Entscheidungen zum Datenschutzrecht  ·  30. Januar 2026

Unzulässige Übermittlung von Gesundheitsdaten durch Krankenhaus an die Polizei

 

Behörde: Österreichische Datenschutzbehörde (DSB)
Datum: 1. Juni 2023
Geschäftszahl: 2023-0.315.174 (DSB-D124.3118)

 

Rechtssatz

Die Weitergabe von Gesundheitsdaten aus einer Krankengeschichte an eine Polizeibehörde ohne formelles, dokumentiertes Auskunftsersuchen und ohne klare gesetzliche Grundlage verletzt das Recht auf Geheimhaltung. Verantwortliche müssen insbesondere bei besonderen Kategorien personenbezogener Daten die Voraussetzungen von Art. 5 und Art. 9 DSGVO strikt prüfen und dokumentieren.

 

Sachverhalt

Ein Patient wurde im Juni 2019 in der Notaufnahme der Universitätsklinik Innsbruck wegen gesundheitlicher Probleme im Zusammenhang mit Kokainkonsum behandelt. Die entsprechenden Informationen wurden in seiner elektronischen Krankengeschichte gespeichert.

 

Im Oktober 2019 kontaktierte ein Beamter der Landespolizeidirektion Tirol per E-Mail den Securitymanager der Klinik und fragte informell nach, ob eine bestimmte Person wegen einer mutmaßlichen Kokainüberdosis behandelt worden sei. Dabei wurde ausdrücklich angedeutet, dass der „offizielle Weg“ eigentlich ein anderer wäre.

Der Securitymanager der Klinik wandte sich daraufhin an die Leiterin des Patientenbeschwerdemanagements, die Zugriff auf das Krankenhausinformationssystem hatte. Sie stellte ihm eine elektronische Sammelmappe mit mehreren Dokumenten aus der Krankengeschichte des Patienten zur Verfügung (unter anderem Notfallbericht, Arztbericht und Laborbefund).

Am 4. Oktober 2019 übermittelte der Securitymanager per E-Mail an den Polizeibeamten Informationen über die Behandlung des Patienten, darunter:

  • Zeitpunkt der Behandlungen,

  • Angaben zum Substanzmissbrauch (Kokain),

  • medizinische Beobachtungen zum Gesundheitszustand.

Zu einem späteren Zeitpunkt wurde zudem der Notfallbericht mit Gesundheitsdaten an die Polizei übermittelt – möglicherweise über einen anderen E-Mail-Account oder postalisch.

 

Der Patient erfuhr im Rahmen eines Gerichtsverfahrens von der Weitergabe seiner Daten und erhob Beschwerde bei der Datenschutzbehörde.

 

Die Datenschutzbehörde stellte fest, dass die Klinik diese Datenübermittlung zu verantworten hat und das Recht des Patienten auf Geheimhaltung verletzt wurde.

 

Rechtliche Begründung

1. Gesundheitsdaten als besonders geschützte Daten

Gesundheitsdaten zählen zu den besonderen Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO (https://www.dataprotect.at/dsgvo/art-9/).

 

Für ihre Verarbeitung gilt grundsätzlich ein Verarbeitungsverbot, das nur unter bestimmten Voraussetzungen aufgehoben werden kann.

 

Die Verarbeitung der Daten durch das Krankenhaus war für den Zweck der medizinischen Behandlung zulässig. Die Weitergabe an die Polizei stellte jedoch einen anderen Verarbeitungszweck dar und musste daher eigenständig gerechtfertigt werden.

 

2. Fehlende gesetzliche Grundlage für die Übermittlung

Die Datenschutzbehörde stellte fest:

  • Es lag kein formelles Auskunftsersuchen der Polizei vor.

  • Zweck, Rechtsgrundlage und Umfang der Datenübermittlung waren nicht dokumentiert.

  • Es wurde nicht geprüft, ob ein erhebliches öffentliches Interesse vorliegt.

Damit fehlte eine Rechtsgrundlage im Sinne von:

Auch nach dem Tiroler Krankenanstaltengesetz hätte die Klinik prüfen müssen,

  • in welcher Angelegenheit die Polizei Auskunft verlangt und

  • für welche Entscheidung im öffentlichen Interesse die Daten benötigt werden.

Eine solche Prüfung fand jedoch nicht statt.

 

3. Verantwortlichkeit der Klinik für das Verhalten des Mitarbeiters

Die Klinik argumentierte, der Securitymanager habe gegen interne Regeln verstoßen.

Die Datenschutzbehörde stellte jedoch klar:

 

Ein Verantwortlicher kann sich nicht automatisch von der Haftung befreien, wenn ein Mitarbeiter Daten unrechtmäßig weitergibt. Entscheidend ist, ob der Mitarbeiter im Rahmen seiner dienstlichen Tätigkeit handelte.

 

Da der Securitymanager offenbar davon ausging, im Interesse der Organisation zu handeln, musste sich die Klinik sein Verhalten zurechnen lassen.

 

Fazit

Die Datenschutzbehörde stellte fest, dass die Klinik den Patienten in seinem Recht auf Geheimhaltung gemäß § 1 DSG verletzt hat, indem Gesundheitsdaten ohne ausreichende Rechtsgrundlage an die Polizei übermittelt wurden.

 

Der Fall zeigt deutlich:

Gerade bei Gesundheitsdaten gelten besonders strenge Anforderungen an die Rechtmäßigkeit, Dokumentation und Nachvollziehbarkeit von Datenübermittlungen.

 

Schlussfolgerung für Verantwortliche

Organisationen – insbesondere im Gesundheitsbereich – sollten folgende Punkte beachten:

  1. Keine informellen Datenübermittlungen an Behörden vornehmen.

  2. Formelle Anfragen dokumentieren und rechtlich prüfen.

  3. Besonders bei Gesundheitsdaten prüfen, ob eine Ausnahme nach Art. 9 Abs. 2 DSGVO vorliegt.

  4. Interne Prozesse für Behördenanfragen und Auskunftsersuchen definieren.

  5. Mitarbeitende regelmäßig zu Datenschutz und ärztlicher Verschwiegenheit schulen.

  6. Entscheidungen und Datenübermittlungen im Sinne der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO dokumentieren.

 

 

Tags: Gesundheitsdaten; Krankenhaus; Datenweitergabe; Polizei; Recht auf Geheimhaltung; Art. 9 DSGVO; Datenübermittlung; Verantwortlichkeit des Arbeitgebers; Datensch, Art. 5 DSGVO; Art. 9 DSGVO; Art. 15 DSGVO; Art. 32 DSGVO; Art. 77 DSGVO

Kommentar schreiben

Kommentare: 0
1 Gilt für Lieferungen in folgendes Land: Österreich. Lieferzeiten für andere Länder und Informationen zur Berechnung des Liefertermins siehe hier: Liefer- und Zahlungsbedingungen
2 inkl. MwSt.
Impressum | AGB | Widerrufsbelehrung und -formular | Datenschutz | Cookie-Richtlinie | Sitemap | Vertrag widerrufen
(C) by dataprotect schweiger.legal Rechtsanwälte OG | Dr. Thomas Schweiger, LL.M. (Duke)
Anmelden Abmelden | Bearbeiten