Datenschutzbehörde  Datenschutz Europa privacy service
 
2009/02/03 Gesundheitsdaten von Arbeitslosen in falsche Hände?
Durch das neue Arbeitsmarktservicegesetz hat es das AMS noch leichter als bisher sensible Daten zu sammeln - die Bedenken der ARGE DATEN bewahrheiten sich dramatisch - durch die Hinzuziehung privater Dienstleistungsunternehmen gelangen sensible Daten verstärkt an private Unternehmen - meist unnötig - in einer Empfehlung hat sich auch die DSK diesem Problem angenommen (alte Rechtslage bis 25.05.2018)

Fragebogen über Gesundheitsdaten

Anlass für die Empfehlung der DSK war, dass ein Arbeitsloser im Rahmen einer Schulungsmaßnahme zu seiner  Gesundhei befragt worden war. Der mit der Schulung beauftragte private Anbieter hatte dazu einen Subvertrag mit einem medizinischen Institut geschlossen. Es sollten "gesundheitliche Einschränkungen persönlich abgeklärt werden“.

Über den Sinn der Aktion war der Betroffene nicht aufgeklärt worden, ebenso wenig darüber, dass die Befragung nicht durch das AMS, nicht einmal des Schulungsanbieters, sondern durch eine Drittfirma erfolgte. Die Gesundheitsdaten wurden in Form von strukturierten Papierakten geführt. Auf eine Freiwilligkeit medizinischer Angaben wurde ebenfalls nicht hingewiesen. Der Betroffene fühlte sich überrumpelt und genötigt und beschwerte sich bei der DSK. Die Zuständigkeit der DSK war gegeben, da es sich um den Vollzug gesetzlicher Maßnahmen nach dem AMSG handelte.

Besonders gravierend war, dass keine schriftliche Vereinbarung zwischen AMS und Dienstleister existierte, wie sie zwingend das DSG §§ 10,11 vorschreibt. Die Hinzuziehung des Diagnoseinstituts als „Subdienstleister“ war dem AMS offenbar unbekannt.


Entscheidung der DSK

Die DSK weist auf die Bestimmung des § 32 AMSG hin, welche das AMS berechtigt, Leistungen auf vertraglicher Basis durch Dritte erbringen zu lassen. Weiters stellt die DSK auf § 10 Abs 1 DSG 2000 ab, nach welchem Dienstleister Gewähr für eine rechtmäßige und sichere Datenverwendung bieten müssen. Danach hält die DSK fest, dass es sich um eine Datenanwendung nach dem DSG im Auftrag der Bundesverwaltung handle.

Als Konsequenz aus ihren Ausführungen rügt die DSK, dass das AMS keine Vereinbarung mit dem Dienstleister geschlossen hatte, welche diesen zur Datenverwendung im Sinne des DSG verpflichtet.

Das führt zur Empfehlungen der DSK an das AMS: Abschluss eines Dienstleistervertrages, welcher den Auftrag definiert, welche Daten benötigt werden, eine Zustimmungsregelung für das AMS zur Heranziehung weiterer Dienstleister sowie eine Regelung über Datenverwendung nach Auftragsende.


Papier ist geduldig! - Problem geht tiefer

Grundsätzlich ist es löblich, dass sich die DSK diesem besonders gravierenden Fall angenommen hat, um das AMS zumindest zur Einhaltung von gesetzlichen Datenschutzbestimmungen zu bewegen. Als Konsequenz wird das AMS einen Vertrag abschließen, ansonsten wird alles beim alten bleiben. Das Problem geht tiefer.

Der unkontrollierte Transfer von Gesundheitsdaten an Privatunternehmen im Rahmen von AMS-Aktivitäten bietet ungeahnte Gefahren in sich, insbesondere da derartige Gesundheitsdaten wertvolles Kapital darstellen.

Für potentielle Arbeitgeber, die von der AMS-Vergangenheit eines Bewerbers erfahren, kann es Sinn machen, zu versuchen, über private Dienstleister in Besitz der Gesundheitsdaten der Bewerber zu kommen. Sie können dies durch direkten Kontakt mit den Privatfirmen versuchen, aber auch indem sie Bewerber nötigen einer Auskunft "freiwillig" zuzustimmen.

Auch für private Versicherungen stellen diese Daten eine wertvolle Information dar. Ob bloße schriftliche Vereinbarungen angesichts massiver Datenwünsche ausreichen, ist mehr als fraglich. Die Vergangenheit zeigte immer wieder Missbrauchsfälle und "Pannen". Viele private AMS-Dienstleister werden nach kurzer Zeit wieder aufgelöst oder gehen in Konkurs, die sensiblen Daten verschwinden in den Wirren der Geschäftsauflösung. Für die Mitarbeiter sind sie willkommene "Mitbringsel" in neue Unternehmen.

Je mehr private Stellen in Besitz von Gesundheitsdaten gelangen, desto höher ist die Missbrauchsgefahr. Daher sollte eine Erhebung derartiger sensibler Daten durch Private grundsätzlich unterbunden werden und sofern üebrhaupt nötig, dem AMS vorbehalten bleiben.


Rechtliche Zulässigkeit?

Mit § 25 AMSG wurde eine eigene Rechtsgrundlage zur Erhebung von Gesundheitsdaten geschaffen, die das AMS berechtigen, Datenüber gesundheitliche Einschränkungen, die die Arbeitsfähigkeit oder die Verfügbarkeit in Frage stellen zu erheben. Weiters dürfen sogar Gesundheitlsdaten der Angehörigen (einschließlich Lebensgefährten) erhoben werden.

Bereits im Rahmen des Begutachtungsverfahrens wurde durch die ARGE DATEN kritisiert, dass sich unter den Begriff „gesundheitliche Einschränkungen, die die Arbeitsfähigkeit oder die Verfügbarkeit in Frage stellen oder die berufliche Verwendung berühren“beliebig dehnbar ist und jegliches gesundheitsbezogene Datum subsumieren lässt.

Aus datenschutzrechtlicher Sicht unerträglich und in keiner Weise notwendig ist die Verarbeitung gesundheitsbezogener Daten von "Angehörigen"  oder des Lebenspartners des Betroffenen. Der Begriff des „Angehörigen“ ist im AMSG nicht definiert, es ist nicht erkennbar, welche Personengruppen darunter fallen können.

Die Aufnahme von gesundheitsbezogenen Daten von Angehörigen, ohne deren Einwilligung und ohne dass diese irgend eine Leistung vom AMS benötigen, ist aus grundrechtlicher Sicht abzulehnen und widerspricht sowohl § 1 DSG 2000 als auch den Bestimmungen der EU-Datenschutzrichtlinie.

Zudem ist darauf hinzuweisen, dass die Tatsache, dass das AMS einen "Dienstleistungsvertrag" abschließt, noch nicht bedeutet, dass er auch im datenschutzrechtlichen Sinne nur „Dienstleister“ ist. Gerade im gegenständlichen Falle hatte das Schulungsunternehmen die Gesundheitsdaten aus eigenem Antrieb erhoben, womit er zum Auftraggeber im Sinne des DSG wird.


Resumee

Im gegenständlichen Fall hat die DSK einen formal richtigen Bescheid erlassen. Das darf nicht darüber hinwegtäuschen, dass das eigentliche Problem in der unnötigen Erhebung von Gesundheitsdaten durch private Dienstleister besteht. Dadurch werden die Datenschutzinteressen gerade einer Personengruppe, die in wirtschaftlicher Not ist und besonderen Schutz benötigen würde, in massiver Weise gefährdet.

mehr --> Empfehlung K210.583/0009-DSK/2008

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungsservice angeboten. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2024 Information gemäß DSGVO webmaster