Ausgewählte Entscheidungen der DSB
GZ: DSB-D124.733, 2020-0.844.057 Verletzung im Recht auf Geheimhaltung: Eine Bonitätsabfrage ohne konkreten Grund für einen Verdacht eines Versicherungsbetruges im Zuge der Bearbeitung eines Schadensfalles
Im Bescheid vom 2. Februar 2021, zur GZ: DSB-D124.733, 2020-0.844.057, hatte sich die Datenschutzbehörde mit einer Beschwerde wegen behaupteter Verletzung im Recht auf Geheimhaltung (§ 1 DSG) und einer Interessensabwägung aufgrund von berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) auseinander zu setzen.
Die Beschwerdeführerin erlitt einen Unfall, welcher an die zuständige Haftpflichtversicherung (Beschwerdegegnerin) gemeldet wurde. Diese prüfte den Schadensfall unter anderem dadurch, indem sie eine Abfrage bei einer Bonitätsdatenbank zur Zahlungsmoral der Beschwerdeführerin tätigte. Dabei wurde auf eine bereitgestellte Ampelfunktion über eine entsprechende Schnittstelle zurückgegriffen. Im konkreten Fall wurde die Ampelfarbe „rot“ angezeigt, was eine negative Zahlungsmoral bedeutete.
Die Beschwerdegegnerin begründete die gegenständliche Verarbeitung damit, dass diese auf der Basis von den berechtigten Interessen der Beschwerdegegnerin und ihrer Gläubiger an der Bekämpfung von Versicherungsbetrug zulässig gewesen sei. Da eine Korrelation zwischen der Zahlungsmoral des Betroffenen und der Anfälligkeit für Versicherungsbetrug bestehe, habe die Beschwerdegegnerin im Verdachtsfall die gegenständliche Bonitätsdatenabfrage zur Zahlungsmoral getätigt.
Im laufenden Verfahren hat die Beschwerdegegnerin es aber unterlassen, einen konkreten Grund für ihren Verdacht, die Beschwerdeführerin könnte ein Risiko für Versicherungsbetrug sein, darzulegen und konnte daher nicht nachvollziehbar vorbringen, warum ihre wirtschaftlichen Interessen in diesem Fall gegenüber den Interessen der Beschwerdegegnerin überwiegen, zumal die Beschwerdegegnerin der Beschwerdeführerin die gegenständliche Versicherungsleistung ausgezahlt hat. Der Beschwerde wurde stattgegeben.
Dieser Bescheid ist rechtskräftig.
Übermittlung eines negativen PCR-Testergebnisses an das Gesundheitsamt
Mit Bescheid vom 15. Februar 2021, GZ: 2021-0.101.211, setzte sich die Datenschutzbehörde mit der datenschutzrechtlichen Zulässigkeit der Übermittlung eines negativen PCR-Testergebnisses an eine Bezirksverwaltungsverwaltungsbehörde (als Gesundheitsamt) auseinander.
Der Beschwerdeführer hat einen freiwilligen PCR-Test (SARS-CoV-2) bei der Beschwerdegegnerin (Betreiberin eines Labors) durchgeführt. Das Testergebnis war negativ. In weiterer Folge hat der Beschwerdeführer in Erfahrung gebracht, dass die Beschwerdegegnerin das negative Testergebnis an das zuständige Gesundheitsamt übermittelt hat, was nach Auffassung des Beschwerdeführers unrechtmäßig erfolgt sei.
Grundlegend war zu überprüfen, ob die Information über ein negatives PCR-Testergebnis einer bestimmten Person in den Schutzbereich von Art. 9 DSGVO fällt. Festzuhalten war, dass die Legaldefinition „Gesundheitsdaten“ des Art. 4 Z 15 DSGVO nicht an eine gewisse (Mindest-) Beeinträchtigung der körperlichen oder geistigen Gesundheit anknüpft. Noch deutlicher wird dies in ErwGr. 35 der Verordnung, wonach zu den personenbezogenen Gesundheitsdaten alle Daten zählen sollten, aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen. Auch der EuGH legt den Begriff „Gesundheitsdatum“ weit aus (vgl. zur insofern vergleichbaren Rechtslage nach der Richtlinie 95/46 das Urteil des EuGH vom 6. November 2003, C 101/01, Rs Lindqvist, Rz 50 f). Somit war für die Beurteilung der hier relevanten Datenübermittlung (auch) das Schutzregime von Art. 9 Abs. 2 DSGVO zu beachten.
Im Hinblick auf die Rechtmäßigkeit war festzuhalten, dass sich aus Art. 9 Abs. 1 lit. i DSGVO iVm § 3 Abs. 1 Z 1, Z 1a sowie Abs. 2 EpiG keine Verpflichtung zur Abgabe einer behördlichen Meldung über einen negativen PCR-Test ergibt. Allerdings kann die Pflicht zur Abgabe einer behördlichen Meldung gemäß § 1 Abs. 2 EpiG durch den Bundesminister für Gesundheit dann erweitert werden, wenn dies aus epidemiologischen Gründen gerechtfertigt oder auf Grund internationaler Verpflichtungen erforderlich ist. Von dieser Möglichkeit zur Erweiterung der Meldepflichten wurde im Rahmen der aktuellen Pandemie Gebrauch gemacht. So wurde § 1 Abs. 3 der Verordnung des Bundesministers für Gesundheit betreffend elektronische Labormeldungen in das Register anzeigepflichtiger Krankheiten, BGBl. II Nr. 184/2013 idgF dahingehend geändert, dass gemäß dessen § 1 Abs. 3 Einrichtungen dazu verpflichtet sind, im Falle einer Pandemie mit COVID-19 auch alle negativen und ungültigen Ergebnisse an die Bezirksverwaltungsbehörde zu übermitteln.
Die hier relevante Verordnung, mit der die Meldepflicht erweitert wurde, beruht auf der gesetzlichen Grundlage des § 3 Abs. 1 EpiG und bindet die jeweiligen medizinischen Einrichtungen gleichermaßen. Zudem muss nach ErwGr. 41 erster Satz DSGVO eine Rechtsgrundlage, auf die (der hier relevante) Art. 9 Abs. 2 lit. i DSGVO abgestellt, auch nicht notwendigerweise auf einem von einem Parlament angenommenen Gesetzgebungsakt beruhen. Ferner handelt es sich bei einem PCR-Test (also der Erhebung, ob eine Person infiziert ist) um keinen besonderen Datenverarbeitungsvorgang – wie etwa Profiling gemäß Art. 4 Z 4 DSGVO – sodass auch nicht davon auszugehen ist, dass der in Art. 9 Abs. 2 lit. i der Verordnung enthalte Maßstab an nationale Normen, „angemessene und spezifische Schutzmaßnahmen“ zu normieren, verletzt wäre.
Die Erweiterung der Meldepflicht des § 3 Abs. 1 EpiG ist zur Bekämpfung von COVID-19 auch zweckdienlich, da das Datenmaterial (also länder- und bundesspezifische Informationen über negative und ungültige PCR-Tests) relevant für die Ausrichtung der Pandemiestrategie – insbesondere der Teststrategie – ist.
Die Datenschutzbehörde gelangte daher zu dem Ergebnis, dass auch die Übermittlung eines negativen PCR-Testergebnisses an eine Bezirksverwaltungsverwaltungsbehörde (als Gesundheitsamt) zulässig ist.
Dieser Bescheid ist rechtskräftig.
Gesundheitsfragenbogen über eine mögliche Infektion mit dem Coronavirus (SARS-CoV-2)
Mit Bescheid vom 9. März 2021, GZ: 2021-0.157.107, setzte sich die Datenschutzbehörde mit der Frage auseinander, ob es datenschutzrechtlich zulässig ist, einen Gast dazu anzuhalten, einen Fragebogen zur Ermittlung seines gesundheitlichen Zustandes auszufüllen, bevor er sich in einem Hotel aufhalten darf.
Der Beschwerdeführer hat einen Aufenthalt im Hotel der Beschwerdegegnerin gebucht. Der Beschwerdeführer wurde beim Betreten des Hotels aufgefordert, einen physischen Fragebogen auszufüllen. Der Fragebogen wurde laut Angabe der Beschwerdegegnerin „zur Reduzierung des Risikos von Infektionskrankheiten“ im Zusammenhang mit dem Coronavirus eingesetzt. Es wurden Symptome abgefragt, die nach aktueller wissenschaftlicher Evidenz mit dem Coronavirus in Verbindung stehen. Der Beschwerdeführer hat diesen Fragebogen allerdings nicht ausgefüllt, sondern durchgestrichen. Somit wurden auch keine Daten von ihm erhoben.
Ausgehend von diesem Sachverhalt war festzuhalten, dass Voraussetzung für die Erhebung einer Beschwerde an die Datenschutzbehörde eine Datenverarbeitung ist (vgl. Art. 4 Z 1 DSGVO) und durch die erfolgte Datenverarbeitung eine Verletzung in Rechten behauptet wird. Geplante, jedoch letztlich nicht erfolgte Datenverarbeitungen sind einer Beschwerde nach Art. 77 DSGVO iVm § 24 DSG nicht zugänglich. Dies legt bereits der Wortlaut von Art. 77 Abs. 1 DSGVO und § 24 Abs. 1 DSG nahe, wonach eine Beschwerde dann erhoben werden kann, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt (und nicht „verstoßen wird“ oder „verstoßen könnte“).
Eine nachprüfende Kontrolle durch die Datenschutzbehörde und die Gerichte trägt auch dem Umstand Rechnung, dass ein Beschwerdeverfahren der Geltendmachung subjektiver Rechte dient. Somit ist es grundlegende Voraussetzung, dass die Rechtsposition der betroffenen Person durch ein Fehlverhalten des Verantwortlichen unmittelbar beeinträchtigt wird oder wurde. Ein Beschwerdeverfahren dient jedoch nicht dem Zweck, die Einhaltung objektiver Pflichten durch einen Verantwortlichen zu überprüfen, ohne dass sich die Nichteinhaltung in einer Beeinträchtigung subjektiver Rechtspositionen manifestiert (vgl. zu Datensicherheitsmaßnahmen den Bescheid vom 13. September 2018, GZ: DSB-D123.070/0005-DSB/2018). Der Beschwerdeführer brachte auch nicht vor, dass das Nichtausfüllen des Fragebogens mit einem Nachteil für diesen verbunden wäre (wie etwa die Weigerung der Beschwerdegegnerin, einen Beherbergungsvertrag abzuschließen).
Die Beschwerde war im Ergebnis abzuweisen.
Dieser Bescheid ist nicht rechtskräftig.
GZ: DSB-D124.1686, 2020-0.787.882 Recht auf Löschung, Insolvenzverfahren eines Geschäftsführers relevant für Bonitätsbewertung der juristischen Person
Mit Bescheid vom 20. Jänner 2021 hatte sich die DSB mit der Bonitätsbewertung einer juristischen Person auseinanderzusetzen. Der Beschwerdeführer ist alleinvertretungsbefugter Geschäftsführer einer GmbH und hatte ein privates Insolvenzverfahren, wobei der Zahlungsplan noch nicht erfüllt war. Die Beschwerdegegnerin betreibt eine Bonitätsdatenbank iSd § 152 GewO 1994 für Unternehmer iSd §§ 1-3 UGB. In dieser Bonitätsdatenbank findet sich eine Eintragung zur GmbH mit dem Hinweis auf die Insolvenz des Beschwerdeführers. Diesen Hinweis begehrte der Beschwerdeführer zu löschen.
Die DSB hat dabei festgehalten, dass das (private) Insolvenzverfahren des Beschwerdeführers im Zusammenhang mit seiner Tätigkeit als Geschäftsführer einer juristischen Person für ebendiese bonitätsrelevant sein kann, obschon es sich beim Beschwerdeführer und der GmbH um unterschiedliche Rechtssubjekte handelt. Ein Geschäftsführer kann in gewissen Konstellationen nämlich von Gesellschaftsgläubigern direkt zur Haftung herangezogen werden (bspw. § 26 Abs. 2, § 56 Abs. 3 und § 64 Abs. 2 GmbHG).
Nach erfolgter Interessensabwägung wurde die Beschwerde abgewiesen, zumal im Ergebnis der Gläubigerschutz und die Risikominimierung bei Kreditvergabe bzw. bei Anbahnung von Geschäftsbeziehungen mit der GmbH überwog.
Der Bescheid ist nicht rechtskräftig.