Inhalt:

• Flucht aus der Abhängigkeit: IStGH verwendet OpenDesk, Bundesheer ersetzt Microsoft durch Linux und LibreOffice
• Datenschutz bei Beweisführung vor Gericht
• Datenschutz und Fürsorgepflicht des Dienstgebers

 

 

Flucht aus der Abhängigkeit: IStGH verwendet OpenDesk, Bundesheer ersetzt Microsoft durch Linux und LibreOffice

In den zurückliegenden Monaten wurde bekannt, dass u.a. zwei Organisationen die Verwendung von Microsoft-Produkten stark eingeschränkt bzw. komplett beendet haben: das Österreichische Bundesheer (öBH) und der Internationale Strafgerichtshof (IStGH).

In älteren Ausgaben der Klienteninformation haben wir bereits mehrfach darüber berichtet, dass die Abhängigkeit von US-Softwareproduzenten wenigstens in ihrem Umfang reduziert werden kann. Zuletzt wurde das Thema im Zusammenhang mit dem Ende der Versorgung von Windows 10 mit Sicherheitsupdates breit diskutiert.

Bei beiden oben genannten Organisationen stand im Vordergrund der Entscheidung jedoch weniger die Frage des Datenschutzes, der gleichwohl einen wichtigen Aspekt darstellt, sondern strategische Überlegungen, die sich aus der Analyse des Verhaltens "unfreundlicher Staaten" ergeben. Zu diesen zählen nicht nur Russland, sondern im konkreten Zusammenhang auch die USA und China.

Hinsichtlich MS schafft die Politik der US-Regierung, die durch offene Erpressung gekennzeichnet ist, weltweite Probleme. Der IStGH sah sich damit konfrontiert, dass der 47. Präsident der USA aus seiner tiefen Abneigung gegen die Verfolgung von Kriegsverbrechen und Verbrechen gegen die Menschlichkeit durch ein weltweit agierendes, unabhängiges Gericht kein Hehl machte. Nachdem MS jedoch zur ungestörten Fortsetzung seiner Geschäfte um das Wohlwollen des unvorhersehbar agierenden Präsidenten besorgt ist, konnte nicht ausgeschlossen werden, dass das Unternehmen die Nutzung seiner Produkte durch den IStGH gänzlich unmöglich macht bzw. stark einschränkt. Das hätte auf die Arbeit des Gerichtes schwerwiegende Auswirkungen.

Beim öBH standen sowohl die Zurückdrängung der strategischen Abhängigkeit vom Wohlwollen eines unkalkulierbaren Staates, als auch Überlegungen zur Einsparung von Budgetmitteln im Vordergrund. Durch Verwendung von OpenSource Software in großem Stil können die Kosten im Administrationsbereich spürbar gesenkt werden - und das alles, ohne die Funktionalität einzuschränken. Hinsichtlich der Sicherheit ergibt sich sogar eine Verbesserung, weil die Sourcecodes öffentlich zugänglich und daher alle Funktionen jederzeit überprüfbar sind.

Trotz aller Vorteile, wozu insbesondere die problemlose Verwendbarkeit älterer PCs gehört, ist derzeit jedoch ein lückenloser Ersatz aller MS-Anwendungen durch OpenSource-Software ohne Verzicht auf wichtige Anwendungssoftware kaum denkbar. Etliche Hersteller von Spezialanwendungen haben nämlich ihre Produkte ausschließlich für MS-Windows entwickelt. In manchen Bereichen hinkt die Herstellung von OpenSource-Anwendungen dem Bedarf hinterher. Aus betriebswirtschaftlicher Sicht und im Hinblick auf die notwendige Widerstandsfähigkeit von Unternehmen ist es jedoch empfehlenswert, unkalkulierbare Abhängigkeiten bei der Softwareausstattung möglichst weitgehend und möglichst rasch zu verringern.

Quellen:

https://www.derstandard.at/story/3000000294288/istgh-will-microsofts-b252rosoftware-durch-deutsches-produkt-ersetzen
(30.10.2025)

https://www.heise.de/news/Drei-Fragen-und-Antworten-Wie-man-seinen-Fluchtplan-aus-der-US-Cloud-schmiedet-10392724.html
(23.5.2025)

https://www.derstandard.at/story/3000000288311/microsoft-wird-ausgemustert-bundesheer-wechselt-zu-libreoffice
(18.9.2025)

https://www.heise.de/news/Oesterreichs-Bundesheer-stellt-auf-LibreOffice-um-10660756.html
(17.9.2025)

https://www.profil.at/oesterreich/proell-wenn-microsoft-auf-den-knopf-drueckt-stehen-die-oeffis/403087483
(26.9.2025)

 

 

Datenschutz bei Beweisführung vor Gericht

Mit einem eher kompliziert zu lesenden Erkenntnis des Bundesverwaltungsgerichtes (BVwG) wurde die Beschwerde eines Kärntner Arztes gegen eine Entscheidung der Datenschutzbehörde (DSB) abgewiesen. Im Kern ging es darum, dass der Arzt als Beklagter im Rahmen eines Schadenersatzverfahrens wegen Behandlungsfehlern für seine Verteidigung auf Gesundheitsdaten des Klägers, seines ehemaligen Patienten, zurückgriff, die bei einer Privatklinik verarbeitet wurden. Dort hatte er zuvor als Belegarzt eine Operation am Patienten durchgeführt, die letztlich zur Schadenersatzklage führte. Der Kläger im Schadenersatzverfahren führte aus, dass durch die Einsichtnahme in seine Daten seine Rechte verletzt worden wären. Dem hielt der Arzt entgegen, dass es durch die ständige Rechtsprechung unstrittig sei, in einem Schadenersatzverfahren alle möglichen Beweismittel zur Verteidigung des eigenen Standpunktes und zur Abwehr unberechtigter Klagen einbringen zu dürfen.

In der Angelegenheit ging es um zwei Handlungssträge, die kompliziert mit einander verflochten sind: Der langjährige Patient des Arztes ließ sich von ihm in einer Privatklinik operieren, wobei der Behandlungserfolg nicht den Erwartungen des Patienten entsprach. Dieser holte daraufhin die Fachmeinung eines anderen Facharztes ein und konfrontierte seinen behandelnden Arzt mit dem (offenbar ungünstigen) Ergebnis. Darauf kam es zum Eklat, und der Arzt kündigte schriftlich den Behandlungsvertrag. Im nächsten Schritt brachte der Ex-Patient eine Schadenersatzklage ein, für deren Abwehr der vormals behandelnde Arzt Einsicht in die Dokumentation nahm, die in der Klinik auflag, in der er seinerzeit die Operation durchgeführt hatte. Der Umstand, dass in dieser Dokumentation auch Informationen über neurologisch-psychiatrische Problemstellungen sowie die damit verbundene Medikation enthalten waren, löste vermutlich - allerdings formal getrennt vom Schadenersatzverfahren - die Datenschutzbeschwerde aus, der die DSB in erster Instanz Recht gab, was das BVwG in zweiter Instanz bestätigte.

Mit der Zurückweisung der Beschwerde des Arztes gegen die Entscheidung der DSB wurde das Recht auf Verteidigung der eigenen Ansprüche vor Gericht jedoch nicht eingeschränkt. Das BVwG hat im Gegenteil Wege aufgezeigt, wie es dem Arzt ohne Datenschutzverletzung möglich gewesen wäre, die von ihm benötigten Beweise im Schadenersatzverfahren vorzubringen. Hierzu hätte er etwa den Kläger als Zeugen vernehmen lassen und/oder die Herausgabe der Dokumentation als Beweismittel bei Gericht beantragen können (hier drängt sich die Frage nach der Mitverantwortung des Anwaltes für den Verfahrenserfolg auf).

Zweifelsfrei wäre durch das Beschreiten des rechtsrichtigen Weges der Beweisführung die Dauer des Schadenersatzverfahrens ein wenig verlängert worden. Den Zeitverlust hätte aber der Umstand aufgewogen, dass es nicht zur Datenschutzbeschwerde gekommen wäre (im schlimmsten Fall wäre sie als unbegründet abgewiesen worden) und sich der Arzt die nicht unerheblichen Kosten des Verfahrens vor der DSB und vor dem BVwG erspart hätte. [Anm.: Nachdem der bekämpfte Bescheid der DSB im Rechtsinformationssystem des Bundes (derzeit?) nicht auffindbar ist, kann über die Höhe der gegen den Arzt verhängten Buße keine Angabe gemacht werden.]

Quelle:

https://ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=ca2221a8-7bb0-4b2c-b375-1fd7ed5e2c6a&Position=101&Abfrage=Bvwg&Entscheidungsart=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=01.01.2015&BisDatum=01.11.2025&Norm=&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=DSGVO+DSG&Dokumentnummer=BVWGT_20250724_W605_2256082_1_00
(1.11.2025)

 

 

Datenschutz und Fürsorgepflicht des Dienstgebers

Die Datenschutzbehörde (DSB) hat gegen eine Ärztin eine Buße von EUR 3.000 wegen unrechtmäßiger Abfrage des Impfstatus einer Mitarbeiterin verhängt. Während der gefährlichen Anfangsphase der Pandemie und verschiedener Beschränkungen von Zusammenkünften hatte die Ärztin davon Kenntnis erlangt, dass die Mitarbeiterin beabsichtigte, am Wochenende an einem Familientreffen teilzunehmen. In Wahrnehmung ihrer Fürsorgepflicht tätigte sie daraufhin eine Abfrage des Impfstatus ihrer Mitarbeiterin, um ggfs. vorbeugende Maßnahmen gegen die Gefahr einer Infektion treffen zu können, die neben der betreffenden Person auch ihr selbst, weiteren Mitarbeitern und den Patienten in ihrer Ordination drohte.

Die DSB erachtete die Beschwerde der Mitarbeiterin als begründet. Dies deshalb, weil es sich bei den Impfdaten um besonders geschützte Gesundheitsdaten nach Art. 9 DSGVO handelt. Der Art. 9, so führt die DSB in ihrer Begründung aus, kennt im Gegensatz zum Art. 6 DSGVO ("Berechtigtes Interesse") nicht die Ausnahmetatbestände „Verarbeitung im berechtigten Interesse des Verantwortlichen oder eines Dritten“ (Art. 6 Abs. 1 lit. f) und „Verarbeitung zur Vertragserfüllung“ (Art. 6 Abs. 1 lit. b). Die Abfrage des Impfstatus ohne Einholung der Erlaubnis der Betroffenen war daher unzulässig.

Die Entscheidung hat jedenfalls größere Bedeutung, weil sie die Grenzen der Fürsorgepflicht (und -möglichkeit) eines Arbeitgebers aufzeigt. Die Einholung von Gesundheitsdaten, die nicht von einem Betroffenen selbst an seinen Arbeitgeber übermittelt werden, stellt eine Verletzung des Datenschutzes dar. Einzige Ausnahme bilden unter bestimmten Umständen meldepflichtige Krankheiten, wobei in diesem Fall zunächst der behandelnde Arzt die Gesundheitsbehörden angemessen informieren muss, die wiederum - sofern dies gesetzlich geboten ist - den Arbeitgeber in Kenntnis setzen. Welche weitergehenden Schutzmaßnahmen der Arbeitgeber zu treffen hat, muss die Behörde anordnen. Der Arbeitgeber sollte sich im Anlassfall bei der Gesundheitsbehörde auch erkundigen, in welchem Umfang er seine übrigen Mitarbeiter über den Vorfall informieren darf bzw. sogar muss (und die Auskunft zu Beweiszwecken schriftlich dokumentieren).

Ausgehend von zahlreichen Beispielen während der Pandemie, als behördliche Absonderungsbescheide oft viele Wochen nach der Gesundung der Patienten zugestellt wurden, ist hinzuzufügen, dass die behördlichen Mitteilungen auch den Arbeitgeber manchmal nicht so zeitgerecht erreichen, dass größerer Schaden verhindert werden kann. In diesem Fall stellt sich die Gewissensfrage, ob die Beteiligten (der behandelnde Arzt, der Arbeitgeber etc.) bereit sind, im übergeordneten Interesse einen Verstoß gegen das Gebot des Datenschutzes samt den damit verbundenen Folgen auf sich zu nehmen (§ 10 StGB "Entschuldigender Notstand"). Eine vorausgehende anwaltliche Beratung wird jedoch dringend empfohlen.

Quelle:

https://ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=0118f16f-2aa0-49a3-99ec-1060e5429a6d&Position=1&SkipToDocumentPage=True&Abfrage=Dsk&Entscheidungsart=Undefined&Organ=Datenschutzbeh%c3%b6rde&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=01.01.1990&BisDatum=03.11.2025&Norm=&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=e-Impfpass&Dokumentnummer=DSBT_20210610_2021_0_404_151_00
(3.11.2025)

https://dsb.gv.at/sites/site0344/media/downloads/newsletter_dsb_3_2022.pdf
(2.11.2025)