Die Österreichische Datenschutzbehörde (DPA) hat in ihrem letzten Newsletter eine Entscheidung vom 16. November 2018 über eine Allergie-Ambulanz hervorgehoben. Die Klinik wurde mit einer Geldstrafe von 50.000 Euro belegt, weil sie
- keinen Datenschutzbeauftragten ernannt hat, obwohl sie 17 Ärzte beschäftigt,
- die “unwiderrufliche” Zustimmung der Patienten aufgrund unklarer Informationen und für ein niedrigeres Datensicherheitsniveau (Übermittlung medizinischer Daten durch unverschlüsselte E-Mails) verlangte,
- sich auf Artikel 6 GDPR als Rechtsgrundlage stützte (anstelle von Artikel 9 Absatz 2 nur GDPR) und genaue Informationen für die Patienten bereitstellte und
- keine Datenschutz-Folgenabschätzungen für verschiedene Verarbeitungsaktivitäten durchführte.
Die Entscheidung steht damit im Widerspruch zu der Auffassung des Obersten Gerichtshofs, dass die Anforderungen des Art. 9 Abs. 2 GDPR zusätzlich zu den Anforderungen des Art. 6 Abs. 1 GDPR (6Ob45/19i vom 24. Juli 2019) erfüllt werden müssen. Die DSB wies auch die Argumentation der Klinik zurück, sich auf falsche Informationen über die GDPR-Anforderungen von Berufsvertretungen gestützt zu haben.
Es zeigt, dass das DPA eine strenge Haltung einnimmt und nicht in erster Linie eine Warnung ausspricht.