Eine Fachärztin für Psychiatrie und psychotherapeutische Medizin musste sich einem Verwaltungsstrafverfahren stellen und wurde mit EUR 6.000 bestraft. Auslöser war die Beschwerde einer Patientin, dass ihre Telefonnummer im Rahmen einer „Gruppentextnachricht“ mit der Terminerinnerung für einen konkreten Tag via iMessage an 28 Empfänger offengelegt wurde. Sonstige Informationen über das Arzt-Patienten-Verhältnis waren nicht umfasst. Da die Rechtsverletzung bereits abgeschlossen war, stellte die Aufsichtsbehörde zwar das amtswegige Prüfverfahren ein, eröffnete jedoch stattdessen ein Verwaltungsstrafverfahren gegen die Ärztin.
Diese argumentierte, dass die Offenlegung der Telefonnummern ein Versehen war und sie nach Bekanntwerden des Vorfalls technische Maßnahmen ergriffen habe, um eine Wiederholung zu verhindern. So ließ sie sich nach dem Vorfall technisch beraten und die Einstellungen des Mobiltelefons ändern, um zukünftig nur noch SMS anstelle von iMessages zu versenden. Zudem habe sie aufgrund der fehlenden rechtlichen Beratung bei der Gründung ihrer Praxis und mangels konkreter Hinweise der Ärztekammer keine genauen Kenntnisse über ihre datenschutzrechtlichen Pflichten gehabt.
Dennoch stellte die Aufsichtsbehörde einen Verstoß gegen die Grundsätze der Datenverarbeitung, die Bedingungen für eine rechtmäßige Datenverarbeitung, die Konzepte von Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, gegen die Pflicht zum Führen eines Verarbeitungsverzeichnisses und die Pflicht zur Data-Breach-Notification fest. Im dagegen erhobenen Rechtsmittel rügte die Ärztin jedoch nur die unverhältnismäßig hoch verhängte Strafe und verlangte, dass die Aufsichtsbehörde an Stelle einer Geldstrafe eine Verwarnung hätte aussprechen müssen.
Die Geldstrafe wurde daraufhin auf EUR 4.000 herabgesetzt. Ansonsten drang man mit den Argumenten nicht durch:
- Jede Verantwortliche ist verpflichtet, sich mit den einschlägigen, aus der EU-DSGVO resultierenden Verpflichtungen vertraut zu machen.
- Die Verantwortliche handelt fahrlässig, weil objektiv sorgfaltswidrig, wenn sie es entgegen der Pflicht unterlässt, sich Kenntnis über die einschlägigen datenschutzrechtlichen Vorgaben zu verschaffen und deren Einhaltung effektiv sicherzustellen.
- Telefonnummern stellen personenbezogene Daten dar.
- Geht aus dem Kontext der Nachricht zumindest indirekt hervor, dass die Empfänger das Dienstleistungsangebot einer Fachärztin in Anspruch nehmen, liegt ein Gesundheitsdatum vor.
- Der Versand von Terminerinnerungen mittels SMS durch eine Arztordination bedingt die ausdrückliche Einwilligung des Patienten.
- Die (wenn auch unabsichtliche) Offenlegung von Gesundheitsdaten stellt ein (erhebliches) Risiko für die Rechte und Freiheiten der betroffenen Personen iSd Art 33 EU-DSGVO dar.
- Im Anwendungsbereich der EU-DSGVO, besteht kein Raum für die Anwendung des § 11 AT-DSG 2018 („Verwarnung durch die Datenschutzbehörde“) und § 33a AT-VStG („Beraten“).