Datenschutzrechtliche Implikationen von Contact-Tracing-Apps - Datenschutzbehörde
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
NEWSLETTER 3/ 2020
Datenschutzrechtliche Implikationen von Contact-Tracing-Apps
Mag. Andreas Zavadil
Kurz nach Ausbruch der aktuellen Ausnahmesituati- – und der unterschiedlichen Zugangsweisen gibt es da-
on rund um COVID-19 waren sogenannte „Contact-Tra- rauf keine einheitliche Antwort. Als gemeinsamer Nen-
cing-Apps“ Gegenstand zahlreicher Diskussionen. Bei ner lässt sich aber dem Grunde nach festhalten, dass
diesen Apps handelt es sich – vereinfacht formuliert diese Apps ergänzend zu manuellem Contact-Tracing
– um elektronische Kontaktbücher, die es ermöglichen (etwa durch Gesundheitsbehörden) eingesetzt werden
sollen, mit Hilfe eines Endgeräts über Bluetooth ei- und dass Infektionsketten möglichst früh erkannt und
nen Kontaktabgleich mit Menschen in der Umgebung unterbrochen werden sollen. Dies dient im Ergebnis
durchzuführen. In Folge werden die generierten Kon- dazu, dass die Reproduktionszahl unter einen Wert von
takte eine gewisse Zeit lang gespeichert. Kommt es in- Eins sinkt (dies bedeutet, dass eine infizierte Person
nerhalb dieses Zeitfensters dazu, dass ein gespeicher- weniger als eine weitere Person ansteckt). Die Senkung
ter Kontakt die Meldung abgibt, dass dieser positiv auf der Reproduktionszahl und die damit verbundenen Fol-
SARS-CoV-2 getestet wurde, wird eine entsprechende gen – insbesondere die Verhinderung des Zusammen-
Warnung versendet, dass möglicherweise Nahkontakt bruchs des Gesundheitssystems – ist ohne Zweifel ein
mit einer infizierten Person bestanden hat. gewichtiges öffentliches Interesse.
Der gegenständliche Beitrag beleuchtet die daten- In Folge stellt sich die Frage, ob der Einsatz von
schutzrechtlichen Rahmenbedingungen, unter denen Contact-Tracing-Apps überhaupt geeignet ist, um das
der Einsatz von solchen Apps – und damit einherge- soeben dargestellte Ziel zu erreichen. Diesbezüglich ist
hend, der Eingriff in das Grundrecht auf Datenschutz festzuhalten, dass elektronisches Contact-Tracing im
– zulässig ist und geht weiters auf die Bedeutung der Einzelfall durchaus zur frühen Unterbrechung einer In-
Interoperabilität zwischen Apps ein. fektionskette führen kann, selbst wenn dieser Einzelfall
Ganz zu Beginn stellt sich die Frage, welches Ziel keine (nennenswerte) Auswirkung auf die epidemiolo-
Contact-Tracing-Apps verfolgen und welche Rolle sol- gische Gesamtsituation hat. Die Geeignetheit ist daher
che Apps im Rahmen der jeweils nationalen Pandemie- grundsätzlich zu bejahen.
strategie einnehmen. Aufgrund der Vielfalt an national Im Hinblick auf die Erforderlichkeit von derartigen
entwickelten Apps – so gibt es keine „EU Corona App“ Apps – also der Frage, ob gelindere Mittel zur Zieler-
DSB Newsletter 3 / 2020 1
www.dsb.gv.at dsb@dsb.gv.atreichung vorhanden sind – ist festzuhalten, dass es un- dige Einhaltung des Transparenzgrundsatzes und der
terschiedliche Mittel gibt, die kombiniert werden müs- Informationspflichten voraus.
sen, um die Reproduktionszahl zu senken. Der Einsatz Umgelegt auf die gegenwärtige Situation bedeutet
einer Contact-Tracing-App kann daher neben weiteren dies, dass kein Betroffener benachteiligt werden darf,
Maßnahmen (Schließung von Geschäften, Kontaktein- sofern dieser keine Contact-Tracing-App nutzt.
schränkungen, Maskenpflicht u.a.) eine wichtige Rolle Der Europäische Datenschutzausschuss verweist
im Rahmen einer Pandemiestrategie einnehmen. weiters darauf, dass anstelle der Einwilligung eine qua-
Schließlich ist zu hinterfragen, ob der mit der Nut- lifizierte Rechtsgrundlage als Erlaubnistatbestand für
zung einer solchen App verbundene Eingriff in das die Datenverarbeitung in Betracht kommt, wobei auch
Grundrecht auf Datenschutz angemessen ist. Die Be- diesfalls die Freiwilligkeit der Teilnahme sowie eine
antwortung dieser Frage hängt von der konkreten entsprechende Diskriminierungsfreiheit im Falle einer
Gestaltung der jeweiligen App ab. Neben vielen Insti- Nichtteilnahme sichergestellt sein muss.
tutionen haben auch der Europäische Datenschutzaus- Auf nationaler Ebene hat der Gesetzgeber etwa in
schuss in den Leitlinien 4/2020 sowie die Europäische § 15 Abs. 3 Epidemiegesetz 1950 idgF normiert, dass
Kommission im Rahmen der Mitteilung 2020/C 124 das Zusammenkommen von Menschenmengen nicht
I/01 Anforderungen für den Einsatz von Contact-Tra- an die Verwendung von Contact-Tracing-Technologien
cing-Apps formuliert. geknüpft werden darf. Die Schaffung weiterer geeigne-
Dazu ist grundsätzlich festzuhalten, dass im Rahmen ter Garantien wäre wünschenswert. Sofern derartige
der (Weiter-) Entwicklung von Contact-Tracing-Apps Apps (zumindest auch) von staatlicher Seite als Ver-
die Grundsätze „Privacy by Design“ und „Privacy by De- antwortliche betrieben werden, ist die Schaffung einer
fault“ gemäß Art. 25 DSGVO zu beachten sind. Insbe- klaren gesetzlichen Grundlage bereits aufgrund des Le-
sondere ist genau festzulegen, welche Funktionen die galitätsprinzips notwendig.
jeweilige App besitzen soll, welche personenbezoge- Zur konkreten technischen Ausgestaltung sei – ne-
nen Daten hierfür notwendigerweise verarbeitet wer- ben vielen Anforderungen – an dieser Stelle jedenfalls
den müssen, wie lange Daten gespeichert werden und erwähnt, dass kein Zugriff von Dritten auf personenbe-
wie ein angemessenes Datenschutzniveau gewährleis- zogene Daten möglich sein darf. Da das Contact-Tracing
tet wird. Die im Rahmen der App gesammelten Daten ohne Identifizierung von konkreten Personen zu erfol-
dürfen ausschließlich zum Zwecke des Contact-Tracing gen hat, sind Mechanismen zu implementieren, um das
zur Unterstützung der Bekämpfung der COVID -19 Pan- Risiko für die Herstellung eines Personenbezugs soweit
demie verwendet werden. Sofern ein weiterer Verar- wie möglich zu reduzieren. Hierzu wird empfohlen,
beitungszweck hinzutritt – wie etwa die Überwachung dass Kontaktabgleiche dezentral verarbeitet und ver-
von Quarantänemaßnahmen oder die Erstellung von schlüsselt am Endgerät des Nutzers gespeichert wer-
(individuellen) Bewegungsprofilen mithilfe der App – den. Weiters wird empfohlen, die von der App gesen-
handelt es sich nicht mehr um Contact-Tracing-Apps im deten pseudonymen Kennungen („IDs“) regelmäßig zu
Sinne des gegenständlichen Beitrags und ist dies mit rotieren.
einem weitaus intensiveren Eingriff in das Grundrecht Zuletzt ist auf das Thema der Interoperabilität ein-
auf Datenschutz verbunden. zugehen. Wie bereits eingangs ausgeführt sind zahl-
Im Hinblick auf die Zulässigkeit der Datenverarbei- reiche nationale Contact-Tracing-Apps im Einsatz und
tung wird in den oben genannten Quellen wiederholt gibt es derzeit keine „EU Corona App“. Dies hat zur Fol-
auf die Freiwilligkeit der Nutzung einer solchen App ge, dass Contact-Tracing im Falle des Aufenthaltes in
verwiesen. In diesem Zusammenhang ist zu bemer- einem anderen Staat aufgrund der unterschiedlichen
ken, dass Contact-Tracing die Speicherung und/oder Ausgestaltung der jeweiligen App nur schwer oder gar
den Zugang zu Informationen, die bereits im Endgerät nicht durchführbar ist. In Anbetracht der sukzessiven
gespeichert sind, voraussetzt, weshalb Art. 5 Abs. 3 Grenzöffnungen und der weitgehenden Rückkehr des
der Richtlinie 2002/58/EG idgF einschlägig ist. Für die sozialen Lebens ist ein funktionierendes grenzüber-
Verarbeitung von Gesundheitsdaten – etwa der Mel- schreitendes Contact-Tracing für den Erfolg derartiger
dung einer Infektion – kommt insbesondere die daten- Apps aber unumgänglich. Der Europäische Daten-
schutzrechtliche Einwilligung iSd DSGVO in Betracht. schutzausschuss hat sich in seiner Stellungnahme vom
Die DSB weist an dieser Stelle auf ihre stRsp hin, wo- 16. Juni 2020 mit diesem Thema bereits aus rechtlicher
nach einem Betroffenen kein Nachteil für den Fall er- und technischer Sicht auseinandergesetzt, worauf ver-
wachsen darf, dass eine Einwilligung nicht abgegeben wiesen wird.
wird (vgl. den Bescheid vom 30. November 2017, GZ: An dieser Stelle wird auch auf die Rolle der von Goo-
DSB-D122.931/0003-DSB/2018 mwN). Die Abgabe ei- gle und Apple entwickelten API für die Smartphone-Be-
ner informierten Einwilligung setzt zudem die vollstän- triebssysteme Android und iOS hingewiesen. Hierbei
handelt es sich um eine Contact-Tracing-Schnittstelle
2 DSB Newsletter 3/ 2020
www.dsb.gv.at dsb@dsb.gv.atzur Programmierung von Anwendungen, die ein systemüber- inhalte. So solle eine verstärkte Transparenz im Bereich
greifendes Contact-Tracing auf Bluetooth-LE-Basis er- der Bildung erreicht werden und die Qualität der Aus-
möglichen soll. Es ist festzuhalten, dass Google und bildung im Unterricht einer nachvollziehbaren Kontrolle
Apple keine App betreiben; vielmehr können sich die zugänglich sein. Insgesamt könne durch die erfassten
Betreiber der jeweiligen Contact-Tracing-App dieser Bewertungen die Unterrichtsqualität gesteigert und
Schnittstelle bedienen, um die Bluetooth Low Energy den Schülern eine bessere Möglichkeit für ihre Entwick-
Funktechnik in Smartphones zu nutzen und die Interope- lung geboten werden.
rabilität mit anderen Contact-Tracing-Apps zu fördern. Aus Sicht der betroffenen Personen war zu berück-
Die technischen Spezifikationen wurden seitens App- sichtigen, dass sich Lehrer durch die gegenständliche
le und Google veröffentlicht und auch gegenüber den Datenverarbeitung einer anonymen Bewertung ausset-
Aufsichtsbehörden erläutert. Eine Überprüfung seitens zen müssen, dass grundsätzlich auch Nichtschüler des
der (zuständigen) irischen Aufsichtsbehörde ist anhän- jeweiligen Lehrers eine Bewertung abgeben können,
gig. dass diese Bewertung mitunter nicht den wahren Gege-
Abschließend weist die DSB darauf hin, dass das benheiten entspricht (etwa unsachliche Bewertungen)
Datenschutzrecht kein Hindernis für den Einsatz einer und dass diese Bewertungen der Öffentlichkeit preisge-
Contact-Tracing-App (und allgemein, für die Bekämp- geben werden und es zu einer Prangerwirkung kommen
fung der aktuellen Pandemie) darstellt; unter den im kann.
gegenständlichen Beitrag erläuterten Bedingungen Diesbezüglich war zunächst festzuhalten, dass die
steht dem Einsatz einer solchen App nichts im Wege. anonyme Nutzung dem Internet immanent ist und dass
Die Einhaltung der datenschutzrechtlichen Vorgaben die Verpflichtung, sich namentlich zu einer bestimmten
ist – im Gegenteil – eine notwendige Voraussetzung für Bewertung zu bekennen, die Gefahr begründen würde,
den Erfolg von Contact-Tracing-Apps, da solche Apps dass der Bewertende aus Furcht vor Repressalien oder
ansonsten auf keine breite Akzeptanz in der Bevölke- sonstigen negativen Auswirkungen sich entscheidet,
rung stoßen werden. Das Vertrauen der Bevölkerung seine Meinung gar nicht zu äußern. Eine solche Selbst-
ist zwingend erforderlich, damit die jeweilige Cont- zensur ist nach Auffassung der DSB nicht mit Art. 11
act-Tracing-App auch heruntergeladen wird. EU-GRC vereinbar. Ebenso wenig ist das Recht auf freie
Meinungsäußerung und Information auf objektivierba-
re allgemein gültige Werturteile beschränkt.
In Anlehnung an die stRsp der DSB zu Ärztebewer-
tungsplattformen (vgl. den Bescheid vom 15. Jänner
2019, GZ DSB-D123.527/0004-DSB/2018 mwN) war
auch festzuhalten, dass die gegenständliche Lehrerbe-
Mag. Andreas Zavadil wertung die berufliche Tätigkeit des Lehrers betrifft,
sohin einen Bereich, in dem sich die persönliche Ent-
Information Lehrerbewertungsplattform Lernsieg faltung von vornherein im Kontakt mit der Umwelt voll-
Im Rahmen des amtswegigen Prüfverfahrens zur zieht. Die Berufsgruppe der Lehrer muss sich daher auf
Zahl DSB-D213.953 wurde die datenschutzrechtliche die Beobachtung ihres Verhaltens durch eine breite Öf-
Zulässigkeit der App „Lernsieg“ überprüft. Bei der App fentlichkeit und auf Kritik an den Leistungen einstellen.
Lernsieg handelt es sich um eine Bewertungsplattform, Im vorliegenden Fall ist nämlich die berufliche Sphäre
auf der Schüler ihre Schule und ihre Lehrer nach ei- betroffen, die im Gegensatz zur intimen Sphäre einen
nem vorgegebenen Punktesystem bewerten können. geringeren Schutz genießt.
Zu den einzelnen bewertbaren Kriterien zählen (der- Darüber hinaus hat der Verantwortliche mehrere
zeit): Unterricht, Respekt, Geduld, Erklärungsstil, Per- Mechanismen implementiert, um einer Prangerwirkung
sönlichkeit, Fairness, Motivation und Organisation. Der entgegenzuwirken: So ist es bspw. zum Schutz vor Miss-
Betreiber der App (in Folge: „der Verantwortliche“) hat brauch notwendig, dass sich der Bewertende zunächst
sich im Hinblick auf die Verarbeitung der Lehrerdaten über eine Telefonnummer (die nicht gespeichert oder
(Name, Dienststelle, zugehörige Bewertungen) auf die anderweitig verwendet wird) verifiziert („Überwinden
Rechtsgrundlage gemäß Art. 6 Abs. 1 lit. f DSGVO (be- einer Hemmschwelle“), ist eine gewisse Mindestanzahl
rechtigte Interessen) gestützt, weshalb in Folge eine an Bewertungen erforderlich, bevor diese angezeigt
Interessenabwägung durchzuführen war. wird, ist die Abgabe eines persönlichen, mitunter belei-
Der Verantwortliche brachte dazu vor, dass durch digenden Kommentars nicht möglich (wobei im Gegen-
die Verarbeitung das Interesse der Ausübung des zug dafür die Bewertung in Form von Unterkategorien
Rechts auf freie Meinungsäußerung und Informati- näher begründet werden kann) oder ist ein Melde- und
on nach Art. 11 EU-GRC verfolgt werde, wobei dieses Änderungsbutton für Lehrer eingebaut. Der Verant-
Grundrecht auch den Empfang von Informationen be- wortliche hat auch keine Volks- und Sonderschulen in
DSB Newsletter 3 / 2020 3
www.dsb.gv.at dsb@dsb.gv.atdie App aufgenommen und die Bewertungsmöglichkeit Im Bescheid vom 28. Mai 2020 zur GZ: DSB-D124.720
somit an ein gewisses Mindestalter bzw. geistige Ent- 2020-0.280.699 hatte sich die Datenschutzbehörde mit
wicklung geknüpft. einer Beschwerde im Recht auf Geheimhaltung (§ 1
Kritisch zu hinterfragen war, dass – anders als etwa DSG) und dem Finanzmarkt-Geldwäschegesetz (FM-
bei einer Ärztebewertungsplattform und der damit im GwG) zu befassen.
Zusammenhang stehenden freien Arztwahl – grund- Der Beschwerdeführer wollte in einer Bankfiliale
sätzlich keine freie Lehrerwahl besteht. Allerdings exis- 100 Euro in Türkische Lira (TRY) wechseln lassen. Da-
tiert insofern eine indirekte Lehrerwahl, als Eltern (im raufhin wurde er vom Bankmitarbeiter aufgefordert,
Einvernehmen mit ihren Kindern, also den Schülern) einen Lichtbildausweis für den Wechsel vorzulegen, bei
die Schule auswählen und sich ein entsprechendes Bild sonstigem Abbruch des Geldwechsels. Der Beschwer-
über die dort konkret tätigen Lehrkräfte machen kön- deführer weigerte sich vorerst, aber schließlich legte er
nen und für gewisse Fächer (etwa Wahlfächer) durch- seinen Führerschein vor, welcher kopiert und gespei-
aus eine freie Lehrerwahl bestehen kann. Ebenso ist die chert wurde.
konkrete Lehrerbewertung für die Beurteilung der Aus- Die Bank als Beschwerdegegnerin begründete die
wahl von Schwerpunktschulen (etwa, ob die fachlichen gegenständliche Verarbeitung des Lichtbildausweises
Schwerpunkte der Schule auch mit entsprechender mit ihren Obliegenheiten aufgrund des FM-GwG. Dem-
Qualität umgesetzt werden) relevant. Weiters können nach habe sie ohne Rücksicht auf die Höhe des ein- und
Bewertungen eines Lehrers Anlass dazu geben, dass auszahlenden Betrages, bei bloßem Verdacht hinsicht-
Schüler oder Eltern ein Gespräch mit dem Lehrer (oder lich Geldwäsche oder Terrorismusfinanzierung (§ 5 Z 4
umgekehrt) suchen. Der Umstand, dass es sich gegen- FM-GwG) Sorgfaltsmaßnahmen anzuwenden und im
ständlich um eine vergleichsweise neue App handelt Zweifel Identitätsdokumente gemäß § 6 Abs 1 Z 1 FM-
und diese für die Schulwahl der breiten Bevölkerung GwG zu verlangen. Seine Weigerung sei als auffälliges
womöglich noch keine große faktische Bedeutung hat, Kundenverhalten interpretiert worden. Darüber hinaus
ist nach Auffassung der DSB nicht ausschlaggebend. sei es dem Bankfilialleiter erinnerlich gewesen, dass
Bewertungsplattformen können einen Mehrwert für der Beschwerdeführer bei einer höheren Bundesbe-
die Gesellschaft in Form von einfach zugänglichen In- hörde gearbeitet habe, daher sei gemäß § 2 Z 6 iVm
formationen bieten, wobei jede Bewertungsplattform § 11 FM-GwG eine PeP (Politisch exponierte Person)
eine gewisse Anlaufzeit benötigt, um eine entspre- Prüfung durchzuführen gewesen.
chende Relevanz zu erreichen. Die Datenschutzbehörde gab der Beschwerde statt
Vor dem Hintergrund dieser Überlegungen gelang- und stellte eine Verletzung im Recht auf Geheimhaltung
te die DSB zu dem Ergebnis, dass die Verarbeitung der fest, da es sich bei dem Geldwechsel des Beschwerde-
Lehrerdaten auf Grundlage von Art. 6 Abs. 1 lit. f DSG- führers im Gegenwert von 100 Euro jedenfalls um ei-
VO rechtmäßig erfolgt, die Interessen der breiten Allge- nen Betrag unterhalb der Wertgrenze von 1.000 Euro,
meinheit und insbesondere der Schüler an der gegen- bzw. 15.000 Euro des § 5 Z 2 FM-GwG handle. Weiters
ständlich relevanten Verarbeitung also überwiegen. kann allein aus einer Weigerung, einen Lichtbildaus-
Zur Vollständigkeit ist festzuhalten, dass auch die weis vorzulegen, noch nicht geschlossen werden, dass
Verarbeitung der Daten der Bewerter (Kinder bzw. Ju- es sich bei einem Geldwechsel um Terrorismusfinan-
gendliche) überprüft wurde und diesbezüglich nichts zierung oder Geldwäsche handelt. Darüber hinaus ist
zu beanstanden war. Insbesondere wurde aufgrund ein Bediensteter einer höheren Bundesbehörde nicht
des Ermittlungsverfahrens festgestellt, dass die Daten gleichbedeutend mit einer PeP-Eigenschaft, wonach
der Bewerter in keiner Form (etwa zu Werbezwecken) es sich beispielsweise um Staatschefs, Parlamentsab-
verwendet oder an Dritte übermittelt werden. Die DSB geordnete oder Verfassungsrichter handle. Daher lag
wird die Entwicklung der App Lernsieg jedoch weiter- keine Rechtfertigung für die gegenständliche Verarbei-
hin beobachten und behält sich im Falle einer solchen tung von personenbezogenen Daten vor.
Kommerzialisierung die Einleitung eines weiteren Prüf- Dieser Bescheid ist nicht rechtskräftig.
verfahrens vor.
DSB-2020-0.251.582 (D124.1791), Unerlaubte Ein-
sichtnahme in Patientenakte
Im Bescheid vom 20.05.2020, GZ:
DSB-D2020-0.251.582 (D124.1791), hatte sich die DSB
mit dem Vorwurf der unerlaubten Einsichtnahme eines
DSB-D124.720 2020-0.280.699, Verletzung im Ordinationsgehilfen in die Patientenakte eines Betrof-
Recht auf Geheimhaltung: Verarbeitung eines Licht- fenen zu befassen.
bildausweises aufgrund eines Geldwechsel im Gegen- Die Beschwerdeführerin brachte in ihrer Beschwer-
wert von 100 Euro de zunächst vor, dass sie sich bei der Beschwerdegeg-
4 DSB Newsletter 3/ 2020
www.dsb.gv.at dsb@dsb.gv.atnerin in ärztlicher Behandlung befunden habe. Auf- aus überspitzt formuliert, Kritik an dem Nichterschei-
grund eines versäumten Arzttermins sei es zwischen ihr nen des Beschwerdeführers geübt wurde.
und dem Ordinationsgehilfen der Beschwerdegegnerin Die Datenschutzbehörde wies die Beschwerde ab.
zu einem Disput gekommen und habe sie in der Folge Zum einen wurde festgestellt, dass selbst bei einer
eine negative Bewertung zur Beschwerdegegnerin im weiten Auslegung des Begriffes „Journalismus“ verfah-
Internet abgegeben. Daraufhin, so der Verdacht der rensgegenständlich keine Verarbeitung zu journalis-
Beschwerdeführerin, habe der Ordinationsgehilfe Ein- tischen Zwecken erkannt werden kann. Da § 9 Abs. 1
sicht in ihre Patientenakte genommen, um so die Da- DSG nicht zur Anwendung kommt, war eine Zuständig-
ten ihres Arbeitgebers ausfindig zu machen, um selbst keit der Datenschutzbehörde gegeben.
im Internet eine negative Bewertung zur Beschwerde- Weiters stellte die Datenschutzbehörde fest, dass
führerin abzugeben. mit dem Posting ein Beitrag zu einer Debatte von öf-
Im Rahmen des Verfahrens vor der Datenschutzbe- fentlichem Interesse, nämlich, ob der Beschwerdefüh-
hörde brachte die Beschwerdegegnerin bzw. der Or- rer als Politiker und Person des öffentlichen Interesses
dinationsgehilfe vor, dass die abgegebene Bewertung seinen Aufgaben bzw. Anforderungen als Stadtrat ge-
nicht in Zusammenhang mit der Beschwerdeführerin recht wird, vorlag. Nach Rsp. des OGH sind Grenzen zu-
stehen würde, sondern eine andere Mitarbeiterin des lässiger Kritik in Bezug auf einen Politiker, der in seiner
Arbeitgebers der Beschwerdeführerin gemeint gewe- öffentlichen Funktion handelt, weiter auszulegen als in
sen wäre. Bezug auf eine Privatperson. Jeder Politiker setzt sich
Nach der Durchführung des Ermittlungsverfahrens selbst unvermeidlich und willentlich einer genauen Be-
sah es die Datenschutzbehörde als erwiesen an, dass urteilung seiner Worte und Taten nicht nur durch Jour-
die Bewertung des Ordinationsgehilfen gegen die Be- nalisten und das breitere Publikum, sondern insbeson-
schwerdeführerin gerichtet war. Darüber hinaus sah dere auch durch den politischen Gegner aus.
es die Datenschutzbehörde als erwiesen an, dass der Darüber hinaus war die verfahrensgegenständliche
Ordinationsgehilfe Einsicht in die Patientenakte der Verwendung der Daten des Beschwerdeführers des-
Beschwerdeführerin genommen hatte, da es sich bei halb nicht rechtswidrig, weil diese Form der politischen
der Information hinsichtlich des Arbeitgebers der Be- Arbeit Deckung in § 1 Abs. 2 PartG, und damit in einer
schwerdeführerin um keine im Internet abrufbare In- Rechtsgrundlage iSd § 1 Abs. 2 DSG, findet.
formation handelte und auch die Datenschutzbehörde
im Rahmen einer amtswegigen Recherche den Arbeit- DSB-D213.1042 (2020-0.0.203.677), Mandatsbe-
geber der Beschwerdeführerin nicht eruieren konnte. scheid vom 30. März 2020 – Arzt veröffentlicht Pati-
Der Beschwerde wurde daher stattgegeben und entendaten auf Facebook
festgestellt, dass die Beschwerdeführerin in ihrem Der Datenschutzbehörde wurde zur Kenntnis ge-
Recht auf Geheimhaltung verletzt wurde. bracht, dass ein Arzt auf seiner persönlichen Face-
Der Bescheid ist nicht rechtskräftig. book-Seite sowie auf dem offiziellen Facebook-Auftritt
der Ärztekammer personenbezogene Gesundheits-
DSB-D123.768/0004-DSB/2019, Abwägung zwi- und Patientendaten in Form von ausgewählten Aus-
schen dem Recht auf Geheimhaltung und dem Recht schnitten aus Patientenbriefen, Befunden oder sons-
auf freie Meinungsäußerung tigen ärztlichen Aufzeichnungen/Protokollen „poste“,
Im Bescheid vom 18. Dezember 2019, GZ: DSB- um öffentlich Kritik zu üben. Die Datenschutzbehörde
D123.768/0004-DSB/2019, hatte sich die Datenschutz- leitete ein Verfahren nach den Art. 58, 57, 55 iVm Art.
behörde mit einer Abwägung des Rechts auf Geheim- 1 DSGVO („amtswegiges Prüfverfahren“) ein.
haltung gegen das Recht auf freie Meinungsäußerung Unterlassungsaufforderungen der Ärztekammer
auseinander zu setzen. Der Beschwerdeführer gehört sowie ein Disziplinarverfahren hätten den Verantwort-
einer politischen Partei an und ist Stadtrat einer öster- lichen bisher nicht davon abgehalten, Gesundheitsda-
reichischen Gemeinde. Im November fand eine Bespre- ten seiner Patientinnen und Patienten weiterhin auf
chung der Gemeinde zum „Parkraumkonzept“ statt, öffentlich zugänglichen Social-Media-Plattformen zu
zu welcher ein bestimmter Adressatenkreis, darunter veröffentlichen.
auch der Beschwerdeführer, geladen war. An dieser Be- Nach § 22 Abs. 4 DSG in Verbindung mit § 57 Abs.
sprechung hat der Beschwerdeführer auf Grund einer 1 AVG ist die Datenschutzbehörde berechtigt, ohne
falschen Einladungszustellung nicht teilgenommen. vorangegangenes Ermittlungsverfahren die Weiterfüh-
Die Beschwerdegegnerin, eine andere politische rung einer Datenverarbeitung mit Mandatsbescheid zu
Partei, hat daraufhin auf ihrer öffentlichen Face- untersagen, wenn durch eine Datenverarbeitung eine
book-Seite einen Eintrag gepostet, in welchem, durch- wesentliche unmittelbare Gefährdung schutzwürdiger
Geheimhaltungsinteressen betroffener Personen (Ge-
DSB Newsletter 3 / 2020 5
www.dsb.gv.at dsb@dsb.gv.atfahr im Verzug) vorliegt. Dies war gegenständlich der
Fall. Durch die Veröffentlichung von Patienten- und Ge-
sundheitsdaten lag zweifelsohne ein schwerwiegender
Eingriff in das Grundrecht auf Datenschutz der Betrof- BVwG-Erkenntnis vom 28.05.2020, W274 2230370-
fenen gemäß § 1 DSG vor. Eine diese Art der Veröffent- 1/4E (Zeugen Jehovas)
lichung tragende Rechtsgrundlage war nicht ohne wei- Beschwerdegegenstand des Ausgangsverfahrens
teres ersichtlich. war eine behauptete Verletzung im Recht auf Auskunft
Mit Mandatsbescheid wurde dem Verantwortlichen aufgrund einer behaupteten mangelhaften Auskunft.
daher die Offenlegung personenbezogener Gesund- Der Beschwerdeführer bestand auf der Übermittlung
heits- und Patientendaten auf der persönlichen Face- einer Kopie aller Dokumente betreffend sein Aus-
book-Seite sowie auf dem offiziellen Facebook-Auftritt schlussverfahren aus der Religionsgemeinschaft der
der Ärztekammer für Wien sowie sonstigen öffentlichen Zeugen Jehovas (Beschwerdegegner im Ausgangsver-
Facebook-Gruppen/Seiten und Social-Media-Plattfor- fahren), die sich in der sog. Verkündigerberichtskarte
men mit sofortiger Wirkung untersagt. in einem verschlossenen Umschlag befinden würden.
Die Datenschutzbehörde hat die Ausgangsbeschwerde
DSB-D124.024/0008-DSB/2019, Speicherdauer von abgewiesen, da sich im Zuge des Ermittlungsverfahrens
Stammdaten iSd § 97 TKG 2003 durch einen Mobil- ergeben hatte, dass die Zeugen Jehovas den Umschlag
funkanbieter geöffnet und die enthaltenen personenbezogenen
Im Bescheid vom 11.2.2020 hatte sich die Daten- Daten (insb. die Ausschlussgründe) vollständig beaus-
schutzbehörde mit der Frage zu beschäftigen, wie kunftet haben. Ein darüberhinausgehender Anspruch
lange ein Mobilfunkanbieter nach Beendigung eines auf Erhalt exakter Kopien aller enthaltenen Dokumente
Vertrages Stammdaten aufbewahren darf. Bei Stamm- wurde im Ausgangsverfahren verneint.
daten handelt es sich um Daten, die für die Begrün- Das BVwG argumentierte anders: Bei dem Um-
dung, die Abwicklung, Änderung oder Beendigung schlag handle es sich um einen Papierakt, weshalb die
der Rechtsbeziehungen zwischen dem Benutzer und Anwendbarkeit der DSGVO ausgeschlossen wäre. Pa-
dem Anbieter oder zur Erstellung und Herausgabe pierakten seien keine Dateisysteme. Überdies sei das
von Teilnehmerverzeichnissen erforderlich sind (zB Auskunftsrecht nach der Rsp des EuGH nicht geeignet,
Name, Anschrift, Information über Art und Inhalt des sich Zugang zu Verwaltungsdokumenten zu sichern.
Vertragsverhältnisses). Der Mobilfunkanbieter verwei- Die internen Unterlagen aus einem Ausschlussverfah-
gerte zum Teil die beantragte Löschung und brachte ren nach den internen Satzungen der Zeugen Jehovas
vor, Stammdaten würden erst nach sieben Jahren ab seien Verwaltungsdokumenten gleichzuhalten. Auf den
Vertragsbeendigung gelöscht werden. Grundlage da- Umfang der Datenkopie nach Art. 15 Abs. 3 DSGVO sei
für seien die Bestimmungen § 132 BAO sowie § 212 mangels genereller Anwendbarkeit der DSGVO nicht
UGB. Dazu führte die Datenschutzbehörde aus, dass einzugehen.
§ 97 Abs. 1 TKG 2003 eine strenge Zweckbindung für
die Verarbeitung personenbezogener Daten normiert. BVwG-Erkenntnis vom 29.04.2020, GZ W274
Gemäß § 97 Abs. 2 TKG 2003 sind Stammdaten spätes- 2228071-1/6E
tens nach Beendigung der vertraglichen Beziehungen Mit diesem Erkenntnis bestätigte das BVwG, dass
mit dem Teilnehmer vom Betreiber zu löschen. Aus- die DSB die Behandlung einer Beschwerde wegen „Ex-
nahmen sind nur soweit zulässig, als diese Daten noch zessivität“ zurecht abgelehnt hatte.
benötigt werden, um Entgelte zu verrechnen oder ein- Die DSB ist zwar verpflichtet, sich mit Beschwerden
zubringen, Beschwerden zu bearbeiten oder sonstige gemäß Art. 57 Abs. 1 lit. f DSGVO zu befassen, kann die
gesetzliche Verpflichtungen zu erfüllen. § 132 BAO und Behandlung einer Beschwerde aber ablehnen, wenn
§ 212 UGB normieren zwar eine Aufbewahrungspflicht die Beschwerdeerhebung offenkundig unbegründet
von sieben Jahren und stellen daher auch grundsätzlich oder – insbesondere im Fall von häufiger Wiederho-
eine Rechtsgrundlage für die weitere Verarbeitung der lung – exzessiv erfolgt (Art. 57 Abs. 4 DSGVO). Ableh-
Daten nach Vertragsbeendigung dar. Die siebenjährige nung bedeutet diesfalls, dass die DSB keine inhaltliche
Frist beginnt jedoch nicht ab Beendigung des Vertrages Beurteilung der Beschwerde vornimmt, sondern die
zu laufen, sondern gemäß ausdrücklichem Gesetzes- Behandlung vor einer solchen Prüfung ablehnt.
wortlaut dieser Bestimmungen im Allgemeinen bereits Im vorliegenden Fall brachte der Beschwerdeführer
ab Schluss des Geschäftsjahres, auf das sich die Unter- seit Juni 2018 mehr als 90 Beschwerden ein, die sich
lagen beziehen. im Kern um dieselbe Sache drehten, nämlich darum,
Der Bescheid ist rechtskräftig. dass der Beschwerdeführer verschiedenen Verantwort-
lichen (in Österreich und einem anderen Staat der
6 DSB Newsletter 3/ 2020
www.dsb.gv.at dsb@dsb.gv.atEU) vorwarf, seine Daten und die Daten seines Kindes
unrichtig bzw. unrechtmäßig zu verarbeiten.
Das BVwG bestätigte im genannten Erkenntnis, dass Folgende neue Mitarbeiterinnen und Mitarbeiter
die Ablehnung wegen exzessiver Verfahrensführung nahmen ihre Tätigkeit in der DSB auf:
zurecht erfolgte und hielt begründend fest:
„Der BF zeigt in seiner Beschwerde an das BVwG Frau Mag. Stephanie Mezler-Andelberg studierte
nicht auf, dass der der Datenschutzbeschwerde zu- Rechtswissenschaften an der Karl-Franzens-Univer-
grundeliegende Sachverhalt […] so individuell wäre, sität Graz und unterstützt das Team der Juristinnen
dass trotz der hohen Anzahl von Beschwerden generell und Juristen in den Bereichen nationales und inter-
als auch den mehreren Beschwerden gegen Beschwer- nationales Verfahren.
degegner im Zusammenhang mit [Einrichtung] eine Be-
handlung der Beschwerde berechtigt wäre.“ Herr Mag. Quentin Soyer war nach dem Studium
in Wien und Maastricht (NL) sowie diversen Praktika
zuletzt als Wissenschaftlicher Mitarbeiter am Ver-
waltungsgerichtshof tätig und absolvierte dort auch
seine Grundausbildung. Nun unterstützt er das Team
der Juristinnen und Juristen in den Bereichen natio-
nales und internationales Verfahren.
Die DSB hat zu folgenden Gesetzesvorhaben eine
Stellungnahme abgegeben:
– Bundesgesetz, mit dem das Gesundheitstele-
matikgesetz 2012 und das Bundesgesetz BGBl. I
Nr. 37/2018 geändert werden
– Bundesgesetz, mit dem das Hochschul-Quali-
tätssicherungsgesetz geändert wird, ein Bun-
desgesetz über Privathochschulen erlassen wird
und das Fachhochschul-Studiengesetz sowie das
Hochschulgesetz 2005 geändert werden
– Vorarlberger Gesetz über Sozialleistungen für
hilfsbedürftige Personen - Sammelgesetz
– Änderung des PStSG und Erlassung der Vertrau-
enswürdigkeitsprüfungs-Verordnung (BMVIT)
2019
– Entwurf eines Bundesgesetzes, mit dem ein In-
vestitionskontrollgesetz erlassen und das Außen-
wirtschaftsgesetz 2011 geändert wird
– Bundesgesetz, mit dem ein neues Tierärztegesetz
erlassen und das Tierärztekammergesetz geän-
dert wird
Weblink:
– Parlament aktiv: alle Stellungnahmen
Impressum:
Medieninhaber, Herausgeber und Redaktion: Österreichische Daten-
schutzbehörde (DSB), Barichgasse 40-42, 1030 Wien, E-Mail: dsb@dsb.
gv.at, Web: http://www.dsb.gv.at
Offenlegung gemäß § 25 Mediengesetz:
Der Newsletter der DSB ist ein wiederkehrendes elektronisches Medium
(§ 1 Abs. 1 Z 5a lit. c MedienG); die gesetzlich gebotenen Angaben sind
über folgenden Link abrufbar: http://www.dsb.gv.at/impressum.
DSB Newsletter 3 / 2020 7
www.dsb.gv.at dsb@dsb.gv.atSie können auch lesen
