Inhalt:

• Abwägung: Datenschutz der Mitarbeiter gegen Pflichten des ärztlichen Arbeitgebers
• Auskunftspflicht für Unzuständige?
• Licht am Ende des Tunnels?

 

 

Abwägung: Datenschutz der Mitarbeiter gegen Pflichten des ärztlichen Arbeitgebers

Eine Internistin wurde von der Datenschutzbehörde (DSB) zu einer Zahlung von EUR 1.000 verurteilt, weil sie die ELGA-Daten einer Mitarbeiterin unberechtigt abgerufen hatte.

Die betroffene Mitarbeiterin hatten den Auftrag, nach Rücksprache mit der Ärztin selbständig e-Medikationen oder e-Rezepte für für Dauermedikamente von Patienten auszustellen. Wenigstens ein Mal ersuchte sie auch, für sich selbst ein Rezept ausstellen zu dürfen, was die Ärztin nach Begutachtung auch gestattete.

Während eines Krankenstandes der Mitarbeiterin hat die Ärztin zwecks Missbrauchskontrolle auf der Suche nach e-Rezepten oder e-Medikationen die ELGA-Einträge zu ihrer Mitarbeiterin abgerufen. Die Abfrage wurde protokolliert. Wie die Ärztin selbst aussagte, war sie in der Bedienung der verschiedenen Elemente von ELGA schlecht bewandert, daher wurden ihr auch Einträge vorgeschlagen, die viele Jahre vor dem Zeitpunkt lagen, zu dem die Mitarbeiterin ihr Arbeitsverhältnis bei der Internistin begonnen hatte. Zwar hat die Ärztin nicht in die Dokumente Einsicht genommen, jedoch stellte bereits die einleitende Abfrage eine Datenschutzverletzung dar.

Vier Monate nach dem Vorfall und nach Beendigung des Arbeitsverhältnisses erstattete die Betroffene Anzeige bei der DSB und bei der Ärztekammer. Letztere schloss das Disziplinarverfahren ohne Sanktionen ab. Die DSB hingegen hat aufgrund der Bestimmungen der DSGVO und des Gesundheits-Telematikgesetzes die verantwortliche Ärztin bestraft, wobei die Höhe des Bußgeldes am untersten Rand der gesetzlichen Möglichkeiten lag.

Aus der Entscheidung ergeben sich mehrere praktische Ableitungen:

• Die ständige europäische Judikatur hat einen sehr weiten Begriff von "Verarbeitung". Auch eine fehlgeschlagene oder irrtümliche Abfrage fällt bereits darunter. Eine Verarbeitung liegt bereits vor, wenn auf dem Bildschirm Suchergebnisse erscheinen - unabhängig davon, ob der Anfragesteller ins Detail Einsicht nimmt.
• Zur Vermeidung unzulässiger "Verarbeitungen" scheint es daher dringend ratsam, die Abfragemöglichkeiten bei ELGA genau zu kennen und diese Kenntnis auch durch regelmäßigen Gebrauch aktuell zu halten (Üben ist wichtig!).
• Die DSB hat sich nicht zur Frage geäußert, wie eine allfällige Missbrauchskontrolle rechtskonform hätte erfolgen können. Sie hat lediglich festgehalten, dass die Ärztin gem. eigener Aussage keinen konkreten Missbrauchsverdacht hatte.
• Die zeitliche Abfolge der Ereignisse, wie sie in der Entscheidung der DSB angeführt sind, könnte den Verdacht aufkommen lassen, dass das zwischenmenschliche Verhältnis zwischen der Mitarbeiterin und der Ärztin ungeachtet der kurzen Beschäftigungsdauer nicht friktionsfrei war. Der Auswahl der Mitarbeiter und der Pflege des Betriebsklimas kommt zweifelsfrei große Bedeutung zu.

Quelle:

https://ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=fc5dec92-512a-46cb-b266-678d23bd9cd1&Position=1&SkipToDocumentPage=True&Abfrage=Dsk&Entscheidungsart=Undefined&Organ=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=01.01.2019&BisDatum=&Norm=&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=DSGVO+DSG+ARZT&Dokumentnummer=DSBT_20250821_2025_0_625_944_00

(25.3.2026)

 

 

Auskunftspflicht für Unzuständige?

Sobald das Begehren eines Betroffenen auf Auskunft über die Verarbeitung seiner personenbezogenen Daten einlangt (im konkreten Fall waren es die Frage nach den Impfdaten), ist es unverzüglich, spätestens aber innerhalb von 4 Wochen zu beantworten. Dies gilt auch in Fällen, in denen der Adressat des Auskunftsbegehrens keine inhaltliche Auskunft erteilen kann, weil er nur Auftragsverarbeiter ist. In diesem Fall muss er mitteilen, wo die gewünschte Auskunft erhältlich ist.

Die gut begründete Entscheidung der Datenschutzbehörde (DSB) geht auf die Beschwerde eines Betroffenen zurück, der Auskunft über seine Impfdaten erhalten wollte, die bei ELGA gespeichert sind. Dazu wandte er sich an jenes Unternehmen, das im Auftrag des Gesundheitsministeriums (= Sozialministerium in der jeweils aktuellen Form), der Bundesländer und der Sozialversicherungen das System ELGA technisch betreibt. Nachdem diese Firma keinerlei inhaltliche Angaben zu den verarbeiteten Daten machen kann und sich völlig unzuständig fühlte, reagierte sie auf die Anfrage nicht. Nach Ablauf der von der DSGVO festgesetzten Frist von 4 Wochen für die Beantwortung von Auskunftsbegehren beschwerte sich der Betroffene bei der DSB.

Aus zahlreichen Gesetzesbestimmungen und Judikaten ergab sich für die DSB, dass der "Auskunftsverpflichtete" zwar der "Verantwortliche" (i.S. der DSGVO) ist. Die Pflicht zur Mitwirkung betrifft aber denjenigen, bei dem das Auskunftsbegehren einlangt (sofern er sich im "Machtbereich" des Verantwortlichen befindet), unabhängig davon, ob er auch inhaltlich Stellung beziehen kann. Im konkreten Fall wurde dem belangten Unternehmen von der DSB aufgetragen, den Auskunftswerber auf das Gesundheitsministerium zu verweisen.

Was bedeutet diese Entscheidung für die tägliche Praxis?

• Ein Auskunftsbegehren einfach zu ignorieren, ist keine gute Idee. Die rechtspolitische Absicht, zu verhindern, dass Menschen ohne Information "in die Wüste geschickt werden", ist nachvollziehbar.
• Die Auskunftsverpflichtung besteht, sobald es einen inhaltlichen Konnex zwischen dem Adressaten des Auskunftsbegehrens und dem Verantwortlichen der Datenverarbeitung gibt. Wenn bspw. ein Unternehmen im Auftrag eines Arztes dessen Datenverarbeitungen betreut, ist es jedenfalls für diesen Bereich auskunftspflichtig, muss dem Auskunftswerber den Verantwortlichen namhaft machen und sollte das Auskunftsbegehren an den Arzt weiterleiten. Der Auftragsverarbeiter hat nach ständiger Judikatur eine Mitwirkungspflicht an der Erfüllung der Auskunftspflicht.
• Die Erteilung einer inhaltlichen Auskunft ist nur nach Identitätsprüfung des Auskunftwerbers zulässig. Sie darf allerdings nicht überschießend gehandhabt werden.
• Sofern keine Daten des Auskunftwerbers verarbeitet werden, muss ihm dies ebenfalls mitgeteilt werden ("Negativauskunft"). Werden hingegen enorm viele Daten des Betroffenen verarbeitet, kann der Verantwortliche auf einer Spezifizierung des Auskunftsbegehrens bestehen (z.B. zeitliche Eingrenzung: "Alle Ereignisse zwischen 1992 und 2003").
• In jedem Fall empfiehlt es sich, Auskunftsbegehren wenigstens abgekürzt zu beantworten oder - soferne das zutrifft - die eigene Unzuständigkeit zu erläutern. Behauptet ein Auskunftswerber, eine unrichtige Auskunft erhalten zu haben, etwa eine Negativauskunft, obwohl dies falsch wäre, ist es ratsam, ihn ohne weitere Diskussionen auf den Rechtsweg zu verweisen und mit einer Anwaltskanzlei Kontakt aufzunehmen.

Quelle:

https://ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=d34b9f9a-9f70-4185-896e-b46744c3c6ba&Position=1&SkipToDocumentPage=True&Abfrage=Dsk&Entscheidungsart=Undefined&Organ=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=&VonDatum=01.01.2019&BisDatum=&Norm=&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=DSGVO+DSG+GTelG&Dokumentnummer=DSBT_20230323_2023_0_227_168_00

(25.3.2026)

 

 

Licht am Ende des Tunnels?

Aus gesamten EU gibt es deutliche Signale, dass große Einrichtungen und Körperschaften des Öffentlichen Rechts versuchen, die digitale Unabhängigkeit zu erreichen. Und es gibt auch einzelne, entgegengerichtete Tendenzen: Gegen den Rat der Datenschutzbehörde überlegt der Freistaat Bayern neuerliche Verträge mit Microsoft abzuschließen.

Die Umstellung beim Österreichischen Bundesheer ist großteils erfolgreich abgeschlossen. Nach Auskunft des verantwortlichen Projektleiters, Michael Hillebrand, bleibt aber trotzdem noch viel Arbeit an Detailbereichen.

Nicht alle Umstellungsversuche großer Netzwerke verlaufen erfolgreich, was offenbar vielfältige Ursachen hat. Nicht zuletzt ist die (oft jahrelang notwendige) administrative Begleitung und die Erwartungshaltung an die Integration bisweilen ausschlaggebend.

Vor wenigen Tagen wurde daran erinnert, dass Nextcloud und Ionos etwa im Sommer 2026 eine Alternative zu MS-Office veröffentlichen werden: Euro-Office - alles OpenSource und außerhalb des Zugriffs der USA und anderer "unfreundlicher Staaten". Eine Vorschau gibt es schon auf GitHub zu sehen.

Erfreulicher Weise gibt es auch eine Website der Europäischen Kommission, auf der europäische Unternehmen ihre Open Source Lösungen anbieten. Die Menge ist schier überwältigend, und es gibt auf den ersten Blick kaum ein Problem, für das keine Lösung existiert.

Was allerdings bei der Umstellung nicht vergessen werden darf, ist die psychologische Schranke: Wer jahrelang mit Microsoft-Produkten gearbeitet hat, war in der Lage, auch für neue Spezialaufgaben mit traumwandlerischer Sicherheit aus den Tiefen des Systems die Lösung hervorzuholen. Die Arbeit mit neuen Werkzeugen nimmt anfänglich mehr Zeit in Anspruch. Nicht allen Anwendern ist bewusst, dass dieser geringfügige Nachteil immensen Vorteilen gegenübersteht (Rechtssicherheit, Absicherung von Betriebsgeheimnissen, "Härtung" des Betriebes gegen willkürliche äußere Einflüsse, Einsparung von Lizenzkosten ...) und daher in Kauf genommen werden sollte.

Wer seine IT-Ausstattung umstellen möchte, kann sich auf einer eigens von der EU-Kommission eingerichteten Seite informieren, welche OpenSource-Programme als Werkzeuge verfügbar sind. Die Liste ist beeindruckend umfangreich, und man kann nach Herzenslust testen.

Quelle:

https://interoperable-europe.ec.europa.eu/eu-oss-catalogue
(24.2.2026)

https://www.derstandard.at/story/3000000314567/euro-office-deutsche-unternehmen-blasen-zum-angriff-auf-microsoft?ref=seite1_zonekur
(29.3.2026)