Das AMS legte bei einer Überweisung an die arbeitslose Person der Sparkasse ohne Einwilligung des Beschwerdeführers die Sozialversicherungsnummer offen.
Nach Ansicht des Beschwerdeführers handele es sich um eine unrechtmäßige Offenlegung von besonderen Datenkategorien, namentlich eines Gesundheitsdatums, gem. Art. 9 DSGVO. Es könne aufgrund der Natur bzw. des Zwecks der Sozialversicherungsnummer bei einer unrechtmäßigen Offenlegung derselben an Dritte jedenfalls nicht ausgeschlossen werden, dass diese Dritten mithilfe der Sozialversicherungsnummer Zugriff auf Gesundheitsdaten der betroffenen Person erlangen können.
Die DSB hat dazu mit GZ: 2020-0.714.215 (DSB-D124.1749) am 5. November 2020 entschieden:
c. Zur Sozialversicherungsnummer als Gesundheitsdatum
Zuletzt war noch auf das Vorbringen des Beschwerdeführers einzugehen, wonach es sich bei der Sozialversicherungsnummer um ein Gesundheitsdatum im Sinne des Art. 9 Abs. 1 DSGVO handle. Festzuhalten ist, dass Gesetze in Sinne des § 1 Abs. 2 DSG die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen dürfen und gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen müssen.
Bei Gesundheitsdaten handelt es sich im Lichte des Art. 9 Abs. 1 DSGVO zweifelsohne um besonders schutzwürdige Daten, wobei der Begriff im Sinne der Rsp. des EuGH weit auszulegen ist (vgl. zu Art. 8 Abs. 1 der Richtlinie 95/46 das Urteil des EuGH vom 6. November 2003, C-101/01, Rs Lindqvist, Rz 50).
Erfasst sind gemäß Art. 4 Z 15 DSGVO in Zusammenschau mit ErwGr. 35 zweiter Satz DSGVO auch Nummern, Symbole oder Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese Person für gesundheitliche Zwecke eindeutig zu identifizieren.
Die Datenschutzbehörde vertritt allerdings in ihrer ständigen Rechtsprechung, dass aus Gesundheitsdaten jedenfalls Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen müssen.
Unter Berücksichtigung dieser Überlegung sind Kennziffern iSv ErwGr. 35 zweiter Satz DSGVO nicht per se als Gesundheitsdatum zu qualifizieren, sondern muss auch im Hinblick auf solche Kennziffern ein gewisser Bezug zu Informationen über den Gesundheitszustand bestehen (vgl. etwa den Bescheid der DSB vom 9. April 2019, DSB-D123.526/0001-DSB/2019).
Wird die Sozialversicherungsnummer daher als bloßer Indikator – also wie gegenständlich unabhängig von der Inanspruchnahme einer Gesundheitsdienstleistung – verwendet, liegt kein Gesundheitsdatum und somit kein besonders schutzwürdiges Datum im Sinne des § 1 Abs. 2 DSG bzw. Art. 9 Abs. 1 DSGVO vor.
Kommentar schreiben