Mit Straferkenntnis vom 05.04.2022 verhängte die Datenschutzbehörde eine Geldbuße in Höhe von EUR 3.300,- in Reaktion auf eine unrechtmäßige Verarbeitung sensibler Daten (Gesundheitsdaten). Die Beschuldigte hat Gesundheitsdaten von drei Betroffenen verarbeitet, indem sie auf die Daten im e-Impfpass zugriff, um sich über den Impfstatus der Betroffenen zu informieren. Die Beschuldigte nahm die Verarbeitung in ihrer Funktion als niedergelassene Ärztin vor und war grundsätzlich für solche Abfragen freigeschalten. Die Verarbeitung erfolgte ohne Wissen und Einwilligung der Betroffenen und konnte auch sonst auf keine der restlichen Ausnahmetatbestände gemäß Art. 9 Abs. 2 DSGVO gestützt werden.
Die Beschuldigte führte ins Treffen, dass sie als Arbeitgeberin einer gesetzlichen Fürsorgepflicht gemäß § 1157 ABGB unterliegt und die Abfragen nur deshalb vornahm, weil sie darüber informiert wurde, dass eine ihrer Sekretärinnen an einer geplanten Familienveranstaltung teilnehmen wird. Im Sinne einer besseren Risikoeinschätzung für ihre Ordination informierte sich die Beschuldigte daher über den Impfstatus der Betroffenen, die ebenfalls an der Feier teilnahmen. Die Datenschutzbehörde hielt eingangs fest, dass der Ausnahmetatbestand nach Art. 9 Abs. 2 lit. h DSGVO iVm § 1157 ABGB grundsätzlich eine taugliche Rechtsgrundlage darstellen kann. Im konkreten Fall erfolgte die Verarbeitung jedoch nicht im Einklang mit den Grundsätzen der Datenverarbeitung. Die konkrete Verarbeitung war jedenfalls nicht erforderlich und erfolgte zweckwidrig. Die Beschuldigte hatte ihre Sekretärin unabhängig von der Abfrage bereits angewiesen, sich nach der Familienfeier täglich zu testen.
Die Datenschutzbehörde stellte im Ergebnis einen Verstoß gegen Art. 5 Abs. 1 lit. a, b und c sowie Art. 9 Abs. 1 iVm Art. 83 Abs. 1 und 5 lit. a DSGVO fest.
Quelle: DSB Österreich