COBIN claims: Fall um Weitergabe von Covid-Infektionsdaten wiegt schwerer als Affäre um Daten zur Parteiaffinität

Betroffene haben zahlreiche Rechte – gemeinnützige Plattform prüft (Klags-)Schritte gegen Verantwortliche / Was Betroffene nun tun können

Wien (OTS) - Für die gemeinnützige Plattform für kollektiven Rechtsschutz COBIN claims ist der Fall um die offenbare Weitergabe von Daten Covid-infizierter Tirolerinnen und Tiroler ein grober Verstoß gegen Datenschutz-Recht: „Gesundheitsdaten sind im Datenschutzrecht gleich streng geschützt als etwa Aufzeichnungen zur Partei-Affinität, welche die heimische Post gesammelt hat. Es können aber die faktischen Auswirkungen, etwa am Arbeitsplatz, noch größer sein“, erklären die COBIN claims-Beiratsmitglieder und Rechtsanwälte Mag. Robert Haupt und Mag. Severin Hammer: „In Hinblick darauf, dass bereits 2012 mit dem Gesundsheitstelematikgesetz konkrete Normen für die (sichere) elektronische Übermittlung von Gesundheitsdaten geschaffen wurden, stößt der Umstand, dass hier offenbar Gesundheitsdaten via Excel-Listen per E-Mail übermittelt worden sein sollen, auf völliges Unverständnis.“

Konkret hätte man in Tirol die Daten nur verschlüsselt weitergeben dürfen und generell den Zugang dazu streng reglementieren müssen. „Es ist Medien zu verdanken, dass die offenbaren Missstände und saloppen Umgangsformen mit hochsensiblen Gesundheitsdaten der Bürgerinnen und Bürger aufgezeigt wurden. Für den Verein geht es nun darum, mithilfe der beiden spezialisierten und bereits im Fall Parteiaffinitäts-Daten für unzählige Geschädigte tätigen Anwälte Mag. Hammer und Mag. Haupt den Betroffenen konkrete weitere rechtliche Schritte aufzuzeigen“, sagt COBIN claims-Obmann Mag. Oliver Jaindl.

Laut den Anwälten ist die Rechtslage im Wesentlichen folgende:
• Die HG Lab Truck muss unverzüglich jeden einzelnen Tiroler und jede einzelne Tirolerin, der bzw. die sich auf der Liste befindet, über die Weitergabe der Daten persönlich informieren. Es liegt auf der Hand, dass all jene Bürger, deren Gesundheitsdaten nunmehr in Redaktionen aufliegen, ein Interesse daran haben, zu erfahren, dass auch sie vom Datenleck betroffen sind. Nach Ansicht der befassten Rechtsanwaltsbeiräte ist im gegenständlichen Fall die Information der Betroffenen auch gesetzlich zwingend.
• Weiters wäre über das Datenleck die Datenschutzbehörde zu informieren gewesen – vor allem auch dann, wenn es sich tatsächlich um einen „Hackerangriff“ gehandelt haben sollte.
• Offensichtlich hat man es verabsäumt, technische und organisatorische Maßnahmen gemäß DSGVO zu treffen, um sensible Daten der Betroffenen zu schützen. Das Versenden einer Masse an Gesundheitsdaten via E-Mail ist mit der gesetzlich geforderten Sicherheit der Verarbeitung absolut unvereinbar.
• Sowohl die HG Lab Truck als auch das Land Tirol als offensichtlicher Auftraggeber der Verarbeitung der hochsensiblen Daten, müssen Bürgerinnen und Bürger eine Datenauskunft erteilen und aufklären, welche Daten – insbesondere auch diese der fraglichen Excel-Liste – verarbeitet wurden und an wen sie weitergegeben wurden. „Neben dem Recht auf Löschung, stehen den Geschädigten Auskunftsrechte zu, wer die Daten bereits erhalten hat, um effektiv das Recht auf Löschung bei diesen Dritten durchsetzen zu können. COBIN claims Beiratsmitglied Robert Haupt hat in diesem Zusammenhang jüngst einen Fall vor den EuGH gebracht, der auch hier von höchster Relevanz ist“, sagen die Anwälte. Es werden auch Medien gebeten, nach Abschluss der Recherchen die Daten gänzlich zu löschen und dies zu bestätigen.
• Den Betroffenen steht, sobald sie wissen, dass auch sie auf der Liste aufscheinen, ein Beschwerderecht bei der Datenschutzbehörde zu.
• Da sich die HB Lab Truck als offenbar unzuverlässig bei der Verarbeitung sensibler Daten erwiesen hat, empfiehlt es sich, einen Widerspruch zur Verarbeitung bzw. den Widerruf einer allenfalls erklärten Einwilligung zur Verarbeitung sensibler Daten zu prüfen.
• Der Verein prüft derzeit, inwieweit auch ideeller Schadenersatz Betroffenen zustehen könnte. Leitentscheidungen des OGH und des EuGH stehen noch aus. Im Falle tatsächlicher und nicht nur immaterieller Schäden ist aber die Rechtslage klar. Derartige Schäden sind zu ersetzen.

„Es ist nicht auszudenken, was mit derartigen Daten passieren kann, da diese Excel-Liste offenbar kreuz und quer im Land per E-Mail herum geschickt wurde, ehe der ORF-Tirol und der Standard dieses Unwesen aufgezeigt haben“, sagt Jaindl: „Abgesehen von potenziellen Nachteilen in Beruf oder Privatleben, wenn bekannt wird, dass jemand mit Covid infiziert war, geht es um Grundsätzliches: Es geht niemanden etwas an, welche Krankheiten – inklusive Corona – man hatte. Genau deswegen sind Gesundheitsdaten die ua. am strengsten geschützten Daten, da sie Menschen noch stärker als etwa Bonitätsdaten udgl. bloßstellen können.“

COBIN claims schafft auf seiner Homepage heute, Donnerstag, eine Möglichkeit, damit sich Betroffene oder besorgte Tirolerinnen und Tiroler gratis beim Verein registrieren können, um weitere Informationen zum Fall zu erhalten. Es ist geplant, dass die Anwälte Muster-Schreiben für Bürgerinnen und Bürger gratis zur Verfügung stellen, weiters Info-Webinare sowie weitere Informationen, wie Musterverfahren initiiert werden können bzw. eine Sammelklage-Aktion durchgesetzt werden kann.

Im Fall Post-Parteidaten hat der Verein etliche Musterverfahren mitfinanziert. Eine Vielzahl von Teilnehmern der Aktion Post etwa haben auch in den letzten Wochen Bescheide der Datenschutzbehörde erhalten, wonach die Verarbeitung politischer Meinungen durch die Post rechtswidrig war. Die Entscheidungen sind nicht rechtkräftig und es steht diesen Herbst eine Serie von Prozessen vor dem Bundesverwaltungsgericht an.