Viele Auftraggeber (in Zukunft: Verantwortliche im Sinne der Diktion der DSGVO) verwenden in Datenanwendungen (Verarbeitungen) die Sozialversicherungsnummer als „Identifikator“ von natürlichen Personen (z.B. Finanzonline).

Ist diese Art der Verwendung dieses personenbezogenen Datums datenschutzrechtlich bedenklich ? (oder wird sie das ab 25.5.2018 mit                                                                                                             Geltungsbeginn der DSGVO)

 

Die Datenschutzbehörde hat sich bereits mehrmals mit der Verwendung der Sozialversicherungsnummer beschäftigt.

 

Bereits im Jahr 2004 (K120.941/0012-DSK/2004)  hat die Behörde festgestellt:

 

§ 31 Abs. 4 Z 1 ASVG und auch § 159b B-KUVG geben den Zweck der Sozialversicherungsnummer, nämlich die Verwaltung personenbezogener Daten für Zwecke der Sozialversicherung, klar vor. Aus dieser gesetzlichen Zweckvorgabe ist abzuleiten, dass jede rechtmäßige Verwendung dieser Nummer für andere Zwecke auf einer gesetzlichen Ermächtigung beruhen muss.

 

Ein Beschwerdeverfahren vor der Behörde betraf die Verwendung der Sozialversicherungsnummer in der Schüler und Studierenden im Rahmen des Bildungsdokumentationsgesetz (BildDokG) und der Bildungsdokumentationsverordnung (BildDokV). In diesen Normen ist geregelt, dass Schüler / Studierende die Sozialversicherungsnummer bekannt zu geben haben.      

 

In einem Verfahren im Jahr 2015, welches das Arbeitsmarktservice betraf, ging es darum, dass die Sozialversicherungsnummer als Geschäftszahl in einer Zeugenladung verwendet wurde und Teile dieser auf einem Briefkuvert an die Mitbewohnerin des Beschwerdeführers übermittelt hat.

 

Die Sozialversicherungsnummer ist ohne Zweifel ein personenbezogenes Datum im Sinne des § 4 Z 1 DSG 2000, an dem der Versicherte eine schutzwürdiges Geheimhaltungsinteresse hat.

 

§ 31 Abs. 4 ASVG gibt den Zweck der Sozialversicherungsnummer klar vor. Demnach darf diese nur zur Verwaltung personenbezogener Daten im Rahmen der der Sozialversicherung gesetzlich übertragenen Aufgaben verwendet werden. Auch § 460d ASVG hält fest, dass die Versicherungsnummer nach § 31 Abs. 4 Z 1 ASVG in der elektronischen Datenverarbeitung für Zwecke der Sozialversicherung und des Arbeitsmarktservice verwendet werden kann.

 

Auch nach der Rechtsprechung der Datenschutzbehörde darf die Sozialversicherungsnummer nicht als „genereller Identifikator“ verwendet werden, d.h. in Zusammenhängen, die mit sozialversicherungsrechtlichen Sachverhalten nichts zu tun haben; eine solche Verwendung wurde von der Datenschutzbehörde und der ehemaligen Datenschutzkommission bereits wiederholt als unzulässig bezeichnet. Es wurde hingegen als nicht überschießende Datenverwendung gewertet, die Sozialversicherungsnummer dort zu verwenden, wo die eindeutige und unverwechselbare Bezeichnung des Betroffenen notwendig ist (vgl. dazu etwa die Empfehlungen der ehemaligen Datenschutzkommission vom 19. Juli 2013, GZ K210.714/0016-DSK/2013, und der Datenschutzbehörde vom 23. Mai 2014, GZ DSB-D213.131/0002-DSB/2014).

 

Vor diesem Hintergrund erweist sich die Verwendung der Sozialversicherungsnummer bzw. von Teilen dieser als Ordnungskriterium bzw. Geschäftszahl in dem den jeweiligen Versicherten betreffenden Verfahren nach Ansicht der Datenschutzbehörde als von den in § 31 Abs. 4 Z 1 ASVG und § 460d ASVG angeführten Zwecken als mitumfasst, weil damit auch die eindeutige Zuordnung von beim Beschwerdegegner ein- und ausgehenden Schriftstücken zum jeweiligen Versicherten bzw. dessen Verfahren sichergestellt wird.

 

Die Sozialversicherungsnummer bzw. Teile dieser (etwa sein Geburtsdatum) wurde auf dem Briefkuvert von drei Schreiben für jedermann, insbesondere für Postmitarbeiter, sichtbar angeführt.

 

Bei Zustellungen von behördlichen Poststücken tritt ein Zusteller (konkret: die Österreichische Post AG) gemäß § 4 ZustG als ein Behördenorgan auftritt, weshalb die Kenntnisnahme dieser personenbezogenen Daten durch einen Mitarbeiter der Post auch keine Übermittlung personenbezogener Daten im Sinne des DSG 2000 darstellt.

 

Der Mitbewohnerin wurde jedoch die Sozialversicherungsnummer bzw. Teile davon bekannt, sodass eine Übermittlung des Datums „Sozialversicherungsnummer“ bzw. eines Teiles davon gegeben war.

 

Gemäß § 1 Abs. 2 DSG 2000 bedarf die gegenständlich erfolgte Übermittlung der Sozialversicherungsnummer des Beschwerdeführers bzw. von Teilen dieser an die Mitbewohnerin des Beschwerdeführers einer gesetzlichen Grundlage, da sich aus dem ASVG keine Berechtigung dazu ergibt.

 

Diese „Übermittlung“ war daher rechtswidrig, und es liegt eine Datenschutzverletzung vor.

 

 

 

Ein Verfahren im Jahr 2014 betraf ein IT-System einer Landesregierung;  die Ärztekammer hatte sich beschwert, dass für ein Programm die Sozialversicherungsnummer notwendig war, um einen Benutzeraccount anzulegen.

 

Die Datenschutzbehörde hat empfohlen, von der Verwendung der Sozialversicherungsnummer in diesem Zusammenhang abzusehen.

 

Das System war so aufgebaut, dass Name, Funktion, Dienst-/Einsatzort und Sozialversicherungsnummer zur adäquaten Parametrisierung des Berechtigungssytems abgefragt wurden und keinem externen Empfängerkreis zugänglich waren.

 

Da kein „sozialversicherungsrechtlicher Zusammenhang“ zwischen dem Benutzeraccount für die Software und der Verwendung der Sozialversicherungsnummer als Identfikator für den Benutzer gegeben ist, ist die Verwendung der Sozialversicherungsnummer nicht zulässig.

 

 

 

Ein weiteres Verfahren aus dem Jahr 2013 betraf eine Sozialversicherung selbst; diese hatte die Sozialversicherungsnummer auf Zahlscheinen aufgedruckt. Die Datenschutzbehörde erkannte an, dass es die Verwendung in einem sozialversicherungsrechtlichen Zusammenhang erfolgte. Dadurch, dass die Sozialversicherungsnummer auf dem Zahlschein aufgedruckt wird, wird diese auch der Bank bekannt.      

 

Die Datenschutzbehörde:

 

„Die Datenschutzkommission … dabei nicht, dass es angesichts der großen Anzahl der bei der N*** Versicherten zu Zuordnungsproblemen aufgrund von Schreibfehlern kommen kann. Dass dieser Problematik jedoch nur unter Zuhilfenahme der Sozialversicherungsnummer auf einem Zahlschein wirksam begegnet werden kann – wobei auch hier Schreibfehler nicht ausgeschlossen sind –, ist für die Datenschutzkommission allerdings nicht nachvollziehbar. Wie der Einschreiter schlüssig geltend macht, ist einer Zahlungsvorschreibung im Regelfall eine Rechnung mit mehrstelliger Rechnungsnummer angeschlossen. Die Rechnungsnummer, die im Übrigen – wie schon derzeit die Sozialversicherungsnummer – von der N*** auf einem Zahlschein im Feld „Verwendungszweck“ maschinell eingefügt werden könnte, sowie der Name des Versicherten, der ja von der N*** ebenfalls auf den übermittelten Zahlscheinen maschinell eingefügt wird, sollten nach Ansicht der Datenschutzkommission eine problemlose Zuordnung ermöglichen. Darüber hinaus ist darauf hinzuweisen, dass im Lichte des sich aus § 1 Abs. 2 und § 7 Abs. 3 DSG 2000 ergebenden Grundsatzes, wonach ein Eingriff in das Grundrecht auf Datenschutz jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden darf, mit der Anführung der Sozialversicherungsnummer auf der Rechnung, die im Übrigen an den Versicherten selbst adressiert ist und somit vorerst nur von diesem eingesehen werden kann, das Auslangen gefunden werden kann.“

 

Die Datenschutzbehörde hat daher zwischen der „Effizienz“ der Verwendung des personenbezogenen Datum „Sozialversicherungsnummer“ („berechtigtes Interesse des Auftraggebers“) und dem Geheimhaltungsinteresse des Versicherten abgewogen, und entschieden, dass die Anführung der Sozialversicherungsnummer durch „gelindere Mittel“ ersetzt werden kann.

 

 

 

Eine Entscheidung betraf die Verwendung von Teilen der Sozialversicherungsnummer in einer Anmeldung für Seminare für Lehrer; die Datenschutzbehörde empfahl, diese Sozialversicherungsnummer für diesen Zweck nicht mehr zu verwenden. Es lag kein „berechtigtes Interesse“ der Verwendung des personenbezogenen Datums im konkreten Zusammenhang vor; auch dass die Sozialversicherungsnummer dem Landesschulrat bekannt ist und für Abrechnung von Honoraren von Vortragenden Verwendung findet, reicht nicht aus.

 

 

 

Die Tatsache, dass die Sozialversicherungsnummer ein wichtiges personenbezogenes Datum ist, ist auch in einer Entscheidung der Datenschutzbehörde dokumentiert, in der jemand, der die Sozialversicherungsnummer und den Namen einer Person nennen konnte, umfangreiche Auskünfte über: die Adresse (Meldeadresse des Hauptwohnsitzes), die Höhe des Leistungsbezuges, die zuständige Regionalgeschäftsstelle sowie Kalenderdatum und Zeit des nächsten Kontrolltermins dort, die Dauer des Leistungsbezugs sowie die Bankverbindung (Bankleitzahl und Kontonummer) erhielt.

 

Das Arbeitsmarktservice argumentierte, dass diese Mitteilung zulässig war, da die Identitätsprüfung über die Sozialversicherungsnummer ausreichend sei. Angesichts der enormen Frequenz sei der telefonische Kundendienst auch gar nicht anders abzuhandeln.

 

Die Nennung der Sozialversicherungsnummer, die regelmäßig nur dem Versicherten (und damit dem Kunden des bzw. der Verfahrenspartei vor dem AMS) bekannt sei, sei ein ausreichender Identitätsnachweis. Man erachte dies als Wahrung der gebotenen Sorgfalt und habe nicht vor, von dieser Praxis abzugehen, da der Dienstbetrieb angesichts der enormen telefonischen Kundenfrequenz auch anders gar nicht abzuwickeln sei. Gegen Täuschung gebe es leider keine zuverlässige Abhilfe.

 

Die Datenschutzbehörde sah das anders und stellte fest, dass eine Datenschutzverletzung erfolgt ist.

 

 

 

Zusammenfassend kann daher festgehalten werden, dass die Sozialversicherungsnummer als personenbezogenes Datum

 

1.    in Zusammenhang mit sozialversicherungsrechtlichen Sachverhalten in Bezug auf den/die Versicherten Verwendung finden darf

 

2.    dann verwendet werden darf, wenn es gesetzlich geregelt ist (zB BildDokG, ArbeiterkammerG, EinkommensteuerG)

 

3.    jede andere Verwendung nur dann zulässig ist, wenn ein Erlaubnistatbestand des DSG/der DSGVO erfüllt ist, dh die (eindeutige und den Zweck der Verwendung umfassende) Zustimmung der betroffenen Person vorliegt, oder die Verwendung durch den Auftraggeber (Verantwortlichen) im überwiegenden berechtigten Interesse erfolgt, wobei dies nach den Entscheidungen der Datenschutzbehörde nicht der Fall sein wird.

 

4.    eine Übermittlung an Dritte durch denjenigen, der diese zulässigerweise verwendet (AMS, Versicherungsträger) nicht stattfinden darf (so zB auch nicht an Banken auf dem Zahlschein), wenn kein Erlaubnistatbestand erfüllt ist

 

 

 

Nach den Bestimmungen der DSGVO ist die Sozialversicherungsnummer ein Gesundheitsdatum und fällt damit unter die besonderen Kategorie personenbezogener Daten gem. Art 9 DSGVO, deren Verarbeitung untersagt ist (siehe Art 9 (1) DSGVO).

 

ErwG 35 der DSGVO:

 

„Zu den personenbezogenen Gesundheitsdaten sollten alle Daten zählen, die sich auf den Gesundheitszustand einer betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand der betroffenen Person hervorgehen. Dazu gehören auch Informationen über die natürliche Person, die im Zuge der Anmeldung für sowie der Erbringung von Gesundheitsdienstleistungen im Sinne der Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates¹ für die natürliche Person erhoben werden, Nummern, Symbole oder Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese natürliche Person für gesundheitliche Zwecke eindeutig zu identifizieren, Informationen, die von der Prüfung oder Untersuchung eines Körperteils oder einer körpereigenen Substanz, auch aus genetischen Daten und biologischen Proben, abgeleitet wurden, und Informationen etwa über Krankheiten, Behinderungen, Krankheitsrisiken, Vorerkrankungen, klinische Behandlungen oder den physiologischen oder biomedizinischen Zustand der betroffenen Person unabhängig von der Herkunft der Daten, ob sie nun von einem Arzt oder sonstigem Angehörigen eines Gesundheitsberufes, einem Krankenhaus, einem Medizinprodukt oder einem In-Vitro-Diagnostikum stammen.

 

 

 

Die Verarbeitung von Gesundheitsdaten und anderen Art.-9 Daten darf nur unter einer der folgenden Voraussetzungen erfolgen:

 

a)    ausdrückliche Einwilligung der betroffenen Person in die Verarbeitung für einen Zweck

 

b)    Rechte / Pflichten aus Arbeitsrecht und Recht der sozialen Sicherheit und des Sozialschutzes

 

c)     Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben,

 

d)    die Verarbeitung durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht

 

e)   offensichtlich von der betroffenen Person veröffentlichte personenbezogene Daten

 

f)      Verarbeitung in Zusammenhang mit Rechtsansprüchen oder bei Handlungen der Gerichte

 

g)    Verarbeitung aus Gründen eines erheblichen öffentlichen Interesses

 

h)    Verarbeitung für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich

 

i)       Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische gemäß Artikel 89 Absatz 1 erforderlich.

 

Der „Erlaubnistatbestand“ überwiegend berechtigtes Interesse des Verantwortlichen nach Art 6 Abs (1) lit f DSGVO (oder Erfüllung vertraglicher Pflichten, Art 6 Abs (1) lit b DSGVO) kann für die Verarbeitung von Gesundheitsdaten daher keine Verwendung finden.