Inhalt:

• Histologische Untersuchung wird zum Datenschutzfall
• Der nächste Präzendezfall: Schweizer Ämter überlegen die Verbannung von Microsoft-Software zur Rückgewinnung der digitalen Souveränität
• Datenweitergabe an Patienten?

 

 

Histologische Untersuchung wird zum Datenschutzfall

Die versehentliche oder unbefugte Vernichtung einer während eines chirurgischen Eingriffs entnommenen Gewebeprobe, die mit der Identität einer Patientin in Verbindung steht, stellt einen Verstoß gegen die Datenschutzbestimmungen dar. Das hat kürzlich die italienische Datenschutzbehörde entschieden. Die Probe war für eine histologische Untersuchung im pathologischen Labor bestimmt, wurde aber aufgrund eines Irrtums nicht dorthin weitergeleitet, sondern vernichtet.

Die italienische Datenschutzbehörde bezieht sich bei der Entscheidung auf die Begriffsbestimmungen in Art. 4 (12) DSGVO
("[...]'Verletzung des Schutzes personenbezogener Daten' eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden; [...]").

Daran knüpfen sich einige Schlussfolgerungen.

Die digitalen Informationen zu einer Person sind nur eine Repräsentanz ihrer körperlichen und nicht körperlichen Teile. Deshalb, so die implizite Schlussfolgerung der Behörde, ist der Datenschutz, also der Schutz der digitalen Repräsentation (z.B. Datensatz mit der Diagnose o.ä.), auch auf das körperliche "Original" anzuwenden. Die Person hat im gesetzlichen Umfang das Recht, auf das Schicksal dieser Daten Einfluss zu nehmen. Im konkreten Fall bezieht sich das auf das Ergebnis der verhinderten histologischen Untersuchung. Der Originaltext der behördlichen Entscheidung mit den Rechtsgrundlagen und Erwägungen finden sich unten (Quellen).

Bei biologischen oder genetischen Informationen zu einer Person, wozu auch Gewebeproben, Blutproben, Urinproben etc. gehören, sind daher höchste Sicherheitsmaßnahmen gefordert (Art. 9 DSGVO).

Als besonders schwerwiegend hat die Datenschutzbehörde gewertet, dass durch den Verlust des Probenmaterials die Patientin konkreten Gesundheitsrisiken ausgesetzt wurde, weil bestimmte Untersuchungen nicht mehr durchgeführt werden konnten und deshalb entscheidende Hinweise für weitere Therapien unwiederbringlich verloren waren.

Bemängelt hat die Datenschutzbehörde auch, dass sie nicht wie vorgesehen von der Datenschutzverletzung in Kenntnis gesetzt wurde, sobald diese erkannt wurde. Hierfür wurde zwar keine konkrete Strafe verhängt, jedoch für den Wiederholungsfall eine Buße von EUR 20.000 angedroht.

Aus dem Vorfall ergibt sich eine Reihe von Konsequenzen:

• Der Umgang mit medizinischem Probenmaterial hat neben allen anderen Implikationen auch eine datenschutzrechtliche Komponente.
• Auch aus datenschutzrechtlicher Vorsicht verlangt der Umgang mit Proben-Material die Einhaltung höchster Sicherheitsvorkehrungen bei der Behandlung.
• Deshalb ist hierfür auch die Zustimmung der betroffenen Person erforderlich. Für diese Zustimmung muss auch der Zweck der Entnahme, also bspw. die weitere Untersuchung in einem bestimmten Labor mitgeteilt werden. Ebenso muss der Patient über die Dauer der Aufbewahrung informiert werden (Art. 15 DSGVO). Das betrifft sowohl das zu untersuchende Material, als auch die dabei gewonnenen Daten.
• Wenn die Probe nicht unmittelbar bei ihrer Entnahme untersucht wird (das trifft auf die Mehrzahl zu), muss die Weiterleitung an die untersuchende Stelle auch nach den Regeln des Datenschutzes erfolgen, selbst wenn sie innerhalb des gleichen Gebäudes oder der gleichen Organisation (Ordination, Ambulatorium, Spital, ... ) verbleibt. Es ist nicht nur die Zulässigkeit des Vorgangs der Weitergabe zu prüfen, sondern sind auch die vorgeschriebenen Dokumentationspflichten zu erfüllen. Diese können allenfalls sogar mithelfen, Irrtümer rechtzeit zu erkennen und zu vermeiden, bevor unwiederbringlicher Schaden entsteht.
• Die Vernichtung von personenbezogenen Daten und Proben ist ein Verarbeitungsvorgang gem. DSGVO, er muss daher nach den dafür vorgesehenen Datenschutzregeln ablaufen und dokumentiert werden.

In der Praxis lassen sich die erwähnten Punkte, bei denen der Patient mittels Zustimmung mitwirkt, in eine weitgehend vorbereitete Information (Formular) packen, die nur mehr durch Unterschrift zu bestätigen ist. Für die Dokumentationsschritte bei der Verarbeitung der Proben empfiehlt sich eine digitale Abbildung des Prozesses mit automatisierten Einträgen. Bei diesbezüglichen Fragen unterstützt Sie Ideato sehr gerne.

Quellen:

https://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/10184697
(9.10.2025)

https://www.gpdp.it/home/docweb/-/docweb-display/docweb/10193417
(27.11.2025)

 

 

Der nächste Präzendezfall: Schweizer Ämter überlegen die Verbannung von Microsoft-Software zur Rückgewinnung der digitalen Souveränität

Heise & c't, die für ihre seriösen Aussagen über IT-Themen bekannt sind, haben Ende November 2025 ein YouTube-Video online gestellt, in dem eine mögliche Sensation in Aussicht gestellt wird. Es geht um nichts weniger als die Verbannung von US-Software von allen Rechnern Schweizerischer Behörden.

Die Verwaltung der Schweiz hat bei ihren Überlegungen u.a. zwei Aspekte im Fokus:

1. Nachdem mittlerweile kein Zweifel besteht, dass die US-amerikanische Gesetzgebung den Zugriff von US-Geheimdiensten auf beliebige Daten weltweit erzwingen kann, sofern diese Daten von Firmen mit Niederlassungen in den USA verarbeitet werden, besteht ein eklatanter Widerspruch zur schweizerischen Amtsverschwiegenheit und zum Rechtsstaatsprinzip. Europäisches und US-amerikanisches Datenschutzrecht sind in wesentlichen Punkten unvereinbar, weil in den USA völlig andere Vorstellungen von Rechtsstaatlichkeit und vom Rechtsschutz der Bürger besteht; dies völlig unabhängig von der aktuellen Präsidentschaft der USA.

2. Wie sich mittlerweile an einigen Fällen gezeigt hat, haben die US-Softwarefirmen keine Hemmungen, "Aufträge" des aktuellen US-Präsidenten zu befolgen, weil sie Auseinandersetzungen mit ihm mehr fürchten, als (die für sie derzeit noch verkraftbaren) Konsequenzen wegen gebrochener Verträge und Vorschriften der EU. Prominente Opfer sind u.a. der Ankläger Karim Khan und ein Richter des Internationalen Strafgerichtshofes, die vom US-Präsideten in Acht und Bann getan wurden, weil sie den Israelischen Ministerpräsidenten im Zusammenhang mit dem Gaza-Krieg schwerer Kriegsverbrechen verdächtigen. Im Fall des Richters wird berichtet, dass nicht nur seine Computer durch Sperre von Microsoft-Programmen unbrauchbar gemacht wurden, sondern dass der Mann auch wegen der US-basierten weltweiten Zahlungsdienste keinen Zugriff mehr auf sein Bankkonto und seine Kreditkarten hatte: Auch die Banken beugen sich dem Diktat aus dem Weißen Haus. Die Gefahr der politischen Erpressung durch die USA ist daher keineswegs nur theoretisch und verlangt robuste Schutzvorkehrungen.

Sollte es tatsächlich so weit kommen, dass offizielle Stellen in der Schweiz genau so, wie etwa vor einigen Monaten das Österreichische Bundesheer oder der Internationale Strafgerichtshof auf die Verwendung von US-Software verzichten, wäre dies ein starkes Signal und würde vermutlich zahlreiche Nachahmer finden. Denn mittlerweile ist ja mehrfach der praktische Beweis erbracht, dass - den notwendigen Willen vorausgesetzt - die Rückgewinnung der digitalen Souveränität in der Praxis durchaus machbar ist. Auch von anderen Stellen, z.B. vom deutschen Bundesland Schleswig-Holstein und vom österreichischen Bundesministerium für Wirtschaft, Energie und Tourismus (BMAW) werden durchaus handfeste Überlegungen zum Rückzug aus dem Microsoft-Imperium und Hinwendung zu Open-Source Software (z.B. Nextcloud) gemeldet. Würde so ein Prozess großflächig stattfinden, wäre dies für die US-Softwareindustrie neben einem kaum zu überbietenden Imageschaden und dem ökonomischen Verlust ein Dammbruch, den sie längerfristig nur schwer beherrschen könnte. Besonders treffen würde es freilich die US-Geheimdienste: Für sie würden wesentliche Quellen versiegen (allerdings würden damit auch die europäischen Dienste einen wichtigen Partner verlieren). Welche wilden Rundumschläge so etwas beim unkalkulierbaren US-Präsidenten hervorrufen würde, kann wohl niemand seriös abschätzen. Abschrecken sollte man sich von dieser Überlegung im Interesse der strategischen Zielsetzung aber keineswegs lassen.

Quellen:

https://www.youtube.com/watch?v=BEBnOMV1q_c
(29.11.2025)

https://www.derstandard.at/story/3000000298066/digitale-ausloeschung-wie-us-sanktionen-einen-europaeischen-richter-lahmlegen
(26.11.2025)

https://www.boerse-express.com/news/articles/oesterreich-bundesheer-verlaesst-microsoft-komplett-827530
(24.9.2025)

https://www.ideato.at/templates/masterbootstrap/news/20250826_ideato-news.html#Pkt3
(26.8.2025)

https://www.derstandard.at/story/3000000298057/outlook-stoerung-massive-probleme-bei-e-mail-abruf-und-der-suche
(26.11.2025)

https://orf.at/#/stories/3413782/
(8.12.2025)

https://www.derstandard.at/story/3000000299704/open-source-statt-microsoft-deutsches-bundesland-spart-15-millionen-euro-lizenzkosten-jaehrlich
(9.12.2025)

https://help.orf.at/stories/3233351
(14.12.2025)

 

 

Datenweitergabe an Patienten?

Nach Art. 15 Abs. 3 hat jeder Betroffene das Recht, vom Verantwortlichen einer Datenverarbeitung eine erste Kopie der bei ihm verarbeiteten Daten kostenlos zu erhalten (soweit dadurch nicht die Rechte und Freiheiten dritter Personen beeinträchtigt werden). Dazu hat der Europäische Gerichtshof (EuGH) in zwei getrennten Fällen (in Deutschland und in Österreich) geurteilt, dass der Begriff "Kopie" jedenfalls umfassend zu verstehen ist und für die erste Ausfolgung keinesfalls ein Kostenersatz verlangt werden darf. Dies sogar dann, wenn (wie in Deutschland) ein älteres, nationales Gesetz den Kostenersatz vorsieht.

Sobald ein Patient die Herausgabe einer Kopie der von ihm verarbeiteten Daten verlangt, klingeln vermutlich meistens die Alarmglocken. In nicht wenigen Anlassfällen handelt es sich ja um Personen, deren Erwartungen sich im Rahmen der Behandlung nicht erfüllt haben bzw. nicht erfüllt werden konnten - warum auch immer. Vor dem Hintergrund des entstehenden Rechtfertigungsdrucks ist der Reflex vieler Verantwortlichen verständlich, nur ein Minimum der Informationen weiterzugeben, um allfällige spätere Forderungen allenfalls leichter abwehren zu können.

Ältere Rechtsansichten von Berufsvertretungen und Kammern, wonach die Verantwortlichen durch Zusammenführung und Verschmelzung von Informationen sowie durch kursorische, vielleicht sogar ausweichende Antworten auf die Anforderung von Kopien rechtskonform reagieren könnten, hat der EuGH rundweg zurückgewiesen. Eine Kopie ist eine Kopie ist eine Kopie.

Selbst wenn es nicht leichtfällt empfiehlt sich - nicht nur aus rechtlichen, sondern auch aus praktischen Erwägungen der Kommunikation mit der externen Öffentlichkeit - eine möglichst umfassende Erfüllung des Wunsches des Betroffenen. Mit Verzögerungstaktik ist angesichts der Rechtslage nichts zu gewinnen. Wer - warum auch immer - eine Kopie seiner Daten anfordert, lässt sich kaum mit einer halben Lösung zufriedenstellen und wird vermutlich nicht locker lassen. Wenn man hingegen schon beim ersten Schritt die Daten vollständig übermittelt, erspart man sich wenigstens ein Datenschutzverfahren, das zusätzlichen Aufwand mit sich bringt. Ein weiterer argumentativer Vorteil: In nachfolgenden (Verfahrens-)Schritten kann man auf seine kooperative Haltung verweisen ("Ich habe nichts zu verbergen") und eine zusätzliche, negative Belastung des Images in der Öffentlichkeit deutlich reduzieren.

Sobald die Kopie der Daten erstmalig an den Betroffenen übergeben wurde, ist dessen Recht zum kostenlosen Bezug der Daten erloschen. Für alle weiteren Kopien kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Dies gilt auch für offenkundig unbegründete oder exzessive Anträge (z.B. bei mehrfachen Auskunftsersuchen binnen kurzer Zeit). Bei "überbordender" Wissbegier eines Betroffenen, der sich nicht mit dem der vollständigen, rechtskonformen Auskunft zufrieden gibt, darf sich der Verantwortliche sogar weigern, aufgrund des Antrags tätig zu werden. Dies bedarf allerdings einer entsprechenden formalen Begründung. Es empfiehlt sich daher, Auskunftsersuchen und die Weise, wie ihnen entsprochen wird, genau zu dokumentieren, um ggfs. nicht in Argumentationsnot zu geraten.

Quellen:

https://www.medmedia.at/relatus-med/urteil-spitaeler-muessen-daten-an-patientinnen-weitergeben/
(11.12.2025)

https://curia.europa.eu/juris/document/document.jsf?text=&docid=279125&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1
(11.12.2025)

https://datenschutz.hessen.de/datenschutz/gesundheitswesen/neue-eugh-rechtsprechung-zur-kopie-der-patientenakte
(11.12.2025)

https://www.activemind.legal/de/guides/eugh-recht-auf-kopie/
(11.12.2025)

https://www.wbs.legal/it-und-internet-recht/datenschutzrecht/eugh-klaert-umfang-des-auskunftsrechts-gibt-es-ein-recht-auf-kopie-65577/
(11.12.2025)

https://dejure.org/dienste/vernetzung/rechtsprechung?Text=C-487/21
(11.12.2025)