Datenschutz, Entscheidungen, News

Verletzung der Auskunftspflicht

DSGVO Die verfahrensgegenständlichen Zugriffe unterliegen der Auskunftspflicht nach Art 15 DSGVO. Die DSB stellte eine Rechtsverletzung der Beschwerdeführerin aufgrund unvollständig erteilter Auskunft fest.

Mit rechtskräftigem Bescheid vom 6.6.2018 (DSB‑D122.829/0003‑DSB/2018) hat die Datenschutzbehörde (DSB) einer Beschwerde wegen Rechtsverletzung infolge unvollständig erteilter Auskunft stattgegeben.

Bei der Beschwerdeführerin handelt es sich um eine Angestellte eines Krankenhauses in Wien. Sie sah sich in ihrem Recht auf Auskunft verletzt, da sie keine vollständige Auskunft bzw. überhaupt keine Auskunft darüber erhielt, wer konkret unbefugt auf ihre Daten in ihrem elektronischen Gesundheitsakt zugegriffen habe.

Dem hielt der Beschwerdegegner entgegen, dass einer konkreten Auskunftserteilung über die Zugriffe auf die Dokumente der elektronischen Krankengeschichte die Bestimmung des – zum Zeitpunkt der Beschwerde noch anwendbaren – § 14 Abs 4 DSG 2000 entgegenstehe, wonach die Verwendung von Protokolldaten nicht für andere Zwecke, als der Kontrolle der Zulässigkeit der Verwendung des protokollierten Datenbestandes, erlaubt sei und die Auskunft daher nicht erteilt werden könne.

Bezüglich dieses unbefugten Zugriffs wurde der Beschwerdeführerin bereits mit Bescheid vom 4.6.2018 (DSB‑D122.831/0003) wegen der Verletzung im Recht auf Geheimhaltung Recht gegeben.

Nach dem Erkenntnis des Bundesverwaltungsgerichts vom 11.7.2017 (W214 2117640‑1) unterliegen Protokolldaten nach § 14 DSG 2000 nur dann nicht der Auskunftspflicht, solange sie keine Übermittlungen darstellen. Dieser Rechtsprechung folgte die DSB grundsätzlich bei Erlassung des Bescheides.

Nachdem die DSB zunächst die Unzulässigkeit der Zugriffe mangels rechtlicher Begründung feststellte (DSB‑D122.831/0003), sprach sie nun im hier erörterten Verfahren aus, dass diese Zugriffe überdies durch einen „Dritten“ erfolgten.

Denn die abfragende Person war nicht befugt, die personenbezogenen Daten zu verarbeiten. Es handelte sich daher um eine Übermittlung. Aus diesem Grund unterliegen die verfahrensgegenständlichen Zugriffe der Auskunftspflicht nach (nunmehr) Art 15 DSGVO. Die DSB stellte eine Rechtsverletzung der Beschwerdeführerin aufgrund unvollständig erteilter Auskunft fest.