BVwG W176 2248629-1

Spruch:

W176 2248629-1/17E

IM NAMEN DER REPUBLIK!

Das Bundesverwaltungsgericht hat durch den Richter Mag. NEWALD als Vorsitzenden und die fachkundigen Laienrichter Mag. BOGENDORFER und RAUB als Beisitzer über die Beschwerde von XXXX , vertreten durch XXXX gegen den Bescheid der Datenschutzbehörde vom 23.09.2021, Zl. DSB-D124.3045, 2020-0.832.983 (Mitbeteiligte Partei: XXXX ), betreffend Verletzung im Recht auf Geheimhaltung gemäß § 1 DSG, in nichtöffentlicher Sitzung zu Recht erkannt:

A) Die Beschwerde wird als unbegründet abgewiesen.

B) Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig.

Entscheidungsgründe:

I. Verfahrensgang:

I.1. Mit Schreiben vom 28.09.2020 erhob die Beschwerdeführerin (im Folgenden: BF) eine Datenschutzbeschwerde bei der Datenschutzbehörde (belangte Behörde vor dem Bundesverwaltungsgericht) gegen die XXXX (im Folgenden: Mitbeteiligte Partei, MP) wegen einer Verletzung im Grundrecht auf Geheimhaltung gemäß § 1 Abs. 1 DSG. Darin brachte sie im Wesentlichen vor, dass im Zuge ihres Anschlussheilverfahrens vom 16.06.2020 bis 07.07.2020 die Einrichtung Rehabilitationszentrum XXXX (des Trägers XXXX ; im Folgenden: Rehabilitationszentrum) ohne ihre Zustimmung MRT-Befunde bei der MP angefordert und diese auch erhalten habe. Dies sei am 16.06.2020 anlässlich einer Besprechung mündlich mitgeteilt worden und die Befunde seien vorgelegt worden. Von diesem Verstoß habe die BF am 25.06.2020 mündlich durch Ärzte des Rehabilitationszentrums erfahren.

I.2. Mit Schreiben der belangten Behörde vom 01.10.2020 wurde der MP die Datenschutzbeschwerde der BF übermittelt. Die MP wurde dazu zur Stellungnahme aufgefordert.

I.3. In ihrer Stellungnahme vom 20.10.2020 brachte die MP zusammengefasst vor, dass der radiologische Befund für die Untersuchung vom 05.05.2020 vom Rehabilitationszentrum angefordert worden sei. Dabei sei von der anfordernden Stelle glaubhaft vermittelt worden, dass die BF zwar die Bilddaten beigebracht habe, der zugehörige Befund des Radiologen aber gefehlt habe. Der schriftliche Befund sei von den behandelnden Ärzten zur Beurteilung und weiteren Behandlungsplanung als wichtig erachtet worden. Die BF habe zudem mündlich ihr Einverständnis der anfordernden Partei gegenüber ausgesprochen. Grundlage für die Übermittlung sei somit § 51 Abs. 2 Z. 2 ÄrzteG gewesen. Zudem sei die Aufforderung zur Befundübermittlung von einer Rehabilitationseinrichtung der XXXX , welche als kostenübernehmende Versicherung der angeforderten radiologischen Untersuchung aufgetreten sei, erfolgt. Der Stellungnahme wurde ein Auszug aus dem Verzeichnis der MP für Verarbeitungstätigkeiten zu ebendieser Vorgangsweise beigelegt.

I.4. Mit Schreiben der belangten Behörde vom 17.11.2020 wurde die BF über den Verfahrensstand informiert und wurde ihr die Gelegenheit gegeben, dazu eine Stellungnahme abzugeben.

I.5. Mit Eingabe vom 03.12.2020 beantragte die BF eine Fristerstreckung für die Abgabe einer Stellungnahme, welche ihr von der belangten Behörde gewährt wurde. Am 14.02.2020 langte eine Vollmachtsbekanntgabe und Stellungnahme der BF bei der belangten Behörde. Darin brachte die BF im Wesentlichen vor, dass es sich um ein physiotherapeutisches und um kein neurologisches Anschlussheilverfahren gehandelt habe. Die MP habe dem Rehabilitationszentrum unreflektiert und ungeprüft ihre Schädel-MRT-Befunde übersandt, obwohl sie erkennen hätte müssen, dass diese in keinem Zusammenhang mit der anfragenden Institution stehe. Es sei keine ausdrückliche Einwilligung der BF vorgelegen. Indem die MP der BF trotz evidenter Kenntnis ihrer kognitiven Beeinträchtigungen mangelnde Mitwirkungsbereitschaft vorhalte, beweise diese eindeutig die eklatante Verletzung ihrer medizinischen Fürsorgeverpflichtung der BF gegenüber. Denn es sei medizinisch evident unbestritten, dass sie als Demenzpatientin nicht wirksam agieren hätte können. In casu habe weiters kein medizinischer Notfall vorgelegen, der die MP allenfalls legitimiert hätte, ohne ihre Zustimmung Befunde zu übermitteln. Ebenso habe kein überwiegendes berechtigtes Interesse der MP vorgelegen. § 51 Abs. 2 ÄrzteG stelle in casu keinen Ermächtigungstatbestand für die erfolgte Datenschutzverletzung durch die MP dar. Die MP habe die kumulativen Voraussetzungen der Art. 6 und 9 DSGVO zur Gewährleistung des hohen Schutzniveaus nicht erfüllt.

I.6. Mit dem angefochtenen Bescheid wies die belangte Behörde die Datenschutzbeschwerde der BF als unbegründet ab.

Begründend wurde ausgeführt, dass gegenständlich insofern in das Recht auf Geheimhaltung der BF eingegriffen worden sei, indem ihr Befund samt der darin enthaltenen personenbezogenen Daten an das Rehabilitationszentrum übermittelt worden sei. Dabei würden besonders schutzwürdige Daten iSd. § 1 Abs. 2 zweiter Satz DSG und Art. 9 Abs. 1 DSGVO – nämlich Gesundheitsdaten der BF – verarbeitet werden. Für solche besonderen Kategorien personenbezogener Daten gelte nach Art. 9 Abs. 1 leg. cit. ein Verarbeitungsverbot, wobei in Art. 9 Abs. 2 leg. cit. Ausnahmen dieses Verbotes aufgelistet seien. Art. 9 Abs. 2 lit. h DSGVO gestatte die Verarbeitung von Gesundheitsdaten, die für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Abs. 3 genannten Bedingungen und Garantien erforderlich seien. Die Verarbeitung im Rahmen dieser „Gesundheitsleistungen“ müsse auf Unionsrecht, innerstaatlichem Recht oder einem Vertrag mit einem Angehörigen eines Gesundheitsberufs beruhen. Darüber hinaus müsse die Verarbeitung gemäß des sich auf Art. 9 Abs. 2 DSGVO beziehenden Erwägungsgrundes 53 Satz 1 erforderlich sein und zwar „im Interesse einzelner natürlicher Personen und der Gesellschaft insgesamt“ (vgl. Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 9 DSGVO Rz 52). Als Rechtsgrundlage würden gegenständlich die Bestimmungen des MTD-Gesetzes in Betracht kommen: Die MP sei als radiologisch-technischer Dienst gemäß § 1 Z 3 iVm § 2 Abs. 3 leg. cit. als gehobener medizinisch-technischer Dienst zu qualifizieren. Gemäß § 11 Abs. 1 leg. cit hätten Angehörige der gehobenen medizinisch-technischen Dienste ihren Beruf ohne Unterschied der Person gewissenhaft auszuüben. Sie hätten das Wohl und die Gesundheit der Patienten und Klienten unter Einhaltung der hiefür geltenden Vorschriften und nach Maßgabe der fachlichen und wissenschaftlichen Erkenntnisse und Erfahrungen zu wahren. Gemäß § 11b Abs. 2 leg.cit. hätten Angehörige von gehobenen medizinisch-technischen Diensten anderen Angehörigen der Gesundheitsberufe, die die betroffenen Patienten oder Klienten behandeln oder pflegen würden, die für die Behandlung oder Pflege erforderlichen Auskünfte und über die von ihnen gesetzten Maßnahmen Auskünfte zu erteilen. Wie festgestellt, sei der angefragte neurologische Befund für die Einschätzung des Gesundheitszustandes und des weiteren Behandlungsverlaufes der BF im physiotherapeutischen Anschlussheilverfahren als äußerst wichtig erachtet worden, zumal die BF dement sei und auch keine Angaben zu ihrem Gesundheitszustand tätigen habe können. In Entsprechung der Berufspflichten gemäß § 11 Abs. 1 MTD-Gesetz und in Zusammenhang mit den erforderlichen medizinischen Maßnahmen der Rehabilitation des Anschlussheilverfahrens erscheine die Anfrage des neurologischen Befundes zudem aus folgenden Gründen erforderlich: Ohne genaue Kenntnis etwaiger neurologischer Erkrankungen und Diagnosen der BF wäre eine ordnungsgemäße Erfüllung der die Fachärzte des Rehabilitationszentrums treffenden Behandlungspflicht nicht möglich, zumal die BF aufgrund ihrer Demenz selbst nicht in der Lage gewesen sei, entsprechende Angaben zu tätigen. Die Anfrage des Befundes sei daher letztendlich auch im Interesse der BF selbst gelegen. Die MP sei daher aufgrund von § 11b Abs. 2 MTD-Gesetz berechtigt gewesen, den Befund an die die BF behandelnden Ärzte zu übermitteln. Zudem gebe es gegenständlich keine Anhaltspunkte, dass die in § 9 Abs. 3 DSGVO genannten Bedingungen und Garantien nicht eingehalten worden seien. Die Übermittlung des Befundes an das Rehabilitationszentrum durch die MP sei daher rechtmäßig erfolgt.

I.7. Gegen den Bescheid der belangten Behörde richtete sich die am 21.10.2021 fristgerecht erhobene Beschwerde. In der Beschwerde wiederholte die BF ihr bisheriges Vorbringen und führte im Wesentlichen ergänzend aus, dass sie zu dem damaligen Zeitpunkt nur insoweit dement gewesen sei, dass sie lediglich kognitiv beeinträchtigt und voll handlungs- und geschäftsfähig gewesen sei. Dies sei der XXXX vor und bei Antritt des Anschlussheilverfahrens mitgeteilt worden, und vor allem auch das Bestehen einer Vorsorgevollmacht, die offengelegt und nachgewiesen worden sei. Darüber hinaus verfüge die belangte Behörde nicht über medizinische Fachkenntnisse zur Beurteilung ihres Krankheitsbildes. Es sei ihr daher rechtlich verwehrt, die eigenständige medizinische Beurteilung in concreto durchzuführen. Der angeforderte Befund sei einerseits medizinisch nicht erforderlich gewesen, andererseits hätte dieser zeitlich adäquat ohne Beeinträchtigung der Behandlung durch ihre Vertreter erbracht werden können. Außerdem sei es medizinisch evident, dass der schriftliche Befund allenfalls sekundär sei; primär würden zur Befundung stets die Bilder herangezogen werden. Da die MP nicht über die nachweisliche medizinische Expertise verfüge, bestehe auch keine Erforderlichkeit zur Befundabfrage. Das Anschlussheilverfahren für das neue Hüftgelenk habe medizinisch evident sowie notorisch keine neurologische Befundung erfordert. Die unreflektierte Übernahme des Vorbringens der MP belaste den Bescheid mit Rechtswidrigkeit. Außerdem würden private bzw. öffentliche Krankenversicherungsanstalten nicht unter Art. 9 Abs. 2 lit. h DSGVO fallen. Die gesetzliche Interessenabwägung würde ergeben, dass im Zweifel die Schutzwürdigkeit der BF überwiege. Falls die medizinischen Unterlagen unvollständig gewesen seien, hätte die MP den von der BF Bevollmächtigen um Übermittlung der fehlenden Befunde ersuchen müssen. Dies wäre das adäquate und gelindeste Mittel gewesen. § 11 MTD-Gesetz komme nach Art. 9 Abs. 2 lit. h DSGVO nicht zur Anwendung, da die Erforderlichkeit nachweislich nicht vorgelegen habe. Die MP hätte sich zwingend eine schriftliche Zustimmung vorlegen lassen müssen. Eine Einwilligung der BF zur Befundübermittlung bzw. Abfrage habe niemals vorgelegen und es hätten keine Ermächtigungs- oder Ausnahmetatbestände zur Legitimierung des datenschutzrechtswidrigen Verhaltens der MP bestanden.

I.8. Die gegenständliche Beschwerde und der bezugshabende Verwaltungsakt wurden dem Bundesverwaltungsgericht (in der Folge auch „BVwG“) mit Schreiben vom 19.11.2021 von der belangten Behörde vorgelegt. In ihrer Stellungnahme zur Beschwerde der BF bestritt die belangte Behörde das Beschwerdevorbringen zur Gänze und verwies vollinhaltlich auf den angefochtenen Bescheid.

I.9. Mit Schriftsatz vom 22.03.2023 nahm die MP zur Bescheidbeschwerde zusammengefasst dahingehend Stellung, dass die Datenübermittlung auf mehrere Erlaubnistatbestände der DSGVO gestützt werden könne: So sei diese schon gemäß Art. 9 lit. a DSGVO rechtmäßig, weil die BF ihre ausdrückliche Einwilligung erteilt habe; ein Schriftlichkeitserfordernis bestehe dabei nicht. Alternativ könne die Datenübermittlung auf Art. 9 Abs. 2 lit. h DSGVO gestützt werden, wobei auf die legitimierenden nationalen Rechtsvorschriften des § 51 Abs. 2 Z 1 und Z 2 ÄrzteG sowie des § 11b Abs. 2 MTD-Gesetz hinzuweisen sei. Darüber hinaus sei die Datenübermittlung auch von den bestehenden Behandlungsverträgen (zwischen der BF und der MP sowie zwischen der BF und dem Rehabilitationszentrum) gedeckt.

II. Das Bundesverwaltungsgericht hat erwogen:

1. Feststellungen

1.1. Das Bundesverwaltungsgericht legt seiner Entscheidung den unter Punkt I. dargestellten Sachverhalt zugrunde.

1.2. Insbesondere wird festgestellt:

Die BF absolvierte nach einer Hüftoperation im Zeitraum 16.06.2020 bis 17.07.2020 ein Anschlussheilverfahren gemäß § 65a B-KUVG im Rehabilitationszentrum XXXX . Dieses ist eine Sonderkrankenanstalt der XXXX .

Die BF war zum Zeitpunkt des Anschlussheilverfahrens 77 Jahre alt und ist seit zwei Gehirnoperationen im Jahre 2018 dement und kognitiv signifikant eingeschränkt. Dem ärztlichen Team des Rehabilitationszentrums war die Demenz der BF bekannt.

Die BF trat die Rehabilitation ohne jegliche Befunde an und konnte keine Angaben zu ihren Medikamenten und Vorbefunden tätigen.

Der von der BF bevollmächtigte XXXX , legte einige Tage nach der stationären Aufnahme der BF ein Konvolut radiologischer Bilder vor. Das ärztliche Team des Rehabilitationszentrums XXXX sichtete diese radiologischen Bilder, ordnete sie, befundete sie radiologisch und interpretierte sie neurochirurgisch.

Bei einem der vorgelegten radiologischen Bilder der MP fehlte der entsprechende Befundteil betreffend eine Untersuchung am 05.05.2020. Dieser neurologische MRT-Befund wurde von dem ärztlichen Team des Rehabilitationszentrums für die Einschätzung des Gesundheitszustandes und des weiteren Behandlungsverlaufes der BF im physiotherapeutischen Anschlussheilverfahren als wichtig erachtet. Das ärztliche Team des Rehabilitationszentrums ersuchte daher die MP am 22.06.2020 um Übermittlung eines Duplikats. Der angefragte Befundteil wurde noch am selben Tag von der MP an das Rehabilitationszentrum gefaxt.

2. Beweiswürdigung:

Die Feststellungen ergeben sich aus den Angaben der Parteien im Zuge des Verfahrens vor der belangten Behörde und den von ihr vorgelegten Verwaltungsunterlagen.

Die Feststellungen zum Anschlussheilverfahren der BF beruhen auf ihren Angaben in der Datenschutzbeschwerde vom 28.09.2020 sowie auf den Ausführungen im angefochtenen Bescheid. Die Feststellungen zum Alter und zu der Demenz bzw. kognitiven Beeinträchtigung der BF ergeben sich aus den Ausführungen in der Stellungnahme der BF vom 14.12.2020 und im angefochtenen Bescheid. Wenn die BF nunmehr in ihrer Beschwerde ausführt, dass sie zu dem damaligen Zeitpunkt nur insoweit dement gewesen sei, dass sie lediglich kognitiv beeinträchtigt und voll handlungs- und geschäftsfähig gewesen sei (vgl. Beschwerde, Seite 3), sind diese Ausführungen nicht nachvollziehbar, da sie in Widerspruch zu ihren vorherigen Angaben stehen. So lässt sich ihrer Stellungnahme vom 14.12.2020 entnehmen, dass sie die Konsequenzen ihres Handelns nicht erfassen, geschweige denn absehen habe können und dass es medizinisch evident und unbestritten sei, dass sie als Demenzpatientin nicht wirksam agieren könne. Insbesondere wies die BF darauf hin, dass wenn die MP sie gefragt hätte, ob diese die Befunde abfragen hätte dürfen, sie die Tragweite und den Kontext dieser Anfrage intellektuell nicht verarbeiten hätte können. Vor diesem Hintergrund kann der belangten Behörde – entgegen der Ansicht der BF – nicht vorgehalten werden, dass sie die entsprechenden Feststellungen getroffen hat (sh. Bescheid, Seite 2 f).

Die Feststellungen zur Übermittlung des Befundes der BF durch die MP ergeben sich aus den Angaben der MP in ihrer Stellungnahme vom 20.10.2020 und den Ausführungen der belangten Behörde im angefochtenen Bescheid. Dass für die Einschätzung des Gesundheitszustandes und des weiteren Behandlungsverlaufes der BF im physiotherapeutischen Anschlussheilverfahren der neurologische Befund als wichtig erachtet wurde, ist vor dem Hintergrund, dass einige Behandlungsmethoden für Demenzpatienten nicht geeignet oder schädlich sein könnten, nachvollziehbar. Das Vorbringen der BF, dass dieser Befund nicht erforderlich gewesen sei, ist unsubstantiiert und vermag die Erklärung der behandelnden Ärzte, die den Befund zur Beurteilung und weiteren Behandlungsplanung als wichtig erachteten, nicht zu entkräften.

3. Rechtliche Beurteilung:

3.1. Zu Spruchpunkt A) – Abweisung der Beschwerde:

3.1.1. Maßgebliche Rechtsvorschriften und Rechtsprechung:

§ 1 DSG – Grundrecht auf Datenschutz – lautet auszugsweise:

(1) Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind.

(2) Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, sind Beschränkungen des Anspruchs auf Geheimhaltung nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.

[…]

Art. 4 DSGVO - Begriffsbestimmungen – lautet auszugsweise:

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

[…]

7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

[…]

Art. 5 DSGVO – Grundsätze für die Verarbeitung personenbezogener Daten – lautet:

(1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

(2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Art. 6 DSGVO – Rechtmäßigkeit der Verarbeitung – lautet auszugsweise:

(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung ihrer Aufgaben vorgenommene Verarbeitung.

(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1 Buchstaben c und e beibehalten oder einführen, indem sie spezifische Anforderungen für die Verarbeitung sowie sonstige Maßnahmen präziser bestimmen, um eine rechtmäßig und nach Treu und Glauben erfolgende Verarbeitung zu gewährleisten, einschließlich für andere besondere Verarbeitungssituationen gemäß Kapitel IX.

(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1 Buchstaben c und e wird festgelegt durch

a) Unionsrecht oder

b) das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt.

Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann spezifische Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung enthalten, unter anderem Bestimmungen darüber, welche allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen gelten, welche Arten von Daten verarbeitet werden, welche Personen betroffen sind, an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten offengelegt werden dürfen, welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.

[…]

Art. 9 DSGVO – Verarbeitung besonderer Kategorien personenbezogener Daten – lautet auszugsweise:

(1) Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

(2) Absatz 1 gilt nicht in folgenden Fällen:

a) Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,

b) die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,

c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben,

d) die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden,

e) die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,

f) die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich,

g) die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich,

h) die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,

i) die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder

j) die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 erforderlich.

(3) Die in Absatz 1 genannten personenbezogenen Daten dürfen zu den in Absatz 2 Buchstabe h genannten Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.

[…]

§ 1 MTD-Gesetz – Allgemeines – lautet:

Die gehobenen medizinisch-technischen Dienste sind:

1. der physiotherapeutische Dienst;

2. der medizinisch-technische Laboratoriumsdienst;

3. der radiologisch-technische Dienst;

4. der Diätdienst und ernährungsmedizinische Beratungsdienst;

5. der ergotherapeutische Dienst,

6. der logopädisch-phoniatrisch-audiologische Dienst;

7. der orthoptische Dienst.

§ 1b MTD-Gesetz – Verweisungen – lautet auszugsweise:

(1) Soweit in diesem Bundesgesetz auf Bestimmungen anderer Bundesgesetze Bezug genommen wird, sind diese, sofern nicht anderes bestimmt ist, in ihrer jeweils geltenden Fassung anzuwenden.

(2) Durch dieses Bundesgesetz werden das

[…]

2. Ärztegesetz 1998 (ÄrzteG 1998), BGBl. I Nr. 169,

[…]

§ 1c MTD-Gesetz – Datenverarbeitung – lautet:

(1) Angehörige der gehobenen medizinisch-technischen Dienste sind ermächtigt, die im Rahmen der Berufsausübung nach den Bestimmungen dieses Bundesgesetzes erforderlichen personenbezogenen Daten zum Zweck

1. der Dokumentation (§ 11a),

2. der Auskunftserteilung (§ 11b),

3. der Honorarabrechnung (§ 11c Abs. 2 Z 3)

unter Einhaltung der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) und des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, zu verarbeiten.

[…]

(2) Hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 1 und 2 sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 DSGVO ausgeschlossen.

§ 2 Abs. 3 MTD-Gesetz – Berufsbild – lautet:

Der radiologisch-technische Dienst umfaßt die eigenverantwortliche Ausführung aller radiologisch-technischen Methoden nach ärztlicher Anordnung bei der Anwendung von ionisierenden Strahlen wie diagnostische Radiologie, Strahlentherapie, Nuklearmedizin und anderer bildgebender Verfahren wie Ultraschall und Kernspinresonanztomographie zur Untersuchung und Behandlung von Menschen sowie zur Forschung auf dem Gebiet des Gesundheitswesens. Weiters umfasst der radiologisch-technische Dienst die Anwendung von Kontrastmitteln und Radiopharmazeutika nach ärztlicher Anordnung und nur in Zusammenarbeit mit Ärzten (Ärztinnen).

§ 11 MTD-Gesetz – Berufspflichten – lautet:

(1) Angehörige der gehobenen medizinisch-technischen Dienste haben ihren Beruf ohne Unterschied der Person gewissenhaft auszuüben. Sie haben das Wohl und die Gesundheit der Patienten und Klienten unter Einhaltung der hiefür geltenden Vorschriften und nach Maßgabe der fachlichen und wissenschaftlichen Erkenntnisse und Erfahrungen zu wahren.(Anm.: Abs. 2 aufgehoben durch BGBl. I Nr. 185/2013)

(3) Jede eigenmächtige Heilbehandlung ist zu unterlassen.

§ 11b MTD-Gesetz – Auskunftspflicht – lautet:

(1) Angehörige von gehobenen medizinisch-technischen Diensten haben den betroffenen Patienten oder Klienten oder deren gesetzlichen Vertretern alle Auskünfte über die von ihnen gesetzten Maßnahmen zu erteilen.

(2) Sie haben anderen Angehörigen der Gesundheitsberufe, die die betroffenen Patienten oder Klienten behandeln oder pflegen, die für die Behandlung oder Pflege erforderlichen Auskünfte über Maßnahmen gemäß Abs. 1 zu erteilen.

§ 11c MTD-Gesetz – Verschwiegenheitspflicht – lautet:

(1) Angehörige der gehobenen medizinisch-technischen Dienste sind zur Verschwiegenheit über alle ihnen in Ausübung ihres Berufes anvertrauten oder bekannt gewordenen Geheimnisse verpflichtet.

(2) Die Verschwiegenheitspflicht besteht nicht, wenn

1. die durch die Offenbarung des Geheimnisses betroffene Person den (die) Angehörige(n) eines gehobenen medizinisch-technischen Dienstes von der Geheimhaltung entbunden hat, oder

2. die Offenbarung des Geheimnisses für die nationale Sicherheit, die öffentliche Ruhe und Ordnung, das wirtschaftliche Wohl des Landes, die Verteidigung der Ordnung und zur Verhinderung von strafbaren Handlungen, zum Schutz der Gesundheit und der Moral oder zum Schutz der Rechte und Freiheiten anderer notwendig ist, oder

3. Mitteilungen des (der) Angehörigen eines gehobenen medizinisch-technischen Dienstes über den (die) Versicherte(n) an Träger der Sozialversicherung und Krankenfürsorgeanstalten zum Zweck der Honorarabrechnung, auch im automationsunterstützten Verfahren, erforderlich sind.

(3) Weiters besteht die Verschwiegenheitspflicht nicht, soweit der (die) Berufsangehörige

1. der Anzeigepflicht gemäß § 11e oder

2. der Mitteilungspflicht gemäß § 37 Bundes-Kinder- und Jugendhilfegesetz 2013 (B-KJHG 2013), BGBl. I Nr. 69/2013,

nachkommt.

§ 51 ÄrzteG – Dokumentationspflicht und Auskunftserteilung – lautet auszugsweise:

(1) Der Arzt ist verpflichtet, Aufzeichnungen über jede zur Beratung oder Behandlung übernommene Person, insbesondere über den Zustand der Person bei Übernahme der Beratung oder Behandlung, die Vorgeschichte einer Erkrankung, die Diagnose, den Krankheitsverlauf sowie über Art und Umfang der beratenden, diagnostischen oder therapeutischen Leistungen einschließlich der Anwendung von Arzneispezialitäten und der zur Identifizierung dieser Arzneispezialitäten und der jeweiligen Chargen im Sinne des § 26 Abs. 8 des Arzneimittelgesetzes, BGBl. Nr. 185/1983, erforderlichen Daten zu führen und hierüber der beratenen oder behandelten oder zu ihrer gesetzlichen Vertretung befugten Person alle Auskünfte zu erteilen. In Fällen eines Verdachts im Sinne des § 54 Abs. 4 sind Aufzeichnungen über die den Verdacht begründenden Wahrnehmungen zu führen. Der Arzt ist verpflichtet, dem Patienten Einsicht in die Dokumentation zu gewähren oder gegen Kostenersatz die Herstellung von Abschriften zu ermöglichen.[…]

(2) Ärzte sind zur automationsunterstützten Verarbeitung personenbezogener Daten gemäß Abs. 1 sowie zur Übermittlung dieser Daten

1. an die Sozialversicherungsträger und Krankenfürsorgeanstalten in dem Umfang, als er für den Empfänger zur Wahrnehmung der ihm übertragenen Aufgaben eine wesentliche Voraussetzung bildet, sowie

2. an andere Ärzte oder medizinische Einrichtungen, in deren Behandlung der Kranke steht, mit Einwilligung des Kranken

berechtigt.

[…]

Die in der DSGVO vorgesehenen Grundsätze, Verbote und Pflichten richten sich insbesondere an „Verantwortliche“. Die Verantwortung wird dem übertragen, der die Entscheidungsmacht hat. Entscheidend für die Zuweisung der Verantwortlichkeit ist daher, wer über die wesentlichen Aspekte der Mittel der Verarbeitung entscheidet. Die Festlegung der Zwecke und der Mittel läuft darauf hinaus, zu entscheiden „warum“ und „auf welche Weise“ die Verarbeitung erfolgt. Bei einer bestimmten Verarbeitung ist der Verantwortliche der Akteur, der entschieden hat, warum die Verarbeitung erfolgt (also „mit welchem Ziel“ oder „wozu“), und auf welche Weise dieses Ziel erreicht werden soll (also welche Mittel eingesetzt werden, um das Ziel zu erreichen). Eine natürliche oder juristische Person, die einen solchen Einfluss auf die Verarbeitung personenbezogener Daten nimmt, ist somit gemäß der Definition in Art. 4 Abs. 7 DSGVO an der Festlegung der Zwecke und Mittel dieser Verarbeitung beteiligt (EuGH 10.07.2018, C-25/17 (Zeugen Jehovan todistajat), Rn 68).

Entsprechend der Rechtsprechung des EuGH muss grundsätzlich jede Verarbeitung personenbezogener Daten den in Art. 5 DSGVO aufgestellten Grundsätzen in Bezug für die Verarbeitung personenbezogener Daten und einem der in Art. 6 DSGVO angeführten Grundsätze in Bezug auf die Zulässigkeit der Verarbeitung von Daten genügen (zur Vorgängerbestimmung Art. 6 DS-RL: EuGH 20.05.2003, verb Rs C-465/00, C-138/01 und C-139/01, Österreichischer Rundfunk ua, Rn 65; 16.12.2008, C-524/06, Huber, Rn 48).

Entsprechend der Rechtsprechung des EuGH müssen Regelungen, die in die Rechte nach Art. 7 oder Art 8 EU-GRC eingreifen, klare und präzise Regeln für die Tragweite und die Anwendung einer Maßnahme vorsehen und Mindestanforderungen aufstellen, sodass die Personen, deren personenbezogene Daten betroffen sind, über ausreichende Garantien verfügen, die einen wirksamen Schutz ihrer Daten vor Missbrauchsrisiken sowie vor jedem unberechtigten Zugang zu diesen Daten und jeder unberechtigten Nutzung ermöglichen. Das Erfordernis, über solche Garantien zu verfügen, ist umso bedeutsamer, wenn die personenbezogenen Daten automatisch verarbeitet werden und eine erhebliche Gefahr des unberechtigten Zugangs zu ihnen besteht (EuGH 06.10.2015, C-362/14 (Schrems I), Rn 91, mwH). Diese Garantien sind umso wichtiger, wenn Daten automatisationsunterstützt verarbeitet werden und wenn es sich um sensible Daten handelt (EuGH 06.10.2020, in den verbundenen Rechtssachen C‑511/18, C‑512/18 und C‑520/18, Rn 132, mwH).

3.1.2. In der Sache:

Im vorliegenden Fall ist zu prüfen, ob die MP die BF dadurch im Recht auf Geheimhaltung verletzt hat, indem sie auf Anfrage eines Rehabilitionszentrums einen MRT-Befund der BF an dieses übermittelt hat.

Die MP legte als juristische Person den Zweck (Einschätzung des Gesundheitszustands und des weiteren Behandlungsverlaufes der BF im physiotherapeutischen Anschlussheilverfahren) und die Mittel der Verarbeitung der personenbezogenen Daten (Übermittlung des angefragten Befundteils per Fax an das Rehabilitionszentrum) fest und ist somit gemäß der Definition in Art. 4 Abs. 7 DSGVO als datenschutzrechtliche Verantwortliche zu qualifizieren.

Gemäß § 1 Abs. 1 DSG hat jedermann, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht.

Nach § 1 Abs. 2 DSG sind Beschränkungen des Geheimhaltungsanspruchs nur zulässig, wenn die Verwendung personenbezogener Daten im lebenswichtigen Interesse des Betroffenen oder mit seiner Zustimmung erfolgt, oder zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur bei Vorhandensein einer qualifizierten gesetzlichen Grundlage.

Werden besondere Kategorien von Daten iSd Art. 9 Abs. 1 DSGVO verarbeitet, wozu ua Gesundheitsdaten gehören, muss ein Erlaubnistatbestand des Art. 9 Abs. 2 DSGVO vorliegen. Ein Verstoß gegen Art. 5, 6 und 9 DSGVO führt zu einer Verletzung des § 1 Abs. 1 DSG.

Es ist unbestritten, dass gegenständlich eine Verarbeitung einer besonderen Kategorie von Daten gemäß Art. 9 Abs. 1 DSGVO vorliegt.

Als Gesundheitsdaten gelten „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person [...] beziehen und aus denen Informationen über den Gesundheitszustand hervorgehen“ (Art. 4 Z. 15 DSGVO). Dahingehend legt der EuGH den (in der DS-RL genannten und auf die DSGVO übertragbaren) Begriff „Daten über Gesundheit“ weit aus und bezieht sich auf alle Informationen, die die Gesundheit einer Person unter allen Aspekten – körperlichen wie psychischen – betreffen (EuGH 06.11.2003, C-101/01 (Bodil Lindqvist), Rn 50).

Eine Verarbeitung des MRT-Befundes der BF wäre daher nur dann möglich, wenn eine Ausnahme des Art. 9 Abs. 2 DSGVO vom Verarbeitungsverbot des Art. 9 Abs. 1 DSGVO vorliegt.

Im gegenständlichen Fall brachte die MP in ihrer Stellungnahme vom 20.10.2020 zunächst vor, dass die BF mündlich ihr Einverständnis der anfordernden Partei gegenüber ausgesprochen habe und Grundlage für die Verarbeitung somit § 51 Abs. 2 Z. 2 ÄrzteG gewesen sei. Dabei verkennt die MB, dass die BF zum Zeitpunkt des Anschlussheilverfahrens dement und kognitiv signifikant eingeschränkt war. Dem ärztlichen Team des Rehabilitationszentrums war die Demenz der BF bekannt. Daher kann die MP sich nicht auf eine ausdrückliche Einwilligung der BF zur Datenverarbeitung gemäß Art. 9 Abs. 2 lit. a DSGVO berufen.

Soweit die MP die Datenverarbeitung auf § 51 Abs. 2 Z. 1 ÄrzteG gründet, ist darauf hinzuweisen, dass die Übermittlung der Gesundheitsdaten der BF an das Rehabilitationszentrum erfolgte und nicht direkt an den Sozialversicherungsträger, die XXXX .

Des Weiteren ist gemäß Art. 6 Abs. 1 lit. d DSGVO eine Verarbeitung rechtmäßig, wenn sie erforderlich ist, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. Werden besondere Kategorien von Daten iSd Art. 9 Abs. 1 DSGVO verarbeitet, ist die Verarbeitung zulässig, wenn sie zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist und die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben (Art. 9 Abs. 2 lit. c DSGVO). Es ist erkennbar, dass die Voraussetzungen gemäß Art. 9 Abs. 2 lit. c DSGVO strenger sind (so auch Jahnel, Kommentar zur Datenschutz-Grundverordnung Art. 6 DSGVO (Stand 01.12.2020, rdb.at), Rn 52). Vor diesem Hintergrund erübrigt sich die nähere Prüfung der Voraussetzungen gemäß Art. 9 Abs. 2 lit. c DSGVO, wenn schon die Voraussetzungen gemäß Art. 6 Abs. 1 lit. d DSGVO nicht erfüllt sind.

Der Begriff der lebenswichtigen Interessen wird in der DSGVO nicht definiert. Aus ErwGr 112 DSGVO ist zu entnehmen, dass dieser jedenfalls die körperliche Unversehrtheit oder das Leben einschließt. Insgesamt kann darunter eine erhebliche Gesundheitsgefahr verstanden werden, die bei einer Nicht-Verarbeitung der Daten konkret eintreten würde. Auch ist der Rechtfertigungsgrund gemäß Art. 6 Abs. 1 lit. d DSGVO eng auszulegen (OGH 27.11.2019, 6Ob150/19f; Jahnel, Kommentar zur Datenschutz-Grundverordnung Art. 6 DSGVO (Stand 01.12.2020, rdb.at), Rn 52). Zudem ist die Anwendbarkeit von Art. 6 Abs. 1 lit. d DSGVO auf Fälle zu beschränken, in welchen eine konkrete Gefahrensituation vorliegt, weshalb vorbeugende Datenverarbeitungen nicht erfasst sind (Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 6 DSGVO (Stand 07.05.2020, rdb.at), Rn 44, mwN.). Der Schutz von lebenswichtigen Interessen betroffener Personen kann vor allem bei Unfällen oder in anderen Notsituationen vorliegen. Um die körperliche Unversehrtheit zu bewahren oder wiederherzustellen, wäre etwa an medizinische Tests, die Erhebung von Vitalfunktionen oder die Feststellung der Blutgruppe zu denken. Fälle, in denen die lebenswichtigen Interessen Dritter betroffen sein können, sind nach ErwGr 46 DSGVO beispielweise humanitäre Notfälle, insbesondere bei Naturkatastrophen oder Großunfällen. ErwGr 112 DSGVO nennt auch Datenverarbeitungen, die für die Durchsetzung von humanitärem Völkerrecht in bewaffneten Konflikten notwendig sind (Jahnel, Kommentar zur Datenschutz-Grundverordnung Art. 9 DSGVO (Stand 01.12.2020, rdb.at), Rn 67). In diesem Zusammenhang brachte die BF in ihrer Beschwerde nachvollziehbar vor, dass keine medizinische Notsituation vorgelegen habe und es sich um ein physiotherapeutisches Anschlussheilverfahren gehandelt habe, welches jederzeit von beiden Seiten aus welchem Grund auch immer abgebrochen werden hätte können. Auch vor dem Hintergrund der Rechtsprechung des OGH und den zitierten Erwägungsgründen kann die verfahrensgegenständlichen Datenverarbeitung gemäß Art. 6 Abs. 1 lit. d und Art. 9 Abs. 2 lit. c DSGVO nicht mit einem lebenswichtigen Interesse der BF gerechtfertigt werden.

Als Zwischenergebnis lässt sich somit festhalten, dass weder eine Verwendung personenbezogener Daten im lebenswichtigen Interesse der BF noch eine Zustimmung der BF zur Verarbeitung der gegenständlichen personenbezogenen Daten vorliegen.

3.2.2. Nach den Darstellungen der MP war die Übermittlung des MRT-Befundes der BF an das Rehabilitionszentrum deshalb erforderlich, um den Gesundheitszustand und den weiteren Behandlungsverlauf der BF im physiotherapeutischen Anschlussheilverfahren einschätzen zu können.

Die Verarbeitung besonderer Kategorien von Daten iSd Art. 9 Abs. 1 DSGVO ist ua zulässig, wenn sie für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich ist (Art. 9 Abs. 2 lit. h DSGVO). Gemäß Abs. 3 leg. cit. dürfen Gesundheitsdaten zu diesen Zwecken verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.

Die MP ist gemäß § 1 Z 3 iVm § 2 Abs. 3 MTD-Gesetz als radiologisch-technischer Dienst und folglich als gehobener medizinisch-technischer Dienst zu qualifizieren. Sie führt nach ärztlicher Anordnung eigenverantwortlich Untersuchungen aus, die im Rahmen des medizinischen Untersuchungs-, Behandlungs- und Forschungsbetriebes erforderlich sind. Sie unterliegt der Verschwiegenheitspflicht gemäß § 11c Abs. 1 MTD-Gesetz, ist allerdings gemäß § 11b Abs. 2 MTD-Gesetz auch dazu verpflichtet, anderen Angehörigen der Gesundheitsberufe, die die betroffenen Patienten oder Klienten behandeln oder pflegen, die für die Behandlung oder Pflege erforderlichen Auskünfte über von ihr getroffene Maßnahmen zu erteilen. Gemäß Abs. 2 Z. 2 leg. cit. nicht besteht, wenn ua die Offenbarung des Geheimnisses zum Schutz der Gesundheit notwendig ist. Im Fall dieser Informationsweitergabe wird nicht gegen die Verschwiegenheitspflicht verstoßen (vgl. Wagner-Kreimer in Neumayr/Resch/Wallner, GmundKomm2 § 11b MTD-G Rz 2 (Stand 1.1.2022, rdb.at)).

Es gibt keine Anhaltspunkte, dass die in Art. 9 Abs. 3 DSGVO genannten Bedingungen und Garantien nicht eingehalten wurden.

Aufgrund dieser Rechtsgrundlagen im MTD-Gesetz war die MP ermächtigt, dem Rehabilitationszentrum als Sonderkrankenanstalt der XXXX , wo die BF medizinisch behandelt wurde, die für die Behandlung erforderlichen Auskünfte über die von ihr gesetzten Maßnahmen zu erteilen. Es konnte festgestellt werden, dass die Übermittlung des MRT-Befundes der BF an das Rehabilitationszentrum erforderlich war, um den Gesundheitszustand und den weiteren Behandlungsverlauf der BF im physiotherapeutischen Anschlussheilverfahren einschätzen zu können. Außerdem haben Angehörige der gehobenen medizinisch-technischen Dienste das Wohl und die Gesundheit der Patienten und Klienten unter Einhaltung der hiefür geltenden Vorschriften und nach Maßgabe der fachlichen und wissenschaftlichen Erkenntnisse und Erfahrungen zu wahren (§ 11 Abs. 1 MTD-Gesetz). Auch führte die BF in ihrer Beschwerde selbst an, dass der Befund zeitlich adäquat ohne Beeinträchtigung der Behandlung durch ihre Vertreter hätte erbracht werden können. Dieser Umstand und der pauschale Verweis der BF, dass der Befund nicht medizinisch erforderlich gewesen sei, sind nicht geeignet, um die Begründung der MB, welche sich auf die Einschätzung der behandelnden Ärzte im Rehabilitationszentrum bezieht, zu entkräften. Entsprechendes gilt für das Vorbringen der BF, dass der schriftliche Befund allenfalls sekundär sei und primär zur Befundung stets die Bilder herangezogen werden würden. Es ist davon auszugehen, dass die behandelnden Ärzte das Vorliegen eines medizinischen Zusammenhangs zwischen dem angeforderten neurologischen Befund und dem physiotherapeutischen Anschlussheilverfahren richtig und besser beurteilen können als die BF, die im Gegensatz zu den Ärzten über kein umfassendes medizinisches Fachwissen verfügt. Sofern die BF behauptet, dass die Informationsvorgaben aus Art. 13 und 14 DSGVO nicht eingehalten worden seien, ist sie darauf zu verweisen, dass gemäß § 1c Abs. 3 MTD-Gesetz hinsichtlich der Verarbeitung personenbezogener Daten gemäß Abs. 1 leg. cit. die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 DSGVO ausgeschlossen sind. Auch das Vorbringen der BF, wonach private bzw. öffentliche Krankenversicherungen nicht unter Art. 9 Abs. 2 lit. h DSGVO fallen würden, geht ins Leere, weil sich die vorliegende Datenschutzbeschwerde nicht gegen den Sozialversicherungsträger richtet (siehe dazu W256 2248647-1). Schließlich vermögen auch die Ausführungen der BF zur „gesetzlichen Interessensabwägung“ keine zulässige Verarbeitung begründen, da im vorliegenden Fall eine qualifizierte gesetzliche Grundlage iSd DSGVO vorlag.

Insgesamt war die Übermittlung des MRT-Befundes der BF gemäß Art. 9 Abs. 2 lit. h DSGVO zulässig, da sie für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheitsbereich auf der Grundlage des MTD-Gesetz erforderlich war.

Im Ergebnis kann sich die MP hinsichtlich der gegenständlichen Verarbeitung von Gesundheitsdaten der BF zum Zwecke der medizinischen Diagnostik, der Versorgung oder Behandlung im Gesundheitsbereich auf § 11b Abs. 2 MTD-Gesetz iVm Art. 9 Abs. 2 lit. h DSGVO stützen.

Die belangte Behörde hat die Datenschutzbeschwerde der BF mit dem bekämpften Bescheid daher zu Recht abgewiesen. Die dagegen gerichtete Beschwerde war daher ebenfalls abzuweisen.

3.2. Zum Entfall der Verhandlung:

§ 24 Abs. 1 bis 4 VwGVG – Verhandlung – lautet:

(1) Das Verwaltungsgericht hat auf Antrag oder, wenn es dies für erforderlich hält, von Amts wegen eine öffentliche mündliche Verhandlung durchzuführen.

(2) Die Verhandlung kann entfallen, wenn

1. der das vorangegangene Verwaltungsverfahren einleitende Antrag der Partei oder die Beschwerde zurückzuweisen ist oder bereits auf Grund der Aktenlage feststeht, dass der mit Beschwerde angefochtene Bescheid aufzuheben oder die angefochtene Ausübung unmittelbarer verwaltungsbehördlicher Befehls- und Zwangsgewalt für rechtswidrig zu erklären ist oder

2. die Säumnisbeschwerde zurückzuweisen oder abzuweisen ist;

3. wenn die Rechtssache durch einen Rechtspfleger erledigt wird.(3) Der Beschwerdeführer hat die Durchführung einer Verhandlung in der Beschwerde oder im Vorlageantrag zu beantragen. Den sonstigen Parteien ist Gelegenheit zu geben, binnen angemessener, zwei Wochen nicht übersteigender Frist einen Antrag auf Durchführung einer Verhandlung zu stellen. Ein Antrag auf Durchführung einer Verhandlung kann nur mit Zustimmung der anderen Parteien zurückgezogen werden.

(4) Soweit durch Bundes- oder Landesgesetz nicht anderes bestimmt ist, kann das Verwaltungsgericht ungeachtet eines Parteiantrags von einer Verhandlung absehen, wenn die Akten erkennen lassen, dass die mündliche Erörterung eine weitere Klärung der Rechtssache nicht erwarten lässt, und einem Entfall der Verhandlung weder Art. 6 Abs. 1 der Konvention zum Schutze der Menschenrechte und Grundfreiheiten, BGBl. Nr. 210/1958, noch Art. 47 der Charta der Grundrechte der Europäischen Union, ABl. Nr. C 83 vom 30.03.2010 S. 389 entgegenstehen (§ 24 Abs. 4 VwGVG).

Vor diesem Hintergrund ergibt sich für die Beschwerdesache Folgendes:

Der maßgebliche Sachverhalt konnte als durch die Aktenlage hinreichend geklärt erachtet werden. In der Beschwerde wurden keine noch zu klärenden Tatsachenfragen in konkreter und substantiierter Weise aufgeworfen und war gegenständlich auch keine komplexe Rechtsfrage zu lösen (vgl. VwGH 13.09.2017, Ra 2016/12/0118; 21.12.2016, Ra 2016/12/0067). Somit konnte von der Durchführung einer mündlichen Verhandlung abgesehen werden. Dem Absehen von der Verhandlung stehen hier auch Art 6 Abs. 1 EMRK und Art 47 der Charta der Grundrechte der Europäischen Union nicht entgegen.

3.3. Zu Spruchpunkt B) – Unzulässigkeit der Revision:

Gemäß § 25a Abs. 1 VwGG hat das Verwaltungsgericht im Spruch seines Erkenntnisses oder Beschlusses auszusprechen, ob die Revision gemäß Art. 133 Abs. 4 B-VG zulässig ist. Der Ausspruch ist kurz zu begründen.

Die Revision ist gemäß Art. 133 Abs. 4 B-VG nicht zulässig, weil die Entscheidung nicht von der Lösung einer Rechtsfrage abhängt, der grundsätzlichen Bedeutung zukommt. Weder weicht die gegenständliche Entscheidung von der bisherigen Rechtsprechung des Verwaltungsgerichtshofes ab, noch fehlt es an einer Rechtsprechung; weiters ist die vorliegende Rechtsprechung des Verwaltungsgerichtshofes auch nicht als uneinheitlich zu beurteilen (siehe dazu insbesondere die unter A) zitierte Judikatur). Auch liegen keine sonstigen Hinweise auf eine grundsätzliche Bedeutung der zu lösenden Rechtsfrage vor. Konkrete Rechtsfragen grundsätzlicher Bedeutung sind weder in der gegenständlichen Beschwerde vorgebracht worden, noch im Verfahren vor dem BVwG hervorgekommen, zumal im vorliegenden Fall vornehmlich die Klärung von Sachverhaltsfragen Grundlage für die zu treffende Entscheidung war.

Die oben in der rechtlichen Beurteilung angeführte Judikatur des VwGH ist zwar zum Teil zu früheren Rechtslagen ergangen, sie ist jedoch nach Ansicht des erkennenden Gerichts auf die inhaltlich weitestgehend gleichlautenden Bestimmungen der nunmehr geltenden Rechtslage unverändert übertragbar.

Es war daher spruchgemäß zu entscheiden.