Norm
DSG §1 Abs1Text
GZ: 2020-0.385.423 vom 29. Juni 2020 (Verfahrenszahl DSB-D213.1042)
[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]
VORSTELLUNGSBESCHEID
SPRUCH
Die Datenschutzbehörde entscheidet im Rahmen des amtswegigen Prüfverfahrens gegen Dr. A*** (Verantwortlicher) infolge der Vorstellung des Verantwortlichen gegen den Mandatsbescheid vom 30. März 2020, GZ D213.1042 (2020-0.203.677), wie folgt:
1. Der Mandatsbescheid vom 30. März 2020, mit welchem die Offenlegung von personenbezogenen Daten, darunter Gesundheits- und Patientendaten, in Form von Ausschnitten aus Patientenbriefen, Befunden oder sonstigen ärztlichen Aufzeichnungen/Protokollen auf der persönlichen Facebook-Seite des Verantwortlichen https://www.facebook.com/dra*** sowie auf dem offiziellen Facebook-Auftritt der Ärztekammer für Wien https://www.facebook.com/aekwien/ sowie sonstigen öffentlichen Facebook-Gruppen/Seiten und Social-Media-Plattformen mit sofortiger Wirkung untersagt wurde, wird – soweit es die persönliche Facebook-Seite des Verantwortlichen https://www.facebook.com/dra*** betrifft – bestätigt.
2. Die aufschiebende Wirkung einer allenfalls rechtzeitig eingebrachten und zulässigen Beschwerde gemäß Art. 130 Abs. 1 Z 1 B-VG wird ausgeschlossen.
Rechtsgrundlagen: Art. 8 und 11 der Charta der Grundrechte der Europäischen Union (EU-GRC), ABl. Nr. C 326 vom 26.10.2012, S. 39; Art. 4 Z 1, 2, 7 und 15, Art. 5, Art. 6, Art. 9, Art. 57 Abs. 1 lit. a und lit. h sowie Art. 58 Abs. 2 lit. d und lit. f der Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung (DSGVO), ABl. Nr. L 119 vom 4.5.2016, S. 1; §§ 1 Abs. 1, 22 Abs. 4 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF; §§ 39, 57 Abs. 1 und 3 des Allgemeinen Verwaltungsverfahrensgesetzes 1991 (AVG), BGBl. Nr. 51/1991 idgF; § 13 Abs. 2 des Verwaltungsgerichtsverfahrensgesetzes – VwGVG, BGBl. I Nr. 33/2013 idgF.
BEGRÜNDUNG
A. Vorbringen der Parteien und Verfahrensgang
1. Die Datenschutzbehörde leitete aufgrund einer Eingabe der Ärztekammer für Wien vom 17. Februar 2020 sowie einer ergänzenden Eingabe vom 9. März 2020 unter der GZ D213.1042 ein Verfahren nach den Art. 58, 57, 55 iVm Art. 1 DSGVO („amtswegiges Prüfverfahren“) ein. Der Datenschutzbehörde wurde zur Kenntnis gebracht, dass Dr. A*** als Verantwortlicher auf seiner persönlichen Facebook-Seite https://www.facebook.com/dra*** sowie auf dem offiziellen Facebook-Auftritt der Ärztekammer für Wien https://www.facebook.com/aekwien/ personenbezogene Gesundheits- und Patientendaten in Form von Ausschnitten aus Patientenbriefen, Befunden oder sonstigen ärztlichen Aufzeichnungen/Protokollen „poste“ und somit offenlege.
Zu den auf Facebook veröffentlichten Daten würden u.a. Patientennamen, Befunddaten, Medikationsdaten, Aufnahme- und Entlassungsdaten von Krankenhäusern sowie Sozialversicherungsnummern zählen. Zur Veranschaulichung der Datenschutzverletzungen durch den Verantwortlichen wurde der Sachverhaltsdarstellung der Ärztekammer für Wien als Anlagenkonvolut eine Auswahl von Screenshots diverser Facebook-Postings angeschlossen.
Unterlassungsaufforderungen der Ärztekammer für Wien sowie ein Disziplinarverfahren gegen den Verantwortlichen hätten den Verantwortlichen bisher nicht davon abhalten können, Gesundheitsdaten seiner Patientinnen und Patienten weiterhin auf öffentlich zugänglichen Social-Media-Plattformen zu veröffentlichen. Der Webadministrator der Ärztekammer für Wien sei angewiesen worden, unverzüglich sämtliche Facebook-Postings vom Verantwortlichen auf dem Facebook-Auftritt der Ärztekammer für Wien, welche personenbezogene Daten enthalten, zu löschen. Es finde diesbezüglich auch ein ständiges Monitoring des Facebook-Auftritts der Ärztekammer für Wien statt. Insbesondere auf der persönlichen Facebook-Seite des Verantwortlichen https://www.facebook.com/dra*** würden sich jedoch nach wie vor zahlreiche Facebook-Postings vom Verantwortlichen finden, welche personenbezogene Gesundheits- und Patientendaten enthielten.
2. Mit Mandatsbescheid vom 30. März 2020, GZ D213.1042 (2020-0.203.677), wurde dem Verantwortlichen die Offenlegung von personenbezogenen Gesundheits- und Patientendaten in Form von Ausschnitten aus Patientenbriefen, Befunden oder sonstigen ärztlichen Aufzeichnungen/Protokollen auf der persönlichen Facebook-Seite des Verantwortlichen https://www.facebook.com/dra*** sowie auf dem offiziellen Facebook-Auftritt der Ärztekammer für Wien https://www.facebook.com/aekwien/ sowie sonstigen öffentlichen Facebook-Gruppen/Seiten und Social-Media-Plattformen wird mit sofortiger Wirkung untersagt.
3. Der Verantwortliche erhob mit Schreiben vom 14. Mai 2020 – fristgerecht – gemäß § 57 Abs. 2 AVG Vorstellung gegen den Mandatsbescheid.
4. Die Datenschutzbehörde leitete daraufhin das Ermittlungsverfahren ein. Mit Schreiben vom 25. Mai 2020 forderte die Datenschutzbehörde den Verantwortliche zur Stellungnahme hinsichtlich der prüfgegenständlichen Datenverarbeitung auf und teilte mit, dass der Mandatsbescheid – trotz fristgerechter Einbringung der Vorstellung – Rechtswirksamkeit entfaltet und vollstreckbar ist.
Der Verantwortliche wurde weiters aufgefordert, binnen einer Frist von zwei Wochen nachzuweisen, dass er bereits der behördlichen Aufforderung gemäß Mandatsbescheid nachgekommen ist und die Offenlegung der personenbezogenen Gesundheits- und Patientendaten auf Social-Media-Plattformen beendet hat. Dem Verantwortlichen wurde auch mitgeteilt, dass, sofern diese Daten nach wie vor öffentlich zugänglich sind, die Datenschutzbehörde die Vollstreckungsbehörde gemäß Verwaltungsvollstreckungsgesetz 1991 – VVG um Vollstreckung des Mandatsbescheides ersuchen wird sowie parallel die Einleitung eines Verwaltungsstrafverfahrens gegen den Verantwortlichen prüfen wird.
5. Mit Eingabe vom 11. Juni 2020 übermittelte der Verantwortliche seine Stellungnahme und brachte wie folgt vor (Wiedergabe wie im Original, Formatierung nicht 1:1 Wiedergegeben):
S T E L L U N G N A H M E
Der Verantwortliche antwortet im gegenständigen Verfahren wie folgt:
a) Auf welche konkrete Rechtsgrundlage wird die Veröffentlichung von personenbezogenen Gesundheits- und Patientendaten gestützt?
Daten wurden nur in Art und Umfang veröffentlicht, wie zur Nachverfolgung von Vorgängen im Dienste der Patientensicherheit für berechtigte Personen (wie z.B. im ELGA-Gesetz festgelegt) erforderlich sind. Siehe dazu: Gesamte Rechtsvorschrift für Ärztegesetz 1998, Fassung vom 18.01.2020, Bundesgesetz über die Ausübung des ärztlichen Berufes und die Standesvertretung der Ärzte (Ärztegesetz 1998 – ÄrzteG 1998) StF: BGBl. I Nr. 169/1998 (NR: GP XX RV 1386 AB 1400 S. 142. BR: AB 5785 S. 645.) (CELEX-Nr.: 378L0686, 378L0687, 381L1057, 393L0016) § 54. Abs. 2 Zif. 4 a) und b): Hintergrund: Patientensicherheit ist für jeden Behandler/Arzt der wesentlichste Fokus seines Handelns, so auch hier beim Verantwortlichen. Zum Schutz dieser höherwertigen Interessen der öffentlichen Gesundheitspflege und der Rechtspflege ist es manchmal auch notwendig Kritik zu üben und Prozess-Verantwortliche bereichsübergreifend über Mißstände zu informieren. Dafür stehen heute verschiedenste Plattformen zur Verfügung wie z.B. „CIRS-Medical“ u.v.m, um die notwendige zeitgemäße Transparenz- und Kommunikationskultur im medizinischen Bereich („Just Culture“) zu fördern. Ebenso ist dies auch über sog. „soziale Medien“ möglich, selbstverständlich unter Schutz der Privatsphäre der betroffenen Patienten.
Menschlich zwar verständlich, sachlich aber unprofessionell sind anonyme persönliche Angriffe der Kritisierten gegen den Aufdecker von Mißständen. Vielmehr sollten diese transparent dargestellt und diskutiert werden um so die notwendigen Systemverbesserungen einzuleiten. Als Beispiel sei hier folgender Sachverhalt geschildert: Am 8.11.2019 erhielten wir elektronisch einen vidierten ELGA-Pflege-Entlassungsbrief einer Patientin mit folgenden Details: „Wir berichten über den stationären Aufenthalt von Fr. XX, geboren am XXXX.1950, welche in der Lunge Station L 3 von 19.10.2019 bis 12.11.2019 betreut wurde. Ernährung: Selbstständig, Letzte Mahlzeit: 12.11.2019 um 8 Uhr“ (Anm: 4 Tage nach ihrem Tod!) „Angehörige aus Formular: Mutter: XX A-**** Wien XX-Gasse XX Tel. XXXXXXX“ (Anm: die Mutter war bereits Anfang 2018 in einem Haus desselben Krankenanstaltenverbundes verstorben!)
Am selben Tag (8.11.2019) kurze Zeit später erhielten wir ebenso elektronisch eine Information des FSW „Pat. ist am 08.11.2019 verstorben“ Hier wurde - offiziell „vidiert“ – ganz offensichtlich falsche Information über „qualitätsgesicherte“ elektronische Wege versandt. Leider konnten wir schon mehrmals ähnliche Prozesse feststellen … Der Sachverhalt wurde von uns an die Patientenanwaltschaft gemeldet. Auch wenn es hier eine bereits Tote betrifft: die Qualität der Inhalte diverser medizinischer Kommunikation, üblicherweise ja für noch lebende Patienten, ist weiterhin oft ähnlich und gefährdet so massiv die Patientensicherheit!
b) Sofern die Verarbeitung der personenbezogenen Daten auf eine Einwilligung iSv Art. 4 Z 11 DSGVO gestützt wird, wäre näher auszuführen:
Auf welche Weise und unter welchen Umständen wird eine solche Einwilligung eingeholt? Der Datenschutzbehörde ist gegebenenfalls ein Auszug einer Einwilligungserklärung vorzulegen. Eine Einwilligung für die Verarbeitung von Gesundheitsdaten hat jedenfalls ausdrücklich zu erfolgen (vgl. Art. 9 Abs. 2 lit. a DSGVO). Wie wird sichergestellt, dass das Recht einer betroffenen Person, ihre Einwilligung jederzeit zu widerrufen, ausgeübt werden kann? Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein (vgl. Art. 7 Abs. 3 DSGVO). c) Wie werden die datenschutzrechtlichen Informationspflichten gemäß Art. 13 bzw. 14 DSGVO umgesetzt? d) Wie wird sichergestellt, dass eine betroffene Person von ihren sonstigen datenschutzrechtlichen Betroffenenrechten (vgl. Art. 12 ff DSGVO) Gebrauch machen kann?
Patienten werden in der im ELGA- und Ärzte-Gesetz festgelegten Weise per Aushang in der Ordination über ihre Rechte informiert und der Verantwortlich steht jederzeit für sie als Ansprechpartner zur Verfügung. Siehe hiezu insbesondere auch § 51. ÄG
e) Sie werden aufgefordert, ein Verzeichnis von Verarbeitungstätigkeiten iSv Art. 30 DSGVO vorzulegen. liegt bei
f) Wurde im Hinblick auf die verfahrensgegenständliche Datenverarbeitung eine Datenschutz-Folgenabschätzung iSv Art. 35 DSGVO durchgeführt und falls nein, weshalb wurde eine solche unterlassen? Falls ja, ist die entsprechende Datenschutz-Folgenabschätzung vorzulegen.
Das insbesondere in Abs. 1 Art. 35 DSGVO erwähnte Risiko entspricht dem in diversen Gesetzen (ÄG, ELGA-G., etc.) geregelten Risiko der Dokumentation medizinischer Standardprozesse. Diese erfolgt, wie unter e) ersichtlich, mit Methoden diverser zertifizierter Anbieter. Es besteht insbesondere auch keines der in Art. 35 Abs. 3 erwähnten Risiken.
B. Verfahrensgegenstand
Verfahrensgegenstand ist die Frage, ob der Mandatsbescheid infolge der rechtzeitigen und zulässigen Vorstellung zu bestätigen, aufzuheben oder abzuändern ist.
C. Sachverhaltsfeststellungen
Dr. A*** ist Allgemeinarzt in **** Wien.
Dr. A*** betreibt unter https://www.facebook.com/dra*** eine persönliche Facebook-Seite. Die veröffentlichten Inhalte auf dieser Facebook-Seite können von allen Facebook-Nutzern eingesehen werden.
Beweiswürdigung: Diese Feststellungen ergeben sich aus der verfahrenseinleitenden Anzeige der Ärztekammer Wien sowie der Stellungnahme von Dr. A*** vom 11. Juni 2020 sowie einer amtswegigen Recherche der Datenschutzbehörde auf der Facebook-Seite https://www.facebook.com/dra*** (abgerufen am 23.06.2020).
Dr. A*** veröffentlichte auf seiner persönlichen Facebook-Seite Ausschnitte aus Patientenbriefen, Befunden und sonstigen ärztlichen Aufzeichnungen/Protokollen. Zu den auf Facebook veröffentlichten Daten zählen im Detail u.a. Patientennamen, Befunddaten, medizinische Diagnosen, Medikationsdaten, Aufnahme- und Entlassungsdaten von Krankenhäusern, Sozialversicherungsnummern von Patienten sowie die Namen der behandelnden Ärzte.
Beweiswürdigung: Die Feststellungen ergeben sich aus den glaubwürdigen Eingaben der Ärztekammer für Wien vom 17. Februar 2020 und 9. März 2020 sowie aus den mit der Eingabe übermittelten Screenshots der verfahrensgegenständlichen Facebook-Postings sowie außerdem aus einer amtswegigen Recherche der Datenschutzbehörde auf der öffentlich einsehbaren Facebook- https://www.facebook.com/dra*** (abgerufen am 30.03.2020).
Ein Teil der von der Ärztekammer Wien übermittelten Facebook-Postings ist im (Entscheidungs-) Zeitpunkt nicht mehr auf der Facebook-Seite https://www.facebook.com/dra*** öffentlich abrufbar.
Beweiswürdigung: Die Feststellungen ergeben sich aus einem Vergleich der amtswegigen Recherchen der Datenschutzbehörde auf der öffentlich einsehbaren Facebook-Seite https://www.facebook.com/dra*** vom 30.03.2020 und vom 23.06.2020. Am 30.03.2020 waren die von der Ärztekammer angezeigten Inhalte auch für die Datenschutzbehörde öffentlich abrufbar. Am 23.06.2020 sind die Inhalte nun Großteils nicht mehr öffentlich abrufbar. Der Aufforderung durch die Datenschutzbehörde binnen einer Frist von zwei Wochen nachzuweisen, dass bereits der behördlichen Aufforderung gemäß Mandatsbescheid nachgekommen wurde und die Offenlegung der personenbezogenen Gesundheits- und Patientendaten auf Social-Media-Plattformen beendet wurde, ist Dr. A*** im Übrigen nicht nachgekommen.
Zum gegenständlichen (Entscheidungs-) Zeitpunkt sind jedoch immer noch folgende Ausschnitte aus Patientenbriefen, Befunden und sonstigen ärztlichen Aufzeichnungen/Protokollen zu finden bzw. sind zum Teil folgende neue Inhalte hinzugekommen:
[Anmerkung Bearbeiter: Bilddateien (Facebook Screenshots) sind im RIS nicht darstellbar; Es handelte sich um Fotos/Screenshots von ärztlichen Aufzeichnungen, aus denen sich Daten zu Medikationen, medizinischen Diagnosen, Arztbesuchen, Arbeitsunfähigkeitsmeldungen und dem behandelnden Arzt entnehmen ließen.]
Beweiswürdigung: Die Feststellungen sowie die Screenshots ergeben sich aus einer weiteren amtswegigen Recherche der Datenschutzbehörde auf der öffentlich einsehbaren Facebook-Seite https://www.facebook.com/dra*** (abgerufen am 23.06.2020).
Auf der Facebook-Seite der Ärztekammer für Wien sind keine Einträge mit Bildern des Verantwortlichen ersichtlich.
Beweiswürdigung: Die Feststellungen beruhen auf den glaubwürdigen Aussagen der Ärztekammer für Wien, wonach diese ihre Facebook-Seite regelmäßig auf Einträge des Verantwortlichen überprüft und solche Beiträge sofort von ihrer Seite löscht, weiters auf einer amtswegigen Recherche der Datenschutzbehörde auf der Facebook-Seite der Ärztekammer für Wien (abgerufen am 29.06.2020), wobei die Datenschutzbehörde bei ihrer amtswegigen Recherche keine Einträge des Verantwortlichen vorfand.
D. In rechtlicher Hinsicht folgt daraus:
Zu Spruchpunkt 1:
1. Zum amtswegigen Prüfverfahren und Mandatsbescheid
Die Datenschutzbehörde leitete auf Grundlage von Art. 58 Abs. 1 lit. b DSGVO ein amtswegiges Prüfverfahren („Datenschutzüberprüfung“) gegen Dr. A*** ein.
Mit dem Mandatsbescheid vom 30. März 2020, zur GZ D213.1042 (2020-0.203.677), wurde Dr. A*** die Offenlegung von personenbezogenen Gesundheits- und Patientendaten in Form von Ausschnitten aus Patientenbriefen, Befunden oder sonstigen ärztlichen Aufzeichnungen/Protokollen auf der persönlichen Facebook-Seite https://www.facebook.com/dra*** sowie auf dem offiziellen Facebook-Auftritt der Ärztekammer für Wien https://www.facebook.com/aekwien/ sowie sonstigen öffentlichen Facebook-Gruppen/Seiten und Social-Media-Plattformen wird mit sofortiger Wirkung untersagt.
Dieser Mandatsbescheid wurde offenbar – wie oben festgestellt - zum Anlass genommen einen Teil der veröffentlichten Facebook-Postings zu entfernen. Jedoch hat sich im Ermittlungsverfahren – wie ebenfalls festgestellt – herausgestellt, dass auf der Facebook-Seite nach wie vor Fotos/Screenshots von ärztlichen Aufzeichnungen öffentlich abrufbar sind.
Prozessgegenstand des gegenständlichen Vorstellungsverfahrens ist der Mandatsbescheid der Datenschutzbehörde, wobei die Datenschutzbehörde das Mandat bestätigen, aufheben oder abändern kann (Hengstschläger/Leeb, Allgemeines Verwaltungsverfahrensgesetz, § 57, Rz 50). Während die Abänderung in jede Richtung, also zugunsten, aber auch zu Lasten der Partei erfolgen kann, ist die Behörde in einem gemäß § 57 Abs. 3 AVG einzuleitenden Ermittlungsverfahren nicht mehr an den Mandatsbescheid gebunden, sondern ist im Sinne des § 39 AVG gehalten, von Amts wegen vorzugehen. Dies beinhaltet auch, dass die Behörde neue Verfahrensergebnisse in die Beurteilung einbeziehen kann (vgl. das Erkenntnis des VwGH vom 21.01.1997, Zl. 95/11/0396, sowie das Erkenntnis des VwGH vom 22.10.2003, Zl. 2002/09/0048).
2. Zur datenschutzrechtlichen Rollenverteilung
Die Festlegung der datenschutzrechtlichen Rollenverteilung ist von entscheidender Bedeutung, da bestimmt wird, wer für die Einhaltung der jeweiligen Datenschutzbestimmungen verantwortlich ist.
Nach Art. 4 Z 7 DSGVO ist jene natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle Verantwortlicher für eine Verarbeitung, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Dabei ist das wesentliche Kriterium die Entscheidungskomponente. Die Rolle des Verantwortlichen ergibt sich somit in erster Linie aus dem Faktum, dass eine bestimmte Stelle entschieden hat, personenbezogene Daten für ihre eigenen Zwecke zu verarbeiten. Der „Zweck“ beschreibt dabei ein erwartetes Ergebnis, während die „Mittel“ die Art und Weise festlegen, wie das erwartete Ergebnis erreicht werden soll (vgl. Art. 29-Datenschutzgruppe, Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“, WP 169, 00264/10/DE, S 15 ff, noch in Bezug auf Art. 2 lit. d der Datenschutzrichtlinie 95/46/EG).
Dr. A*** betreibt unter https://www.facebook.com/dra*** - wie festgestellt - eine persönliche Facebook-Seite, auf welcher er unter anderem auch die prüfgegenständlichen Inhalte veröffentlicht hat. In seiner Stellungnahme gibt Dr. A*** selbst an, dass er die Daten zum Zwecke der Patientensicherheit sowie um Kritik an Missständen zu üben veröffentlicht, und bezeichnet sich selbst auch als „Verantwortlicher“. Dr. A*** ist daher zweifelsfrei als Verantwortlicher gemäß Art. 4 Z 7 DSGVO für diese Facebook-Seite zu qualifizieren.
3. Verarbeitung von personenbezogenen Daten, einschließlich Gesundheitsdaten
Personenbezogene Daten im Sinne des Art. 4 Z 1 DSGVO sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen […] oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen […] oder sozialen Identität dieser natürlichen Person sind.
Gemäß Art. 4 Z 15 DSGVO sind „Gesundheitsdaten“ personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.
Gemäß Art. 4 Z 2 DSGVO versteht man unter „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Im Urteil vom 6. November 2003, C-101/01, hat der EuGH ausgesprochen, dass eine Handlung, die darin besteht, auf einer Internetseite auf verschiedene Personen hinzuweisen und diese entweder durch ihren Namen oder auf andere Weise, etwa durch Angabe ihrer Telefonnummer oder durch Informationen über ihr Arbeitsverhältnis oder ihre Freizeitbeschäftigungen, erkennbar zu machen, eine „ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten“ im Sinne von Art. 3 Abs. 1 der Richtlinie 95/46 [nunmehr Art. 2 Abs. 1 DSGVO] darstellt.
Bei den prüfgegenständlichen Inhalten, die auf der Facebook-Seite des Verantwortlichen veröffentlicht werden, handelt es sich Fotos/Screenshots von ärztlichen Aufzeichnungen, aus denen sich Daten zu Medikationen, medizinischen Diagnosen, Arztbesuchen, Arbeitsunfähigkeitsmeldungen, behandelndem Arzt etc. entnehmen lassen. Auch wenn im Zusammenhang mit diesen Daten nicht unmittelbar der Name von Patienten genannt wird bzw. ersichtlich ist, ändert dies nichts an der Qualifikation als personenbezogene Daten:
Der EuGH hat in Bezug auf Art. 2 lit. a der Richtlinie 95/46/EG bereits festgehalten, dass dem Begriff „personenbezogene Daten“ ein weites Verständnis zugrunde liegt. Demnach ist er Begriff nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt“ (vgl. das Urteil des EuGH vom 20. Dezember 2017, Rs Nowak, C-434/16).
Weiters hat der EuGH im Urteil vom 19. Oktober 2016, C-582/14, in Rz 40 ff ausgesprochen, dass
„aus dem Wortlaut von Art. 2 Buchst. a der Richtlinie 95/46 [nunmehr: Art. 4 Z 1 DSGVO] hervor[geht], dass nicht nur eine direkt identifizierbare, sondern auch eine indirekt identifizierbare Person als bestimmbar angesehen wird.
Die Verwendung des Begriffs „indirekt“ durch den Unionsgesetzgeber deutet darauf hin, dass es für die Einstufung einer Information als personenbezogenes Datum nicht erforderlich ist, dass die Information für sich genommen die Identifizierung der betreffenden Person ermöglicht.
Zudem heißt es im 26. Erwägungsgrund der Richtlinie 95/46 [nunmehr: ErwGr. 26 DSGVO], dass bei der Entscheidung, ob eine Person bestimmbar ist, alle Mittel berücksichtigt werden sollten, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen.
Da dieser Erwägungsgrund auf die Mittel Bezug nimmt, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem „Dritten“ eingesetzt werden könnten, ist sein Wortlaut ein Indiz dafür, dass es für die Einstufung eines Datums als „personenbezogenes Datum“ im Sinne von Art. 2 Buchst. a der Richtlinie 95/46 [nunmehr: Art. 4 Z 1 DSGVO] nicht erforderlich ist, dass sich alle zur Identifizierung der betreffenden Person erforderlichen Informationen in den Händen einer einzigen Person befinden.“
Diese Überlegungen können auf die nunmehrige Rechtslage nach der DSGVO umgelegt werden, da die Begriffsdefinition von „personenbezogene Daten“ gemäß Art. 2 lit. a der Richtlinie 95/46/EG sinngemäß in Art. 4 Z1 DSGVO übernommen wurde.
Informationen „über“ eine bestimmte Person liegen u.a. dann vor, wenn sich Daten auf die Situation einer Person beziehen (vgl. die Stellungnahme der Art.-29-Datenschutzgruppe 4/2007 zum Begriff „personenbezogene Daten“, WP 136, 01248/07/DE, S. 10).
Davon ausgehend ist festzuhalten, dass es sich bei den veröffentlichen Inhalten um personenbezogene Daten iSd. Art. 4 Z 1 DSGVO handelt. Es ist – unter Zugrundelegung der o.a. Rechtsprechung des EuGH – nicht auszuschließen, dass Dritte mit vertretbarem Aufwand einen Personenbezug herstellen können, zumal die Daten durch die Veröffentlichung einem unbeschränkten Adressatenkreis bekannt werden.
Abgesehen davon werden personenbezogene Daten schon deshalb verarbeitet, weil teilweise der Name des behandelnden/verschreibenden Arztes ersichtlich ist und somit dessen Daten offengelegt werden.
Weiters gehen aus den veröffentlichten Fotos/Screenshots Informationen über den Gesundheitszustand von natürlichen Personen hervor, weshalb auch davon auszugehen ist, dass es sich um „Gesundheitsdaten“ iSd. Art. 4 Z 15 DSGVO handelt (vgl. dazu nochmals das Urteil vom 6. November 2003, wonach der Begriff „Daten über die Gesundheit“ iSd Art. 8 Abs. 1 der Richtlinie 95/46/EG – nunmehr Art. 9 Abs. 1 DSGVO – weit auszulegen ist, sodass er sich auf alle Informationen bezieht, die die Gesundheit einer Person unter allen Aspekten - körperlichen wie psychischen – betreffen).
Nach alledem steht fest, dass der Verantwortliche personenbezogene Daten, darunter auch Gesundheitsdaten, dadurch verarbeitet, indem er Ausschnitte aus medizinischen Dokumenten auf einer Website veröffentlicht. Dies selbst dann, wenn der Name der betroffenen Person nicht (immer) ersichtlich ist.
4. Rechtsgrundlage für die Verarbeitung besonderer Kategorien personenbezogener Daten
4.1. Zur Verarbeitung von Gesundheitsdaten:
Grundsätzlich gilt gemäß Art. 9 Abs. 1 DSGVO die Verarbeitung von Gesundheitsdaten als Verarbeitung besonderer Kategorien personenbezogener Daten („sensible Daten“). Die Verarbeitung dieser Daten ist untersagt, sofern die Verarbeitung nicht auf einen in Abs. 2 taxativ aufgezählten Eingriffstatbestand gestützt werden kann.
Zu prüfen ist daher, ob die prüfgegenständliche Datenverarbeitung auf einen der Ausnahmetatbestände gestützt werden kann.
Der Verantwortliche gibt hierzu zusammengefasst an, dass Daten nur in Art und Umfang veröffentlicht würden, wie zur Nachverfolgung von Vorgängen im Dienste der Patientensicherheit für berechtigte Personen erforderlich seien. Patientensicherheit sei für jeden Behandler/Arzt der wesentlichste Fokus seines Handelns. Zum Schutz dieser höherwertigen Interessen der öffentlichen Gesundheitspflege und der Rechtspflege sei es manchmal auch notwendig, Kritik zu üben und Prozess-Verantwortliche bereichsübergreifend über Missstände zu informieren. Dafür stünden heute verschiedenste Plattformen zur Verfügung wie z.B. „CIRS-Medical“ u.v.m., um die notwendige zeitgemäße Transparenz- und Kommunikationskultur im medizinischen Bereich („Just Culture“) zu fördern. Ebenso sei dies auch über sog. „soziale Medien“ möglich, selbstverständlich unter Schutz der Privatsphäre der betroffenen Patienten.
Die Datenschutzbehörde bestreitet nicht, dass die Patientensicherheit bzw. das Patientenwohl den wesentlichsten Fokus für Ärzte darstellt.
Gleichzeitig kann es legitim sein, auf Missstände in der Patientenversorgung hinzuweisen. Jedoch ist dabei – wie der Verantwortliche selbst ausführt – die Privatsphäre der betroffenen Patienten zu schützen.
Durch die Veröffentlichung von Fotos/Screenshots auf Facebook, die – wie bereits ausgeführt – personenbezogene Gesundheitsdaten enthalten, wird aber in eben jene Privatsphäre eingegriffen, die der Verantwortliche angibt schützen zu wollen. Das Vorbringen des Verantwortlichen ist damit schon in sich widersprüchlich.
Der Verantwortliche übersieht in diesem Zusammenhang auch, dass eine Interessensabwägung gemäß Art. 6 Abs. 1 lit. f DSGVO bei der Verarbeitung von Gesundheitsdaten keine geeignete Rechtsgrundlage darstellt. Andere geeignete Rechtsgrundlagen iSd. Art. 9 Abs. 2 DSGVO sind für die Datenschutzbehörde nicht ersichtlich und wurden vom Verantwortlichen im Rahmen seiner Rechenschaftspflicht (vgl. Art. 5 Abs. 2 DSGVO) auch nicht vorgebracht. Die vorgelegte datenschutzrechtliche Dokumentation (Allgemeine Informationen, Datenverarbeitungsverzeichnis, Art. 32 DSGVO Maßnahmen, Auftragsverarbeiter) sowie die übrige Stellungnahme des Verantwortlichen beschränken sich auf allgemeine Ausführungen zu den Datenverarbeitungen des Verantwortlichen im Rahmen seiner Tätigkeit als Arzt.
Zu prüfen ist noch, ob die Veröffentlichungen vom Recht auf freie Meinungsäußerung nach Art. 11 EU-GRC gedeckt sind.
Das Recht auf freie Meinungsäußerung ist im Kollisionsfall gegen das Recht auf den Schutz personenbezogener Daten nach Art. 8 EU-GRC abzuwägen (vgl. dazu den Bescheid vom 18. Dezember 2019, GZ DSB-D123.768/0004-DSB/2019 mwN).
Im vorliegenden Fall erachtet sich die Datenschutzbehörde zur Behandlung als zuständig, weil die Ausnahme nach § 9 Abs. 1 DSG keine Anwendung findet (vgl. iHa auf Facebook-Postings nochmals den Bescheid vom 18. Dezember 2019 a.a.O.).
Soweit es um Gesundheitsdaten geht, misst der OGH diesen einen besonderen Stellwert bei und erachtet sie als dem „höchstpersönlichen Lebensbereich“ zugehörig, was eine Veröffentlichung regelmäßig ausschließt (RS0124514), weil dies einer Bloßstellung gleichkommt (vgl. dazu den Beschluss vom 16. Dezember 2008, GZ 11 Os 144/07x mwN).
Dies deshalb, „weil sensible Informationen vor einer nicht eingrenzbaren und beherrschbaren Öffentlichkeit ausgebreitet werden. In solchen Fällen wirkt also bereits die mediale Indiskretion als solche bloßstellend und braucht eine weitere nachteilige Auswirkung nicht besonders nachgewiesen werden. Im darüberhinausgehenden Bereich sind bei Prüfung der Bloßstellungseignung nach Art eines beweglichen Systems auch Begleitumstände und Auswirkungen einer Veröffentlichung mit in Betracht zu ziehen, sodass ein geringerer Grad an berührter Privatheit durch eine besonders beeinträchtigende Form der Darstellung aufgewogen werden kann. Ob diesfalls eine Missachtung des Privatlebens vorliegt, richtet sich somit einerseits nach der Privatheit des betroffenen Sachverhaltes und andererseits nach der Intensität des Eingriffs in formaler wie inhaltlicher Hinsicht (vgl. dazu nochmals den Beschluss vom 16. Dezember 2008).
Im vorliegenden Fall steht daher das Interesse des Verantwortlichen an der Bekanntmachung von Missständen dem Interesse der davon betroffenen Patienten, dass ihre Daten in diesem Zusammenhang nicht veröffentlicht werden, gegenüber.
Aufgrund der hohen Schutzbedürftigkeit von Daten über die Gesundheit, die von der Rechtsprechung anerkannt ist, kann nicht davon ausgegangen werden, dass die Interessen des Verantwortlichen im vorliegenden Fall überwiegen, sodass Art. 11 EU-GRC nicht als Rechtsgrundlage für die gegenständlichen Veröffentlichungen herangezogen werden kann.
4.2. Zur Verarbeitung von sonstigen Daten:
Wie festgestellt, werden – neben Daten über die Gesundheit – auch personenbezogene Daten iSd Art. 4 Z 1 DSGVO, wie bspw. die Namen von behandelnden bzw. eine Medikation verschreibenden Ärzten, veröffentlicht.
Hierbei handelt es sich zwar um personenbezogene Daten, nicht jedoch um Gesundheitsdaten nach Art. 4 Z 15 DSGVO.
Die Frage, ob diese Daten rechtmäßig veröffentlicht wurden, richtet sich daher nach Art. 6 Abs. 1 DSGVO.
Wie bereits ausgeführt, rechtfertigt der Verantwortliche die Veröffentlichungen damit, dass es ihm um das Aufzeigen von Missständen in Bezug auf das Patientenwohl bzw. die Patientensicherheit gehe.
Als Rechtsgrundlage für die Veröffentlichungen kommt demnach nur Art. 6 Abs. 1 lit. f DSGVO – berechtigte Interessen des Verantwortlichen – in Betracht.
Nach der Rechtsprechung des EuGH zu Art. 7 lit. f der Richtlinie 95/46/EG (nunmehr Art. 6 Abs. 1 lit. f DSGVO) ist eine Verarbeitung unter drei kumulativen Voraussetzungen zulässig: 1. Wahrnehmung eines berechtigten Interesses durch den für die Verarbeitung Verantwortlichen oder den bzw. die Dritten, denen die Daten übermittelt werden, 2. Erforderlichkeit der Verarbeitung der personenbezogenen Daten zur Verwirklichung des berechtigten Interesses und 3. kein Überwiegen der Grundrechte und Grundfreiheiten der vom Datenschutz betroffenen Person über das wahrgenommene berechtigte Interesse (vgl. dazu zuletzt das Urteil vom 11. Dezember 2019, C-708/18).
Im vorliegenden Fall scheitert die Zulässigkeit der Verarbeitung längstens an der dritten Vorausaussetzung: Es ist nämlich nicht ersichtlich, inwieweit die Rechte der von der Veröffentlichung betroffenen Personen wenig wiegen sollten, als das Recht des Verantwortlichen an der Verarbeitung. Insbesondere ist nicht nachvollziehbar, inwieweit die Nennung konkreter Personen dem vom Verantwortlichen verfolgten Ziel dienlich sein sollen, zumal diesen Personen keine konkreten Vorwürfe angelastet werden und sie auch sonst keine Rolle im öffentlichen Leben spielen (vgl. zur Rolle im öffentlichen Leben nochmals den Bescheid vom 18. Dezember 2019 a.a.O. mwN zur Rechtsprechung des OGH).
Aus diesem Grund scheitert auch eine Zulässigkeit der Veröffentlichung auf Basis von Art. 11 EU-GRC.
5. Ergebnis
Die Datenschutzbehörde kommt daher zum Ergebnis, dass die Veröffentlichung der prüfgegenständlichen Inhalte ohne geeignete Rechtsgrundlage – somit rechtswidrig – erfolgt ist. Da sich zum Entscheidungszeitpunkt nach wie vor Fotos/Screenshots von Gesundheitsdaten auf der öffentlichen Facebook-Seite des Verantwortlichen finden, wurde auch dem Mandatsbescheid vom 30. März 2020, zur GZ D213.1042 (2020-0.203.677), im Ergebnis nicht entsprochen.
Insofern war der Mandatsbescheid spruchgemäß zu bestätigen.
Zu Spruchpunkt 2:
Gemäß § 13 Abs. 2 VwGVG kann die aufschiebende Wirkung einer allenfalls rechtzeitig eingebrachten und zulässigen Beschwerde gemäß Art. 130 Abs. 1 Z 1 B-VG ausgeschlossen werden, wenn nach Abwägung der berührten öffentlichen Interessen und Interessen anderer Parteien der vorzeitige Vollzug des angefochtenen Bescheides oder die Ausübung der durch den angefochtenen Bescheid eingeräumten Berechtigung wegen Gefahr im Verzug dringend geboten ist.
Die vorliegende Offenlegung auf der Webseite des Verantwortlichen zum Zweck des „Aufzeigens von Missständen“ erfolgt ohne tragende Rechtsgrundlage und greift schwerwiegend in das Grundrecht der Betroffenen auf Geheimhaltung ein.
Die Voraussetzungen des § 13 Abs. 2 VwGVG sind damit unzweifelhaft gegeben und war die aufschiebende Wirkung einer allfälligen Beschwerde der Verantwortlichen – wie in Spruchpunkt 2 ausgesprochen – auszuschließen.
Es war spruchgemäß zu entscheiden.
Schlagworte
Anweisung an Verantwortlichen, Vorstellungsbescheid, Mandatsbescheid, Geheimhaltung, Rechtmäßigkeit der Verarbeitung, Identifizierbarkeit, Arzt, Posting, Facebook, Soziale Medien, besondere Kategorien, Gesundheitsdaten, Fotos und Screenshots von ärztlichen Aufzeichnungen, Kritik an Missständen, Interessenabwägung, Meinungsfreiheit, Informationsfreiheit, Ausschluss der aufschiebenden WirkungEuropean Case Law Identifier (ECLI)
ECLI:AT:DSB:2020:2020.0.385.423Zuletzt aktualisiert am
30.01.2023
