beschwerdegegner nicht bestrittenen Auszug der dokumentierten Zugriffe auf in P[…]dok gespeicherte Patientendaten der Beschwerdeführerin.

Das Zugriffskürzel „pa99show“ bedeutet, dass eine Übersicht über vorliegende, in P[…]dok gespeicherte Dokumente am Bildschirm generiert wird. Ein Zugriff auf einzelne gespeicherte Dokumente wird mit dem Zugriffskürzel „pa99mcp“ ausgewiesen.

Beweiswürdigung: Diese Feststellungen beruhen auf den unbestrittenen Angaben des Beschwerdegegners.

D. In rechtlicher Hinsicht folgt daraus

1. anzuwendende Rechtsvorschriften

Die Verfassungsbestimmung § 1 Abs. 1 und 2 DSG 2000 lautet samt Überschrift:

„Grundrecht auf Datenschutz

§ 1. (1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.“

Die §§ 4, 7, 9, 31 und 32 DSG 2000 lauten auszugsweise samt Überschrift:

„Definitionen

§ 4. Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe:

[…]

2. „sensible Daten“ („besonders schutzwürdige Daten“):

Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben;

[…]“

„Zulässigkeit der Verwendung von Daten

§ 7. (1) Daten dürfen nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffenen nicht verletzen.

(2) […]

(3) Die Zulässigkeit einer Datenverwendung setzt voraus, daß die dadurch verursachten Eingriffe in das Grundrecht auf Datenschutz nur im erforderlichen Ausmaß und mit den gelindesten zur Verfügung stehenden Mitteln erfolgen und daß die Grundsätze des § 6 eingehalten werden.“

„Schutzwürdige Geheimhaltungsinteressen bei

Verwendung sensibler Daten

§ 9. Schutzwürdige Geheimhaltungsinteressen werden bei der Verwendung sensibler Daten ausschließlich dann nicht verletzt, wenn

[…]

3. sich die Ermächtigung oder Verpflichtung zur Verwendung aus gesetzlichen Vorschriften ergibt, soweit diese der Wahrung eines wichtigen öffentlichen Interesses dienen, oder

[…]

12. die Daten zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder - behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist, und die Verwendung dieser Daten durch ärztliches Personal oder sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder […]“

„Beschwerde an die Datenschutzkommission

§ 31. […]

(2) Die Datenschutzkommission erkennt weiters über Beschwerden von Personen oder Personengemeinschaften, die behaupten, in ihrem Recht auf Geheimhaltung (§ 1 Abs. 1) oder in ihrem Recht auf Richtigstellung oder auf Löschung (§§ 27 und 28) verletzt zu sein, sofern der Anspruch nicht nach § 32 Abs. 1 vor einem Gericht geltend zu machen ist oder sich gegen ein Organ im Dienste der Gesetzgebung oder der Gerichtsbarkeit richtet. […]“

„Anrufung der Gerichte

§ 32. (1) Ansprüche wegen Verletzung der Rechte einer Person oder Personengemeinschaft auf Geheimhaltung, auf Richtigstellung oder auf Löschung gegen natürliche Personen, Personengemeinschaften oder Rechtsträger, die in Formen des Privatrechts eingerichtet sind, sind, soweit diese Rechtsträger bei der behaupteten Verletzung nicht in Vollziehung der Gesetze tätig geworden sind, auf dem Zivilrechtsweg geltend zu machen.

[…]“

§ 10 KAKuG lautet auszugsweise:

„Führung von Krankengeschichten und sonstigen

Vormerkungen

§ 10. (1) Durch die Landesgesetzgebung sind die Krankenanstalten zu verpflichten:

1. über die Aufnahme und die Entlassung der Pfleglinge Vormerke zu führen, sowie im Fall der Ablehnung der Aufnahme und bei der Aufnahme nach § 22 Abs. 1 letzter Satz die jeweils dafür maßgebenden Gründe zu dokumentieren;

2. Krankengeschichten anzulegen, in denen

a) die Vorgeschichte der Erkrankung (Anamnese), der Zustand des Pfleglings zur Zeit der Aufnahme (status praesens), der Krankheitsverlauf (decursus morbi), die angeordneten Maßnahmen sowie die erbrachten ärztlichen und gegebenenfalls zahnärztlichen Leistungen einschließlich Medikation (insbesondere hinsichtlich Name, Dosis und Darreichungsform) und Aufklärung des Pfleglings und

b) sonstige angeordnete sowie erbrachte wesentliche Leistungen, insbesondere der pflegerischen, einer allfälligen psychologischen bzw. psychotherapeutischen Betreuung sowie Leistungen der medizinisch-technischen Dienste, darzustellen sind;

3. die Krankengeschichten mindestens 30 Jahre, allenfalls in Mikrofilmen in doppelter Ausfertigung oder auf anderen gleichwertigen Informationsträgern, deren Lesbarkeit für den Aufbewahrungszeitraum gesichert sein muss, aufzubewahren; für Röntgenbilder und andere Bestandteile von Krankengeschichten, deren Beweiskraft nicht 30 Jahre hindurch gegeben ist, sowie bei ambulanter Behandlung kann durch die Landesgesetzgebung eine kürzere Aufbewahrungsfrist, mindestens jedoch zehn Jahre vorgesehen werden;

[…]

(3) Die Führung der Krankengeschichte obliegt hinsichtlich der Aufzeichnungen

1. gemäß Abs. 1 Z 2 lit. a dem für die ärztliche Behandlung verantwortlichen Arzt, gegebenenfalls dem für die zahnärztliche Behandlung Verantwortlichen, und

2. gemäß Abs. 1 Z 2 lit. b der jeweils für die erbrachten sonstigen Leistungen verantwortlichen Person.

[…]“

§ 15 Tir KAG lautet auszugsweise:

㤠15

Führung von Krankengeschichten und sonstigen

Vormerkungen

(1) Die Träger der Krankenanstalten haben

a) über die Aufnahme und die Entlassung der Pfleglinge Vormerke zu führen sowie im Fall der Ablehnung der Aufnahme und bei Aufnahme nach § 33 Abs. 1 zweiter Satz die jeweils dafür maßgebenden Gründe zu dokumentieren;

b) Krankengeschichten anzulegen, in denen

1. die Vorgeschichte der Erkrankung (Anamnese), der Zustand des Pfleglings zur Zeit der Aufnahme (status praesens), der Krankheitsverlauf (decursus morbi), die angeordneten Maßnahmen sowie die erbrachten ärztlichen und gegebenenfalls zahnärztlichen Leistungen einschließlich Medikation (insbesondere hinsichtlich Name, Dosis und Darreichungsform) und Aufklärung des Pfleglings und

2. sonstige angeordnete sowie erbrachte wesentliche Leistungen, insbesondere der pflegerischen und einer allfälligen psychologischen bzw. psychotherapeutischen Betreuung, sowie Leistungen der medizinisch-technischen Dienste, darzustellen sind;

c) über jede Entnahme von Organen oder Organteilen eines Verstorbenen zum Zweck der Transplantation sowie über jede Entnahme von Zellen oder Gewebe eines Verstorbenen zur Verwendung beim Menschen eine Niederschrift aufzunehmen, die einen Bestandteil der Krankengeschichte bildet;

d) die Krankengeschichten mindestens 30 Jahre, allenfalls in Form von Mikrofilmen in doppelter Ausfertigung oder auf anderen gleichwertigen Informationsträgern, deren Lesbarkeit für den Aufbewahrungszeitraum gesichert sein muss, aufzubewahren. Die Verwahrung muß so erfolgen, daß eine mißbräuchliche Kenntnisnahme ihres Inhaltes ausgeschlossen ist. Röntgenbilder und andere Hilfsmittel zur Erstellung von Befunden sind mindestens zehn Jahre aufzubewahren;

[…]

(2) Die Führung der Krankengeschichte obliegt hinsichtlich der Aufzeichnungen

1. nach Abs. 1 lit. b Z 1 dem für die ärztliche Behandlung verantwortlichen Arzt, gegebenenfalls dem für die zahnärztliche Behandlung Verantwortlichen, und

2. nach Abs. 1 lit. b Z 2 der jeweils für die erbrachten sonstigen Leistungen verantwortlichen Person.

[…]“

§ 1 Tiroler Bezirkskrankenhäuser-Gemeindeverbände-Gesetz lautet auszugsweise:

㤠1

Gemeindeverbände

(1) Die Erhaltung, die allfällige Erweiterung und der Betrieb der nachstehend angeführten allgemeinen öffentlichen Krankenanstalten obliegen folgenden Gemeindeverbänden als Anstaltsträgern:

[…]

[…] für das Bezirkskrankenhaus [X] dem „Gemeindeverband

Bezirkskrankenhaus [X]“, bestehend aus den Gemeinden des

politischen Bezirkes [X], mit dem Sitz in [X];

[…]

(4) Die Gemeindeverbände nach Abs. 1 sind Körperschaften öffentlichen Rechts. Dritten Personen gegenüber haften neben den Gemeindeverbänden für deren Verbindlichkeiten die verbandsangehörigen Gemeinden zur ungeteilten Hand. […]“

2. Rechtliche Schlussfolgerungen

2.1. Zur Zuständigkeit der Datenschutzkommission:

Gemäß § 31 Abs. 2 DSG 2000 erkennt die Datenschutzkommission über Beschwerden von Personen, die behaupten, in ihrem Recht auf Geheimhaltung verletzt zu sein, sofern der Anspruch nicht nach § 32 Abs. 1 DSG 2000 vor einem Gericht geltend zu machen ist. Nach § 32 Abs. 1 DSG 2000 sind Ansprüche wegen Verletzung des Rechts auf Geheimhaltung gerichtlich geltend zu machen, wenn sich der Anspruch gegen natürliche Personen, Personengemeinschaften oder Rechtsträger, die in Formen des Privatrechts eingerichtet sind, richtet und diese nicht in Vollziehung der Gesetze tätig geworden sind.

Gemäß § 1 Abs. 1 […] des Tiroler Bezirkskrankenhäuser-Gemeindeverbände-Gesetzes obliegt die Erhaltung, die allfällige Erweiterung und der Betrieb des BKH X*** dem Gemeindeverband Bezirkskrankenhaus X***, bestehend aus den Gemeinden des politischen Bezirks X***, mit dem Sitz in X***. Nach § 1 Abs. 4 leg. cit. sind die Gemeindeverbände nach Abs. 1 Körperschaften des öffentlichen Rechts.

Die Datenschutzkommission ist daher zur Behandlung der Beschwerde zuständig.

2.2. In der Sache:

§ 1 Abs. 2 iVm §§ 7 und 9 DSG 2000 normiert die Zulässigkeit eines Eingriffs in das Grundrecht auf Datenschutz soweit es sensible Daten betrifft. Gesundheitsdaten sind nach der Legaldefinition des § 4 Z 2 DSG 2000 sensible Daten.

Die erfolgten Zugriffe am 10. Oktober 2012 sind daher an diesen Zulässigkeitsvoraussetzungen zu messen.

a) Zu den Zugriffen mit der Benutzerkennung der B*** C***:

Wie festgestellt, war B*** C*** zum Zeitpunkt der verfahrensgegenständlichen Zugriffe am 10. Oktober 2012 im BKH X*** als Dienstnehmerin beschäftigt, sodass ihr Verhalten dem Beschwerdegegner als Träger des BKH X*** zuzurechnen ist.

Weiters wurde festgestellt, dass B*** C*** in den operativen Eingriff, welchem sich die Beschwerdeführerin am 8. Oktober 2012 unterzog, in keiner Weise in ihrer Funktion als DGKS eingebunden war. Der Beschwerdegegner gestand in seiner Stellungnahme vom 9. August 2013 darüber hinaus ein, dass mit der Benutzerkennung von B*** C*** unbefugt eine Übersicht über die von der Beschwerdeführerin in P[…]dok vorhandenen Dokumente erstellt wurde.

Folglich steht für die Datenschutzkommission fest, dass es für die am 10. Oktober 2012 im Zeitraum von 12:06:16 Uhr und 12:07:15 Uhr erfolgten Eingriffe – welche, unabhängig davon, ob die Eingriffe durch B*** C*** selbst oder lediglich mit ihrer Benutzerkennung erfolgten, dem Beschwerdegegner zuzurechnen sind – keine im Sinne der oben zitierten Bestimmungen des DSG 2000 rechtfertigende Begründung gab, weshalb die Beschwerdeführerin in ihrem Recht auf Geheimhaltung der sie betreffenden personenbezogenen Daten verletzt wurde. Dabei spielt es auch keine Rolle, dass lediglich eine Übersicht erstellt und keine Einsicht in konkrete Dokumente genommen wurde, weil auch die unbefugte Erstellung einer Übersicht über medizinische Dokumente schutzwürdige Geheimhaltungsinteressen verletzt.

b) Zu den Zugriffen mit der Benutzerkennung der H*** I***:

Wie festgestellt, war auch H*** I*** 10. Oktober 2012 im BKH X*** als Dienstnehmerin beschäftigt, sodass auch ihr Verhalten dem Beschwerdegegner als Träger des BKH X*** zuzurechnen ist.

Weiters wurde festgestellt, dass H*** I*** im Rahmen ihrer Tätigkeit auch die Dokumentation der Krankengeschichten, was auch die Kontrolle der Vollständigkeit der Dokumente sowie das Einscannen der Dokumente in P[…]dok beinhaltete, oblag. Aufgrund der vom Beschwerdegegner in seiner Stellungnahme vom 19. September 2013 dargelegten betrieblichen Abläufe in Bezug auf die gesetzlich vorgesehene Verpflichtung zur Führung von Krankengeschichten (§ 10 KAKuG, § 15 Tir KAG) – was von der Beschwerdeführerin im Übrigen nicht bestritten wurde – geht die Datenschutzkommission davon aus, dass die von H*** I*** vorgenommene Überblickserstellung über vorhandene, die Beschwerdeführerin betreffende Dokumente in P[…]dok am 10. Oktober 2012 im Zeitraum von 15:22:28 Uhr bis 15:22:36 Uhr im Zusammenhang mit ihrer dienstlichen Tätigkeit lag. Der Datenschutzkommission erscheint insbesondere nachvollziehbar, dass zum Zweck der Vollständigkeitskontrolle der Krankengeschichte, insbesondere zum Abgleich, welche Dokumente bereits elektronisch erfasst wurden und welche lediglich in Papierform vorliegen, eine Überblickserstellung über die bereits in P[…]dok vorhandenen Dokumente notwendig ist. Da der Eingriff in das Recht auf Geheimhaltung somit in Erfüllung einer gesetzlichen Verpflichtung durch eine zuständige Person erfolgte, war dieser im Sinne der § 1 Abs. 2 und § 9 Z 3 und Z 12 DSG 2000 iVm § 10 KAKuG bzw. § 15 Tir KAG gerechtfertigt.

2.3. Es war sohin spruchgemäß zu entscheiden.