W287 2260123-1/10E
IM NAMEN DER REPUBLIK!
Das Bundesverwaltungsgericht hat durch die Richterin MMag. Dr. Julia KUSZNIER als Vorsitzende sowie die fachkundige Laienrichterin Margareta MAYER-HAINZ und den fachkundigen Laienrichter Dr. Ulrich E. ZELLENBERG als Beisitzerin und Beisitzer über die Beschwerde des XXXX , XXXX , vertreten durch die Auer Bodingbauer Leitner Stöglehner Rechtsanwälte OG, 4020 Linz, gegen das Straferkenntnis der Datenschutzbehörde vom 12.08.2022, GZ: XXXX , nach mündlicher Verhandlung zu Recht erkannt:
A)
I. Der Beschwerde wird nach Maßgabe folgender Änderungen des Spruches des gegenständlichen Straferkenntnisses teilweise Folge gegeben:
1. Der zweite Absatz im Spruch des angefochtenen Straferkenntnisses wird abgeändert wie folgt:
„Sie haben am 14.01.2021 um 13:42 Uhr und um 13:43 Uhr sowie am 11.05.2021 um 22:57 Uhr, um 22:58 Uhr sowie um 23:44 Uhr (im Folgenden „Tatzeitraum“) von einem von Ihnen verwendeten Endgerät aus, jedoch jedenfalls innerhalb des Bundesgebietes Österreich (im Folgenden „Tatort“), unrechtmäßig und ohne einen legitimen Zweck personenbezogene (Gesundheits-)Daten von Ihrer Ex-Gattin (Frau XXXX ) sowie Ihren Kindern (Herr XXXX , Herr XXXX sowie Frau XXXX – gemeinsam im Folgenden „Betroffene“) verarbeitet, indem Sie im Rahmen der elektronischen Gesundheitsakte auf die e-Medikationsdaten der Betroffenen durch einen automatischen Abgleich infolge Öffnens der jeweiligen Patientenkarteien zugegriffen haben. Dadurch haben Sie besondere Kategorien von personenbezogenen Daten bzw. sensible Daten der Betroffenen gemäß Art. 9 Abs. 1 DSGVO verarbeitet. Die Verarbeitung erfolgte ohne Zustimmung und Wissen der Betroffenen und konnte auch sonst auf keine Ausnahmebestimmung nach Art. 9 Abs. 2 DSGVO gestützt werden.“
2. Gemäß § 50 VwGVG wird der Beschwerde hinsichtlich der Höhe der Strafe teilweise Folge gegeben und die Strafe auf EUR 2.500,00 bzw. 150 Stunden Ersatzfreiheitsstrafe herabgesetzt.
3. Der Beschwerdeführer hat EUR 250,00 als Kostenbeitrag zum Verfahren vor der belangten Behörde zu leisten, das sind 10% der nunmehrig verhängten Strafe.
II. Der Beschwerdeführer hat gemäß § 52 Abs. 8 VwGVG keine Kosten des verwaltungsgerichtlichen Verfahrens zu tragen.
B)
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.
Begründung:
I. Verfahrensgang und Sachverhalt:
1. Mit Schreiben vom 01.07.2021 brachten XXXX , XXXX , XXXX und XXXX (im Folgenden gemeinsam auch: „Betroffene“) im Wege ihrer Rechtsvertretung eine Strafanzeige gegen XXXX (im Folgenden: „Beschwerdeführer“) bei der Datenschutzbehörde (im Folgenden auch: „belangte Behörde“) ein, in der sie im Wesentlichen vorbrachten, dass der Beschwerdeführer ohne Zustimmung der Betroffenen zu folgenden Zeitpunkten auf deren elektronische Krankenakten zugegriffen habe (VWA ./01):
am 14.01.2021, um 13:43 Uhr und am 11.05.2021, um 22:57 Uhr ( XXXX ),
am 11.05.2021, um 23:44 Uhr ( XXXX ),
am 11.05.2021, um 22:58 Uhr (mj. XXXX ),
am 14.01.2021, um 13:42 Uhr und am 11.05.2021, um 22:57 Uhr ( XXXX ).
Die Lebensgemeinschaft zwischen XXXX und dem Beschwerdeführer sei bereits seit 2016 aufgehoben, und es bestehe kein persönlicher Kontakt mehr zwischen dem Beschwerdeführer und den Betroffenen, insbesondere seien diese seit Juli 2016 keine Patienten des Beschwerdeführers gewesen. Die Ehe zwischen XXXX und dem Beschwerdeführer sei am 16.12.2019 geschieden worden.
2. Die belangte Behörde übermittelte dem Beschwerdeführer am 13.08.2022 (VWA ./04) eine Aufforderung zur Rechtfertigung: Der Beschwerdeführer stehe im Verdacht, am 14.01.2021 (13:42 Uhr bis 13:43 Uhr) sowie am 11.05.2021 (22:57 Uhr bis 23:44 Uhr – im Folgenden „Tatzeit“) von einem von ihm verwendeten Endgerät aus, innerhalb des Bundesgebietes Österreich (im Folgenden „Tatort“), unrechtmäßig und ohne einen legitimen Zweck personenbezogene Daten, darunter sensible Daten gemäß Art. 9 Abs. 1 DSGVO, der mitbeteiligten Parteien verarbeitet zu haben, indem er ohne Wissen der Betroffenen und ohne ihre Zustimmung auf deren Daten im Rahmen der elektronischen Gesundheitsakte (ELGA) zugegriffen und in Folge Einsicht genommen habe. Es bestehe insbesondere der Verdacht, dass er – ohne eine hierfür einschlägige Rechtfertigungsgrundlage – durch die ELGA-Abfrage Einsicht in die „e-Medikationsdaten“ der Betroffenen genommen bzw. diese in ELGA aufgerufen habe.
3. In seiner Rechtfertigung vom 17.09.2021 (VWA ./05) brachte der Beschwerdeführer im Wesentlichen Folgendes vor: Er habe die in der Aufforderung zur Rechtfertigung angeführte Verwaltungsübertretung nicht begangen. Der Zugriff auf die Gesundheitsdaten bzw. e-Medikation aus der elektronischen Gesundheitsakte (ELGA) sei Ärzten nur möglich, wenn eine Kontaktbestätigung durch Überprüfung der Identität iSd § 18 Abs. 4 GTelG erfolge. Die Gültigkeitsdauer einer Kontaktbestätigung hänge von den Einstellungen der Patienten in ELGA ab. In § 27 Abs. 14b GTelG sei zur Bekämpfung der Ausbreitung von COVID-19 die vorübergehende Möglichkeit geschaffen worden, die Identität der Betroffenen nur mittels deren Namen und Sozialversicherungsnummer zu prüfen, sohin sei das Stecken der e-Card nicht mehr erforderlich. Damit sollten auch ohne persönlichen Kontakt Verordnungen in der e-Medikation gespeichert werden können. Ärzte seien gemäß § 51 Abs. 3 ÄrztG dazu verpflichtet, die Aufzeichnungen der Patientenkartei mindestens zehn Jahre lang aufzubewahren. Das Öffnen der jeweiligen Patientenkartei sei erforderlich gewesen, weil der Beschwerdeführer unter anderem in einem aufrechten Behandlungsverhältnis zu seiner Schwägerin stehe, welche an einer aktiven Krebserkrankung leide. Es würden wöchentlich Befunde übermittelt und aufgrund der Erkrankung der Schwägerin sei es besonders wichtig und unbedingt erforderlich, sofort zu reagieren. Im Zuge der Einspielung besagter Befunde in die Software sei das Öffnen der jeweiligen Patientenkarteien der angeführten Familienmitglieder mit dem gleichen Familiennamen unbedingt erforderlich gewesen. Die Befunde würden nämlich mit den Namen verschlüsselt eingespielt und in weiterer Folge automatisch im Programm entschlüsselt und einer Patientenkartei zugeordnet. Dabei könne es wie auch im gegenständlichen Fall zu Fehlern kommen, wenn falsche Schriftzeichen von der fremden EDV übertragen werden. In diesem Fall müssten die Befunde gesucht und der richtigen Patientenkartei zugeordnet werden. Beim Öffnen einer Patientenkartei sei aufgrund von § 27 Abs. 14b GTelG automatisch durch einen Hintergrundprozess der Arztsoftware der Abgleich der e-Medikationsdaten und der Abruf der Dokumentenliste aus ELGA erfolgt. Diese im Hintergrund laufende Automatik habe zur Folge, dass durch das Öffnen der jeweiligen Patientenkartei in Kombination mit einem gültigen Dialog mit dem System der e-Card, ein Zugriff aufscheine, auch wenn dieser tatsächlich nicht erfolgt sei. Es sei somit weder auf die e-Medikationsdaten noch auf die Dokumentenliste zugegriffen bzw. in diese Einsicht genommen worden, vielmehr handle es sich hierbei um einen automatischen Hintergrundprozess der Arztsoftware. Dies werde auch durch die kurzen zeitlichen Abstände von jeweils wenigen Sekunden bei den durch die Hintergrundautomatik ausgelösten Abfragen deutlich. Demzufolge seien die Grundsätze des Art. 5 Abs. 1 lit a bis c nicht verletzt und es sei insbesondere keine unrechtmäßige Verarbeitung von Daten erfolgt.
4. Bei seiner Vernehmung am 09.11.2021 (VWA ./07) gab der Beschwerdeführer im Wesentlichen zusammengefasst an: Bei den gegenständlichen Zugriffen im ELGA-System handle es sich um kurze (eine Sekunde dauernde) Zugriffe auf die jeweiligen Akten. Der Akt werde dabei vom Patientenverwaltungssystem (eine Software der XXXX ; im Folgenden: „ XXXX “) nur kurz aufgemacht und gleich wieder geschlossen. Dies sei technisch so voreingestellt und dabei (also beim Aufmachen des Aktes) würden die ELGA-Daten hochgeladen. Eine vorgelegte Bestätigung der XXXX belege diesen technischen Vorgang. Durch das Öffnen eines Aktes finde sozusagen eine Synchronisation zwischen der Patientenkartei und dem ELGA-System statt. Dadurch sei es zu diesen gegenständlichen Protokolldaten gekommen.
Dass das Öffnen der Patientenkarteien der Betroffenen erforderlich gewesen sei, begründete der Beschwerdeführer damit, dass seine Praxis täglich mehrere hundert Befunde abrufen würde, er persönlich um die 60 Befunde. Diese Befunde seien End-zu-End verschlüsselt. Dabei komme es gelegentlich zu Fehlern und das System könne einen Befund nicht eindeutig einem Patienten bzw. einer Person zuordnen. In diesem Fall müsse die jeweilige Zuordnung im System manuell vorgenommen werde. Diese Ausnahmefälle seien auf Eingabefehler durch die übermittelnde Einrichtung zurückzuführen („Beispiel: Es wird ein Befund mit Namen „ XXXX “ statt „ XXXX “ übermittelt). Jeden Abend würden diese Befunde auf die richtige Zuordnung von ihm kontrolliert. Er sei dazu verpflichtet, jeden Befund zu kontrollieren und versuche, das noch am selben Tag der Übermittlung zu machen. Wenn es zu diesem Ausnahmefall komme, dann müsse er ermitteln, welchem Patienten dieser übermittelte Befund gehöre. Hierfür sei es erforderlich, dass er in die Patientenkarteien Einsicht nehme, damit er den Befund zuordnen könne. Es könne auch dazu kommen, dass ein Befund vom System automatisiert einem falschen Patienten zugeordnet werde. Dies müsse der Beschwerdeführer dann erkennen und dann wiederum dem richtigen Patienten zuordnen. Im konkreten Fall habe das System einen Befund der Schwägerin des Beschwerdeführers automatisiert einem falschen Patienten zugeordnet. Er habe auf Untersuchungsbefunde gewartet, die im Akt seiner Schwägerin nicht auffindbar gewesen seien. Er habe daher vermutet, dass es zu einem technischen Fehler gekommen sei und das System eine falsche Zuordnung zu einem anderen Patienten vorgenommen habe und habe daher angefangen, die Patientenkarteien seiner Patienten mit dem Nachnamen „ XXXX “ alphabetisch zu öffnen, um den fehlenden Befund seiner Schwägerin zu finden. Hierfür habe er die ihm vorgeworfenen Zugriffe auf die Akten vornehmen müssen und dadurch sei es zur automatischen Protokollierung dieser Zugriffe im ELGA gekommen. Dass durch seine Zugriffe im Hintergrund automatisch eine ELGA-Abfrage durchgeführt und die e-Medikationsdaten abgerufen worden seien, sei dem Beschwerdeführer erst durch die Einleitung dieses Verwaltungsverfahrens bzw. durch die Aufforderung zur Rechtfertigung bewusst geworden.
5. Am 29.06.2022 erfolgte die Einvernahme der Betroffenen XXXX als Zeugin vor der belangten Behörde (VWA ./15). Sie gab im Wesentlichen an: Sie habe während der COVID-19-Pandemie eine Handysignatur eingerichtet und in ihren ELGA-Akt eingesehen, um nachzusehen, welche allgemeine Impfungen (z.B. Zecken, FSME) eingetragen seien, da sie und ihre Kinder vom Beschwerdeführer keinen Nachweis über die Impfungen und auch keinen Impfpass erhalten hätten. Dabei habe sie gesehen, dass bei ihr im ELGA kaum etwas eingetragen sei und der Beschwerdeführer am 14.01.2021 (um 13:42 Uhr) sowie am 11.05.2021 (um 22:57 Uhr) auf ihren ELGA-Akt zugegriffen habe. Sie habe dann festgestellt, dass der Beschwerdeführer auch auf den ELGA-Akt ihres Sohnes, XXXX , zugegriffen habe (am 11.05.2021 um 22:58 Uhr). Ihre zwei weiteren Kinder hätten ebenfalls Zugriffe auf ihre ELGA-Akten durch den Beschwerdeführer festgestellt. Seit der Trennung im Jahr 2016 habe es keinen persönlichen Kontakt zwischen den Betroffenen und dem Beschwerdeführer gegeben. Sie könne sich die Zugriffe nicht erklären. Der Beschwerdeführer habe sie und ihre Kinder nach der Trennung nicht auf bestimmte Medikationsdaten angesprochen oder diese thematisiert.
6. Am 29.06.2022 erfolgte die Vernehmung des Zeugen XXXX (VWA ./18), welcher im Wesentlichen vorbrachte: Er sei Bereichsleiter bei XXXX für Service und Support und verantworte die Kundenbetreuung. Er kenne daher die vom Beschwerdeführer genutzte Software für die Verarbeitung von Patientendaten.
Im Zuge der Covid19-Pandemie sei eine ELGA-Abfrage insofern erleichtert worden, als lediglich die Angabe der Sozialversicherungsnummer und des Geburtsdatums erforderlich gewesen sei. Diese Erleichterung sei durch die Sozialversicherung und nicht durch die jeweilige Arztsoftware vorgegeben worden. Im Rahmen der Software werde beim Öffnen eines Patientenaktes ein kleines Emblem auf dem User Interface angezeigt, das darauf hinweise, dass neue Daten in Bezug auf den jeweiligen Patienten im ELGA abrufbar seien. Wenn der Arzt diese neuen Daten sehen möchte, dann müsse er dieses Emblem anklicken. Diese Funktion bzw. das Befundcockpit könne vom jeweiligen Arzt deaktiviert werden und dadurch entstehe kein Zugriffsversuch auf die ELGA-Daten beim Öffnen der Patientenkartei.
Befragt, ob dies eine Synchronisation darstelle und daher durch das Öffnen einer Patientenkartei automatisch die aktuellen e-Medikationsdaten in die Verwaltungssoftware des Arztes bzw. lokale Patientenkartei beim jeweiligen Arzt übertragen würden (= Aktualisierung der e-Medikationsdaten durch Öffnen der Patientenkartei), gab der Zeuge, nachdem er sich bei der Entwicklung diesbezüglich informierte, ergänzend schriftlich an, dass beim Öffnen der Kartei keine e-Medikationsdaten in die Patientenkartei übertragen würden (VWA ./18, Email des Zeugen XXXX ).
7. Mit Schreiben vom 01.07.2022 wurde dem Beschwerdeführer hinsichtlich der Niederschrift zur Einvernahme des Zeugen XXXX und seiner schriftlichen Ergänzung Parteiengehör gewährt (VWA ./19).
8. Ebenfalls mit Schreiben vom 01.07.2022 wurde der Beschwerdeführer von der Datenschutzbehörde aufgefordert, die von ihm behaupteten „verlorenen“ bzw. damals im Akt der Schwägerin nicht auffindbaren Befunde im Tatzeitraum vorzulegen (VWA ./17).
9. Mit Schreiben vom 06.07.2022 erstattete der Beschwerdeführer eine Stellungnahme (VWA ./21), in der er zusammengefasst Folgendes vorbrachte: Es würden Befunde mit genau diesem Datum nicht extern vorliegen, da er Befunde gesucht habe, die er nicht erhalten habe. Diese könnten denklogisch nur von einem Zeitraum davor stammen. Seine Schwägerin leide an Brustkrebs und um die Chemotherapie richtig abzustimmen, müsse regelmäßig ein Blutbild angefertigt werden (meist wöchentlich). Seine Schwägerin führe die Kontrollen zum Teil bei ihrem zweiten Schwager, der Internist in XXXX sei, sowie beim Beschwerdeführer durch. Im einschlägigen Zeitraum seien die Blutbefunde vom eigenen Labor des Beschwerdeführers gemacht worden, also nicht über ELGA eingespielt worden. Solche Blutbefunde müssten mit Vorbefunden verglichen werden, die der Beschwerdeführer eben auf ELGA gesucht habe, doch würden Krankenhäuser Befunde oftmals sehr unvollständig übermitteln und sie würden auch nicht direkt übermittelt, sondern auf ELGA eingespielt. Der Beschwerdeführer habe einen Befund vom 29.04.2021 gesucht, den er von seinem Bruder erhalten und den das Krankenhaus nie auf ELGA gestellt habe.
10. Mit dem nunmehr angefochtenen Straferkenntnis vom 12.08.2022, GZ: XXXX (VWA ./24), wurde über den Beschwerdeführer eine Geldstrafe von EUR 4.000,00 (im Falle der Uneinbringlichkeit eine Ersatzfreiheitsstrafe von 240 Stunden) gemäß Art. 83 Abs. 1 und 5 lit. a DSGVO iVm § 16 VStG verhängt und der Beschwerdeführer gemäß § 64 VStG zum Ersatz eines Beitrages zu den Kosten des Strafverfahrens in Höhe von EUR 400,00 verpflichtet.
Der Beschwerdeführer habe als Verantwortlicher im Sinne des Art. 4 Z 7 DSGVO am 14.01.2021 (13:42 Uhr bis 13:43 Uhr) sowie am 11.05.2021 (22:57 Uhr bis 23:44 Uhr – im Folgenden Tatzeitraum“) von einem von ihm verwendeten Endgerät aus, innerhalb des Bundesgebietes Österreich (im Folgenden „Tatort“), unrechtmäßig und ohne einen legitimen Zweck personenbezogene (Gesundheits-) Daten von seiner Ex-Gattin ( XXXX ) sowie seinen Kindern ( XXXX ) verarbeitet, indem er im Rahmen der elektronischen Gesundheitsakte auf ihre e-Medikation zugegriffen habe (ELGA-e-Medikation-Anwendung; Funktion „e-Medikationsdaten aufrufen“). Dadurch habe er besondere Kategorien von personenbezogenen Daten bzw. sensible Daten gemäß Art. 9 Abs. 1 DSGVO verarbeitet. Die Verarbeitung sei ohne Zustimmung und Wissen der Betroffenen erfolgt und habe auch sonst auf keine Ausnahmebestimmung nach Art. 9 Abs. 2 DSGVO gestützt werden können.
Rechtlich führte die belangte Behörde u.a. aus, dass der Beschwerdeführer auf die jeweiligen personenbezogenen Dateien der Betroffenen im Rahmen der e-Medikations-Anwendung im elektronischen Gesundheitsakt zugegriffen habe, um sich über deren Daten zu informieren. Bei den e-Medikationsdaten handle es sich zweifelsfrei um Gesundheitsdaten im Sinne des Art. 4 Z 15 DSGVO, und der Beschwerdeführer hätte die gegenständliche Verarbeitung daher nur bei Vorliegen eines der Ausnahmetatbestände nach Art. 9 Abs. 2 DSGVO vornehmen dürfen.
Der Beschwerdeführer habe seine Rolle als Verantwortlicher in Bezug auf die gegenständliche Verarbeitung im Verfahren nicht bestritten. Der Beschwerdeführer habe nicht vorgebracht, dass eine andere Person die Zugriffe vorgenommen habe und die Zugriffe auch nicht bestritten. Das Vorbringen des Beschwerdeführers, wonach die Zugriffe in ELGA nur protokolliert worden seien, weil er die Patientenkarteien der Betroffenen geöffnet habe, um einen Befund seiner Schwägerin zu suchen, wertete die belangte Behörde als reine Schutzbehauptung. Der Beschwerdeführer habe im Ergebnis somit allein über die Zwecke und Mittel der Verarbeitung entschieden und sei im Ergebnis als Verantwortlicher gemäß Art. 4 Z 7 DSGVO zu qualifizieren.
Der Beschwerdeführer habe die Grundsätze des Art. 5 Abs. 1 lit. a, b und c DSGVO nicht eingehalten. Die objektive Tatseite sei daher erfüllt.
Die belangte Behörde ging ferner davon aus, dass der Beschwerdeführer die Verarbeitung bzw. die Zugriffe bewusst vorgenommen habe, um sich aufgrund privater Interessen über die e-Medikationsdaten der Betroffenen zu informieren. Im Ergebnis liege daher auf der subjektiven Tatseite Verschulden in Form von Vorsatz vor. Die verhängte Geldstrafe erscheine im Lichte des verwirklichten Tatunwertes tat- und schuldangemessen. Die Verhängung sei jedenfalls im generalpräventiven Sinn erforderlich, es liegen keine spezialpräventiven Gründe vor.
11. Gegen dieses Straferkenntnis erhob der Beschwerdeführer fristgerecht Beschwerde und führte darin im Wesentlichen aus, dass seine Rechtfertigung, er habe wegen einer anderen aktiven Patientin Befunde gesucht und daher die Patientenkarteien der Betroffenen öffnen müssen, um sicherzustellen, dass sich dringende Befunde nicht in einem falschen Akt befinden, nachvollziehbar sei. Ebenfalls sei glaubwürdig, dass der Beschwerdeführer bis zum Zeitpunkt, zu welchem er von den Anzeigen seiner Ex-Gattin und seinen Kindern erlangt habe, keinerlei Kenntnis darüber gehabt habe, dass beim Öffnen der Patientenkartei im Hintergrund zeitgleich ein Zugriff auf die e-Medikationsdaten erfolge und dies auch protokolliert werde. Dennoch gehe die belangte Behörde zu Unrecht davon aus, dass sich der Beschwerdeführer aufgrund privater Interessen über die e-Medikationsdaten der mitbeteiligten Parteien informieren habe wollen. Diese Annahme sei falsch.
Der Umstand, dass die belangte Behörde im Spruch des angefochtenen Straferkenntnisses hinsichtlich der vorgeworfenen Übertretung vom 11.05.2021 einen Tatzeitraum von 22.57 Uhr bis 23:44 Uhr – Dauer 47 Minuten – angebe, manifestiere einen entscheidungswesentlichen Verfahrensfehler bzw. einen Widerspruch zur Begründung des Straferkenntnisses, als in dem von der Behörde festgestellten Sachverhalt nur von einem Aufrufen der e-Medikationsdaten von XXXX (um 22:57 Uhr), von XXXX (um 23:44 Uhr), von XXXX (um 22:58 Uhr) und von XXXX (um 22:57 Uhr) die Rede sei, aber keine Feststellungen dazu getroffen worden seien, wie lange der jeweilige Zugriff gedauert habe. Ohne entsprechende Feststellungen bzw. Beweisergebnisse hierzu könne nicht von einer 47-minütigen Zugriffsverletzung ausgegangen werden. Die Behörde hätte feststellen müssen, ob diese Zugriffe nur kurzfristig gewesen seien bzw. wie lange die einzelnen Zugriffe gedauert hätten, andernfalls seien die Vorwürfe im Spruch nicht mit der weiteren Begründung des Straferkenntnisses in Einklang zu bringen, weshalb dieses insofern widersprüchlich und daher aufzuheben sei.
Aus dem festgestellten Sachverhalt lasse sich ableiten, dass zwei Zugriffe ( XXXX und XXXX ) zeitgleich um 22:57 Uhr und gleich darauf der dritte Zugriff ( XXXX ) um 22:58 Uhr erfolgt sei. Gehe man davon aus, dass der Beschwerdeführer nach dem Öffnen der Patientenkartei, was für ihn die e-Medikationsdaten noch nicht ersichtlich mache, diese dann noch abgefragt und auch gelesen habe, so wäre dies nicht für drei Patienten in einer derart kurzen Zeitspanne möglich. Jedenfalls decke der Umstand dreier zeitlich so kurz aufeinanderfolgenden Zugriffe die Aussage des Beschwerdeführers, dass er nur die Patientenkarteien geöffnet habe, um den benötigten Befund der Schwägerin zu suchen.
Der belangten Behörde sei ferner vorzuwerfen, dass sie aufgrund vorgreifender unrichtiger rechtlicher Beurteilung von Anfang an von der Schuld des Beschwerdeführers ausgegangen sei, aus diesem Grund einseitig nur zu Lasten des Beschwerdeführers ermittelt habe und es unterlassen habe, auch den Beschwerdeführer entlastende Beweismittel beizuschaffen oder dies zumindest zu versuchen. Dies stelle eine erhebliche Mangelhaftigkeit des Verfahrens dar. Die belangte Behörde beziehe sich im angefochtenen Straferkenntnis auch auf „angehängte ELGA-Protokoll-Listen“, ohne diese dem Beschwerdeführer jemals ausreichend inhaltlich zur Kenntnis gebracht zu haben. Das Verfahren sei auch insofern mangelhaft, weil der Beschwerdeführer dadurch in seinen Rechten als Beschuldigter beschnitten worden sei und zu diesen Protokollen, insbesondere zu deren Echtheit und Richtigkeit, gar keine Stellungnahme habe abgeben können. Im Hinblick die Zugriffe auf die Daten des mj. Sohnes XXXX könne von keinem widerrechtlichen Zugriff aus welchen Gründen auch immer ausgegangen werden, da der Beschwerdeführer für ihn nach wie vor obsorgeberechtigt sei.
Die objektive Tatseite sei entgegen der Ansicht der belangten Behörde nicht erfüllt. Da der Beschwerdeführer zum Tatzeitpunkt nicht einmal Kenntnis davon gehabt habe, dass das Programm beim Öffnen der Patientenkartei im Hintergrund auf die e-Medikationsdaten zugreife, sei auch die subjektive Tatseite nicht erfüllt. Es liege kein Verstoß des Beschwerdeführers gegen die DSGVO vor.
12. Die belangte Behörde legte die Beschwerde samt den dazugehörigen Verwaltungsakten dem Bundesverwaltungsgericht am 19.09.2022 zur Entscheidung vor und erstattete eine Stellungnahme (VWA ./28).
13. Am 31.01.2023 fand eine mündliche Verhandlung vor dem Bundesverwaltungsgericht statt, in der der Beschwerdeführer sowie der Zeuge XXXX einvernommen wurden.
II. Das Bundesverwaltungsgericht hat erwogen:
1. Feststellungen:
Der unter Punkt I. angeführte Verfahrensgang wird den Feststellungen zugrunde gelegt.
Aufgrund des von der belangten Behörde und vom Bundesverwaltungsgericht durchgeführten Ermittlungsverfahrens steht folgender entscheidungswesentlicher Sachverhalt fest:
1.1. Der Beschwerdeführer ist Arzt in einem Ärztezentrum in XXXX , in dem für die Patientenverwaltung eine Software der Firma XXXX eingesetzt wird (im Folgenden: „Software“). Das Ärztezentrum wird in Form einer GmbH betrieben, an der der Beschwerdeführer als Gesellschafter beteiligt ist.
1.2. Am 14.01.2021 um 13:43:26 Uhr sowie am 11.05.2021 um 22:57:52 öffnete der Beschwerdeführer jeweils in der Software die Patientenkartei seiner Ex-Gattin, XXXX . Die Lebensgemeinschaft zwischen XXXX und dem Beschwerdeführer ist seit Juli 2016 aufgehoben und ihre Ehe wurde am 15.12.2019 geschieden.
Am 14.01.2021 um 13:43:09 Uhr sowie am 11.05.2021 um 22:57:52 Uhr öffnete der Beschwerdeführer jeweils in der Software die Patientenkartei seiner Tochter, XXXX .
Am 11.05.2021 um 23:44 Uhr öffnete der Beschwerdeführer in der Software die Patientenkartei seines Sohnes, XXXX .
Am 11.05.2021 um 22:58:54 Uhr öffnete der Beschwerdeführer in der Software die Patientenkartei seines Sohnes, XXXX (geboren am 04.03.2003).
Die Betroffenen haben seit Juli 2016 keinen persönlichen Kontakt zum Beschwerdeführer und sind seit Juli 2016 nicht mehr bei ihm ihn Behandlung bzw. seine Patienten. Sie sind auch nicht Patienten des Ärztezentrums, in dem der Beschwerdeführer tätig ist.
1.3. Infolge der durch die Covid-19-Pandemie bedingten gesetzlichen Regelung des § 27 Abs. 14b GTelG erfolgte jeweils durch das Öffnen der Patientenkarteien auch automatisch ein Auslesen der ELGA-e-Medikationsdaten. Das Stecken einer E-Card war nicht erforderlich, sondern die Identifizierung erfolgte durch Angabe von Name und Sozialversicherungsnummer. Entsprechende Informationen zu dieser Änderung der Gesetzeslage während der Covid-19-Pandemie erfolgten durch die Sozialversicherung, die Ärztekammer sowie durch XXXX an alle Ärzte bzw. Kunden der XXXX .
Beim Öffnen der Patientenkartei werden keine Daten aus ELGA-Akten in die Patientenkartei automatisiert übertragen, sondern es erscheint ein Emblem (i.e. eine kleine Schaltfläche) am unteren Bildschirmrand. Klickt man dieses Emblem an, so öffnet sich in einem separaten Fenster ein „Befundcockpit“ mit den aus dem jeweiligen ELGA-Akt im Hintergrund ausgelesenen Daten. Um diesen automatischen Datenabgleich mit ELGA während der Covid-19-Pandemie zu unterbinden, wäre es erforderlich gewesen, die bestehenden Dialoge mit ELGA bei Start der Software zu beenden bzw. keine neuen aufzubauen. Dies ist nicht beim Öffnen einer einzelnen Patientenkartei möglich.
1.4. Die in Punkt 1.2 beschriebenen Zugriffe erfolgten ohne Wissen und Zustimmung der jeweils Betroffenen. Nach Entdecken der Zugriffe des Beschwerdeführers auf ihre ELGA-Akten sperrten die Betroffenen den ELGA-Zugriff für den Beschwerdeführer.
1.5. Dem Beschwerdeführer war dieser automatisierte Abgleich der ELGA-Daten durch die Software zum Zeitpunkt des Öffnens der Patientenkarteien nicht bewusst, jedenfalls aber ging der Beschwerdeführer davon aus, dass ein automatisierter Abgleich zwischen der Software und ELGA nicht gegen Datenschutzvorschriften verstoße, solange in weiterer Folge nicht aktiv in die Daten Einsicht genommen werde.
1.6. Der dem Beschwerdeführer zur Verfügung stehende monatliche Betrag beträgt ca. EUR 5.500,00 (12x). Er verfügt über Vermögen in Form einer Liegenschaft mit unbekanntem Wert. Darüber hinaus bestehen Unterhaltspflichten gegenüber der Ex-Gattin sowie dem in Ausbildung befindlichen Sohn XXXX sowie Kreditverpflichtungen in unbekannter Höhe.
2. Beweiswürdigung
Der Sachverhalt, der Verfahrensgang und die Feststellungen ergeben sich aus dem unbestrittenen Akteninhalt.
2.1. Der festgestellte Tatzeitraum bzw. die festgestellten Zugriffszeiten auf die ELGA-Akten der Betroffenen ergeben sich aus den von den Betroffenen im Verwaltungsstrafverfahren vorgelegten Zugriffsprotokollen. Soweit der Beschwerdeführer in seiner Beschwerde (Punkt 4.) vorbringt, dass ihm diese Protokolle nicht ausreichend inhaltlich zur Kenntnis gebracht worden seien, ist darauf zu verweisen, dass der Beschwerdeführer im Rahmen der mündlichen Verhandlung auf eine Akteneinsicht und Verlesung von Aktenbestandteilen verzichtet hat und die Richtigkeit der Protokolle in weiterer Folge nicht bestritten hat. Entgegen der Ansicht der belangten Behörde ergibt sich aus den Zugriffsprotokollen vom 11.05.2021 jedoch keine Zugriffsdauer von 22:57 bis 23:44 Uhr, zumal der Zeuge XXXX , der mit der Funktion der Software und der Zugriffsprotokollierung vertraut ist, in der mündlichen Verhandlung darlegte, dass lediglich eine Zugriffszeit, jedoch keine Zugriffsdauer protokolliert werde (VP S. 18).
2.2. Dass die Betroffenen keine Patienten des Beschwerdeführers sind und auch sonst keinen Kontakt mehr zu ihm haben, hat der Beschwerdeführer nicht bestritten bzw. ausdrücklich zugestanden (VP S. 9).
2.3. Die Feststellungen zur Funktionsweise der Software bzw. des automatischen Datenabgleichs mit ELGA beruhen auf den Aussagen des Zeugen XXXX in Verbindung mit der Demonstration der Funktionsweise der Software durch den Beschwerdeführer in der mündlichen Verhandlung (VP S. 14, 15 sowie 17 und 18 ff.). Auch der Beschwerdeführer räumte in der mündlichen Verhandlung (in Übereinstimmung mit der Aussage des Zeugen XXXX ) ein, dass eine Information über die Änderung der Zugriffsmöglichkeiten während der Covid-19-Pandemie erfolgt ist, dass er die entsprechenden Schreiben bzw. das Handbuch aber nicht (genau) gelesen habe (VP S. 9, 20, 23).
2.4. Dass die Zugriffe des Beschwerdeführers auf die ELGA-Akten der Betroffenen nicht autorisiert waren, ergibt sich aus der Strafanzeige der Betroffenen. Soweit der Beschwerdeführer vorbrachte, hinsichtlich des mj XXXX obsorgeberechtigt und damit zugriffsberechtigt gewesen zu sein, ist dem entgegenzuhalten, dass XXXX zum Zeitpunkt des Zugriffs bereits volljährig war.
Die Sperre des ELGA-Zugriffs des Beschwerdeführers durch die Betroffenen ergibt sich aus den vorgelegten Protokollen aus den ELGA-Akten der Betroffenen.
2.5. Dass der Beschwerdeführer nicht bewusst auf die ELGA-Akte der Betroffenen zugegriffen hat, um sich aufgrund privater Interessen über die e-Medikationsdaten der Betroffenen zu informieren, ergibt sich aus folgenden Erwägungen: Der Beschwerdeführer schilderte im Rahmen der mündlichen Verhandlung glaubhaft, dass er einen Vergleichsbefund, den er für die Behandlung seiner Schwägerin benötigte und den er falsch zugeordnet vermutete, in den Akten gleichnamiger Patienten (also seiner Ex-Gattin und seiner Kinder) suchte. Vor dem Hintergrund, dass das bloße Öffnen eines Patientenaktes eine legitime Handlung ist, zumal grundsätzlich kein ELGA-Zugriff damit verbunden ist, ist es durchaus nachvollziehbar, dass ein Arzt auch nach Beendigung des Behandlungsverhältnisses einen Patientenakt öffnet, um darin zB etwas nachzuschauen. Schließlich handelt es sich bei den darin enthaltenen Daten um Daten, die er selbst im Rahmen der Behandlung des jeweiligen Patienten verarbeitet und zu deren Aufbewahrung er rechtlich verpflichtet ist. Erst während der Corona-Pandemie wurde für einen vorübergehenden Zeitraum überhaupt erst die Möglichkeit geschaffen, auf ELGA-Akten ohne entsprechendes Stecken einer E-Card zuzugreifen, wobei der Beschwerdeführer überzeugend darlegen konnte, dass ihm diese Änderung zum Zeitpunkt seiner Abfragen nicht bekannt war (siehe dazu unten Punkt 2.5.).Der Beschwerdeführer legte zudem zwei Befunde vor, die belegen, dass seine Schwägerin zu den zwei fraglichen Zeitpunkten in seiner Behandlung stand (Laborbefund von Frau XXXX vom 13.01.2021 sowie vom 11.05.2021), sodass es glaubhaft erscheint, wenn der Beschwerdeführer angibt, er habe in diesem Zusammenhang weitere, nicht auffindbare Befunde in Karteien namensgleicher Personen gesucht. Plausibel erscheint ebenso die Aussage des Beschwerdeführers, dass derartige Blutbefunde, die im Rahmen einer chemotherapeutischen Behandlung regelmäßig angefertigt werden, mit Vorbefunden abgeglichen werden müssen, um die Auswirkungen der Chemotherapie auf das Blutbild zu untersuchen (VP S. 9), sodass es insgesamt nachvollziehbar erscheint, dass der Beschwerdeführer – wie er selbst im Rahmen der mündlichen Verhandlung angab – einige Patientenkarteien öffnete, um zu schauen, ob er auf diese Art und Weise zu einem falsch zugeordneten Vergleichsbefund kommen könne. Der vom Beschwerdeführer vorlegte externe Befund seiner Schwägerin vom 30.04.2021 zeigt jedenfalls auch, dass seine Schwägerin in onkologischer Behandlung steht und stützt somit die Verantwortung des Beschwerdeführers. Ebenso erscheint es nachvollziehbar, dass der Beschwerdeführer jene Blutbefunde, die er am 14.01.2021 sowie am 11.05.2021 gesucht habe, nicht vorlegen konnte, wenn er diese tatsächlich nie bekommen hat, sondern seiner Schwägerin in weiterer Folge vielmehr die eigenen Befunde übermittelte und sie bat, direkt im Krankenhaus nachzufragen, ob Handlungsbedarf bestehe (VP S. 9/10).
Aus den Aussagen des Beschwerdeführers und des Zeugen XXXX ergibt sich jedenfalls auch übereinstimmend, dass eine falsche Zuordnung von Befunden in eine Patientenkartei vorkommen kann, und zwar insbesondere dann, wenn eine manuelle Zuordnung in der Praxis erfolgt und versehentlich eine falsche Person angeklickt wird (VP S. 19). Angesichts der Tatsache, dass der Beschwerdeführer in einem Ärztezentrum mit mehreren Ärzten und Angestellten tätig ist, ist plausibel, dass der Beschwerdeführer eine derartige fehlerhafte Zuordnung im System vermutete.
Der erkennende Senat übersieht dabei nicht, dass die Verantwortung des Beschwerdeführers im Verlaufe des Verfahrens im Detail abweichend und teilweise auch widersprüchlich war. Allerdings konnte dieser glaubhaft im Rahmen der mündlichen Verhandlung darlegen, dass er sich vor der Einvernahme vor der belangten Behörde nicht genau angeschaut habe, welche Befunde er konkret gesucht habe und sich gedacht habe, er könne das Ganze erklären. Er sei bei der Einvernahme vielleicht ein wenig naiv gewesen. Er habe jedoch übereinstimmend ausgesagt, dass er Befunde in den Patientenkarteien gesucht habe (VP S. 11), sodass der erkennende Senat insgesamt nicht davon ausgeht, dass es sich bei der Verantwortung des Beschwerdeführers um eine Schutzbehauptung handelt, sondern er vielmehr das gegenständliche Verfahren zunächst als einen Zug seiner Frau, um ihn „fertig zu machen“ (VP S. 8), sah und sich erst später im Verlauf des Verfahrens im Detail damit auseinandersetzte.
Dass der Zugriff des Beschwerdeführers auf die ELGA-Akten der Betroffenen nicht bewusst erfolgte, erscheint ferner auch vor dem Hintergrund, dass dieser Zugriff ohne Stecken einer E-Card nur in einem eingeschränkten Zeitraum während der Covid-19-Pandemie möglich war, glaubhaft. Der Beschwerdeführer ist bereits seit geraumer Zeit als Arzt tätig, es erscheint daher nachvollziehbar, dass eine zeitlich beschränkte Änderung der Zugriffsmöglichkeiten auf ELGA (wenn auch vorwerfbar) an ihm vorübergegangen ist und er im bloßen Öffnen der Patientenkarteien, die Daten aus dem Behandlungsverhältnis zwischen ihm und den Betroffenen enthalten und zu deren Aufbewahrung ein Arzt auch nach Beendigung des Behandlungsverhältnisses verpflichtet ist, keine Rechtsverletzung vermutete. Gestützt wird diese Annahme durch die Tatsache, dass der Beschwerdeführer in der mündlichen Verhandlung durchgehend bemüht war, den Sachverhalt aufzuklären, aktiv die Funktionsweise der Software auf seinem Notebook vorführte und insgesamt glaubhaft vermitteln konnte, dass er nicht davon ausging, dass die von ihm in der mündlichen Verhandlung vorgezeigten Abfragen ein datenschutzrechtliches Problem darstellen würden.
2.6. Die Angaben zum Einkommen, Vermögen sowie den Unterhaltspflichten des Beschwerdeführers beruhen auf den eigenen Angaben des Beschwerdeführers im Rahmen der mündlichen Verhandlung am 31.01.2023. Festzuhalten ist, dass der Beschwerdeführer im Rahmen der mündlichen Verhandlung angekündigt hatte, detaillierte Einkommensdaten nach der Verhandlung vorzulegen. Im Zuge der Stellungnahme vom 02.02.2023 legte der Beschwerdeführer jedoch lediglich einzelne Kontoauszüge vor, nicht jedoch Einkommenssteuerbescheide oder Unterlagen hinsichtlich der Unterhaltspflichten. Soweit der Beschwerdeführer darauf verweist, dass er letztere nicht vorlegen könne, weil diese (auch) personenbezogene Daten seiner Ex-Gattin sowie seines Kindes enthielten und diese daher einer Offenlegung zustimmen müssten, ist dem entgegenzuhalten, dass die Vorlage derartiger Unterlagen zum Zwecke der Feststellung der Einkommens- und Vermögensverhältnisse im Rahmen eines verwaltungsstrafgerichtlichen Verfahrens selbstverständlich von Art 6 DSGVO gedeckt ist. Der Beschwerdeführer ist daher seiner Mitwirkungspflicht nicht entsprechend nachgekommen. Soweit der Beschwerdeführer angab, dass von den ihm zur Verfügung stehenden EUR 5.500,00 monatlich Unterhaltsleistungen abgezogen würden, ist dies nicht glaubhaft, zumal dem Beschwerdeführer nach eigenen Angaben sodann kein weiterer Betrag zur Deckung seines Lebensunterhalts mehr verbleiben würde. Vielmehr ist daher auch vor dem Hintergrund der beruflichen Tätigkeit des Beschwerdeführers als Gesellschafter der GmbH, die das Ärztezentrum betreibt, in dem der Beschwerdeführer als Arzt tätig ist, davon auszugehen, dass dem Beschwerdeführer dieser Betrag in etwa auch monatlich zur Verfügung steht.
Auch aus den vom Beschwerdeführer ohne weitere Erklärung vorgelegten Unterlagen (OZ 7) ist nicht ersichtlich, worauf sich diese beziehen: Aus diesen Unterlagen ergeben sich weder Laufzeit, Höhe und Dauer von (Kredit-)Verbindlichkeiten, sodass auch diesbezüglich keine Feststellungen getroffen werden konnten. Allein aus der Tatsache, dass ein Konto im Zeitpunkt der Erstellung eines Kontoauszuges einen negativen Stand aufweist, kann nicht auf das Bestehen von zu berücksichtigenden Verbindlichkeiten geschlossen werden.
Das erkennende Gericht geht daher von einem monatlich verfügbaren Betrag von etwa EUR 5.500,00 aus.
3. Rechtliche Beurteilung
Zu A)
Zu Spruchpunkt I.
Nach § 27 Abs.1 DSG entscheidet das Bundesverwaltungsgericht durch Senat unter anderem über Beschwerden gegen Bescheide der Datenschutzbehörde.
3.1. Zu den Rechtsgrundlagen:
Die belangte Behörde hat in ihrem Straferkenntnis unter anderem die folgenden Rechtsgrundlagen zugrunde gelegt: Art. 5 Abs. 1 lit. a, b und c sowie Art. 9 Abs. 1 iVm Art. 83 Abs. 1 und 5 lit. a DSGVO ABl. L 2016/119, S. 1, idgF
Diese Bestimmungen sind auch im gegenständlichen Beschwerdeverfahren vor dem Bundesverwaltungsgericht heranzuziehen, darüber hinaus sind auch die §§ 5, 10, 16 und 19 VStG relevant.
Relevante Bestimmungen des Gesundheitstelematikgesetz (GTelG 2012):
Grundsätze der Datenverarbeitung
§ 14. (1) Die Verarbeitung (Art. 4 Z 2 DSGVO) von ELGA-Gesundheitsdaten ist nur zulässig, wenn
1. die ELGA-Teilnehmer/innen (§ 15 Abs. 1) gemäß § 18 eindeutig identifiziert wurden,
2. die ELGA-Gesundheitsdiensteanbieter oder die ELGA-Ombudsstelle gemäß § 19 eindeutig identifiziert wurden und
3. die ELGA-Gesundheitsdiensteanbieter oder die ELGA-Ombudsstelle gemäß § 21 zur Verarbeitung der ELGA-Gesundheitsdaten berechtigt sind.
(2) Die durch ELGA verfügbar gemachten ELGA-Gesundheitsdaten dürfen personenbezogen ausschließlich
1. für Zwecke gemäß Art. 9 Abs. 2 lit. h DSGVO, ausgenommen für die Zwecke der Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich sowie – unbeschadet der Fälle zulässiger Verarbeitung gemäß § 14 Abs. 3a – ausgenommen für Zwecke der Arbeitsmedizin und die Beurteilung der Arbeitsfähigkeit des Beschäftigten, von
a) den/die ELGA-Teilnehmer/in behandelnden oder betreuenden ELGA-Gesundheitsdiensteanbietern,
[…]
2. […]
verarbeitet werden.
(2a) Die Wahrnehmung der Teilnehmer/innen/rechte gemäß § 16 steht ab Vollendung des 14. Lebensjahres (mündige Minderjährige) ausschließlich dem ELGA-Teilnehmer/der ELGA-Teilnehmerin zu. (3) Das Verlangen, der Zugriff auf und die Verarbeitung von durch ELGA verfügbar gemachten ELGA-Gesundheitsdaten ist jedenfalls verboten:
1. Personen oder Einrichtungen, die weder ELGA-Gesundheitsdiensteanbieter (§ 2 Z 10) noch ELGA-Ombudsstelle (§ 2 Z 14) sind,
2. ELGA-Gesundheitsdiensteanbietern, die nicht in die Behandlung oder Betreuung eines ELGA-Teilnehmers/einer ELGA-Teilnehmerin eingebunden sind,
3. ELGA-Gesundheitsdiensteanbietern, wenn die Voraussetzungen des Abs. 1 nicht erfüllt sind,
[…]
Relevante Bestimmungen des Gesundheitstelematikgesetzes (GTelG 2012), die mit Ablauf des 30.06.2022 außer Kraft getreten sind (in Kraft ab 22.03.2020):
§ 27. (14b) Die Überprüfung der Identität der betroffenen Personen (§ 4 Abs. 3, § 18 Abs. 4) darf gemäß Abs. 16 anhand des Namens und der Sozialversicherungsnummer der betroffenen Person und gemäß § 19 Abs. 2 Z 1 erfolgen.
Die gesetzlichen Grundlagen nach der DSGVO lauten auszugsweise wie folgt:
Art. 4 Z 2 und 7 DSGVO:
Artikel 4 DSGVO
Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck: […]
1. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
[…]
6. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden; […]
Art 5 Abs 1 lit a, b und c DSGVO:
Artikel 5 DSGVO
Grundsätze für die Verarbeitung personenbezogener Daten
(1) Personenbezogene Daten müssen
a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
Art 9 Abs 1 DSGVO:
Artikel 9 DSGVO
Verarbeitung besondere Kategorien personenbezogener Daten
(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
Art 83 Abs 1 und 5 lit a DSGVO:
Artikel 83 DSGVO
Allgemeine Bedingungen für die Verhängung von Geldbußen […]
(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
(5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:
a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;
[…]
Die gesetzlichen Grundlagen nach dem VStG lauten:
Schuld
§ 5. (1) Wenn eine Verwaltungsvorschrift über das Verschulden nicht anderes bestimmt, genügt zur Strafbarkeit fahrlässiges Verhalten. Fahrlässigkeit ist bei Zuwiderhandeln gegen ein Verbot oder bei Nichtbefolgung eines Gebotes dann ohne weiteres anzunehmen, wenn zum Tatbestand einer Verwaltungsübertretung der Eintritt eines Schadens oder einer Gefahr nicht gehört und der Täter nicht glaubhaft macht, daß ihn an der Verletzung der Verwaltungsvorschrift kein Verschulden trifft.
(1a) Abs. 1 zweiter Satz gilt nicht, wenn die Verwaltungsübertretung mit einer Geldstrafe von über 50 000 Euro bedroht ist.
(2) Unkenntnis der Verwaltungsvorschrift, der der Täter zuwidergehandelt hat, entschuldigt nur dann, wenn sie erwiesenermaßen unverschuldet ist und der Täter das Unerlaubte seines Verhaltens ohne Kenntnis der Verwaltungsvorschrift nicht einsehen konnte.
Strafen
§ 10. (1) Strafart und Strafsatz richten sich nach den Verwaltungsvorschriften, soweit in diesem Bundesgesetz nicht anderes bestimmt ist.
(2) Soweit für Verwaltungsübertretungen, insbesondere auch für die Übertretung ortspolizeilicher Vorschriften, keine besondere Strafe festgesetzt ist, werden sie mit Geldstrafe bis zu 218 Euro oder mit Freiheitsstrafe bis zu zwei Wochen bestraft.
Ersatzfreiheitsstrafe
§ 16. (1) Wird eine Geldstrafe verhängt, so ist zugleich für den Fall ihrer Uneinbringlichkeit eine Ersatzfreiheitsstrafe festzusetzen.
(2) Die Ersatzfreiheitsstrafe darf das Höchstmaß der für die Verwaltungsübertretung angedrohten Freiheitsstrafe und, wenn keine Freiheitsstrafe angedroht und nicht anderes bestimmt ist, zwei Wochen nicht übersteigen. Eine Ersatzfreiheitsstrafe von mehr als sechs Wochen ist nicht zulässig. Sie ist ohne Bedachtnahme auf § 12 nach den Regeln der Strafbemessung festzusetzen.
Strafbemessung
§ 19. (1) Grundlage für die Bemessung der Strafe sind die Bedeutung des strafrechtlich geschützten Rechtsgutes und die Intensität seiner Beeinträchtigung durch die Tat.
(2) Im ordentlichen Verfahren (§§ 40 bis 46) sind überdies die nach dem Zweck der Strafdrohung in Betracht kommenden Erschwerungs- und Milderungsgründe, soweit sie nicht schon die Strafdrohung bestimmen, gegeneinander abzuwägen. Auf das Ausmaß des Verschuldens ist besonders Bedacht zu nehmen. Unter Berücksichtigung der Eigenart des Verwaltungsstrafrechtes sind die §§ 32 bis 35 des Strafgesetzbuches sinngemäß anzuwenden. Die Einkommens- und Vermögensverhältnisse und allfällige Sorgepflichten des Beschuldigten sind bei der Bemessung von Geldstrafen zu berücksichtigen.
3.2. Zur Erfüllung des objektiven Tatbestands:
3.2.1. Zur Verarbeitung:
Zur Verantwortlichkeit iSd DSGVO:
Der Beschwerdeführer hat die gegenständlichen Zugriffe auf die ELGA-Akten der Betroffenen selbst vorgenommen. Die belangte Behörde ging zutreffend davon aus, dass der Beschwerdeführer Verantwortlicher im Sinne des Art. 4 Z 7 DSGVO war, was dieser auch nicht bestritt. Der Beschwerdeführer ist zweifelsohne auch Gesundheitsdiensteanbieter gemäß § 2 Z 10 lit. a GTelG, und die Betroffenen sind ELGA-Teilnehmer gemäß § 2 Z 12 GTelG.
Als Verantwortlicher ist der Beschwerdeführer Adressat der Pflichten aus der DSGVO in Bezug auf den Datenschutz im Zusammenhang mit Patientendaten.
Zur Einordnung als personenbezogene Gesundheitsdaten:
Die e-Medikationsdaten der Betroffenen sind zweifelsfrei personenbezogene Gesundheitsdaten im Sinne von § 2 Z 1 GTelG iVm Art. 4 Z 15 DSGVO.
Zur Verarbeitung im Sinne der DSGVO:
Entgegen der Auffassung des Beschwerdeführers umfasst der Begriff „Verarbeitung“ nach Art 4 Z 2 DSGVO nicht nur das „Sichtbarmachen“ bzw. das „aktive Lesen“ von personenbezogenen Daten. Die DSGVO definiert den Begriff der „Verarbeitung“ in Art. 4 Z 2 DSGVO durch die Aufzählung einer Reihe von möglichen Nutzungsvorgängen. Mitumfasst sind dabei das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Generell ist der Begriff äußerst weit gefasst. Die DSGVO unterscheidet weder hinsichtlich der Intensität oder Dauer einer jeweiligen Verarbeitung, noch wird im Zusammenhang mit der für die Verarbeitung eingesetzten Technik eine Differenzierung vorgenommen (Jahnel, Kommentar zu Datenschutz-Grundverordnung Art 4 Z 2 DSGVO Rz 5, 18). „Erheben“ bezeichnet das Sammeln von Daten über eine betroffene Person durch den Verantwortlichen. Solange die Daten durch ein aktives Tun des Verantwortlichen beschafft werden, spielt es keine Rolle, auf welche Art und Weise die Erhebung stattfindet. Daten können daher beispielsweise via Internetsuche abgerufen oder es können Personen direkt mündlich befragt werden (vgl. Jahnel, Kommentar zur Datenschutz-Grundverordnung Art. 4 Z 2 DSGVO Rz 8).
Durch das Erheben und Erfassen gelangen Daten in den Verfügungsbereich des Verantwortlichen, wobei hier aktive Handlungen gesetzt werden. Eine inhaltliche Kenntnisnahme wird dabei nicht verlangt, allerdings die Möglichkeit, die Daten inhaltlich zur Kenntnis nehmen zu können (Hödl in Knyrim, DatKomm Art 4 DSGVO Rz 29 (Stand 1.12.2018, rdb.at)).
Das „Auslesen“ von personenbezogenen Daten (in der englischen Übersetzung „retrieval“) hat eine doppelte Bedeutung. Auslesen liegt jedenfalls vor, wenn die Daten der Sehfunktion eines Menschen zugänglich gemacht werden. Sie werden dafür auf einem Display oder einem anderen Endgerät sichtbar gemacht (vgl Sydow/Reimer, Europäische Datenschutzgrundverordnung, Art. 4 Rn. 63; Roßnagel in Simitis/Hornung/Spiecker Datenschutzrecht, Artikel 4 Nr. 2 Rn 22).
Die „Verwendung“ von Daten stellt einen Auffangtatbestand dar, der jeglichen Gebrauch personenbezogener Daten umfasst, der den übrigen angeführten Nutzungskategorien nicht eindeutig zugeordnet werden kann (vgl. Jahnel, Kommentar zur Datenschutz-Grundverordnung Art. 4 Z 2 DSGVO Rz 13).
Die mitbeteiligten Parteien sind seit Juli 2016 nicht mehr beim Beschwerdeführer in Behandlung. Obwohl der Beschwerdeführer als Gesundheitsanbieter nicht mehr in die Behandlung der mitbeteiligten Parteien eingebunden war, hat er zu den oben festgestellten Zeitpunkten auf deren ELGA-Gesundheitsdaten zugegriffen.
Demnach erfolgte im vorliegen Fall eine Verarbeitung personenbezogener Daten im Sinne von § 14 GTelG Abs. 3 Z 2 iVm Art. 4 Z 2 DSGVO, auch wenn der Beschwerdeführer die Daten tatsächlich nicht aktiv angesehen hat. Die bloße Möglichkeit der Kenntnisnahme ist ausreichend. Diese war durch das Abrufen der e-Medikationsdaten der Betroffenen in einem separaten „Befundcockpit“ gegeben.
Wie lange der Zugriff konkret dauerte und ob sich der Beschwerdeführer tatsächlich von den automatisch beim Öffnen der Patientenkarteien abgeglichenen bzw. aus dem ELGA-Akt ausgelesenen Daten Kenntnis verschafft hat, ist rechtlich vor diesem Hintergrund irrelevant, zumal auch das bloße Auslesen oder der Abgleich von Daten eine Verarbeitung im Sinne des Art. 4 Z 2 DSGVO darstellt und die DSGVO nicht hinsichtlich der Intensität oder Dauer einer Verarbeitung unterscheidet.
3.2.2. Zur Rechtmäßigkeit der Datenverarbeitung (Spruchpunkt I. des bekämpften Straferkenntnisses)
Gemäß den Verarbeitungsgrundsätzen nach Art 5 DSGVO müssen personenbezogene Daten – soweit verfahrensrelevant – auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“; siehe Art 5 Abs 1 lit a DSGVO). Sie dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden („Zweckbindung“; siehe Art. 5 Abs. 1 lit. b DSGVO). Ferner müssen personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“; siehe Art 5 Abs 1 lit c DSGVO).
Nach Art. 9 Abs. 1 DSGVO sind besondere Kategorien personenbezogener Daten (im Folgenden: „sensible Daten“) aufgrund ihres engen Bezugs zu den Grundrechten und Grundfreiheiten (siehe Erwägungsgrund 51 S 1) schon per se besonders schutzwürdig, ihre Verarbeitung daher grundsätzlich verboten, so auch die Verarbeitung von Gesundheitsdaten, sofern kein Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO vorliegt. Nach Art. 9 Abs. 4 können Mitgliedstaaten zusätzliche Bedingungen, einschließlich Beschränkungen, einführen oder aufrechterhalten, soweit u.a. die Verarbeitung von Gesundheitsdaten betroffen ist und damit die Anforderungen des Ausnahmekatalogs in Abs. 2 noch einmal verschärfen (Ehmann/Seymar, Art. 9, Rz 64). Der österreichische Gesetzgeber hat davon Gebrauch gemacht und in § 14 GTelG geregelt, dass die durch ELGA verfügbar gemachten ELGA-Gesundheitsdaten personenbezogen ausschließlich für Zwecke gemäß Art. 9 Abs. 2 lit. h DSGVO von den/die ELGA-Teilnehmer/in behandelnden oder betreuenden ELGA-Gesundheitsanbietern verarbeitet werden dürfen (§ 14 Abs. 2 Z 1 Buchst. a GTelG) und dass der Zugriff und die Verarbeitung von durch ELGA verfügbar gemachten ELGA-Gesundheitsdaten ELGA-Gesundheitsdiensteanbietern, die nicht in die Behandlung oder Betreuung eines ELGA-Teilnehmers/einer ELGA-Teilnehmern eingebunden sind, verboten ist (Abs. 3 Z 2 GTelG). Mit diesen Bestimmungen soll ELGA-Teilnehmer/innen der bestmögliche Schutz vor dem Abnötigen eines ELGA-Zugriffs und somit der Kenntnisnahme ihrer ELGA-Gesundheitsdaten geboten werden (1936 der Beilagen XXIV. GP – Regierungsvorlage – Erläuterungen, S. 28).
Für den gegenständlichen Fall bedeutet das:
Da der Beschwerdeführer die e-Medikationsdaten der Betroffenen durch Öffnen der Patientenkarteien aus ELGA abgerufen hat, ohne dass die Betroffenen in einem Behandlungsverhältnis zum Beschwerdeführer standen oder ihre Zustimmung zum Abruf gegeben hatten, ist der objektive Tatbestand eines Verstoßes gegen die Grundsätze für die Verarbeitung des Art 5 Abs 1 lit a, b und c erfüllt, da weder dem Grundsatz der Rechtmäßigkeit der Datenverarbeitung, noch dem Grundsatz der Zweckbindung oder der Datenminimierung gefolgt wurde, noch ein Ausnahmetatbestand des Art. 9 Abs. 2 DSGVO (konkret des Art. 9 Abs. 2 lit h DSGVO) vorlag.
Soweit der Beschwerdeführer angab, aufgrund der zum Zeitpunkt des Zugriffs auf die Daten des damals minderjährigen XXXX am 11.05.2021 obsorgeberechtigt und damit auch zugriffsberechtigt gewesen zu sein, ist dem entgegenzuhalten, dass XXXX am 04.03.2003 geboren ist und zum Zeitpunkt des Zugriffs somit bereits volljährig war. Selbst wenn er zum Zeitpunkt des Zugriffs noch minderjährig gewesen wäre, wäre für den Beschwerdeführer nichts gewonnen, zumal gemäß § 14 Abs 2a GTelG 2012 die Wahrnehmung der Teilnehmer/innen/rechte gemäß § 16 ab Vollendung des 14. Lebensjahres (mündige Minderjährige) ausschließlich dem ELGA-Teilnehmer/der ELGA-Teilnehmerin zusteht. XXXX hatte dem Beschwerdeführer keine Zugriffserlaubnis erteilt. Der Beschwerdeführer war daher ungeachtet einer allfälligen Obsorgeregelung nicht berechtigt, auf die ELGA e-Medikationsdaten seines Sohnes zuzugreifen.
Die Strafbarkeit dieses Verstoßes gründet sich auf Art 83 Abs 5 lit a DSGVO.
3.3. Zur Erfüllung des subjektiven Tatbestands:
Wie dargestellt, hat der Beschwerdeführer die im Hintergrund erfolgten Zugriffe auf die ELGA-Akten der Betroffenen nicht bestritten. Er gab jedoch an, sich im Zeitpunkt des Öffnens der Patientenkarteien nicht bewusst gewesen zu sein, dass damit automatisch auch im Hintergrund eine ELGA-Abfrage durchgeführt werde, sondern dies erst nach Einleitung des gegenständlichen Verwaltungsstrafverfahrens erfahren zu haben. Die belangte Behörde ging aufgrund der widersprüchlichen Angaben in der Verantwortung des Beschwerdeführers auf die Frage, warum er die Patientenkarteien geöffnet habe und wonach er gesucht habe, davon aus, dass es sich bei den Angaben des Beschwerdeführers um bloße Schutzbehauptungen handelte und der Zugriff somit vorsätzlich erfolgte, um sich aufgrund privater Interessen über die e-Medikationsdaten der Betroffenen zu informieren.
Entgegen der Ansicht der belangten Behörde lässt sich allein aus der Verantwortung des Beschwerdeführers über das Verfahren hinweg kein Vorsatz ableiten.
Der Tatbestand des Art 83 Abs 5 lit a DSGVO setzt (vereinfacht gesagt) einen Verstoß gegen die Grundsätze für die Verarbeitung nach Art 5 DSGVO voraus. Objektiv liegt dieser wie dargestellt vor.
Allerdings zeigt sich im gegenständlichen Fall anhand der Ausführungen des Beschwerdeführers, dass dieser einem Tatbildirrtum unterlag, zumal ihm nicht bekannt war, dass durch gesetzliche, durch die Covid-19-Pandemie bedingte Änderungen ein Öffnen der Patientenkartei automatisch auch eine ELGA-Abfrage initiierte.
Während ein Verbotsirrtum die rechtliche Fehlbeurteilung eines in seiner Faktizität und seinem Bedeutungsgehalt zutreffend erkannten Sachverhalts betrifft, verkennt der Täter bei Vorliegen eines Tatbildirrtums das Vorliegen eines Tatbestandelements und handelt insoweit vorsatzlos. Er kann daher jedenfalls nicht wegen vorsätzlicher Begehung, bei vorwerfbarem Irrtum und gesetzlich vorgesehener Fahrlässigkeitsvariante aber selbstredend wegen fahrlässiger Deliktsverwirklichung bestraft werden; zB VwGH 21. 4. 1997, 96/17/0097; Lewisch in Lewisch/Fister/Weilguni, VStG2 § 5 Rz 15 (Stand 1.5.2017, rdb.at)). Aus dem Wesen des Tatbildirrtums als "Negation des Vorsatzes" folgt, dass bei einem Tatbildirrtum eine Bestrafung wegen eines Vorsatzdeliktes in keinem Fall in Betracht kommt. Bei einem Tatbildirrtum hinsichtlich eines Fahrlässigkeitsdeliktes ist der Täter aber dann strafbar, wenn der Tatbildirrtum auf Fahrlässigkeit beruht (VwGH 16.05.2019, Ra 2019/21/0036). Es ist daher entscheidend, ob dem Täter der Tatbildirrtum vorwerfbar ist.
Dem Beschwerdeführer ist der Tatbildirrtum im konkreten vorwerfbar, wenn er sich – trotz Veranlassung hierzu – über die Änderungen der Abfrageberechtigung während der Covid-19-Pandemie und die automatisierte ELGA-Abfrage nicht näher informiert bzw. die Informationen der Sozialversicherung sowie des Anbieters der Software nicht entsprechend wahrgenommen und berücksichtigt hat. Es besteht also insoweit eine Erkundungspflicht. Dem Beschwerdeführer musste es aufgrund der Informationen durch die Sozialversicherung, der Ärztekammer und den Anbieter der Software bekannt sein, dass es zu Änderungen beim ELGA-Zugriff im Rahmen der Covid-19-Pandemie gekommen war. Ferner musste ihm bekannt sein, dass es einschlägige Bestimmungen hinsichtlich der Zugriffsberechtigungen auf Patientendaten gibt, zumal der Beschwerdeführer in einem Beruf tätig ist, in dem Datenschutz einen hohen Stellenwert einnimmt und Sonderregelungen in den einschlägigen Gesetzen bestehen. Indem der Beschwerdeführer keine Erkundigungen eingeholt hat sowie Informationsschreiben und das Benutzerhandbuch der Software nicht berücksichtigt hat, ist ihm der Tatbildirrtum vorwerfbar.
Selbst wenn dem Beschwerdeführer bewusst gewesen sein sollte, dass mit dem Öffnen der Patientenkartei automatisch auch eine ELGA-Abfrage initiiert wird, so dachte der Beschwerdeführer irrtümlich, dass keine Datenverarbeitung vorliege, solange er die Daten nicht aktiv lese bzw. aufrufe. Der Beschwerdeführer handelte insofern fahrlässig (vorwerfbarer Verbotsirrtum), als er sich nicht über die entsprechenden Bestimmungen und insbesondere die Änderungen aufgrund der Covid-19-Pandemie informierte, obwohl ihm bewusst sein musste, dass dem Datenschutz gerade in Gesundheitsberufen ein hoher Stellenwert zukommt, zumal es sich um sensible Daten handelt. Dies gilt umso mehr, als über die DSGVO seit deren Wirksamwerden im Jahre 2018 breit in der Öffentlichkeit informiert und diskutiert wurde, eine große Anzahl von medialen Beiträgen zu diesem Thema erschienen ist und Datenschutz durch das Internet und die Digitalisierung ein ständiger Begleiter ist. Unterlässt der Beschuldigte bei gebotener Informationspflicht derartige Erkundigungen, ist der Verbotsirrtum vorwerfbar (VwGH 10.02.1999, 98/09/0298).
Im Ergebnis liegt daher auf der subjektiven Tatseite Verschulden in Form von fahrlässigem Verhalten im Sinne des Art 83 Abs 2 lit b DSGVO vor.
3.4. Zur Strafbemessung:
Die Strafbemessung innerhalb eines gesetzlichen Strafrahmens ist eine Ermessensentscheidung, die nach den vom Gesetzgeber im § 19 VStG festgelegten Kriterien vorzunehmen ist (VwGH 05.09.2013, 2013/09/0106).
Grundlage für die Bemessung der Strafe sind die Bedeutung des strafrechtlich geschützten Rechtsguts und die Intensität seiner Beeinträchtigung durch die Tat (§ 19 Abs. 1 VStG). Überdies sind die in Betracht kommenden Erschwerungs- und Milderungsgründe gegeneinander abzuwägen. Auf das Ausmaß des Verschuldens ist besonders Bedacht zu nehmen. Unter Berücksichtigung der Eigenart des Verwaltungsstrafrechts sind die §§ 32 bis 35 des Strafgesetzbuches sinngemäß anzuwenden. Die Einkommens- und Vermögens-verhältnisse und allfällige Sorgepflichten des Beschuldigten sind bei der Bemessung von Geldstrafen zu berücksichtigen (§ 19 Abs. 2 VStG).
Art 83 Abs 2 DSGVO sieht im Rahmen der Strafbemessung die folgenden Kriterien vor:
(2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und j verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:
a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;
e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;
f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;
i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;
j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und
k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.
Bezogen auf den vorliegenden Sachverhalt wurde bereits von der belangten Behörde bei der Strafzumessung Folgendes erschwerend berücksichtigt:
- Art und Schwere des Verstoßes: Der Beschwerdeführer hat durch die gegenständliche Verarbeitung (zum Teils mehrmals) in das Grundrecht von vier Betroffenen auf Geheimhaltung unrechtmäßig eingegriffen. Die Betroffenen konnten darauf vertrauen, dass ihre sensiblen Daten im Rahmen der e-Medikations-Anwendung in ELGA von grundsätzlich befugten Personen bzw. zugelassenen Ärzten nicht missbräuchlich verwendet, sondern ausschließlich im Rahmen der gesetzlichen Vorgaben des GTelG 2012 verarbeitet werden. Die Betroffenen wurden durch den Eingriff in ihrem Recht auf Geheimhaltung nach § 1 Abs. 1 DSG sowie die Achtung des Privat- und Familienlebens und das Recht auf Schutz personenbezogener Daten nach Art. 7 und 8 EU-GRC verletzt. Als besonders erschwerend wurde die missbräuchliche Verwendung der e-Medikationsdaten für eine zweckwidrige Verarbeitung durch den Beschuldigten als in Österreich niedergelassenen Arzt bewertet.
- Kategorien personenbezogener Daten, die vom Verstoß betroffen sind: Im konkreten Fall waren sensible Daten bzw. Gesundheitsdaten vom Verstoß betroffen;
- Der gegenständliche Verstoß wurde vom Beschuldigten vorsätzlich begangen.
Mildernd wurde bei der Strafzumessung Folgendes berücksichtigt:
- Gegen den Beschwerdeführer lagen bis dato bei der belangten Behörde keine einschlägigen Vorstrafen vor.
- Der Beschuldigte hat im Rahmen des Ermittlungsverfahrens mitgewirkt, indem er mehrere Stellungnahmen einbrachte und an der persönlichen Einvernahme per WebEx teilnahm.
Das Bundesverwaltungsgericht hat dazu erwogen:
Die von der Behörde angeführten erschwerenden Umstände der Tat (Art und Schwere des Verstoßes sowie Kategorien personenbezogener Daten) sieht der erkennende Senat weiterhin als gegeben vor, wenn auch von einem kürzeren Tatzeitraum auszugehen ist bzw. die Dauer des von der belangten Behörde angenommenen Zugriffs auf die Patientendaten nicht festgestellt werden konnte.
Hinsichtlich der Schuld konnte jedoch – abweichend zum Straferkenntnis der belangten Behörde – generell nur Fahrlässigkeit festgestellt werden.
Somit liegt der von der belangten Behörde als erschwerend gewertete Grund der Vorsätzlichkeit nicht vor.
Die als mildernd gewerteten Gründe, wie das Fehlen von einschlägigen Vorstrafen bzw. Verstöße gegen die DSGVO und der Beitrag zur Wahrheitsfindung liegen nach Ansicht des erkennenden Senats weiterhin vor. Insbesondere intensivierte der Beschwerdeführer seinen Beitrag zur Wahrheitsfindung in der mündlichen Verhandlung nochmals, indem er den Zugriff auf die Patientenkarteien über die Software auf dem unaufgefordert mitgebrachten PC demonstrierte und dazu auch die Zustimmung der bei ihm in Behandlung stehenden Schwägerin im Vorfeld der Verhandlung eingeholt hatte.
Unberücksichtigt blieb allerdings der Milderungsgrund, dass der Beschwerdeführer die Tat zum Teil in einem die Schuld nicht ausschließenden Rechtsirrtum begangen hat (siehe dazu §§ 34 Abs. 1 Z 12 iVm 9 StGB). Es scheint daher in diesem Fall aufgrund des geringeren Grades des Verschuldens und des unberücksichtigt gebliebenen Milderungsgrundes des Rechtsirrtums eine niedrige Geldstrafe aus spezialpräventiver Sicht ausreichend, um den unbescholtenen Beschwerdeführer in Zukunft wirksam von der Begehung strafbarer Handlungen gleicher Art abzuhalten (siehe dazu auch die Rechtsprechung des VwGH beim Wegfallen von Erschwerungsgründen: VwGH 07.03.2016, Ra 2015/02/0225).
Die von der belangten Behörde festgesetzte Strafe war daher entsprechend herabzusetzen.
3.5. Zu den Kosten des Verwaltungsstrafverfahrens sowie des Beschwerdeverfahrens:
Gemäß § 64 Abs. 1 VStG ist im Straferkenntnis auszusprechen, dass der Bestrafte einen Beitrag zu den Kosten des Strafverfahrens zu leisten hat. Gemäß § 64 Abs. 2 VStG ist dieser Beitrag für das Verfahren erster Instanz mit 10% der verhängten Strafe, mindestens jedoch mit 10 Euro zu bemessen. Der Beitrag zu den Kosten war aufgrund der Herabsetzung der verhängten Strafe entsprechend zu reduzieren.
Aus den vorgenannten Gründen war der Beschwerde hinsichtlich des Ausspruchs über die verhängte Strafe teilweise Folge zu geben. Die Kosten des Beschwerdeverfahrens vor dem Bundesverwaltungsgericht waren dem Beschwerdeführer gemäß § 52 Abs. 1 und Abs. 2 VwGVG nicht aufzuerlegen, weil seiner Beschwerde teilweise Folge gegeben wurde.
3.6. Es war daher spruchgemäß zu entscheiden.
Zu B)
Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.
Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig, weil die Entscheidung nicht von der Lösung einer Rechtsfrage abhängt, der grundsätzliche Bedeutung zukommt. Die gegenständliche Rechtsprechung (insbesondere zur Auslegung einer „Verarbeitung“ im Sinne des Art. 4 Z 2 DSGVO) steht im Einklang mit der Rechtsprechung der Höchstgerichte und ist außerdem aus dem eindeutigen Wortlaut der DSGVO und des DSG erschließbar. Auch liegen keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfrage vor.
3.7. Zahlungsinformation
Sie haben den Gesamtbetrag von EUR 2.750,00 (Strafe, Kosten des verwaltungsbehördlichen Verfahrens) binnen 2 Wochen auf das Konto des Bundesverwaltungsgerichtes (BVwG) mit dem IBAN AT840100000005010167 (BIC BUNDATWW) unter Angabe der Verfahrenszahl spesenfrei für den Empfänger einzuzahlen oder unter Mitnahme dieses Erkenntnisses beim Bundesverwaltungsgericht einzuzahlen. Bei Verzug muss damit gerechnet werden, dass der Betrag nach erfolgter Mahnung zwangsweise eingetrieben und im Fall seiner Uneinbringlichkeit die Ersatzfreiheitsstrafe vollstreckt werden wird.
Rückverweise
Keine Verweise gefunden
