Im Bescheid vom 8. August 2018, GZ: DSBD084.133/0002-DSB/2018, hatte sich die DSB mit den Voraussetzungen, unter welchen die Datenschutzbehörde von datenschutzrechtlich Verantwortlichen verlangen kann, eine nach Art. 34 Abs. 1 DSGVO gebotene Benachrichtigung nachzuholen, zu befassen. Der Verantwortliche meldete der Datenschutzbehörde, dass ein Suchtmittelbuch verloren worden sei, in dem von ca. 150 Patienten in unverschlüsselter Form der Name, der körperliche Gesundheitszustand sowie die verabreichte Menge des Suchtgiftes enthalten waren. Der Verantwortliche ging im vorliegenden Fall davon aus, dass die betroffenen Patienten nicht zu benachrichtigen Ausgewählte Entscheidungen der DSB www.dsb.gv.at dsb@dsb.gv.at DSB Newsletter 4/ 2018 3 seien, weil kein hohes Risiko für diese vorläge. Insbesondere könnten die verarbeiteten Daten in den „falschen Händen“ eine Bloßstellung bzw. einen Identitätsdiebstahl-/betrug nur mit großem Rechercheaufwand ermöglichen. Die DSB sah dies anders und trug dem Verantwortlichen die Benachrichtigung der Betroffenen auf. Begründet wurde dies damit, dass im Suchtgiftbuch auch Gesundheitsdaten gemäß Art. 4 Z 15 DSGVO enthalten waren. Ein hohes Risiko für die Rechte und Freiheiten betroffener Personen besteht nämlich jedenfalls, bei umfangreicher Verarbeitung besonderer Kategorien von Daten, worunter auch Gesundheitsdaten fallen. Ausnahmen der Benachrichtigungspflicht gemäß Art. 34 Abs. 3 DSGVO lagen nicht vor. Dieser Bescheid ist rechtskräftig.