Italien: 40.000 Euro Strafe für Datenschutzmängel in einem Buchungssystem
Die italienische Datenschutzbehörde (Garante) verkündete in ihrem Newsletter vom 15. Jänner 2021, dass sie bereits im Dezember 2020 gegen das italienisches Softwareunternehmen Miropass s.r.l. ein Bußgeld in Höhe von 40.000 Euro wegen Datenschutzverstößen im Zusammenhang mit der Nutzung ihres Terminbuchungssystems Tupassi verhängt hatte. Die Entscheidung befasst sich unter anderem mit der rechtlichen Verantwortung des Softwareunternehmens im Zusammenhang mit deren unterschiedlichen datenschutzrechtlichen Rollen als Datenverantwortlicher und Auftragsverarbeiter.
Über das Terminbuchungssystem, das Micropass seinen Kunden (öffentliche und private Einrichtungen) zur Verfügung stellt, können registrierte Benutzer*innen ihre Besuche bei diesen Einrichtungen u.a. über eine App oder Website online buchen. Sowohl die Registrierungsdaten als auch die Buchungsdaten wurden von Miropass in ihrem System verarbeitet. Darüber hinaus erbrachte Micropass für ihre Kunden Wartungs- und Serviceleistungen.
Die italienische Datenschutzbehörde vertrat die Ansicht, dass Miropass im Zusammenhang mit der Registrierung und bei der Vereinbarung von Terminen als datenschutzrechtlicher Verantwortlicher anzusehen sei. Für die Datenverarbeitungen benötige sie daher eine entsprechende Rechtsgrundlage. Die Behörde ging davon aus, dass grundsätzlich die Verarbeitung von personenbezogenen Daten von Nutzer*innen bei der Registrierung und den Buchungen im Rahmen einer Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b DSGVO erfolge; es entstehe ein Vertragsverhältnis zwischen Micropass und dem jeweiligen Nutzer.
Wenn hingegen Termine mit Gesundheitsdienstleistern gebucht werden, werden auch Gesundheitsdaten verarbeitet (z.B. die Art der gewählten Dienstleistung wie Physiotherapie oder Zahnhygiene etc.). Hierfür benötigt man jedoch eine Rechtsgrundlage gemäß Art. 9 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten) und zwar im konkreten Fall eine ausdrückliche Einwilligung der Nutzer*in. Miropass hat es jedoch verabsäumt solche Einwilligungen einzuholen und damit einen Datenschutzverstoß begangen.
Außerdem stellte Garante fest, dass Miropass bei der Erbringung von Wartungs- und Serviceleistungen an ihre Kunden Zugang zu personenbezogenen Daten erhielt, nämlich von registrierten Nutzer*innen und auch Mitarbeiter*innen der Kunden. In diesem Zusammenhang war Miropass als Auftragsverarbeiter zu qualifizieren und musste daher einen entsprechenden schriftlichen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO mit ihren Kunden abschließen. Ein solcher fehlte jedoch in einigen Fällen. Aus diesem Grund befand die Behörde, dass Miropass personenbezogenen Daten in Ermangelung einer geeigneten Rechtsgrundlage verarbeitete. Damit verstoße das Unternehmen gegen Art. 5 Abs. 1 lit. a DSGVO ("Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz"), sowie gegen die Art. 6 und 9 DSGVO. Eine nähere Erklärung warum dem so ist, blieb die Behörde schuldig.
Die Entscheidung ist in zweierlei Hinsicht beachtlich. Einerseits was das Vorliegen von Gesundheitsdaten anbelangt und anderseits welche Konsequenzen dem Auftragsverarbeiter in Ermangelung einer Art. 28-Vereinbarung drohen. Dass der Kreis von Gesundheitsdaten weit auszulegen ist, beweist auch die vor kurzem ergangene Entscheidung der österreichischen Datenschutzbehörde zur Gästeregistrierung gemäß der Wiener Contract-Tracing-Verordnung (DSB-D124.3093 ). Darin führte die österreichische Datenschutzbehörde aus, dass die Verarbeitung der bloßen Anwesenheitsdaten der Gäste „Gesundheitsdaten“ darstellen, da Daten über einen möglichen, zukünftigen Gesundheitszustand der Gäste erhoben und verarbeitet werden. Was das Fehlen eines Auftragsverarbeitungsvertrages anbelangt, sind die Erwägungen der italienischen Datenschutzbehörde ("Ermangelung einer geeigneten Rechtsgrundlage"), warum ein Datenschutzverstoß anzunehmen ist, nicht wirklich nachvollziehbar. Es ist nämlich davon auszugehen, dass die Verpflichtung zum Abschluss einer entsprechenden Vereinbarung gemäß Art. 28 Abs. 3 DSGVO nicht nur den Verantwortlichen, sondern auch den Auftragsverarbeiter trifft. Eine Datenschutzverstoß hätte somit direkt auf Art. 28 DSGVO iVm Art. 83 DSGVO gestützt werden können.
Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.