Bis heute hält sich vielfach die Märe, dass die Datenschutzgrundverordnung nur für die digitalen Welt Gültigkeit besitzt. Richtig ist jedoch, dass durch die Verordnung, Daten von natürlichen Personen - unter Nichtjuristen auch besser bekannt als Menschen - geschützt werden; und das unabhängig vom verwendeten Medium!

Der Patientenbogen

Diese Erkenntnis hat nun ein Arbeitsmedizinisches Zentrum auf die etwas unangenehmere - weil behördliche - Weise erlangt. Ein Patient wurde im Zuge von periodischen Untersuchungen von seinem Arbeitgeber zum Arbeitsmedizinischen Zentrum geschickt. Im Zuge der Anamnese hatte der Patient auch einen Patientenbogen auszufüllen, u.a. mit Angabe der Wohnadresse, Vorerkrankungen und derzeit eingenommenen Medikamten. Soweit dürfte das den meisten von uns - etwa von der Vorsorgeuntersuchung (die im übrigen einmal im Jahr kostenlos beim Hausarzt in Anspruch genommen werden kann) bekannt sein.

Problematisch wurde es für das Unternehmen erst, als ein ehemaliger Arbeitskollege einige Tage später ebenfalls bei besagten Institut zur Untersuchung war und während der Abwesenheit der Mitarbeiterin Einsicht auf den Patientenbogen nehmen konnte. Dieser kontaktierte im Anschluss seinen Exkollegen und dieser in weiterer Folge die Datenschutzbehörde. Die erkannte (in einem bereits rechtskräftigen Bescheid) dass der Patient in seinem Recht auf Geheimhaltung (§1 DSG) verletzt wurde, da eine Einsicht auf den Patientenbogen für einen unbefugten Dritten möglich war.

Die Folgen

Neben einer etwaigen Strafe durch die Behörde - leider findet sich hierzu kein Hinweis im Newsletter der DSB und der Bescheid ist (noch) nicht im RIS abrufbar - können aber auch Betroffene Schadenersatzansprüche wegen solcher Art der Verletzungen gem Art 82 DSGVO bzw. § 29 DSG stellen.
Insbesondere bei diesem Sachverhalt - es geht schließlich um Gesundheitsdaten iS Art 9 DSGVO - ist die Durchsetzbarkeit eines Schadenersatzanspruchs durchaus möglich.

Fazit:

Es empfiehlt sich daher, nicht nur die digitalen Prozesse und Programme auf Stand der Technik zu bringen sondern auch die analogen Tätigkeiten einem Datenschutz-Check zu unterziehen. In gegenständlichem Fall wäre die Datenschutzverletzung durch die Ablagerung der Daten in einem Rollcontainer und dem Absperren (!) bereits vermieden worden.