Die österreichische Datenschutzbehörde (DSB) veröffentlichte vor Kurzem ihren vierten Newsletter für das Jahr 2019. Zentral im Raum stand in diesem eine per Bescheid vom 16. November 2018 von der DSB verhängte Geldbuße im Ausmaß
von EUR 50.000,-- anlässlich mehrerer Verstöße gegen die DSGVO.

Ergangen ist die Geldbuße gegen ein medizinisches Ambulatorium. Primär legte die DSB dem verantwortlichen Unternehmen zur Last, dass kein Datenschutzbeauftragter bestellt wurde und keine Datenschutzfolgenabschätzung erfolgt ist. Besonders verwerflich war hier – in den Augen der Behörde – die Tatsache, dass es diesbezüglich ausdrückliche Leitlinien gibt (und auch zum Zeitpunkt des Verfahrens gab). Die Argumentation des verantwortlichen Unternehmens, wonach die Rechtslage in diesen beiden Punkten nicht eindeutig war, wurde daher von der DSB als ein vorwerfbarer Rechtsirrtum gewertet, welcher an der Strafbarkeit per se nichts ändert.

Bemängelt wurde von der DSB weiters die vom verantwortlichen Unternehmen verwendeten Einwilligungen gegenüber den Patienten. Diese war einerseits zu unklar formuliert, sodass nicht dem Transparenzgebot bzw. den Informationspflichten der DSGVO entsprochen wurde. Weiters stimmten die Patienten in der Einwilligung einer unverschlüsselten Kommunikation zu. Ein derartiges Disponieren über technische Sicherheitsmaßnahmen ist nach – durchaus hinterfragenswerter – Ansicht der DSB allerdings unzulässig. Angesichts der diversen Verstöße und deren Vorwerfbarkeit wurde von der DSB schließlich eine Gesamtstrafe in Höhe von EUR 50.000,-- verhängt. Anzumerken ist, dass die Entscheidung der DSB nicht rechtskräftig ist.

Der Newsletter der DSB wird demnächst auf der Webseite der DSB online gestellt werden.