Die Datenschutzbehörde hatte über einen Sachverhalt (vor dem 25.05.2018) entschieden, bei dem ein Unberechtigter eine Auskunft von einem Verantwortlichen über personenbezogene Daten einer betroffenen Person bekommen hat, die er nicht bekommen hätte dürfen. (DSB-D123.098/0003-DSB/2018 vom 10.9.2018)
Eine Versicherungsgesellschaft gab ohne Zustimmung der Betroffenen zuerst eine Zahlungssumme mündlich, dann eine Zahlungsbestätigung schriftlich an deren Ex-Ehegatten bekannt. Die nahm die betroffene Person zum Anlass, eine Beschwerde bei der DSB einzureichen.
Der Sachverhalt (Telefonat, Übermittlung der Zahlungsbestätigung) fand im April 2018 statt, und die DSB hat daher nach der (materiellen) Rechtslage vor dem 25.05.2018 entschieden:
„Über diese Beschwerde ist verfahrensrechtlich nach neuer Rechtslage (DSG idF BGBl. I Nr. 24/2018) gemäß § 24 Abs. 5 DSG zu entscheiden. Materiellrechtlich ist die Sache jedoch nach den im April 2018, dem Zeitpunkt der behaupteten Verletzung des Rechts auf Geheimhaltung, geltenden Bestimmungen der §§ 1 bis 9 DSG 2000, BGBl. I Nr. 165/1999 idF BGBl. I Nr. 83/2013, zu beurteilen.“
Die Beschwerdegegnerin hat den Sachverhalt nicht bestritten, aber argumentiert, dass sie angenommen hätte, dass der Übermittlungsempfänger mit der Beschwerdeführerin noch in aufrechter Ehe stehe. Außerdem hätte der Empfänger der Information über die Zahlung Bescheid gewusst, nur die Höhe nicht gekannt. Des Weiteren wurde vorgebracht, dass, das (wirtschaftliche) Interesse des Übermittlungsempfängers das Interesse der Beschwerdeführerin auf Geheimhaltung überwogen hätte, da er die Information dazu verwendet hat, unwahre Behauptungen der Beschwerdeführerin zu widerlegen.
„Zahlungsdaten“ sind keine personenbezogenen Daten
Auch dieses Argument, dass “isoliert betrachtet die Höhe des Betrages auch kein personenbezogenes Datum sei“ wurde von der Versicherungsgesellschaft gebracht, konnte aber natürlich nicht zum Ziel führen. Laut DSB ist eine isolierte Betrachtung eines Datums natürlich nicht sinnvoll, da die kontextlose Betrachtung von Daten meistens den Personenbezug wegnimmt.
Bei der Höhe der Überweisungssumme handelt es sich um ein personenbezogenes Datum mit Bezug auf die Vermögenswerte der Betroffenen, also auf jeden Fall ein schutzwürdiges Datum.
Anwendbares Recht
Die Behörde hat die Sache folgender Maßen und auf folgende Gesetzesstellen verwiesen:
§ 1 Abs 1 und 2 DSG 2000
(1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.
(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, …“
§ 7. (1) DSG 2000 […]
(2) Daten dürfen nur übermittelt werden, wenn
1. sie aus einer gemäß Abs. 1 zulässigen Datenanwendung stammen und
2. der Empfänger dem Übermittelnden seine ausreichende gesetzliche Zuständigkeit oder rechtliche Befugnis – soweit diese nicht außer Zweifel steht – im Hinblick auf den Übermittlungszweck glaubhaft gemacht hat und
3. durch Zweck und Inhalt der Übermittlung die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt werden.“
zulässige Datenanwendung
Die Daten stammen aus eine Vertragsbeziehung zwischen der betroffenen Person und der Versicherungsgesellschaft. § 7 Abs 2 Z 1 DSG 2000 als Voraussetzung für die Datenübermittlung war daher erfüllt.
gesetzliche Zuständigkeit / rechtliche Befugnis
Die bloße Tatsache, dass Peter A*** bei der Beschwerdegegnerin als Ehemann bzw. geschiedener Ehemann über die geleistete Zahlung an die Beschwerdegegnerin nachfragte, begründet jedoch keine gesetzliche Zuständigkeit oder rechtliche Befugnis.
Die DSB führt auch wörtlich zum „Verwandtschaftsverhältnis“ aus:
„An dieser Stelle sei auch angemerkt, dass es keinen Unterschied bildet, ob Peter A*** mit der Beschwerdeführerin noch in aufrechter Ehe stand oder bereits geschieden war. Da es sich um die Ausübung von höchstpersönlichen Rechten handelt, hat Peter A*** – mangels entsprechender Vertretungsbefugnis – jedenfalls keinen Anspruch auf Bekanntgabe von personenbezogenen Daten der Beschwerdeführerin.“
Interessenabwägung
Auch die Frage der Interessesabwägung wurde von der DSB angesprochen.
Das wirtschaftliche Interesse des Übermittlungsempfängers und die Tatsache, dass er das Dokument als Beweismittel zur Widerlegung einer unwahren Behauptung herangezogen hat, reichte der DSB nicht als „überwiegendes Interesse“ iSd § 7 ABs 2 Z 3 DSG. Die Ansicht der Versicherungsgesellschafts würde dazu führen, dass jede Person „zur Beweismittelbeschaffung“ personenbezogene Daten von Dritten anfragen könnte.
Überdies bildet die Tatsache, dass dieser Vorfall von der Beschwerdegegnerin selbst intern als Verletzung des Schutzes personenbezogener Daten protokolliert wurde, Beweis dafür, dass auch für die Beschwerdegegnerin kein glaubhaftes wirtschaftliches Interesse des Peter A*** ersichtlich war.
Es liegen nach Ansicht der DSB keine überwiegenden berechtigten Interessen des anfragenden Übermittlungsempfängers vor, und die Übermittlung war gemäß § 7 Abs. 2 DSG 2000 nicht rechtmäßig. Durch diese unberechtigte Übermittlung hat die Versicherungsgesellschaft daher das Recht der Versicherungsnehmerin auf Geheimhaltung ihrer personenbezogenen Daten verletzt.
Im Rahmen der Umsetzung der DSGVO ist die „Spezialbestimmung“ zur Datenübermittlung (§ 7 DSG 2000) gestrichen worden.
Eine Weitergabe von Daten an eine dritte Person iSe Übermittlung bedarf jedoch auch nach der DSGVO einer entsprechenden Rechtsgrundlage, die entweder in der freiwilligen, informierten und jederzeit widerrufbaren Einwilligung (Art 1 Abs 1 lit a DSGVO), der Notwendigkeit, die sich aus der Vertragserfüllung ergibt (Art 6 Abs 1 lit b DSGVO), einer gesetzlichen Grundlage (Art 6 Abs 1 lit c DSGVO) oder auch aus etwaigen berechtigten Interessen des Übermittlungsempfängers (Art 6 Abs 1 lit f DSGVO) ergibt.
12.02.2019, Autor:
Michael Schweiger, zert DSBA
Kommentar schreiben