Verantwortlichkeit bei Missachtung interner Prozesse durch Mitarbeiter
FloBru

Weitergabe von Daten an die Polizei

/0 Kommentare/in /von

Ist ein Arbeitgeber datenschutzrechtlich Verantwortlicher, wenn ein Mitarbeiter Vorgaben missachtet? Müssen Mitarbeiter geschult werden?

Sachverhalt

  • Der Betroffene wurde in einer Klinik wegen Substanzmissbrauchs behandelt und machte eine Verletzung im Recht auf Geheimhaltung gemäß § 1 DSG sowie Art. 9 DSGVO geltend.
  • Der Sicherheitsmanager der Klinik hatte auf Anfrage eines Polizeibeamten per E-Mail Gesundheitsdaten der mitbeteiligten Partei sowie einen Notfall-Bericht ohne formelles Ersuchen übermittelt. Dabei hatte er die Krankengeschichte des Betroffenen durch eine einfache E-Mail-Anfrage bei der Leitung des Patientenmanagements erhalten.
  • Die Datenschutzbehörde stellte eine Verletzung des Rechts auf Geheimhaltung fest. Die Klinik wandte sich gegen diese Entscheidung mit der Begründung, der Sicherheitsmanager habe eigenmächtig und außerhalb seiner Befugnisse gehandelt.

Begründung

  • Datenschutzrechtliche Verantwortlichkeit:
    Die Klinik ist als Verantwortliche gemäß Art. 4 Z 7 DSGVO für die Datenverarbeitung anzusehen, da der Sicherheitsmanager im Rahmen seiner dienstlichen Aufgaben (Kommunikation mit der Polizei) handelte, auch wenn er seine Befugnisse überschritt. Auch eine interne Richtlinie zum Umgang mit Daten nutzte der Klinik nichts, da Grundsätze der Datenverarbeitung, insbesondere die organisatorischen Datensicherheitsmaßnahmen, durch für die Klinik tätige Bedienstete verletzt wurden. Weitere implementierte Datensicherheitsmaßnahmen erwiesen sich als offensichtlich unzureichend, Kontrollmöglichkeiten wurden nicht genutzt (Monitoring der Zugriffe auf Patientendaten z.B. in Verbindung mit einer Plausibilitätsprüfung).
  • Dass diesbezügliche Schulungen oder Überprüfungen stattfanden, wurde von der Klinik bloß unsubstantiiert behauptet, überdies kann auch bei langjährigen Mitarbeitern nicht davon ausgegangen werden, dass auf wiederholte datenschutzrechtliche Schulungs- und Überprüfungsmaßnahmen verzichtet werden kann. 
  • Zurechnung des Mitarbeiterhandelns:
    Eine Durchbrechung der Verantwortlichkeit liegt nur vor, wenn ein Mitarbeiter Daten für eigene private Zwecke verarbeitet. Der Sicherheitsmanager verfolgte kein erkennbares Eigeninteresse, sondern handelte im Rahmen seiner Aufgaben, wenn auch rechtswidrig.
  • Rechtmäßigkeit der Datenübermittlung:
    Die Datenübermittlung war rechtswidrig, da keine formelle Anfrage der Polizei vorlag, keine Prüfung der Erforderlichkeit erfolgte und die Grundsätze der Datenminimierung sowie der Rechenschaftspflicht verletzt wurden.

BVwG vom 20.10.2025, W108 2276075-1

0 Kommentare

Hinterlasse einen Kommentar

An der Diskussion beteiligen?
Hinterlasse uns deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Kleider machen Leute, Chefs machen RegelnA professional office scene in warm summer light, where a confident manager in a crisp suit stands giving instructions to a casually dressed young employee wearing shorts and a t-shirt. The employee looks slightly surprised. In the background, other workers in business attire are at their desks. The setting is a modern Austrian office with large windows showing bright sunny weather outside. Editorial illustration style, clean and realistic with a touch of humor, warm color palette emphasizing the contrast between formal and casual summer clothing. No text.Auswertung ZutrittsdatenAuswertungen von Zutrittsdaten fürs Finanzamt