Sentenza n. 7/2026

REPUBBLICA ITALIANA

IN NOME DEL POPOLO ITALIANO

LA CORTE DEI CONTI

SEZIONE GIURISDIZIONALE DI BOLZANO

composta dai magistrati:

IC MARINARO Presidente EL GROSSMANN ENio – relatore AN NE ENio ha pronunciato la seguente

SENTENZA

nel giudizio di responsabilità iscritto al n. 2594 del registro di segreteria, promosso a istanza della Procura regionale nei confronti di

- GI RI, nata il [...] in [...], c.f. [...], rappresentata e difesa dall’avv. Francesco Coran;

- TI RE, nato il [...] a [...], c.f. [...], rappresentato e difeso dagli avvocati Matilde Palmieri e Francesco Silipo;

- NG HO, nato l’[...] a [...], c.f. [...], rappresentato e difeso dall’avv. Karl Pfeifer;

VISTI gli atti e i documenti di causa;

UDITI, nella pubblica udienza del 10 febbraio 2026, con l’assistenza del segretario, dott.ssa Ombretta Ricoldo, il relatore, ENio EL SS, i rappresentanti del Pubblico Ministero, nelle persone del Procuratore regionale LE Di OR e del Sostituto Procuratore generale AR SU, ed i legali dei convenuti avvocati Francesco Coran, Matilde Palmieri, Francesco Silipo e Karl Pfeifer.

Ritenuto in FATTO

1. Con atto di citazione depositato in data 15 ottobre 2025, la Procura regionale presso la Sezione giurisdizionale per il Trentino-Alto Adige/Südtirol – Sede di Bolzano ha convenuto in giudizio i signori RI RG, IA UR, RE IU e HO NG, chiedendo la condanna degli stessi al risarcimento del danno derivato all’Azienda Sanitaria dell’Alto Adige dal provvedimento sanzionatorio n. 97, emesso dal Garante per la Protezione dei Dati Personali in data 22 febbraio 2024.

La Procura regionale ha esposto, in particolare, che, con nota d.d. 16 aprile 2024, l’Ufficio legale dell’Azienda Sanitaria le avrebbe trasmesso il predetto provvedimento, unitamente al mandato di pagamento attestante il tempestivo versamento di quanto dovuto.

Dalle indagini espletate sarebbe emerso che la sanzione sarebbe stata irrogata a seguito di molteplici violazioni nel contesto del trattamento di dati personali tramite il Dossier Sanitario Elettronico (breviter DSE). Sarebbero stati infatti constatati ripetuti accessi al DSE di alcuni pazienti ad opera di personale sanitario, che, sebbene autorizzato al trattamento dei dati, non era coinvolto nel processo di cura.

Il trattamento non conforme dei dati conservati nel DSE sarebbe stato peraltro già oggetto dei precedenti provvedimenti del Garante n. 340 del 3 luglio 2014, n. 403 dell’11 settembre 2014 e n. 544 del 15 ottobre 2015.

Presupposta la riconducibilità dei provvedimenti sanzionatori agli atti fidefacenti ex art. 2700 c.c., la Procura agente ha evidenziato come gli accessi abusivi all’origine delle sanzioni sarebbero stati possibili in quanto il sistema informatico DSE era configurato in modo tale da consentire l’accesso dei dipendenti attraverso una semplice autodichiarazione, quando invece il Garante, con il provvedimento n. 340/2014, aveva ordinato all’Azienda Sanitaria di assicurare la consultazione al solo professionista attualmente coinvolto nel processo di cura il paziente.

A detta della Procura, il danno erariale originato dall’irrogazione e dal pagamento della menzionata sanzione sarebbe addebitabile alla condotta omissiva, sorretta dall’elemento psicologico della colpa grave, degli odierni convenuti.

Nello specifico, alla luce delle dimensioni dell’ente, della conseguente molteplicità dei compiti assegnati al suo vertice, della tecnicità della materia e dell’istituzione di organismi interni preposti alla stessa, non sarebbe ravvisabile alcuna responsabilità in capo al direttore generale. Dall’analisi dei provvedimenti organizzativi dell’Azienda si evincerebbe invece come gli odierni convenuti fossero gli effettivi responsabili dell’adozione delle soluzioni in materia di tutela dei dati personali.

La convenuta RI RG, invero, con deliberazione n. 134 di data 10 settembre 2015 sarebbe stata designata Referente aziendale in materia di privacy. Con deliberazione n. 37 del 30 gennaio 2018 sarebbe stata poi riconfermata nel ruolo e nominata referente della nuova posizione organizzativa Staff Privacy, quest’ultima confermata con provvedimento n. 145 di data 31 gennaio 2023.

Gli atti interni attribuirebbero competenze in materia di realizzazione e configurazione del DSE anche ai Direttori della Ripartizione informatica. Tale posizione sarebbe stata ricoperta dal convenuto IA UR dal 1° novembre 2012 al 31 ottobre 2017 e dal convenuto RE IU dal 2 maggio 2019 al 4 agosto 2025.

Nella configurazione tecnica del sistema DSE sarebbe poi stato coinvolto il Direttore dell’Ufficio per il sistema informativo ospedaliero (CED) HO NG.

Secondo la prospettazione attorea, la documentazione acquisita dimostrerebbe come gli accessi illeciti al DSE e la conseguente sanzione trovino il proprio antecedente causale nella colpevole inerzia dei convenuti. Questi, pur consapevoli dell’obbligo giuridico di mettere in sicurezza i dati conservati nella banca dati DSE, non si sarebbero attivati per l’adozione delle misure imposte dalla normativa di settore.

Ne sarebbe derivato un pregiudizio complessivamente quantificabile in euro 37.500,00, corrispondenti al 50% dell’importo della sanzione amministrativa comminata dall’Autorità, in ragione dell’avvenuto pagamento entro trenta giorni dalla notifica del provvedimento.

Nel rassegnare le conclusioni, attesa la diversa rilevanza del contributo causale fornito dai convenuti, la Procura contabile ha domandato la condanna:

a) di RI RG al pagamento, in favore dell’Azienda Sanitaria dell’Alto Adige, di euro 3.750,00, pari al 10% del danno erariale, oltre rivalutazione e interessi legali;

b) di IA UR al pagamento, in favore dell’Azienda Sanitaria dell’Alto Adige, di euro 7.500,00, pari al 20% del danno erariale, oltre rivalutazione e interessi legali;

c) di RE IU al pagamento, in favore dell’Azienda Sanitaria dell’Alto Adige, di euro 7.500,00, pari al 20% del danno erariale, oltre rivalutazione e interessi legali;

d) di HO NG al pagamento, in favore dell’Azienda Sanitaria dell’Alto Adige, di euro 18.750,00, pari al 50% del danno erariale, oltre rivalutazione e interessi legali.

2. Vista la proposta di applicazione del rito monitorio formulata dalla Procura regionale, è stato emesso nei confronti dei convenuti RI RG, IA UR e RE IU il decreto monitorio d.d. 20 ottobre 2025.

3. Il convenuto HO NG si è costituito in giudizio con comparsa depositata il 15 gennaio 2026 ed ha domandato il rigetto dell’azione ovvero, in subordine, la riduzione della quota di danno posta a suo carico, con applicazione, in ogni caso, del potere riduttivo di cui all’art. 1 della legge 14 gennaio 1994, n. 20.

A detta del signor NG, nel caso di specie non sussisterebbero i presupposti per una sua responsabilità erariale, non avendo egli mai avuto poteri direttivi o gestionali nella determinazione ed implementazione delle misure in materia di protezione dei dati personali. In particolare, non sarebbe stato parte del gruppo di lavoro istituito dall’Azienda Sanitaria per dare seguito alle correzioni prescritte dal Garante con il provvedimento n. 340/2014. D’altra parte, in base alla delibera n. 1511 del 29.12.2022, all’Ufficio per i sistemi informativi ospedalieri sarebbe stata demandata la sola attuazione, sul piano tecnico, delle disposizioni in materia di privacy e cyber security vigenti, come adottate ad altri livelli. Tra queste figurerebbe la circolare del 15.01.2015, elaborata dal Direttore della Ripartizione informatica, la quale, in contrasto con il provvedimento n. 340/2014 del Garante, avrebbe consentito l’accesso al DSE sulla base di un’autodichiarazione degli operatori. Anche la sua designazione quale incaricato al trattamento dei dati personali o la sua nomina ad amministratore di sistema del 30.11.2016 non avrebbero dato luogo ad uno specifico trasferimento di responsabilità. La limitazione delle competenze del signor NG troverebbe conferma nel documento dell’Azienda Sanitaria del 9 giugno 2023 e nella comunicazione del 10 maggio 2023, stante la sua indicazione quale referente per le sole questioni tecniche. Dalla corrispondenza in atti (e-mail d.d. 17.08.2021, 30.03.2022, 18.05.2022 e 20.05.2022) emergerebbe poi come il signor NG avrebbe tempestivamente riscontrato le varie richieste, senza tuttavia ricevere disposizioni sul seguito da dare alle stesse. In quanto soggetto al potere direttivo dei propri superiori, vale a dire del Direttore della Ripartizione informatica e del Direttore generale, in alcun modo il signor NG avrebbe potuto procedere di propria iniziativa a modifiche del DSE. La menzionata corrispondenza sarebbe inoltre successiva agli accessi abusivi contestati dal Garante. Alla luce dei compiti meramente tecnico-operativi demandati al signor NG, risulterebbe in ogni caso irrilevante la sua approfondita conoscenza del DSE, come evincibile dalla comunicazione del 18 e 19 settembre 2022. Inconferenti risulterebbero altresì le dichiarazioni rese dal convenuto IU in sede di audizione personale.

Sarebbe invece spettato alla Data Protection Officer (DPO) e alla Referente Privacy, componenti la Cabina di regia privacy, elaborare ed implementare le misure in materia di protezione dei dati personali. Secondo il convenuto NG non potrebbe inoltre non considerarsi la responsabilità del Direttore generale, cui sarebbe rimessa l’organizzazione della struttura preposta alla tutela dei dati personali.

Il convenuto NG, oltre a contestare la sussistenza dell’elemento oggettivo, ha messo in luce l’assenza di qualsivoglia nesso di causalità. La disattivazione dell’accesso in base ad un’autodichiarazione e dell’accesso per i medici di base, avvenuta su esplicita disposizione del Direttore generale rispettivamente in data 15 giugno 2023 e nell’agosto 2022, dimostrerebbe la presenza di una precisa struttura gerarchica in materia di tutela della privacy. In tal senso deporrebbe altresì la comunicazione del 21 aprile 2022, in cui si darebbe atto della disposizione della DPO di interdire ai dipendenti l’accesso al proprio DSE.

Da quanto precede discenderebbe anche il difetto, in capo al signor NG, dell’elemento soggettivo. In assenza di compiti di consulenza o di poteri decisionali in materia di privacy, non sarebbe infatti addebitabile allo stesso alcuna colpa grave.

4. Con comparsa depositata il 19 gennaio 2026 la convenuta RI RG si è costituita nel presente giudizio ed ha chiesto il rigetto di ogni domanda formulata nei suoi confronti.

La signora RG ha innanzitutto contestato che il provvedimento del Garante all’origine del presente giudizio assuma il valore probatorio di cui all’art. 2700 c.c. Trattandosi di un provvedimento avente natura sostanzialmente giurisdizionale troverebbe invece applicazione l’art. 2909 c.c., ai sensi del quale la sentenza fa stato fra le sole parti del giudizio. Posto che la signora RG non avrebbe partecipato al procedimento innanzi al Garante, difetterebbe qualsivoglia prova in ordine alle contestazioni sollevate da tale Autorità. In capo alla convenuta RG non sarebbero comunque ravvisabili profili di responsabilità, mentre dovrebbe aversi riguardo alla responsabilità dei vertici dell’Azienda e della Ripartizione informatica. Al riguardo, la convenuta ha evidenziato di essere stata incaricata quale Referente aziendale in materia di privacy solamente con delibera n. 134 del 10.09.2015, mentre il termine imposto dal Garante per adeguare il DSE sarebbe scaduto il 31 ottobre 2014. Non essendole stati mai attribuiti poteri decisionali e di spesa, non sarebbero d’altra parte ravvisabili, nei suoi confronti, gli estremi di una delega di funzioni. L’incarico conferitole si sarebbe dunque risolto in un mero ausilio alla Direzione generale ed amministrativa. Assumerebbe poi rilievo l’entrata in vigore del Regolamento (UE) 2016/679, che avrebbe previsto la designazione, presso ogni amministrazione pubblica, del Responsabile per la protezione dei dati, c.d. Data Protection Officer. Tale ruolo, a partire dal 2017, sarebbe stato assegnato alla dott.ssa NA IT. In tal modo, gran parte dei compiti precedentemente affidati alla signora RG sarebbero stati attribuiti alla DPO. La Referente Privacy avrebbe dunque assunto una funzione di mero supporto della DPO, non potendosi ravvisare, tra i due ruoli, alcuna equiordinazione. Alla paritarietà tra le posizioni dovrebbe peraltro corrispondere un’eguale responsabilità, invece esclusa dalla Procura. In ogni caso, la Cabina di regia privacy avrebbe fatto tutto quanto di sua competenza, come dimostrato dalle numerose comunicazioni con cui la signora IT e la signora RG avrebbero sollecitato l’adeguamento del DSE. Ciò benché lo Staff privacy fosse costantemente sotto-organico.

5. Costituitosi in giudizio con comparsa depositata il 19 gennaio 2026, il convenuto IA UR ha chiesto, in via preliminare, l’ammissione al rito abbreviato, allegando il parere favorevole espresso dalla Procura regionale; in subordine, ha domandato il rigetto della domanda attorea, stante l’insussistenza della condotta illecita addebitatagli e dell’elemento soggettivo, ovvero, in via ulteriormente subordinata, la riduzione al minimo della pretesa erariale.

6. Con comparsa depositata in data 21 gennaio 2026 si è costituito in giudizio il convenuto RE IU, il quale ha chiesto il rigetto della domanda attorea ovvero, in subordine, la riduzione del quantum di risarcimento a suo carico.

Nello specifico, il signor IU ha evidenziato l’assenza di una sua inerzia e di una sua responsabilità per l’inefficacia delle soluzioni tecniche adottate dall’Ufficio per i Sistemi informativi ospedalieri. Tale ufficio, in rapporto diretto con la Direzione generale, sarebbe stato l’unico a poter operare sul DSE. Il ruolo del Direttore di Ripartizione sarebbe stato invece di mera supervisione, coordinamento e pianificazione dell’operato degli uffici subordinati, senza attribuzione di competenze tecnico-operative dirette sui sistemi applicativi ospedalieri e, in particolare, sul DSE. La Direzione generale avrebbe inoltre avocato a sé la gestione del sistema informativo e le decisioni di fondo attraverso la Cabina di regia e la DPO, avvalendosi del supporto tecnico del Direttore dell’Ufficio per i sistemi informativi ospedalieri HO NG.

A detta del convenuto IU non sarebbero comunque ravvisabili gli estremi della colpa grave, non ricorrendo una violazione manifesta e inescusabile dei suoi obblighi di servizio.

Quanto alla quota di responsabilità posta a suo carico, la stessa dovrebbe essere ridotta in ragione del difetto di un contributo causale specifico.

7. Con decreto n. 1/2026, adottato all’esito delle camere di consiglio del 10 e 12 febbraio 2026, è stata accolta la domanda di definizione del giudizio con rito abbreviato formulata, previo concorde parere del Pubblico Ministero, dal convenuto IA UR ed è stata fissata per il 5 marzo 2026 l’udienza camerale di cui all’art. 130, comma 7, secondo periodo, c.g.c.

Il giudizio è pertanto proseguito con rito ordinario nei confronti dei restanti convenuti.

8. All’udienza pubblica del 10 febbraio 2026 sono comparsi, come da verbale, i P.M. LE Di OR e AR SU e gli avvocati Francesco Coran, Matilde Palmieri, Francesco Silipo e Karl Pfeifer per i convenuti, i quali hanno confermato le conclusioni formulate in atti.

Esaurita così la discussione orale, la causa è stata trattenuta in decisione.

Considerato in DIRITTO

1. Oggetto dell’odierno giudizio è il ristoro del danno patrimoniale subito dall’Azienda Sanitaria dell’Alto Adige in conseguenza della sanzione irrogata dal Garante per la protezione dei dati personali per plurime violazioni della disciplina in materia di dati personali.

Con provvedimento n. 97 del 22 febbraio 2024 è stato invero disposto, a carico della predetta Azienda, il pagamento della sanzione amministrativa di euro 75.000,00 per l’illecito trattamento di dati accertato nell’ambito di distinti procedimenti istruttori, avviati a seguito di due reclami e di una notifica di violazione e successivamente riuniti (cfr. doc. 30 fasc. attoreo).

Nel provvedimento si dà in particolare atto della segnalazione di ripetuti accessi al dossier sanitario elettronico (breviter DSE) da parte di personale sanitario che, sebbene autorizzato al trattamento, non sarebbe stato coinvolto nel processo di cura dei soggetti a cui i dossier sanitari si riferivano. Gli accessi illeciti si sarebbero verificati nel periodo compreso tra il 30 luglio 2020 ed il 25 maggio 2022 e sarebbero stati resi possibili a causa della “configurazione del dossier risultante all’epoca dei fatti oggetto di istruttoria (…)” (cfr. pag. 10 provvedimento n. 97/2024). In proposito, il Garante ha evidenziato di essere già intervenuto con il provvedimento del 3 luglio 2014 e che “L’Azienda, nell’ottemperare al provvedimento del Garante del 2014, ha individuato misure tecniche e organizzative che si sono rivelate inidonee (…); 6. la configurazione del dossier risultante all’epoca dei fatti oggetto di istruttoria non prevedeva un sistema per il rilevamento di eventuali anomalie che potessero configurare trattamenti illeciti, ovvero l’utilizzo di indicatori di anomalie (c.d. alert) volti ad individuare comportamenti anomali o a rischio relativi alle operazioni eseguite dai soggetti autorizzati al trattamento (es. numero degli accessi eseguiti, tipologia o ambito temporale degli stessi), utili per orientare successivi interventi di audit in violazione dei principi di integrità e riservatezza dei dati personali (artt. 5, par. 1, lett. f) e 32 del Regolamento); (…)” (cfr. pag. 10 provvedimento n. 97/2024).

2. Tanto premesso, si osserva come, alla luce delle risultanze di cui al richiamato provvedimento, nonché dell’ampia documentazione in atti, possano considerarsi provate le violazioni all’origine della sanzione.

Merita invero adesione l’indirizzo della giurisprudenza contabile secondo cui “gli atti emanati dal Garante, pur non potendo essere equiparati ad una sentenza passata in giudicato, assumono un valore presuntivo circa l’oggettiva sussistenza della violazione data la particolare competenza specifica del soggetto emanante relativamente alla disciplina di settore.” (Sez. giur. Bolzano, sent. n. 1/2024; cfr. anche Sez. giur. Calabria, sent. n. 429/2019; Sez. giur. Calabria, sent. n. 87/2018).

I profili di non conformità contestati trovano del resto riscontro, inter alia, nelle deduzioni inviate all’Autorità dal Direttore generale dell’Azienda Sanitaria in data 21.04.2022 e 16.02.2023 (cfr. doc. 43 e 44 fasc. attoreo) e nelle molteplici comunicazioni, con cui il Direttore amministrativo, la Referente aziendale Privacy e la Data Protection Officer (DPO) hanno sollecitato l’adeguamento del sistema informatico aziendale (cfr. e-mail d.d. 07.07.2014 sub doc. 51 fasc. attoreo, e-mail d.d. 16.10.2019, 24.01.2018, 17.08.2021 e 23.11.2021 sub doc. 14, 15, 16 e 17 fasc. di parte convenuta RG). Delle criticità all’origine della sanzione de qua danno inoltre diffusamente conto il “Report della consulenza del 14 e 15 gennaio 2016” realizzato dalla DPO e la “Consulenza RIS/PACS del 4/5 febbraio 2016” (cfr. doc. 49 e 50 fasc. attoreo).

3. Occorre pertanto verificare se la mancata adozione di misure a garanzia del corretto trattamento dei dati contenuti nel DSE sia ascrivibile ad un contegno omissivo da parte degli odierni convenuti.

3.1. A detta della Procura agente, nella fattispecie in considerazione verrebbe innanzitutto in rilievo la responsabilità della convenuta RI RG. Quest’ultima sarebbe stata designata Referente aziendale in materia di privacy con deliberazione n. 134 del 10 settembre 2015; con deliberazione n. 37 del 30 gennaio 2018 la medesima sarebbe stata confermata nel ruolo e nominata referente della posizione organizzativa Staff Privacy (cfr. doc. 35 e 36 fasc. attoreo).

Al riguardo si osserva come, con la deliberazione n. 270 del 10 dicembre 2013, il Direttore generale dell’Azienda Sanitaria dell’Alto Adige abbia istituito presso la Direzione amministrativa la posizione organizzativa Staff Privacy, affidandole “compiti relativi alla privacy e la connessa responsabilità nel settore” (cfr. doc. 34 fasc. attoreo). In base all’allegato “A” alla citata deliberazione, lo Staff Privacy, tra l’altro, “5.1.1 raccoglie, analizza dati ed informazioni e propone le azioni necessarie al miglioramento continuo nella gestione della privacy; 5.1.2 propone un programma di lavoro annuale; 5.1.3 fornisce consulenza, coordina gruppi di lavoro e specifici progetti nella materia di propria competenza; 5.1.4 è punto di riferimento per il personale interno dell’Azienda, nonché per l’utenza, per le problematiche legate all’operatività quotidiana della privacy (chiarimenti, casi dubbi, contestazioni, diritto di accesso ai dati personali ai sensi dell’art. 7 e seguenti del D.lgs. n. 196/2003, etc.); 5.1.5 predispone circolari, linee guida, manuali e regolamenti diretti alla salvaguardia ed alla sicurezza dei dati personali, che sono oggetto di trattamento; 5.1.6 fornisce pareri ed indicazioni sugli atti e sulle procedure inerenti alla normativa ed alla regolamentazione interna relativa alla gestione dei dati personali; (…) 5.1.8 elabora i documenti inerenti la gestione della privacy (informativa e moduli per l’acquisizione dei consensi, brochure informative per gli assistiti, manualistica per gli operatori, etc.); (…) 5.1.10 informa e consiglia il titolare del trattamento dei dati in merito agli obblighi di legge; 5.1.11 sorveglia l’attuazione e l’applicazione delle politiche del titolare del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e gli audit connessi; (…) 5.1.13 è la struttura deputata alla gestione dei controlli interni sull’effettiva applicazione della normativa privacy e dei regolamenti aziendali; (…)”.

Con deliberazione n. 134 del 10 settembre 2015 (cfr. doc. 35 fasc. attoreo), il Direttore generale dell’Azienda Sanitaria ha nominato la convenuta RI RG Referente aziendale in materia di privacy. Alla stessa, con deliberazione n. 334 del 23 settembre 2016 (cfr. doc. 39 fasc. attoreo), è stato delegato, unitamente al Direttore della Ripartizione Informatica, l’espletamento di tutti gli adempimenti connessi all’adozione del “Piano operativo Privacy”.

Con deliberazione n. 37 del 30 gennaio 2018 (cfr. doc. 36 fasc. attoreo), è stata poi conferita alla convenuta RI RG la responsabilità della posizione organizzativa Staff Privacy.

Successivamente, con deliberazione n. 229 dell’8 maggio 2018, recante “Approvazione della modifica del Regolamento per la gestione del Dossier Sanitario Elettronico dell’Azienda Sanitaria dell’Alto Adige”, è stato delegato “al/la Referente aziendale Privacy e al Data Protection Officer l’espletamento di tutti gli adempimenti conseguenti l’adozione della presente delibera, avvalendosi delle necessarie figure professionali competenti nella materia per mettere in atto le modalità operative necessarie, in particolare per quanto riguarda l’ambito tecnologico” (cfr. doc. 38 fasc. attoreo).

Gli atti organizzativi testé richiamati evidenziano l’attribuzione, in capo alla convenuta RI RG, di un complesso di obblighi di servizio relativamente alla tutela dei dati personali, in generale, e alla configurazione del DSE, in particolare. Emerge, nello specifico, come il ruolo di supporto conferito alla signora RG comprendesse non solo funzioni propositive e consulenziali, ma anche precisi compiti legati all’attuazione delle misure a tutela dei dati personali.

L’inquadramento delle competenze in materia di privacy impone, tuttavia, di dare conto di un’ulteriore fondamentale figura istituita presso l’Azienda Sanitaria dell’Alto Adige. Con deliberazione d.d. 20 giugno 2017 è stato invero affidato alla dott.ssa NA IT il “servizio di data protection officer e consulenza in materia di protezione di dati personali e trasparenza” (cfr. doc. 12 fasc. di parte convenuta RG). In proposito, nel “Regolamento per la gestione del dossier sanitario elettronico dell’Azienda Sanitaria dell’Alto Adige”, approvato con la menzionata deliberazione n. 229 dell’8 maggio 2018, viene precisato al par. 10 che “l’Azienda Sanitaria ha adottato una sua organizzazione interna, la c.d. “cabina di regia privacy” composta dal/dalla Referente Privacy Aziendale e dal Data Protection Officer”. Le due posizioni, Staff Privacy e Data Protection Officer, figurano nell’organigramma aziendale in una posizione di equiordinazione, risultando subordinate al solo Direttore generale (cfr. doc. 61 fasc. attoreo). Nello stesso senso, nel documento sulla “Attività Privacy”, elaborato dalla convenuta RG e dalla medesima inviato alla Direzione generale e alla Direzione amministrativa in allegato all’e-mail del 22 settembre 2023, si espone che lo Staff Privacy “si avvale della collaborazione del DPO” e “coordina l’attività con il Data Protection Officer all’uopo nominato” (cfr. doc. 20 fasc. di parte convenuta RG).

Ne discende una condivisione della posizione di garanzia gravante sullo Staff Privacy con il Data Protection Officer, investito dei medesimi compiti propositivi ed attuativi.

Posto quanto precede, dalla documentazione in atti si desume come la convenuta RG, nei limiti delle proprie competenze, si sia attivata per garantire l’adeguamento della configurazione del DSE alla normativa in vigore ed evitare gli accessi illeciti all’origine della sanzione in oggetto.

Al riguardo, risulta opportuno sottolineare come, nei casi trattati dal Garante nel provvedimento n. 97/2024, l’indebita consultazione abbia avuto luogo da parte di personale in astratto titolato alla stessa, in quanto appartenente all’area sanitaria, ma in concreto estraneo al processo di cura del paziente cui si riferiva il DSE. Dal citato provvedimento si evince come ciò sia stato reso possibile da un’impostazione tecnica non contemplante un’idonea profilazione e meccanismi di verifica di quanto dichiarato dal personale. La consultazione era invero consentita anche in assenza di un evento clinico-amministrativo tracciato a livello informatico (ricovero, accesso al pronto soccorso, prestazione specialistica), procedendo ad una semplice autodichiarazione tramite opzione tra una lista predefinita di casi (“In pericolo di vita/emergenza; Prevenzione/diagnosi/cura/riabilitazione su paziente in carico ma non registrato nei percorsi informatizzati previsti”). Esula, dunque, dall’oggetto del presente giudizio lo scrutinio circa eventuali ulteriori difformità attinenti alla regolamentazione aziendale sul DSE ed al relativo sistema informatico. Tra queste figura la previsione, di cui ad esempio al par. 5 del Regolamento per la gestione del DSE del 2018, di ipotesi di accesso ulteriori rispetto a quelle motivate da un attuale rapporto terapeutico (cfr. deliberazione n. 229 dell’8 maggio 2018 sub doc. 38 fasc. attoreo). Queste ultime, a ben vedere, benché oggetto di censura da parte dell’Autorità, non rappresentano l’antecedente degli illeciti da cui è originata la sanzione.

Così individuata la causa del danno, si osserva come, con e-mail di data 18 gennaio 2016, la signora RG abbia trasmesso al Direttore della Ripartizione informatica IA TE ed al Direttore dell’Ufficio per i sistemi informativi ospedalieri HO NG il “Report della consulenza del 14 e 15 gennaio 2016 - Verifica dello stato dell’arte del processo di adeguamento alle direttive in tema di DSE” (cfr. doc. 49 fasc. attoreo). Mediante tale relazione, redatta dalla dott.ssa NA IT, erano state rilevate, tra le altre, le seguenti criticità riguardanti il DSE: i) l’”Assenza di procedura di gestione e controllo delle autorizzazioni al trattamento e alla tracciatura degli accessi al Dossier Sanitario”; ii) l’”Accesso eventuale al Dossier per finalità diverse da quella di cura, come per esempio da parte di Direzioni mediche o medici del lavoro”; iii) “Non è stato possibile al momento conoscere ancora le motivazioni cui si associano le diverse casistiche di “forzatura”, anche in questo caso pare difformi per i diversi Comprensori, e la casistica di utilizzo”; venivano quindi individuate le azioni necessarie ai fini dell’adeguamento dei sistemi informativi alle Linee Guida del Garante per la privacy del 2009 e del 2015, comprendenti anche la “Predisposizione di una procedura e di un sistema centralizzato di gestione e controllo delle autorizzazioni al trattamento e alla tracciatura degli accessi al Dossier Sanitario , compresi gli alert automatici”.

La convenuta RG ha poi preso parte alla “Consulenza RIS/PACS del 4/5 febbraio 2016”, avente ad oggetto la “Verifica di conformità degli adempimenti del Decreto Legislativo n. 196/03 e proposta di azioni di miglioramento” (cfr. doc. 50 fasc. attoreo), nonché alla redazione del documento “Pianificazione azioni di adeguamento del sistema aziendale di dossier sanitario elettronico”, come risulta dall’e-mail inviata dalla stessa alla DPO in data 24 gennaio 2018 (cfr. doc. 15 fasc. di parte convenuta RG). Il documento da ultimo menzionato, nella colonna “Proposte della cabina di regia privacy”, in corrispondenza della voce “Predisposizione di procedura di autorizzazione al trattamento e di rilascio di abilitazione all’accesso al Dossier Sanitario Elettronico, comprese le eventuali revoche”, richiede un “Riscontro da parte della ripartizione informatica, integrato da indicazioni della cabina di regia”; un “Riscontro da parte della ripartizione informatica” è richiesto altresì in relazione alla “Valutazione della presenza di misure di sicurezza adeguate del sistema informativo del Dossier Sanitario Elettronico”.

In tale ambito si deve del resto tenere conto dei molteplici messaggi di posta elettronica, con cui la DPO ha sollecitato l’implementazione di misure volte al corretto trattamento dei dati mediante il DSE. Con le comunicazioni inviate al Direttore della Ripartizione Informatica RE IU in data 16 ottobre 2019, 17 agosto 2021 e 23 novembre 2021 la DPO ha infatti rappresentato a quest’ultimo “la necessità che tu e i tuoi collaboratori prendiate in carico la problematica del DSE adottando, dopo le opportune verifiche, le eventuali misure adeguate di sicurezza del caso”, nonché “l’urgenza di verificare le misure di sicurezza organizzative e tecniche adottate e di procedere all’implementazione di misure di limitazione all’accesso al DSE da parte del personale autorizzato, tali da inibire e precludere la possibilità di consultazione relativamente al proprio dossier sanitario”; ha inoltre fatto presente allo stesso l’importanza di una sua partecipazione all’incontro organizzato sul DSE, stante la perdurante non conformità rispetto alla normativa in materia (cfr. doc. 14, 16 e 17 fasc. di parte convenuta RG).

I ripetuti inviti indirizzati dalla dott.ssa IT al responsabile della Ripartizione informatica conducono ad escludere che la convenuta RG, titolare di una posizione di garanzia analoga a quella della DPO, fosse tenuta ad attivarsi ulteriormente. D’altra parte, nell’e-mail d.d. 23 novembre 2021 la DPO riferiva che “è obiettivo della Cabina di regia programmare per il primo semestre del 2022 un audit di verifica relativo al DSE, così da riportarne al titolare gli esiti”. Si può pertanto desumere che la dott.ssa IT, mediante le richiamate comunicazioni, abbia agito non solo in qualità di DPO, ma altresì a nome della Cabina di regia privacy e dunque della Referente privacy RG.

Quanto precede trova conferma nella nota di data 2 febbraio 2018 (cfr. doc. 42 fasc. attoreo), nella quale il Direttore generale, dando riscontro ad una richiesta di informazioni della Guardia di Finanza, espone quanto segue: “Il Referente Aziendale Privacy e il DPO, che costituiscono la cabina di regia privacy dell’Azienda sanitaria, hanno condiviso la definizione di un progetto privacy che prevede anche e chiaramente l’implementazione del DSE alla luce delle indicazioni di cui nelle Linee Guida del 2015. (…) Si precisa che in data 20 ottobre 2017 il Referente Aziendale Privacy e il DPO hanno illustrato ai colleghi della ripartizione informatica i contenuti della bozza di Regolamento operativo sul DSE, tra i cui contenuti all’articolo ”8 – Tenuta in sicurezza dei dati personali” è indicato che “L’Azienda ha adottato meccanismi di alert automatico per monitorare e prevenire eventuali accessi anomali o non autorizzati al Dossier Sanitario Elettronico, il cui controllo è affidato alla Ripartizione Informatica, che provvede a segnalare senza ritardo tali accessi alla Cabina di regia Privacy, per gli ulteriori adempimenti.”

Deve pertanto ritenersi che non sussista alcuna omissione da parte della convenuta RG, la quale risulta aver posto in essere quanto di sua competenza onde evitare gli illeciti in considerazione. In particolare, insieme alla DPO, ha adempiuto al compito di indicare e proporre le azioni idonee a garantire il corretto trattamento dei dati personali. Difettando una sovraordinazione, vale a dire un’esplicita attribuzione di poteri direttivi rispetto ad altri organi aziendali, è d’altra parte precluso, nei suoi confronti, un addebito per l’inerzia o l’inidoneità dell’operato dei medesimi.

3.2. Per quanto attiene al convenuto RE IU, Direttore della Ripartizione informatica dal 2 maggio 2019 al 4 agosto 2025, la Procura attrice ravvisa profili di responsabilità in relazione al mancato esercizio delle attribuzioni in materia di corretta realizzazione e configurazione del DSE.

Ai fini dell’individuazione degli obblighi di servizio gravanti sul signor IU assume primario rilievo la deliberazione n. 717 del 20 dicembre 2018 (cfr. doc. 33 fasc. attoreo), recante “Modifica dell’Atto organizzativo provvisorio dell’Azienda sanitaria della Provincia Autonoma di Bolzano e approvazione dell’organigramma della dirigenza amministrativa, tecnica e professionale”.

L’art. 6 dell’allegato 2 alla citata deliberazione definisce invero nei seguenti termini l’ambito di responsabilità dei Direttori di ripartizione: “La direttrice/il direttore di ripartizione è responsabile dell’espletamento dei compiti attribuiti alla ripartizione nonché dell’operato degli uffici appartenenti alla stessa. Ha la responsabilità della supervisione, del coordinamento e organizzazione degli uffici appartenenti. (…) La direttrice/il direttore è responsabile dello sviluppo di strategie e pianificazione orientate al funzionamento ottimale della ripartizione, rispettivamente degli uffici. La direttrice/il direttore di Ripartizione definisce, programma e coordina gli obiettivi con i direttori d’ufficio competenti e verifica la loro attuazione. Valuta i risultati degli obiettivi degli uffici di propria competenza. Assicura un adeguato flusso delle informazioni all’interno della Ripartizione e verso altre unità organizzative. La direttrice/il direttore di Ripartizione esercita tutte le funzioni amministrative nelle materie di competenza della ripartizione. (…) È facoltà della direttrice/del direttore di ripartizione delegare singole funzioni amministrative di propria competenza a una direttrice/un direttore d’ufficio.”

Con specifico riguardo alla Ripartizione informatica, l’allegato 4 alla predetta deliberazione prevede che la stessa “coordina le attività finalizzate alla gestione di un unico ed efficiente sistema IT a livello aziendale, pianificandone e coordinandone lo sviluppo, attraverso:

· pianificazione strategica del sistema informativo (IT Masterplan), elaborazione della pianificazione annuale e triennale;

· attuazione dell’IT Masterplan;

· coordinamento iniziative per uniformare i sistemi IT, mediante l’elaborazione di regolamenti e linee guida a valenza aziendale;

· definizione e sviluppo del sistema informativo ospedaliero aziendale e gestione, sviluppo e integrazione con sistemi specialistici dipartimentali; (…)

· adozione di standard nazionali ed internazionali per la comunicazione, lo scambio, la gestione, l’integrazione e l’archiviazione dei dati clinici e amministrativi; (…)

· gestione banche dati, elaborazione piattaforma database, controlli di sicurezza, backup e disaster recovery dei database; (…)

· pianificazione ed impiego del personale dell’area informatica, attivazione di gruppi di lavoro aziendali, determinazione del fabbisogno annuale e amministrazione del budget dell’area informatica.

La Ripartizione è l’interlocutore per tutte le problematiche informatiche dell’Azienda, per gli uffici informatici della Provincia Autonoma di Bolzano nonché per gli altri soggetti pubblici e privati del settore.”

Il quadro generale delle funzioni demandate al Direttore della Ripartizione informatica, come appena delineato, risulta di per sé sufficiente ad attribuire al medesimo specifiche responsabilità in ordine all’idonea configurazione dei sistemi informativi aziendali e dunque anche del DSE.

Deve peraltro rilevarsi come, con le deliberazioni n. 334 del 23 settembre 2016 e n. 229 dell’8 maggio 2018, in termini espliciti, sia stato affidato al Direttore della Ripartizione informatica l’espletamento degli adempimenti connessi all’adeguamento del sistema informativo e del DSE alla normativa di settore. Mediante la prima, infatti, è stata posta in carico a quest’ultimo e alla Referente aziendale Privacy, con facoltà di rivolgersi alle figure professionali competenti per materia, l’attuazione del Piano operativo Privacy (cfr. doc. 39 fasc. attoreo). Con la seconda si è previsto che la Referente aziendale Privacy e la Data Protection Officer, onde implementare il Regolamento per la gestione del Dossier Sanitario Elettronico, si sarebbero avvalse “delle necessarie figure professionali competenti nella materia per mettere in atto le modalità operative necessarie, in particolare per quanto riguarda l’ambito tecnologico” (cfr. doc. 38 fasc. attoreo).

In tale contesto si inseriscono i già menzionati solleciti di data 16 ottobre 2019, 17 agosto 2021 e 23 novembre 2021, con cui la DPO ha reiterato al convenuto IU la richiesta di adottare le misure di sicurezza necessarie a garantire il corretto trattamento dei dati di cui al DSE (cfr. doc. 14, 16 e 17 fasc. attoreo).

Il par. 8 del citato Regolamento statuisce inoltre quanto segue: “L’Azienda Sanitaria ha adottato meccanismi di alert automatico per monitorare e prevenire eventuali accessi anomali o non autorizzati al Dossier Sanitario Elettronico, il cui controllo è affidato alla Ripartizione Informatica, che provvede a segnalare senza ritardo tali accessi alla Cabina di regia Privacy, per gli ulteriori adempimenti.” (cfr. doc. 38 fasc. attoreo).

Da ultimo occorre considerare l’atto del 19 luglio 2021, con cui il Direttore generale ha designato il signor IU quale Delegato al trattamento dei dati personali ai sensi dell’art. 29 del Regolamento (UE) 2016/679, prescrivendogli di “adottare in base alle indicazioni impartite dall’Azienda Sanitaria dell’Alto Adige adeguate misure di sicurezza organizzative e tecniche per proteggere i dati personali” (cfr. doc. 53 fasc. attoreo).

I riportati atti organizzativi, nel loro insieme, conducono ad escludere che il convenuto IU fosse destinatario di un delega generica, non comprendente il potere di incidere sulla configurazione del DSE. Venendo in rilievo il ruolo direttivo, ovvero propulsivo, organizzativo e di supervisione, posto in capo al Direttore di Ripartizione, irrilevante risulta la mancanza di poteri operativi sui sistemi informatici, derivante da un presunto eccessivo tecnicismo ovvero dalla mancanza della qualifica di amministratore di sistema. Tali profili non esonerano invero il superiore dall’impartire direttive e dal verificarne l’attuazione, se del caso ricorrendo all’ausilio di collaboratori e di terzi.

La sussistenza di un rapporto direttivo idoneo ad impedire fatti dannosi, quale quello per cui è causa, non esige in ogni caso l’attribuzione di poteri di avocazione e di sostituzione, propri di un rapporto gerarchico in senso stretto.

Sul punto, risulta poi inconferente la circostanza secondo cui, nel Piano annuale della valutazione del risultato, non sarebbe stato inserito alcun obiettivo specifico in relazione al DSE. Tale documento non è invero preordinato alla delimitazione delle mansioni assegnate ai dirigenti.

Posto quanto precede, il convenuto IU non risulta essersi attivato in alcun modo al fine di assicurare una configurazione del DSE conforme alle prescrizioni in materia di privacy.

In particolare, è mancato qualsivoglia intervento sulla nota del Direttore generale del 15 gennaio 2015, elaborata dal precedente Direttore della Ripartizione informatica IA UR ed avente ad oggetto l’”Esecuzione Regolamento Garante” (cfr. doc. 52 fasc. attoreo). L’atto in considerazione contemplava espressamente, per l’accesso al DSE, il rilascio di un’autodichiarazione in ordine alla sussistenza di un rapporto di cura. Si tratta, in proposito, proprio dell’impostazione che, unita all’assenza di controlli, ha consentito a soggetti estranei al detto rapporto l’illecita consultazione del DSE. In quanto chiamato, in base a quanto sopra esposto, all’”elaborazione di regolamenti”, alla pianificazione e allo sviluppo del sistema informativo, nonché all’implementazione del Piano operativo Privacy e del Regolamento per la gestione del Dossier Sanitario Elettronico, sarebbe spettato al convenuto IU predisporre una nuova nota da portare all’approvazione del Direttore generale.

Neppure è stato fatto uso del potere di impartire disposizioni e di coordinare gli uffici afferenti all’area informatica, affidando agli stessi la realizzazione di misure tecniche dirette a rendere conforme il DSE.

Nello specifico, risulta inevasa la richiesta di presa in carico delle problematiche afferenti al DSE formulata dalla DPO con e-mail del 16 ottobre 2019 (cfr. doc. 14 fasc. di parte convenuta RG: “Il contenuto e le indicazioni di tale regolamento, che ti allego, sono stati pertanto condivisi con la tua struttura, ma, nonostante la mia richiesta degli scorsi mesi, che ti riporto di seguito, non abbiamo ancora purtroppo avuto l’occasione di conoscere gli esiti delle attività di revisione e controllo rese necessarie dalla normativa vigente e di un confronto in materia . La collaborazione che sono a sollecitarti è a mio parere importantissima anche per incanalare le misure individuate dal regolamento e le sottostanti e preliminari ulteriori misure organizzative e tecniche adeguate ad assicurare la funzionalità del sistema di dossier sanitario all'interno del sistema aziendale di accountability al GDPR .”).

Con riferimento all’e-mail trasmessa dalla DPO il 17 agosto 2021, il signor IU ha affidato al Direttore dell’Ufficio per i sistemi informativi ospedalieri HO NG la redazione di “una risposta in merito agli interventi che dovranno essere fatti sull’impianto del DSE con i relativi tempi di realizzazione” (cfr. doc. 63 fasc. attoreo). Con e-mail del 20 agosto 2021 il signor NG ha quindi provveduto ad illustrare le modifiche tecniche necessarie, chiedendo al signor IU un riscontro in ordine alla necessità di procedere nel senso indicato (cfr. doc. 3 fasc. di parte convenuta NG: “Nachdem diese Anpassung doch Auswirkungen auf viele Benutzer hat, ersuche ich höflichst um eine kurze Rückmeldung, ob die Arbeiten in oben genanntem Sinne in Angriff genommen werden können.” “Poiché però questa modifica ha effetti su molti utenti, chiedo gentilmente un breve riscontro, se i lavori possono essere avviati nel senso indicato.”). A tale richiesta il convenuto IU non risulta aver replicato in alcun modo, trascurando di esercitare i suoi poteri direttivi, di coordinamento e di vigilanza.

A seguito della richiesta di incontro della DPO di data 23 novembre 2021, il signor IU ha poi proposto alcune date alternative, domandando al signor NG “di valutare l’allegata segnalazione del DPO in merito al tema accessi non appropriati al DSE ripreso nella mail a seguire” (cfr. doc. 17 fasc. di parte convenuta RG). Anche in questo caso il Direttore di Ripartizione si è limitato a demandare al signor NG l’esame della segnalazione ricevuta, senza alcuna direttiva e senza la verifica circa la concreta risoluzione delle problematiche emerse.

Un impulso all’adeguamento del DSE non è evincibile neppure dalle comunicazioni inviate dal signor IU in data 22 marzo 2022 e 25 marzo 2022, aventi ad oggetto la mera predisposizione di una risposta al Garante della privacy in relazione al reclamo proposto (cfr. doc. 2 fasc. di parte convenuta IU).

Parimenti, con riguardo alle comunicazioni inviate dalla Referente privacy in data 30 marzo 2022 e 18 maggio 2022, il convenuto IU ha proceduto al mero inoltro delle stesse al signor NG (cfr. doc. 64 e 65 fasc. attoreo, doc. 3 e 5 fasc. di parte convenuta IU).

Unicamente con le comunicazioni del 18 maggio 2022 (ore 13:38) e del 20 maggio 2022 il convenuto ha manifestato alla Referente privacy una concreta disponibilità all’individuazione di soluzioni tecniche idonee, tra cui l’adozione di un sistema di alert (cfr. doc. 4 e 6 fasc. di parte convenuta IU). Si tratta, tuttavia, di un intervento tardivo, inidoneo ad impedire gli accessi illeciti alla base del provvedimento sanzionatorio de quo, avvenuti tra il 30 luglio 2020 ed il 25 maggio 2022. Considerazioni analoghe valgono in merito alla redazione della bozza di documento “Dossier Sanitario Elettronico ASDAA 2023” e alla nota di data 11 febbraio 2025, intitolata “Messa in atto disposizioni tecniche organizzative a seguito del provvedimento dell’Autorità Garante per la protezione dei dati personali n. 97 del 22 febbraio 2024” (cfr. doc.7 e 8 fasc. di parte convenuta IU). L’attività desumibile da questi ultimi documenti dimostra piuttosto come il signor IU avesse, effettivamente, il potere di intervenire sulla configurazione del DSE e, dunque, di impedire il danno occorso.

Quanto al rapporto con i fornitori esterni, nella nota trasmessa dal Direttore generale alla Guardia di Finanza in data 2 febbraio 2018 si espone quanto segue: “Il 27 ottobre 2017 il Data Protection Officer ha dato mandato al Direttore della Ripartizione informatica di individuare le azioni necessarie ad assicurare “l’effettiva adozione di quanto indicato nella bozza di regolamento, che necessita preventivamente di misure di revisione e adeguamento delle vigenti regole tecniche, organizzative e documentali”, fra le quali anche quelle necessarie all’adozione di un sistema di alert automatico, richiedendo di indicare i tempi di gestione previsti per le diverse misure. A tale riguardo e in considerazione delle previsioni di cui nelle Linee Guida sul DSE nonché del Regolamento Europeo nr. 2016/679, l’Azienda sanitaria ha dato mandato al proprio partner tecnologico SAIM (di cui alla Deliberazione nr. 507/2016 in allegato) di realizzare un sistema in grado “di generare degli alert automatici precauzionali per accessi non pertinenti ai dati (per esempio un numero di accessi anomali)” (vedasi allegato). (…) I tempi pianificati di realizzazione di un primo sistema automatizzato di alert, che riguarderà inizialmente il DSE, è pianificato in 3 mesi (termine fine aprile).” (cfr. doc. 42 fasc. attoreo).

Benché gli atti organizzativi sopra richiamati attribuiscano al Direttore della Ripartizione informatica, nel perimetro di sua competenza, il ruolo di interlocutore anche rispetto a soggetti privati, sono mancati in questo frangente qualsivoglia verifica ed intervento, anche di mera segnalazione ad altri uffici, in ordine all’adempimento di quanto demandato al predetto partner tecnologico.

Priva di riscontri risulta del resto la tesi del convenuto, secondo cui la delega per il trattamento dei dati conferita dal Direttore generale al signor NG in data 11 marzo 2022 avrebbe “creato un rapporto di collegamento diretto e privo di intermediari tra il Direttore dell’Ufficio per i Sistemi Informativi Ospedalieri e il Direttore Generale, bypassando il Direttore di Ripartizione, Ing. IU” (cfr. pag. 9 comparsa di costituzione del convenuto IU). Tale atto (cfr. doc. 59 fasc. attoreo), al pari della nomina ad amministratore di sistema d.d. 30 novembre 2016 (cfr. doc. 11 fasc. di parte convenuta IU), è valso unicamente ad abilitare il signor NG a trattare dati personali e ad operare sul sistema informatico, non incidendo in alcun modo sull’assetto organizzativo sopra delineato. Con lo stesso non si è dunque demandata la diretta adozione di misure organizzative o tecniche attinenti al sistema informatico, in generale, ed al DSE, in particolare. Si è per contro realizzato il presupposto affinché il signor NG potesse dare esecuzione alle soluzioni definite ad opera dei soggetti a tanto preposti.

Un rapporto diretto non è desumibile neppure dall’e-mail inviata dal signor NG al Direttore generale in data 18 settembre 2022 (cfr. allegato al doc. 29 fasc. attoreo). La comunicazione, di data successiva rispetto agli accessi illeciti di cui al provvedimento sanzionatorio n. 97/2024, contiene una mera presa di posizione del signor NG in merito alle presunte anomalie del DSE. Dalla stessa non emerge invece in alcun modo che il Direttore generale abbia affidato a quest’ultimo, senza intermediazioni, la corretta implementazione del DSE.

Allo stesso modo deve escludersi che il Direttore generale, con l’istituzione dello Staff Privacy e della Cabina di regia privacy, composta dalla Referente aziendale Privacy e dalla DPO, abbia avocato a sé la materia in considerazione.

Al contrario, mediante la predetta struttura il Direttore generale ha dato vita ad un’organizzazione interna finalizzata alla tutela dei dati personali, demandando l’individuazione e l’attuazione delle misure necessarie ad apposite figure professionali. Tra queste, in forza dei sopra richiamati atti organizzativi, non può non annoverarsi anche il Direttore della Ripartizione informatica.

3.3. Un tanto appurato, è d’uopo ora considerare la posizione del Direttore generale in quanto (legale rappresentante dell’Ente e quindi) soggetto titolare del trattamento dei dati personali.

Premesso che il ruolo di vertice di un’amministrazione, anche ad elevata complessità, implica da parte dello stesso un impegno attivo e consapevole in tutti i settori che la compongono, nella presente vertenza non si rinvengono peraltro elementi di rimproverabilità nei confronti della figura in questione, essendo in effetti qui riscontrabile l’articolazione di una struttura potenzialmente idonea ad evitare fatti dannosi come quelli in esame.

Ciò che, nella presente concreta fattispecie, alla luce delle dimensioni dell’ente, della molteplicità dei compiti assegnati e della tecnicità della materia, conduce all’esonero del Direttore generale da apprezzabili profili di responsabilità, ben potendosi ritenere che egli abbia ragionevolmente confidato nella funzionalità della struttura appositamente istituita al fine di assicurare il rispetto delle prescrizioni in parola (cfr. Sez. giur. Bolzano, sent. n. 1/2024; cfr. anche Sez. giur. Trento, sent. n. 7/2024).

Non risultano infatti rinvenibili oggettive evidenze che il Direttore generale, dopo l’adozione del “Piano operativo privacy” (cfr. deliberazione n. 334 del 23 settembre 2016 sub doc. 39 fasc. attoreo), nonché del Regolamento per la gestione del Dossier Sanitario Elettronico del 2018 (cfr. deliberazione n. 229 dell’8 maggio 2018 sub doc. 38 fasc. attoreo), e prima che si verificassero gli accessi abusivi in oggetto, abbia potuto acquisire contezza in ordine alle mancanze della Ripartizione informatica e sia dunque venuto meno al suo debito di vigilanza.

Giova al riguardo rilevare come nella comunicazione trasmessa il 2 febbraio 2018 alla Guardia di Finanza (cfr. doc. 42 fasc. attoreo) il Direttore generale dia conto delle azioni poste in essere, tra cui il sopra richiamato “mandato” al Direttore della Ripartizione informatica, nonché la delega alla Referente aziendale Privacy e alla Data Protection Officer. Si desume quindi un affidamento nella struttura specificamente istituita, da considerarsi plausibile alla luce della professionalità delle figure chiamate a comporla. I solleciti inviati dalla Cabina di regia privacy alla Ripartizione informatica, d’altra parte, non risultano essere stati portati a conoscenza del vertice aziendale. Neppure risulta che il Direttore della Ripartizione informatica abbia segnalato al Direttore generale eventuali difficoltà legate all’adeguamento del DSE. Nell’arco temporale indicato, pertanto, quest’ultimo non disponeva di elementi che giustificassero un suo intervento quale organo sovraordinato.

3.4. In definitiva, ad avviso del Collegio, gli accessi illeciti sono stati resi possibili non già da un’inefficacia delle soluzioni poste in atto, bensì, in radice, dall’omessa adozione di misure correttive a seguito delle segnalazioni effettuate dalla Cabina di regia privacy. Quest’ultimo incombente gravava indubbiamente sul Direttore della Ripartizione informatica, il quale, benché non chiamato a intervenire materialmente sul sistema, era quanto meno tenuto a disporre l’esecuzione delle modifiche, così fornendo l’impulso necessario alla corretta configurazione del sistema.

3.5. Con riguardo al convenuto HO NG, al tempo dei fatti Direttore dell’Ufficio per i sistemi informativi ospedalieri (CED), la Procura regionale ravvisa una responsabilità in relazione al ruolo assunto nella configurazione tecnica del sistema DSE.

Sul punto, si rileva come il menzionato incarico dirigenziale sia stato inizialmente conferito con deliberazione n. 70 del 5 maggio 2015 e quindi confermato con le deliberazioni n. 243 del 28 aprile 2020 e n. 893 del 23 agosto 2022 (cfr. doc. 56, 57 e 58 fasc. attoreo).

La deliberazione n. 217 del 30 settembre 2013 (“Approvazione dell’organigramma della dirigenza amministrativa dell’Azienda sanitaria della Provincia Autonoma di Bolzano e revoca delle deliberazioni del Direttore generale n. 168 del 28.07.2009 e n. 303 del 30.12.2011” - doc. 18 fasc. di parte convenuta NG) perimetra come segue le funzioni devolute all’Ufficio per il sistema informativo ospedaliero:

“- Definizione e sviluppo dell’architettura del sistema informativo ospedaliero dell’Alto Adige (KISS);

- definizione delle delimitazioni di sistema, dell’insieme delle funzionalità e del luogo di impiego di sistemi dipartimentali ed ulteriori subsistemi ed integrazione nel sistema informativo ospedaliero (KISS);

- ulteriore sviluppo degli applicativi nell’ambito delle autorizzazioni aziendali;

- supporto per competenze specifiche dell’ufficio ed indirizzamento verso fornitori ed altri uffici.”

Si tratta, al riguardo, di compiti di natura prettamente tecnica, attinenti alla realizzazione del sistema informativo ospedaliero ed al supporto di altri uffici. Eloquente risulta la specificazione secondo cui l’”ulteriore sviluppo degli applicativi” deve avvenire “nell’ambito della autorizzazioni aziendali”. Ciò implica, infatti, che, nel procedere allo sviluppo dei sistemi informativi, l’ufficio era vincolato alle disposizioni interne adottate dall’Azienda Sanitaria.

In tale ambito assumono rilievo anche gli atti organizzativi testé menzionati, ovvero la nomina in data 30 novembre 2016 del signor NG quale amministratore di sistema (cfr. doc. 11 fasc. di parte convenuta IU) e l’Atto di designazione a delegato al trattamento dei dati personali di data 11 marzo 2022 (cfr. doc. 59 fasc. attoreo).

Come già evidenziato, la portata di tali atti è circoscritta all’attribuzione dei poteri necessari ad operare sui sistemi informativi, esulando dai medesimi la finalità di ampliare l’ambito delle competenze come sopra definite.

Nel provvedimento dell’11 marzo 2022 si prevede invero che il delegato è tenuto ad “- osservare e far osservare da parte dei propri collaboratori le indicazioni e disposizioni operative impartite dal Titolare per la protezione dei dati personali e curarne la loro diffusione;

- adottare ulteriori misure di sicurezza organizzative e tecniche a protezione dei dati personali per assicurare, in particolare, che questi non siano comunicati e/o diffusi ad alcuno”.

L’adozione delle “ulteriori misure di sicurezza” si inscrive evidentemente nel quadro organizzativo risultante dai documenti citati in precedenza, dovendo essere letta alla luce del carattere prettamente esecutivo delle attribuzioni dell’Ufficio de quo. Deve del resto escludersi una rilevanza causale della designazione effettuata l’11 marzo 2022, risultando la stessa inidonea ad impedire i fatti all’origine del provvedimento sanzionatorio, verificatisi tra il 30 luglio 2020 ed il 25 maggio 2022.

Successiva a tali eventi risulta altresì la deliberazione n. 1511 del 29 dicembre 2022, che ha integrato nei seguenti termini le competenze dell’Ufficio per i sistemi informativi ospedalieri: “L’Ufficio per i sistemi informativi ospedalieri svolge le attività di analisi, progettazione, integrazione tecnico-funzionale e di conduzione operativa dei seguenti sistemi: (…) • Moduli software di integrazione e alimentazione del Dossier Sanitario Elettronico e del Fascicolo Sanitario Elettronico per i propri ambiti di competenza. (…) L’Ufficio supporta la Direzione di ripartizione nella gestione operativa sul territorio provinciale delle attività tecniche necessarie alla realizzazione, all’avvio e alla conduzione in esercizio del nuovo Sistema informativo Ospedaliero in tutti gli ospedali dei quattro i comprensori sanitari. L’Ufficio assicura l’applicazione delle norme vigenti in materia di privacy e di cyber security per i propri ambiti di competenza.” (cfr. doc. 55 fasc. attoreo). Ferma restando l’irrilevanza, su un piano eziologico, di tale deliberazione, si deve evidenziare come la stessa confermi il carattere esecutivo delle funzioni devolute all’Ufficio in considerazione, chiamato a supportare la Direzione di ripartizione nella gestione delle “attività tecniche”. D’altra parte, le “norme vigenti in materia di privacy”, di cui l’Ufficio deve assicurare l’applicazione, non possono non comprendere anche quelle adottate internamente dall’Azienda Sanitaria.

Considerazioni analoghe devono svolgersi quanto alla menzione del signor NG quale referente “Per eventuali chiarimenti e problemi di natura tecnica (…)”, di cui al documento aziendale “Indicazioni accesso dossier sanitario elettronico (DSE) 9.06.2023” (cfr. doc. 60 fasc. attoreo) e di cui alla comunicazione del Direttore generale del 10 maggio 2023 (cfr. doc. 62 fasc. attoreo).

Gli elementi che precedono evidenziano, in definitiva, un ruolo meramente esecutivo nella realizzazione e configurazione del sistema informatico DSE. L’attività del convenuto NG si risolveva, in altri termini, nell’attuazione, su un piano tecnico-operativo, di quanto deciso ad altri livelli di responsabilità nell’Azienda Sanitaria.

In proposito, deve innanzitutto rinviarsi alla già menzionata nota del Direttore generale d.d. 15 gennaio 2015, predisposta dal Direttore di ripartizione UR e contemplante l’autodichiarazione, da parte dei sanitari, circa la sussistenza di un rapporto di cura (cfr. doc. 52 fasc. attoreo). Come testé evidenziato, l’emendamento di tale previsione era rimesso all’iniziativa del Direttore della Ripartizione informatica. Perdurando la vigenza della stessa era per contro preclusa al signor NG qualsivoglia modifica delle modalità di accesso al DSE.

Sotto un ulteriore profilo deve tenersi conto della circostanza che, prima degli accessi illeciti in oggetto, il signor NG non è stato destinatario di alcuna direttiva volta all’implementazione di un sistema di alert. Nonostante il sopra descritto ruolo del Direttore della Ripartizione informatica, è mancato, invero, da parte di quest’ultimo, qualsivoglia impulso all’adozione di idonee misure di verifica ex post.

Così, con l’e-mail d.d. 7 luglio 2014, il Direttore di Ripartizione IA UE si è limitato ad un inoltro al signor NG, con richiesta di riscontro, del documento “Attivazione del dossier sanitario secondo le disposizioni del Garante Privacy e AGID”, (cfr. doc. 51 fasc. attoreo).

Parimenti, una mera presa di posizione, anziché la concreta messa in atto di operazioni correttive, è stata richiesta dal Direttore di Ripartizione RE IU mediante i messaggi d.d. 17 agosto 2021, 30 marzo 2022 e 18 maggio 2022, aventi ad oggetto la trasmissione di e-mail precedentemente inviate dalla DPO e dalla Referente Privacy (cfr. doc. 63, 64 e 65 fasc. attoreo).

Il convenuto NG, d’altra parte, ha puntualmente replicato alle comunicazioni a lui pervenute con le e-mail d.d. 20 agosto 2021, 30 marzo 2022 e 20 maggio 2022 (cfr. doc. 3, 4 e 5 fasc. di parte convenuta NG). Come sopra evidenziato, con la prima ha proposto delle soluzioni tecniche e specificamente domandato al signor IU se fosse necessario procedere all’implementazione delle stesse, senza tuttavia ricevere risposta. Con la seconda ha provveduto a fornire le informazioni richieste ed ha richiamato le sue proposte relative al sistema di alerting, precisando di essere in attesa di conferma quanto alla disattivazione dell’accesso del personale al proprio DSE. Con la terza ha dato conto di quanto messo in atto a seguito delle disposizioni del signor IU, riferendo quanto segue: “Buongiorno, attualmente i l’utente non riesce più a vedere i suoi documenti. Se per voi va bene, possiamo togliere l’accesso ai propri dati completamente. Per il resto procediamo di implementare la proposta di alert riguardante gli accessi ripetuti allo stesso oggetto.” Dall’e-mail inviata dal Direttore di Ripartizione IU alla Referente privacy RG di data 20 maggio 2022 (cfr. doc. 5 fasc. di parte convenuta NG) si evince infatti come solo il giorno precedente il signor NG fosse stato incaricato dell’implementazione di un sistema di alert.

Il ruolo tecnico-operativo ricoperto dal convenuto NG trova infine conferma nella sopra citata e-mail del 18 settembre 2022, comunque successiva agli accessi illeciti de quibus (cfr. allegato al doc. 29 fasc. attoreo). Nella medesima il convenuto, scrivendo al Direttore generale ed al Direttore amministrativo, prende posizione sulle risultanze del procedimento disciplinare svoltosi nei confronti di alcuni dipendenti dell’Azienda Sanitaria per consultazione abusiva del DSE. In tale ambito, rappresenta come la disattivazione dell’accesso mediante autodichiarazione possa essere effettuata in tempi brevissimi, ma presenti talune controindicazioni sul piano pratico. Si tratta, al riguardo, di un’analisi obiettiva, di carattere strettamente tecnico, con cui il convenuto si è limitato a mettere in luce tutti gli aspetti connessi alle opzioni prospettate, senza sostituirsi ai soggetti cui era rimessa l’adozione delle stesse.

Quanto precede dimostra come il signor NG abbia correttamente adempiuto ai propri obblighi di servizio, fornendo il contributo operativo demandatogli, attenendosi alle disposizioni aziendali e dando seguito alle istruzioni ricevute.

Al convenuto HO NG non è pertanto addebitabile alcuna omissione relativamente al trattamento dei dati di cui al DSE.

4. Accertata la sussistenza di un’omissione causalmente rilevante da parte del convenuto IU, occorre vagliare l’imputabilità della stessa.

Sul punto si rileva come l’art. 1, comma 1, lett. a), della legge n. 1/2026 abbia introdotto il seguente periodo all’art. 1, comma 1, della legge n. 20/1994: “Costituisce colpa grave la violazione manifesta delle norme di diritto applicabili, il travisamento del fatto, l’affermazione di un fatto la cui esistenza è incontrastabilmente esclusa dagli atti del procedimento o la negazione di un fatto la cui esistenza risulta incontrastabilmente dagli atti del procedimento. Ai fini della determinazione dei casi in cui sussiste la violazione manifesta delle norme di diritto applicabili si tiene conto, in particolare, del grado di chiarezza e precisione delle norme violate nonché dell’inescusabilità e della gravità dell’inosservanza. (…)”. A mente dell’art. 6 della medesima legge, entrata in vigore il 22 gennaio 2026, “Le disposizioni di cui all’articolo 1, comma 1, lettera a), si applicano ai procedimenti e ai giudizi pendenti, non definiti con sentenza passata in giudicato alla data di entrata in vigore della presente legge.”

Pur vertendosi intorno ad una norma materiale, non soggetta al principio del tempus regit actum, il tenore inequivocabile della citata disposizione di diritto intertemporale impone una verifica dell’elemento soggettivo alla luce della novella. La normale irretroattività delle norme sostanziali, prevista dall’art. 11 delle disposizioni preliminari al codice civile, è invero pacificamente derogabile dal legislatore ordinario. Il sopravvenire del riportato precetto rispetto alla costituzione delle parti non ha del resto determinato una lesione del diritto di difesa. L’art. 11 delle norme di attuazione al c.g.c. ammette, infatti, per gravi ragioni, la produzione di documenti anche all’udienza di discussione. Pare in ogni caso inconferente il principio di diritto statuito con sentenza n. 91/2024 dalla I Sez. centrale d’appello, avente ad oggetto l’irretroattività dell’art. 21, comma 1, del d.l. n. 76/2020. Ciò in quanto tale ultima norma, recante una definizione della nozione di dolo, non era accompagnata da una disposizione di diritto intertemporale quale quella appena richiamata.

Tanto premesso, l’omissione per cui è causa presenta i connotati della colpa grave delineati dal novellato art. 1, comma 1, della legge n. 20/1994.

Sul punto occorre in primo luogo tenere conto della chiarezza e precisione dei sopra richiamati atti organizzativi, volti alla delimitazione degli obblighi di servizio incombenti sul Direttore della Ripartizione informatica. Deve d’altra parte rilevarsi come, con provvedimento n. 340 del 3 luglio 2014 (cfr. doc. 31 fasc. attoreo), il Garante della privacy avesse già chiaramente evidenziato le difformità da cui era affetto il DSE, tracciando il percorso da seguire per un adeguamento dello stesso. Inoltre, nonostante i solleciti reiterati dalla Cabina di regia privacy a partire dal maggio 2019, il signor IU risulta aver dato avvio ad interventi risolutivi unicamente nel maggio 2022. Come testé esposto, a tale data gli accessi abusivi avevano ormai avuto luogo ed il Garante della privacy aveva già aperto l’istruttoria che ha condotto al provvedimento sanzionatorio in oggetto.

L’inescusabilità e gravità dell’inazione non è in ogni caso attenuata dall’asserita complessità della materia. La posizione ricoperta dal convenuto implicava infatti il possesso di un’elevata professionalità e consentiva il ricorso a risorse interne ed esterne all’azienda. Che il tecnicismo del sistema rivestisse una portata impeditiva è del resto smentito dall’attivazione, seppur tardiva, del convenuto.

5. La commisurazione della quota di responsabilità da porre in capo al signor IU impone di considerare l’apporto causale fornito da eventuali ulteriori soggetti.

Alla luce delle considerazioni che precedono e dunque del ruolo da attribuire, nella vicenda in esame, ai vertici della Ripartizione informatica, vengono in rilievo i Direttori IA UR, in carica dal 1° novembre 2012 al 31 ottobre 2017, e GO IN, in carica dal 1° novembre 2017 al 30 aprile 2019. Quanto a quest’ultimo, il Collegio ritiene di condividere le considerazioni espresse dalla Procura nel decreto di archiviazione del 25 agosto 2025. Il ricorrere di una colpa grave è nello specifico escluso dalla durata limitata dell’incarico e dalla fruizione, nel corso dello stesso, del congedo straordinario di cui alla legge n. 104/1992. Inoltre, a differenza dei signori TE e IU, il signor IN non risulta essere stato destinatario di alcun sollecito da parte della Referente Privacy e della DPO.

Deve pertanto riconoscersi un contributo causale da parte dei soli Direttori di Ripartizione UR e IU. Prendendo come riferimento temporale il menzionato provvedimento del Garante n. 340 del 3 luglio 2014, che per primo ha esplicitato le criticità del DSE, entrambi hanno avuto a disposizione un tempo di circa tre anni per adottare misure correttive. La quota di responsabilità in capo al convenuto IU deve essere quindi determinata nella misura del 50%.

6. Così accertata in capo al convenuto IU una responsabilità sorretta dall’elemento psicologico della colpa grave, il Collegio – a prescindere da ogni considerazione ermeneutica in ordine all’art. 1, comma 1-octies, della legge n. 20/1994, introdotto dalla citata legge n. 1/2026 (peraltro, stante l’ammontare in questione, non verrebbe qui nemmeno in rilievo il criterio del limite retributivo di cui al comma medesimo) – ritiene comunque congruo, alla luce del generale contesto in cui si è dipanata la vicenda, porre a carico del sunnominato un importo pari al 30% del danno al medesimo ascrivibile, corrispondente, come detto (concorrendo nella specie due condotte dannose, in un quadro di responsabilità parziaria), alla metà del complessivo pregiudizio arrecato.

Pertanto, atteso che, a seguito del pagamento della sanzione in data 13 marzo 2024 (cfr. doc. 1 fasc. attoreo), il danno complessivo subito dall’Azienda Sanitaria dell’Alto Adige ammonta ad euro 37.500,00, il convenuto RE IU deve essere condannato a pagare in favore dell’Ente la somma di euro 5.625,00, la quale, considerata la perdita di valore della moneta, sarà maggiorata della rivalutazione monetaria dal suindicato giorno sino alla data di deposito della presente sentenza.

Da quest’ultima data e sino all’effettivo pagamento decorreranno, sulla somma così rivalutata, gli interessi legali.

7. L’integrale proscioglimento dei convenuti RI RG e HO NG determina l’obbligo di refusione delle spese di difesa, quantificate rispettivamente in euro 1.500,00 ed euro 2.500,00, oltre oneri, a carico dell’Azienda Sanitaria dell’Alto Adige.

Le spese di giudizio, da rimborsare allo Stato, seguono la soccombenza e si liquidano a carico del convenuto RE IU come da dispositivo.

P.Q.M.

La Corte dei conti, Sezione giurisdizionale di Bolzano, disattesa ogni contraria istanza, eccezione e deduzione,

1) rigetta la domanda proposta nei confronti della convenuta AR GI e, conseguentemente, liquida in suo favore le spese di difesa nella misura di euro 1.500,00, oltre spese generali, CPA e IVA come per legge;

2) rigetta la domanda proposta nei confronti del convenuto OL NG e, per l’effetto, liquida in suo favore le spese di difesa nella misura di euro 2.500,00, oltre spese generali, CPA e IVA come per legge;

3) condanna il convenuto RE TI al pagamento in favore dell’Azienda Sanitaria dell’Alto Adige dell’importo complessivo di euro 5.625,00, oltre alla rivalutazione monetaria dal 13 marzo 2024 sino alla data di deposito della presente sentenza ed agli interessi legali, sulla somma così determinata, dal deposito della presente sentenza sino al soddisfo;

4) condanna il convenuto RE TI al pagamento delle spese di giudizio, da rimborsare allo Stato, quantificate in euro 1.001,29.

Manda alla Segreteria per gli adempimenti di rito.

Così deciso nella camera di consiglio del 12 febbraio 2026.

L’estensore	Il Presidente
EL SS	IC MA
(firmato digitalmente)	(firmato digitalmente)

Depositata in segreteria il giorno 31/03/2026

Urteil Nr. 7/2026

REPUBLIK ITALIEN

IM NAMEN DES ITALIENISCHEN VOLKES

DER RECHNUNGSHOF

RECHTSPRECHUNGSSEKTION BOZEN

bestehend aus den Richtern:

IC MARINARO Präsident EL GROSSMANN EN – Berichterstatter

AN NE EN

erlässt folgendes

URTEIL

in dem unter Nr. 2594 des Kanzleiregisters eingetragenen Haftungsverfahren, eingeleitet auf Antrag der Regionalen Staatsanwaltschaft gegen

- GI RI, geboren am 14.06.1974 in Deutschland, St.-Nr. [...], vertreten und verteidigt durch Rechtsanwalt Francesco Coran;

- TI RE, geboren am 01.05.1969 in Brixen (BZ), St.-Nr. [...], vertreten und verteidigt durch die Rechtsanwälte Matilde Palmieri und Francesco Silipo;

- NG HO, geboren am 11.08.1965 Toblach (BZ), St.-Nr. [...], vertreten und verteidigt durch Rechtsanwalt Karl Pfeifer;

Nach Einsichtnahme in die Akten und verfahrensgegenständlichen Unterlagen;

nach Anhörung bei der öffentlichen Verhandlung vom 10. Februar 2026, mit dem Beistand des Sekretärs RA Dr. Ombretta Ricoldo, des Berichterstatters, EN EL SS, der Vertreter der Staatsanwaltschaft in Person des Regionalstaatsanwalts LE Di OR und des stellvertretenden Generalstaatsanwalts AR SU, sowie der Rechtsvertreter der Beklagten, Rechtsanwälte Francesco Coran, Matilde Palmieri, Francesco Silipo und Karl Pfeifer.

SACHVERHALT

1. Mit der am 15. Oktober 2025 hinterlegten Klageschrift hat die Regionale Staatsanwaltschaft bei der Rechtsprechungssektion für die Region Trentino-Alto Adige/Südtirol – Sitz Bozen die ERschaften RI RG, IA UR, RE IU und HO NG vor diese Rechtsprechungssektion geladen, damit sie zum Ersatz des Schadens verurteilen werden, welcher dem Südtiroler Sanitätsbetrieb aus dem von der Datenschutzbehörde am 22. Februar 2024 erlassenen Bußgeldbescheid Nr. 97 entstanden ist.

Die Regionale Staatsanwaltschaft führte insbesondere aus, dass ihr mit Schreiben vom 16. April 2024 das Rechtsamt des Südtiroler Sanitätsbetriebs die genannte Maßnahme zusammen mit der Zahlungsanweisung übermittelt habe, welche die fristgerechte Zahlung des geschuldeten Betrages bestätigt.

Aus den durchgeführten Ermittlungen sei hervorgegangen, dass die Geldbuße infolge mehrfacher Verstöße im Zusammenhang mit der Verarbeitung personenbezogener Daten durch die Elektronische Patientenkarte (kurz EPA) verhängt worden sei. Es seien nämlich wiederholte Zugriffe auf die EPA einiger Patienten durch das Sanitätspersonal festgestellt worden, das zwar zur Datenverarbeitung befugt gewesen sei, jedoch nicht in den Behandlungsprozess eingebunden war.

Die nicht vorschriftmäßige Verarbeitung der in der EPA gespeicherten Daten sei im Übrigen bereits Gegenstand früherer Maßnahmen des Garanten, konkret Nr. 340 vom 3. Juli 2014, Nr. 403 vom 11. September 2014 und Nr. 544 vom 15. Oktober 2015, gewesen.

Vorausgesetzt, dass die Sanktionsmaßnahmen den beweiskräftigen öffentlichen Urkunden gemäß Art. 2700 ZGB zugeordnet werden können, hat die klagende Staatsanwaltschaft hervorgehoben, dass die den Sanktionen zugrunde liegenden unbefugten Zugriffe möglich gewesen seien, weil das IT-System EPA so konfiguriert gewesen sei, dass Mitarbeiter durch eine einfache Selbsterklärung Zugriff erhalten konnten, obwohl der Garant mit der Maßnahme Nr. 340/2014 dem Sanitätsbetrieb angeordnet hatte, den Zugang nur dem akTUELl in den Behandlungsprozess des Patienten eingebundenen Gesundheitsfachpersonal zu gewähren.

Nach Auffassung der Staatsanwaltschaft sei der aus der Verhängung und Zahlung der genannten Geldbuße entstandene Schaden für die öffentliche Hand dem Unterlassen der heutigen Beklagten zuzurechnen, das vom psychologischen Element der groben Fahrlässigkeit getragen gewesen sei.

Insbesondere, angesichts der Größe der Körperschaft und der damit zusammenhängenden Vielzahl der der Führungsspitze übertragenen Aufgaben, der fachlichen Spezialität des Bereichs und der Schaffung einer internen Organisation für die Verwaltung desselben, sei eine Verantwortung des Generaldirektors nicht zu erkennen. Aus der Analyse der organisatorischen Maßnahmen des Betriebes ergebe sich hingegen, dass die heutigen Beklagten tatsächlich für die Einführung der Lösungen im Bereich des Schutzes personenbezogener Daten verantwortlich gewesen seien.

Die Beklagte RI RG sei nämlich mit Beschluss Nr. 134 vom 10. September 2015 zur betrieblichen Datenschutzreferentin bestellt worden. Mit Beschluss Nr. 37 vom 30. Januar 2018 sei sie sodann in dieser Funktion bestätigt und zur Referentin der neuen Organisationseinheit Stabstelle Datenschutz ernannt worden; diese letztere sei mit Maßnahme Nr. 145 vom 31. Januar 2023 bestätigt worden.

Die internen Akten würden auch den Direktoren der Informatikabteilung Zuständigkeiten im Bereich der Umsetzung und Konfiguration der EPA zuweisen.

Diese Position sei vom Beklagten IA UR vom 1. November 2012 bis zum 31. Oktober 2017 und vom Beklagten RE IU vom 2. Mai 2019 bis zum 4. August 2025 bekleidet worden.

In die technische Konfiguration des EPA-Systems sei dann der Direktor des Amtes für Krankenhausinformationssysteme HO NG miteinbezogen worden.

Laut Vorbringen der Klägerseite würde die vorliegende Dokumentation belegen, dass die unrechtmäßigen Zugriffe auf die EPA sowie die daraufhin verhängte Sanktion ihre Ursache in der schuldhaften Unterlassung der Beklagten haben. Diese hätten – obwohl ihnen die rechtliche Verpflichtung zur Sicherung der in der EPA gespeicherten Daten bewusst gewesen sei – keine Maßnahmen ergriffen, um die von der einschlägigen Fachgesetzgebung vorgeschriebenen Vorkehrungen umzusetzen.

Daraus sei ein Schaden entstanden, der insgesamt auf 37.500,00 Euro zu beziffern sei, was 50% der von der Behörde verhängten Verwaltungsstrafe entspreche, da die Zahlung innerhalb von dreißig Tagen nach Zustellung der Maßnahme erfolgt sei.

In ihren Schlussanträgen hat die Regionale Staatsanwaltschaft, angesichts der unterschiedlichen Bedeutung des Kausalbeitrags der Beklagten, eine Verurteilung wie folgt gefordert:

a) RI RG zur Zahlung zugunsten des Südtiroler Sanitätsbetriebs von Euro 3.750,00, was 10% des Schadens zum Nachteil der öffentlichen Hand entspricht, zuzüglich Aufwertung und gesetzlichen Zinsen;

b) IA UE zur Zahlung zugunsten des Südtiroler Sanitätsbetriebs von Euro 7.500,00, was 20% des Schadens zum Nachteil der öffentlichen Hand entspricht, zuzüglich Aufwertung und gesetzlichen Zinsen;

c) RE IU zur Zahlung zugunsten des Südtiroler Sanitätsbetriebs von Euro 7.500,00, was 20% des Schadens zum Nachteil der öffentlichen Hand entspricht, zuzüglich Aufwertung und gesetzlichen Zinsen;

d) HO NG zur Zahlung zugunsten des Südtiroler Sanitätsbetriebs von Euro 18.750,00, was 50% des Schadens zum Nachteil der öffentlichen Hand entspricht, zuzüglich Aufwertung und gesetzlichen Zinsen;

2. Angesichts des von der Regionalen Staatsanwaltschaft unterbreiteten Vorschlags, das Mahnverfahren anzuwenden, wurde gegenüber den Beklagten RI RG, IA UR und RE IU das Mahndekret vom 20. Oktober 2025 erlassen.

3. Der Beklagte HO NG hat sich mit dem am 15. Januar 2026 hinterlegten Schriftsatz in das Verfahren eingelassen und die Abweisung der Klage beantragt, oder, untergeordnet, die Herabsetzung des ihm angelasteten Schadensanteils mit Anwendung, in jedem Fall, der Herabsetzungsbefugnis gemäß Art. 1 des Gesetzes vom 14. Januar 1994, Nr. 20.

Nach den Ausführungen von ER NG lägen im vorliegenden Fall die Voraussetzungen für eine ihn betreffende Haftung gegenüber der öffentlichen Hand nicht vor, da er nie über Leitungs oder über Verwaltungsbefugnisse in Bezug auf die Bestimmung und Umsetzung der Maßnahmen zum Schutz personenbezogener Daten verfügt habe. Insbesondere sei er nicht Mitglied der Arbeitsgruppe gewesen, welche vom Sanitätsbetrieb zur Umsetzung der vom Garanten mit der Maßnahme Nr. 340/2014 vorgeschriebenen Verbesserungen eingerichtet worden war. Im Übrigen sei gemäß Beschluss Nr. 1511 vom 29.12.2022 dem Amt für Krankenhausinformationssysteme lediglich die technische Umsetzung der geltenden Vorschriften bezüglich des Datenschutzes und der Cyber Security übertragen worden, wie auf anderen Ebenen erlassen. Zu diesen zähle auch das vom Direktor der Informatikabteilung ausgearbeitete Rundschreiben vom 15.01.2015, welches, im Widerspruch zur Maßnahme Nr. 340/2014 des Garanten, den Zugang zur EPA auf Grundlage einer Eigenerklärung der Mitarbeiter erlaubt habe. Auch seine Bestellung zum Beauftragten für die Verarbeitung personenbezogener Daten oder seine Ernennung zum Systemadministrator vom 30.11.2016 hätten nicht zu einer spezifischen Übertragung von Verantwortlichkeiten geführt. Die Begrenzung der Zuständigkeiten von ER NG werde zudem durch das Schreiben des Sanitätsbetriebs vom 9. Juni 2023 und durch die Mitteilung vom 10. Mai 2023 bestätigt, da er als Zuständiger für ausschließlich technische Belange genannt wird. Aus der im Akt aufliegenden Korrespondenz (EMails vom 17.08.2021, 30.03.2022, 18.05.2022 und 20.05.2022) ergebe sich zudem, dass die verschiedenen Anfragen von ER NG umgehend beantwortet wurden, er jedoch keinerlei Anweisungen dazu erhalten habe, wie mit diesen weiter zu verfahren sei. Da ER NG der Leitungsbefugnis seiner Vorgesetzten, nämlich des Direktors der Informatikabteilung und des Generaldirektors, unterstand, hätte ER NG in keiner Weise aus eigener Initiative Änderungen an der EPA vornehmen können. Die genannte Korrespondenz sei zudem zeitlich nach den vom Garanten beanstandeten rechtswidrigen Zugriffen erfolgt. Angesichts des rein technischoperativen Charakters der ER NG übertragenen Aufgaben sei seine vertiefte Kenntnis der EPA, wie aus den Mitteilungen vom 18. und 19. September 2022 hervorgehe, ohnehin unerheblich. Irrelevant seien auch die vom Beklagten IU im Rahmen seiner persönlichen Anhörung abgegebenen Erklärungen.

Vielmehr sei es Aufgabe der Data Protection Officer (DPO) und der Datenschutzreferentin, d.h. der Mitglieder der Datenschutzsteuerungsgruppe, gewesen, die Maßnahmen zum Schutz personenbezogener Daten auszuarbeiten und umzusetzen. Nach Auffassung des Beklagten NG dürfe man zudem die Verantwortung des Generaldirektors nicht unberücksichtigt lassen, dem die Organisation der für den Schutz personenbezogener Daten zuständigen Struktur obgelegen habe.

Der Beklagte NG hat das Bestehen des objektiven Tatbestandsmerkmals beanstandet und auch das Fehlen eines jeglichen Kausalzusammenhangs hervorgehoben. Die Deaktivierung des Zugangs auf Grundlage einer Eigenerklärung sowie des Zugangs für die Hausärzte, erfolgt jeweils auf ausdrückliche Anordnung des Generaldirektors am 15. Juni 2023 bzw. im August 2022, belege das Bestehen einer klaren hierarchischen Struktur im Bereich des Datenschutzes.

In diesem Sinne spreche auch die Mitteilung vom 21. April 2022, in der die Anordnung der Datenschutzbeauftragten festgehalten werde, den Mitarbeitern den Zugang zu ihrer eigenen EPA zu untersagen.

Aus dem Vorstehenden ergebe sich auch, dass im Fall von ER NG das subjektive Tatbestandsmerkmal fehle. Bei Fehlen von Beratungsaufgaben oder von Entscheidungsbefugnissen im Bereich des Datenschutzes, könne im in der Tat keine grobe Fahrlässigkeit angelastet werden.

4. Mit dem am 19. Januar 2026 hinterlegten Schriftsatz hat sich die Beklagte RI RG in das vorliegende Verfahren eingelassen und die Abweisung sämtlicher gegen sie gerichteter Anträge beantragt.

RA RG hat zunächst bestritten, dass die dem vorliegenden Verfahren zugrunde liegende Maßnahme des Garanten die Beweiskraft gemäß Art. 2700 ZGB erfülle. Da es sich grundsätzlich um eine Maßnahme mit Rechtsprechungscharakter handle, sei Art. 2909 ZGB anzuwenden, wonach ein Urteil ausschließlich zwischen den Parteien des jeweiligen Verfahrens Rechtskraft entfaltet. Da RA RG an dem Verfahren vor dem Garanten nicht beteiligt gewesen sei, fehle es daher an jedem Beweis hinsichtlich der von dieser Behörde erhobenen Beanstandungen. Auf jeden Fall seien bei ihr keine Anhaltspunkte für eine Verantwortung erkennbar, während man die Verantwortung der Betriebsleitung und der Informatikabteilung berücksichtigen sollte. In diesem Zusammenhang hat die Beklagte hervorgehoben, dass sie erst durch den Beschluss Nr. 134 vom 10.09.2015 zur betrieblichen Datenschutzreferentin bestellt worden sei, während die vom Garanten gesetzte Frist zur Anpassung der EPA bereits am 31. Oktober 2014 abgelaufen sei. Da ihr nie Entscheidungs und Ausgabenbefugnisse übertragen worden seien, seien andererseits in ihrem Fall die Voraussetzungen für eine Funktionsübertragung nicht gegeben. Der ihr übertragene Auftrag habe sich somit auf eine bloße Unterstützung der General- und Verwaltungsdirektion beschränkt. Zudem sei das Inkrafttreten der Verordnung (EU) 2016/679 von Bedeutung, welche für jede öffentliche Verwaltung die Bestellung eines Datenschutzbeauftragten, eines sog. Data Protection Officer, vorgesehen habe. Diese Funktion sei ab dem Jahr 2017 RA Dr. NA IT übertragen worden. Dadurch sei ein Großteil der zuvor RA RG zugewiesenen Aufgaben auf die DPO übergegangen. Die Datenschutzreferentin habe somit lediglich eine unterstützende Rolle gegenüber der DPO übernommen, da zwischen den beiden Funktionen keineswegs eine Gleichstellung festgestellt werden kann. Der Gleichrangigkeit der Funktionen müsste außerdem eine gleiche Verantwortung entsprechen, die jedoch von der Staatsanwaltschaft ausdrücklich ausgeschlossen worden sei. Jedenfalls habe die Datenschutzsteuerungsgruppe alle in ihren Zuständigkeitsbereich fallenden Aufgaben erfüllt, wie die zahlreichen Mitteilungen belegen, mit denen RA IT und RA RG eine Anpassung der EPA wiederholt eingefordert hätten. Dies, obwohl das DatenschutzTeam dauerhaft unterbesetzt gewesen sei.

5. Der Beklagte IA UR hat sich mit dem am 19. Januar 2026 hinterlegten Schriftsatz in das Verfahren eingelassen und vorab die Zulassung zum abgekürzten Verfahren beantragt und das hierzu übereinstimmende Gutachten der Regionalen Staatsanwaltschaft beigelegt. Hilfsweise hat er die Abweisung der Klage begehrt, da weder das ihm zur Last gelegte rechtswidrige Verhalten noch das subjektive Tatbestandsmerkmal vorlägen. Weiters untergeordnet hat er die Herabsetzung der geltend gemachten Forderung auf ein Mindestmaß beantragt.

6. Mit dem am 21. Januar 2026 hinterlegten Schriftsatz hat sich der Beklagte RE IU in das Verfahren eingelassen und die Abweisung der Klage beantragt, hilfsweise die Herabsetzung des gegen ihn geltend gemachten Schadensersatzbetrags.

Konkret hat ER IU hervorgehoben, dass weder eine ihn betreffende Untätigkeit noch eine Verantwortung für die Unwirksamkeit der vom Amt für Krankenhausinformationssysteme umgesetzten technischen Lösungen bestehe. Dieses Amt, das in direkter Verbindung mit der Generaldirektion stehe, sei die einzige Stelle gewesen, die an der EPA arbeiten konnte. Die Rolle des Abteilungsdirektors habe sich hingegen auf die bloße Überwachung, Koordinierung und Planung der Tätigkeit der untergeordneten Büros beschränkt, ohne die Zuweisung eigener technischoperativer Befugnisse im Zusammenhang mit den Krankenhausanwendungssystemen und insbesondere mit der EPA. Die Generaldirektion habe zudem die Leitung des Informationssystems sowie die grundlegenden Entscheidungen durch die Datensteuerungsgruppe und die DPO an sich gezogen und sich dabei der technischen Unterstützung des Direktors des Amtes für Krankenhausinformationssysteme, HO NG, bedient.

Nach Auffassung des Beklagten IU lägen die Voraussetzungen für grobe Fahrlässigkeit ohnehin nicht vor, da keine offensichtliche und unentschuldbare Verletzung seiner Dienstpflichten gegeben sei.

Hinsichtlich des ihm zugerechneten Haftungsanteils sei dieser zudem herabzusetzen, da es an einem spezifischen ursächlichen Beitrag seinerseits fehle.

7. Mit Dekret Nr. 1/2026, erlassen im Anschluss an die nichtöffentlichen Sitzungen vom 10. und 12. Februar 2026, wurde dem, unter Zustimmung der Staatsanwaltschaft, gestellten Antrag des Beklagten IA UR auf Abschluss mit abgekürztem Verfahren stattgegeben. Zugleich wurde für den 5. März 2026 die nichtöffentliche Sitzung gemäß Art. 130, Abs. 7, zweiter Satz, Prozessordnung des Rechnungshofs anberaumt. Das Verfahren wurde daher gegenüber den übrigen Beklagten mit ordentlichem Verfahren fortgeführt.

8. In der öffentlichen Verhandlung vom 10. Februar 2026 erschienen, wie im Protokoll festgehalten, die Staatsanwältinnen LE Di OR und AR SU sowie die Rechtsanwälte Francesco Coran, Matilde Palmieri, Francesco Silipo und Karl Pfeifer für die Beklagten, die die in ihren Schriftsätzen gestellten Anträge bestätigten.

Nach Abschluss der mündlichen Erörterung wurde die Sache zur Entscheidung einbehalten.

RECHTSAUSFÜHRUNGEN

1. Gegenstand des heutigen Verfahrens ist der Ersatz des Vermögensschadens, den der Südtiroler Sanitätsbetrieb infolge der vom Datenschutzgaranten wegen mehrfacher Verstöße gegen die datenschutzrechtlichen Bestimmungen verhängten Sanktion erlitten hat.

Mit Maßnahme Nr. 97 vom 22. Februar 2024 wurde dem genannten Sanitätsbetrieb die Zahlung einer Verwaltungsstrafe in Höhe von 75.000,00 Euro auferlegt, und zwar wegen der rechtswidrigen Datenverarbeitung, die in verschiedenen später zusammengelegten Ermittlungsverfahren festgestellt wurde, welche aufgrund zweier Beschwerden und einer Meldung von Verstößen eingeleitet worden waren (s. Dok. 30 Akte des Klägers).

In der Maßnahme wird insbesondere festgehalten, dass wiederholte Zugriffe auf die elektronische Patientenakte durch Gesundheitspersonal gemeldet worden waren, das zwar zur Datenverarbeitung befugt war, jedoch nicht in den Behandlungsprozess der jeweiligen Patienten eingebunden gewesen sei. Die rechtswidrigen Zugriffe sollen sich im Zeitraum zwischen dem 30. Juli 2020 und dem 25. Mai 2022 ereignet haben und seien durch die „Konfiguration der Patientenakte zum Zeitpunkt der den Gegenstand der Ermittlungen bildenden Handlungen (…)“ ermöglicht worden (vgl. S. 10 der Maßnahme Nr. 97/2024). In diesem Zusammenhang hat der Garant darauf hingewiesen, dass er bereits mit Maßnahme vom 3. Juli 2014 eingeschritten sei, und weiter festgehalten „Der Betrieb hat bei der Umsetzung der Maßnahme des Garanten aus dem Jahr 2014 technische und organisatorische Maßnahmen festgelegt, die sich als ungeeignet erwiesen haben (…); 6. Die zum Zeitpunkt der durch die Ermittlungen geprüften Handlungen bestehende Konfiguration der Patientenakte sah kein System zur Erkennung etwaiger Anomalien vor, die auf eine rechtswidrige Verarbeitung hinweisen könnten, das heißt den Einsatz von Indikatoren für Auffälligkeiten (sog. Alerts), die darauf ausgerichtet sind, ungewöhnliche oder risikobehaftete Verhaltensweisen in Bezug auf die von den zur Verarbeitung befugten Personen vorgenommenen Handlungen zu identifizieren (z. B. Anzahl der Zugriffe, Art oder zeitlicher Rahmen derselben), geeignet zur TEung von nachfolgenden Maßnahmen zur Prüfung von Verstößen gegen die Grundsätze der Integrität und Vertraulichkeit personenbezogener Daten (Art. 5 Abs. 1, Buchst. f) und Art. 32 der Verordnung) (…)“ (s. S. 10 Maßnahme Nr. 97/2024).

2. Dies vorausgeschickt ist festzustellen, dass, im Lichte der in der genannten Maßnahme festgehaltenen Ergebnisse sowie der umfangreichen in der Akte aufliegenden Dokumentation, die den Sanktionen zugrunde liegenden Verstöße als erwiesen anzusehen sind.

In der Tat verdient Zustimmung die Auffassung der Rechtsprechung des Rechnungshofs, laut welcher „die vom Datenschutzgaranten erlassenen Maßnahmen, auch wenn sie nicht einem rechtskräftigen Urteil gleichgestellt werden können, einen Vermutungswert hinsichtlich des objektiven Vorliegens des Verstoßes haben, angesichts der besonderen fachlichen Zuständigkeit des erlassenden Subjekts im einschlägigen Bereich.“ (Rechtsprechungssektion Bozen, Urteil Nr. 1/2024; siehe auch Rechtsprechungssektion Kalabrien, Urteile Nr. 429/2019 und Nr. 87/2018).

Die beanstandeten Unzulänglichkeiten finden im Übrigen Bestätigung, unter anderem, in den am 21.04.2022 und am 16.02.2023 vom Generaldirektor des Sanitätsbetriebs an die Behörde übermittelten Stellungnahmen (vgl. Dok. 43 und 44 Akte des Klägers), sowie in den zahlreichen Mitteilungen, mit denen der Verwaltungsdirektor, die betriebliche Datenschutzreferentin und die Data Protection Officer (DPO) auf eine Anpassung des betrieblichen Informatiksystems gedrängt haben (vgl. EMail vom 07.07.2014, Dok. 51, Akte des Klägers; EMails vom 16.10.2019, 24.01.2018, 17.08.2021 und 23.11.2021, Dok. 14, 15, 16 und 17 der Akte der Beklagten RG). Einen ausführlichen Nachweis der dieser Sanktion zugrunde liegenden Problembereiche liefern zudem der „Beratungsbericht vom 14. und 15. Januar 2016“, erstellt von der DPO, sowie die „RIS/PACSBeratung vom 4./5. Februar 2016“ (vgl. Dok. 49 und 50 Akte des Klägers).

3. Es ist daher zu prüfen, ob die nicht erfolgte Umsetzung von Maßnahmen zur Gewährleistung einer ordnungsgemäßen Verarbeitung der in der EPA enthaltenen Daten auf eine Unterlassung der heutigen Beklagten zurückzuführen ist.

3.1. Nach Auffassung der antragstellenden Staatsanwaltschaft komme im vorliegenden Fall zunächst die Verantwortung der Beklagten RI RG in Betracht. Diese sei mit Beschluss Nr. 134 vom 10. September 2015 zur betrieblichen Datenschutzreferentin bestellt worden; mit Beschluss Nr. 37 vom 30. Januar 2018 sei sie in dieser Funktion bestätigt und zugleich zur Referentin der Organisationsposition Stabstelle Datenschutz ernannt worden (vgl. Dok. 35 und 36 Akte des Klägers).

Hierzu ist festzuhalten wie der Generaldirektor des Südtiroler Sanitätsbetriebs mit Beschluss Nr. 270 vom 10. Dezember 2013 bei der Verwaltungsdirektion die Organisationsposition Stabstelle Datenschutz eingerichtet und diese mit den „Aufgaben des Datenschutzes und der damit verbundenen Verantwortlichkeit im Bereich“ beauftragt hat (vgl. Dok. 34 Akte des Klägers). Gemäß Anlage „A“ des genannten Beschlusses führt die Stabstelle Datenschutz Folgendes aus: „5.1.1 sammelt, analysiert Daten und Informationen und schlägt die zur kontinuierlichen Verbesserung notwendigen Schritte bei der Handhabung des Datenschutzes vor; 5.1.2 unterbreitet ein jährliches Arbeitsprogramm; 5.1.3 liefert Beratung, koordiniert Arbeitsgruppen und verschiedene Projekte im eigenen Zuständigkeitsbereich; 5.1.4 ist Bezugspunkt für das interne Personal des Sanitätsbetriebes und für die Nutzer, betreffend die Probleme die mit der täglichen Bewältigung der Aufgaben im Bereich des Datenschutzes verbunden sind (Klarstellungen, unklare Fälle, Beschwerden, Recht auf Zugang zu den personenbezogen Daten laut Art. 7 und darauffolgende Artikel, des gesetzesvertretenden Dekretes Nr. 196/2003, usw.); 5.1.5 erstellt Rundschreiben, Leitlinien, Handbücher und Regelungen die zum Schutz und zur Sicherheit der zu verarbeitenden personenbezogenen Daten gedacht sind; 5.1.6 liefert Gutachten und Hinweise betreffend die Akte und Prozeduren bezüglich der Rechtsbestimmung und der internen Regelung, bei der Handhabung der personenbezogenen Daten; (…) 5.1.8 erarbeitet Dokumente betreffend die Handhabung des Datenschutzes (Information, Formulare zur Einholung der Einwilligung, Informationsbroschüren für die Nutzer, Handbuch für die Mitarbeiter, usw.); (…) 5.1.10 informiert und beratet den Rechtsinhaber der Verarbeitung der Daten in Bezug auf die gesetzlichen Verpflichtungen; 5.1.11 überwacht die Durchführung und Anwendung der Ausrichtung des Rechtsinhabers der Datenverarbeitung im Bereich des Datenschutzes und der Übertragung der Verantwortlichkeiten, die Ausbildung des Personals, das an der Verarbeitung und an den damit verbundenen Audits teilnimmt; (…) 5.1.13 ist die zuständige Person für die Verwaltung der internen Kontrollen über die konkrete Anwendung der Bestimmungen des Datenschutzes und der Regelungen des Betriebes; (…)“.

Mit Beschluss Nr. 134 vom 10. September 2015 (vgl. Dok. 35 Akte des Klägers) hat der Generaldirektor des Sanitätsbetriebs die Beklagte RI RG zur betrieblichen Datenschutzreferentin bestellt. Mit weiterem Beschluss Nr. 334 vom 23. September 2016 (vgl. Dok. 39 Akte des Klägers) wurde ihr gemeinsam mit dem Direktor der Informatikabteilung die Wahrnehmung sämtlicher Aufgaben übertragen, die mit der Umsetzung des „operativen Privacy-Plans“ verbunden waren.

Mit Beschluss Nr. 37 vom 30. Januar 2018 (vgl. Dok. 36 Akte des Klägers) wurde der Beklagten RI RG dann die Verantwortung für die Organisationsposition Stabstelle Datenschutz übertragen.

Mit Beschluss Nr. 229 vom 8. Mai 2018, mit folgendem Inhalt „Genehmigung der Änderung der Regelung zur Verwaltung der Elektronischen Patientenakte des Südtiroler Sanitätsbetriebes“, wurde dann beschlossen „den/die Datenschutzreferent/in des Sanitätsbetriebes sowie den Data Protection Officer für die Ausführung aller sich durch die Verabschiedung des gegenständlichen Beschlusses ergebenden Verpflichtungen zu delegieren, wobei sie für die Umsetzung auf das Personal der zuständigen Fachbereiche zurückgreifen können, insbesondere im technologischen Bereich“ (vgl. Dok. 38 Akte des Klägers).

Die soeben genannten organisatorischen Maßnahmen zeigen deutlich, dass der Beklagten RI RG ein Bündel von Dienstpflichten im Bereich des Schutzes personenbezogener Daten übertragen worden war, sowohl im Allgemeinen als auch speziell hinsichtlich der Konfiguration der EPA. Es geht insbesondere hervor, dass die RA RG zugewiesene Unterstützungsaufgabe nicht nur eine Vorschlags- und Beratungsfunktion, sondern auch spezifische Aufgaben im Zusammenhang mit der Umsetzung von Maßnahmen zum Schutz personenbezogener Daten umfasste.

Die Einordnung der Zuständigkeiten im Bereich des Datenschutzes erfordert jedoch, eine weitere zentrale Funktion zu berücksichtigen, die beim Südtiroler Sanitätsbetrieb eingerichtet wurde. Mit Beschluss vom 20. Juni 2017 wurde nämlich RA Dr. NA IT der „Dienst für Data Protection Officer und des Beratungsdienstes bezüglich der Sicherung von Personaldaten und Transparenz“ übertragen (vgl. Dok. 2 Akte der Beklagten RG). Diesbezüglich wird in der „Regelung zur Verwaltung der Elektronischen Patientenakte des Südtiroler Sanitätsbetriebe“, genehmigt mit dem genannten Beschluss Nr. 229 vom 8. Mai 2018, unter Punkt 10 präzisiert, dass „innerhalb des Sanitätsbetriebs die sogenannte Datenschutz-TEungsgruppe eingerichtet worden ist, welche aus der Datenschutzreferentin/dem Datenschutzreferenten und dem Data Protection Officer besteht“. Die beiden Funktionen, Stabstelle Datenschutz und Data Protection Officer, sind im Organigramm des Sanitätsbetriebs auf einer gleichgeordneten Ebene ausgewiesen und unterstehen ausschließlich dem Generaldirektor (vgl. Dok. 61 Akte des Klägers). In gleicher Weise wird auch in dem Dokument über die Datenschutztätigkeiten „Attività Privacy“, das von der Beklagten RG ausgearbeitet und von derselben der Generaldirektion sowie der Verwaltungsdirektion als Anhang zur EMail vom 22. September 2023 übermittelt wurde, dargelegt, dass die Stabstelle Datenschutz „mit der DPO zusammenarbeitet“ und „ihre Tätigkeit mit dem hierfür bestellten Data Protection Officer koordiniert“ (vgl. Dok. 20 Akte der Beklagten RG). Daraus folgt eine Garantenposition, die sich die Stabstelle Datenschutz und die Data Protection Officer teilen, die beide mit denselben vorschlagenden und umsetzenden Aufgaben betraut sind.

Dies vorausgeschickt ergibt sich aus den Akten, dass die Beklagte RG, im Rahmen ihrer Zuständigkeiten, tätig geworden ist, um die Konfiguration der EPA an die geltenden Vorschriften anzupassen und die den Sanktionen zugrunde liegenden unzulässigen Zugriffe zu verhindern.

In diesem Zusammenhang ist hervorzuheben, dass in den vom Garanten im Beschluss Nr. 97/2024 behandelten Fällen die unzulässigen Einsichtnahmen durch Mitarbeiter erfolgt sind, die zwar theoretisch zur Einsicht berechtigt waren, da sie dem Gesundheitsbereich angehörten, jedoch tatsächlich nicht am Behandlungsvorgang der jeweiligen Patienten beteiligt waren, auf die sich die EPA bezog. Aus dem genannten Beschluss ergibt sich weiter, dass dies durch eine technische Einstellung ermöglicht wurde, die weder eine angemessene Profilierung noch Prüfmechanismen zur Verifizierung der von den Mitarbeitenden abgegebenen Erklärungen vorsah. Die Einsichtnahme war nämlich auch dann möglich, wenn kein klinischadministratives Ereignis im Informatiksystem erfasst war (stationäre Aufnahme, Notaufnahmezugang, fachärztliche Leistung). durch eine einfache Eigenerklärung mittels Auswahl einer Option in einer vordefinierten Liste von Fällen („Lebensgefahr/Notfall; Prävention/Diagnose/Behandlung/Rehabilitation bei einem zu betreuenden Patienten, der jedoch nicht in den vorgesehenen Informatikpfaden registriert ist“). Die Prüfung etwaiger weiterer Abweichungen im Zusammenhang mit der betriebsinternen Regelung zur EPA und dem entsprechenden Informatiksystem ist daher nicht Gegenstand des vorliegenden Verfahrens. Hierzu zählt etwa die im Par.  5 der Regelung zur Verwaltung der EPA von 2018 enthaltene Bestimmung, die weitere Zugriffsmöglichkeiten vorsieht, zusätzlich zu jenen, die durch eine akTUELle therapeutische Behandlung gerechtfertigt sind (vgl. Beschluss Nr. 229 vom 8. Mai 2018, Dok. 38 Akte des Klägers). Diese Letztgenannten bilden, auch wenn sie von der Behörde beanstandet wurden, nicht die Ursache der Rechtsverletzungen, die der verhängten Sanktion zugrunde liegen.

Die Schadensursache auf diese Weise bestimmt, stellt man fest, dass RA RG mit EMail vom 18. Januar 2016 dem Direktor der Informatikabteilung, IA UR, sowie dem Direktor des Amtes für Krankenhausinformationssysteme, HO NG, den „Bericht zur Beratung vom 14. Und 15. Januar 2016 – Überprüfung des Stands der Anpassung der Vorgaben zur EPA“ übermittelt hat (vgl. Dok. 49 Akte des Klägers). In diesem Bericht, der von RA Dr. NA IT erstellt wurde, wurden unter anderem die folgenden Problematiken der EPA festgestellt: i) „das Fehlen von Verfahren zur Verwaltung und Kontrolle der Genehmigungen zur Datenverarbeitung sowie zur Nachverfolgung der Zugriffe auf die elektronische Patientenakte”; ii) „Der etwaige Zugriff auf die Patientenakte zu anderen Zwecken als der Patientenbehandlung, etwa durch ärztliche Direktionen oder Arbeitsmediziner“; iii) „Es war bislang nicht möglich, die Gründe zu ermitteln, die den verschiedenen Fällen von ‚erzwungenem Zugriff‘ zugrunde liegen; auch in diesem Fall scheinen diese je nach Gesundheitsbezirk unterschiedlich zu sein, ebenso wie die Fallgruppen der Nutzung“; es wurden daher die Maßnahmen bestimmt, die erforderlich waren, um die Informationssysteme an die Leitlinien des Datenschutzgaranten von 2009 und 2015 anzupassen. Diese umfassten auch die „Einrichtung eines Verfahrens und eines zentralisierten Systems zur Verwaltung und Kontrolle der Genehmigungen zur Datenverarbeitung sowie zur Nachverfolgung der Zugriffe auf die elektronische Patientenakte, einschließlich der automatischen Alerts“.

Die Beklagte RG nahm dann an der „RIS/PACSBeratung vom 4./5. Februar 2016“ teil, die der „Überprüfung der Übereinstimmung mit den Vorgaben des Legislativdekrets Nr. 196/03 und der Erarbeitung von Verbesserungsvorschlägen“ diente (vgl. Dok. 50, Akte des Klägers). Ebenso wirkte sie an der Erstellung des Dokuments „Planung der Maßnahmen zur Anpassung des betrieblichen Systems der elektronischen Patientenakte“ mit, wie aus der von ihr am 24. Januar 2018 an die DPO versandten EMail hervorgeht (vgl. Dok. 15 Akte der Beklagten RG). Das zuletzt genannte Dokument sieht in der Spalte „Vorschläge der Datenschutzsteuerungsgruppe“ vor, dass zu dem Punkt „Erstellung eines Verfahrens zur Genehmigung der Datenverarbeitung und zur Erteilung von Zugriffsberechtigungen zur elektronischen Gesundheitsakte, einschließlich etwaiger Widerrufe“ eine „Rückmeldung seitens der Informatikabteilung, ergänzt durch Hinweise der Datenschutzsteuerungsgruppe“ erforderlich ist. Ebenso wird eine „Rückmeldung seitens der Informatikabteilung“ im Zusammenhang mit der „Bewertung des Vorliegens angemessener Sicherheitsmaßnahmen des Informationssystems der elektronischen Patientenakte“ verlangt.

In diesem Zusammenhang sind zudem die zahlreichen EMailNachrichten zu berücksichtigen, mit denen die DPO die Umsetzung von Maßnahmen zur ordnungsgemäßen Verarbeitung der Daten über die EPA eingefordert hat. Mit den an den Direktor der Informatikabteilung, RE IU, gerichteten Mitteilungen vom 16. Oktober 2019, 17. August 2021 und 23. November 2021 wies die Datenschutzbeauftragte ihn darauf hin, „dass du und deine Mitarbeiter das Problem der EPA übernehmen und nach den erforderlichen Prüfungen die gegebenenfalls angemessenen Sicherheitsmaßnahmen ergreifen müsst“, sowie auf „die Dringlichkeit, die bestehenden organisatorischen und technischen Sicherheitsmaßnahmen zu überprüfen und Zugangsbeschränkungen zur EPA für autorisiertes Personal umzusetzen, die geeignet sind, die Einsichtnahme in die eigene Patientenakte zu verhindern und auszuschließen“. Zudem wies sie ihn auf die Bedeutung seiner Teilnahme an einer zur EPAThematik einberufenen Besprechung hin, angesichts der fortdauernden Nichtübereinstimmung mit den einschlägigen Bestimmungen (vgl. Dok. 14, 16 und 17 Akte der Beklagten RG).

Die wiederholten Aufforderungen, die RA Dr. IT an den Verantwortlichen der Informatikabteilung richtete, führen zum Schluss, dass die Beklagte RG, die über eine der DPO entsprechenden Garantenposition verfügte, nicht verpflichtet war, zusätzliche Schritte zu setzen. Zudem teilte die DPO in der EMail vom 23. November 2021 mit, dass „es Ziel der Datenschutzsteuerungsgruppe ist, für das erste Halbjahr 2022 ein Audit zur Überprüfung der EPA zu planen, um dessen Ergebnisse dem Verantwortlichen vorzulegen“. Daraus ist somit zu schließen, dass RA Dr. IT durch die genannten Mitteilungen nicht nur in ihrer Eigenschaft als DPO, sondern auch im Namen der Datenschutzsteuerungsgruppe und damit der Datenschutzreferentin RG gehandelt hat.

Das Vorstehende findet Bestätigung in der Mitteilung vom 2. Februar 2018 (vgl. Dok. 42 Akte des Klägers), in welcher der Generaldirektor, als Antwort auf ein Auskunftsanfrage der Finanzpolizei, Folgendes darlegt: “Der betriebliche Datenschutzreferent und die DPO, die gemeinsam die Datenschutzsteuerungsgruppe des Sanitätsbetriebs bilden, haben die Ausarbeitung eines Datenschutzprojekts abgestimmt, das ausdrücklich auch die Umsetzung der EPA im Lichte der Vorgaben der Leitlinien von 2015 vorsieht. (…) Es wird klargestellt, dass der betriebliche Datenschutzreferent und die DPO am 20. Oktober 2017 den Mitarbeitern der Informatikabteilung den Inhalt des Entwurfs der Regelung zur EPA erläutert haben. Darin ist unter Artikel „8 – Sicherstellung des Schutzes personenbezogener Daten“ festgehalten: „Der Betrieb hat automatische AlertMechanismen eingeführt, um mögliche nicht ordnungsgemäße oder nicht genehmigte Zugriffe auf die elektronische Patientenakte zu überwachen und zu verhindern. Die Überwachung obliegt der Informatikabteilung, die solche Zugriffe unverzüglich der Datenschutzsteuerungsgruppe meldet, damit diese die weiteren notwendigen Schritte veranlasst.“

Es ist daher davon auszugehen, dass kein Unterlassen seitens der Beklagten RG vorliegt, da sie im Rahmen ihrer Zuständigkeiten alle erforderlichen Maßnahmen ergriffen hat, um die in Rede stehenden Verstöße zu verhindern. Insbesondere hat sie, gemeinsam mit der DPO, die Aufgabe erfüllt, geeignete Maßnahmen zur Gewährleistung einer ordnungsgemäßen Verarbeitung personenbezogener Daten zu identifizieren und vorzuschlagen. Da es an einer Überordnung, das heißt an einer ausdrücklichen Zuweisung von Leitungsbefugnissen gegenüber anderen betrieblichen Organisationseinheiten fehlt, ist es zudem ausgeschlossen, ihr die Untätigkeit oder Unzulänglichkeit des Handelns dieser Stellen anzulasten.

3.2. Was den Beklagten RE IU betrifft, der vom 2. Mai 2019 bis zum 4. August 2025 Direktor der Informatikabteilung war, sieht die antragstellende Staatsanwaltschaft Anhaltspunkte für eine Haftung in der unterlassenen Ausübung seiner Zuständigkeiten hinsichtlich der ordnungsgemäßen Umsetzung und Konfiguration der EPA.

Für die Bestimmung der ihm obliegenden Dienstpflichten ist der Beschluss Nr. 717 vom 20. Dezember 2018 (vgl. Dok. 33 Akte des Klägers) von wesentlicher Bedeutung, welcher den Titel „Änderung des provisorischen Organisationsaktes des Sanitätsbetriebes der Autonomen Provinz Bozen - Südtirol und Genehmigung des Organigramms der Verwaltungs- und technisch berufsbezogenen Leitung“ trägt.

Artikel 6 der Anlage 2 zum genannten Beschluss definiert den Verantwortungsbereich der Abteilungsdirektoren wie folgt: “Die Abteilungsdirektorin/der Abteilungsdirektor ist für die Ausführung der Aufgaben, welche an die Abteilung übertragen wurden, verantwortlich sowie für die Gesamtergebnisse der zugehörigen Ämter. (…) Die Direktorin/der Direktor ist für die Strategieentwicklung und die strategische Planung verantwortlich in Bezug auf die optimale Funktionsweise der Abteilungen sowie der Ämter. Die Abteilungsdirektorin/der Abteilungsdirektor definiert, programmiert und koordiniert die Ziele mit den zuständigen Amtsdirektoren und überprüft deren Umsetzung. Er bewertet die Ergebnisse in Bezug auf die Ziele der Ämter, für die er zuständig ist. Er sorgt für einen angemessenen Informationsfluss innerhalb der Abteilung und mit anderen Organisationseinheiten. Die Abteilungsdirektorin/der Abteilungsdirektor nimmt alle Verwaltungsbefugnisse wahr, die in den Zuständigkeitsbereich der Abteilung fallen. (…) Die Abteilungsdirektorin/der Abteilungsdirektor kann einzelne Verwaltungsaufgaben, die in seine Zuständigkeit fallen, einem für die/den Sachbereich zuständigen Amtsdirektorin/Amtsdirektor übertragen.”

Insbesondere in Bezug auf die Informatikabteilung sieht Anlage 4 zum genannten Beschluss vor, dass diese “die Tätigkeiten zur Verwaltung eines einheitlichen und effizienten IT-Systems auf Betriebsebene koordiniert, dessen Entwicklung plant und koordiniert. Dies geschieht durch:

· Strategische Planung des Informationssystems (IT-Masterplan), Ausarbeitung der Jahres- und Dreijahresplanung;

· Umsetzung des IT-Masterplans;

· Koordinierung der Initiativen zur Vereinheitlichung der IT-Systeme, durch Ausarbeitung von betrieblichen Regelungen und Leitlinien;

· Definition und Entwicklung des betrieblichen Krankenhausinformationssystems und Verwaltung, Entwicklung und Integration mit Fachsystemen der Departements; (…)

· Anwendung nationaler und internationaler Standards für die Mitteilung, den Austausch, die Verwaltung, Integration und Archivierung der klinischen und verwaltungstechnischen Daten; (…)

· Verwaltung von Datenbanken, Entwicklung einer Datenbankplattform, Sicherheitskontrollen, Backup und Disaster Recovery der Datenbanken; (…)

· Planung und Einsatz des Personals des Bereiches Informatik, Aktivierung betrieblicher Arbeitsgruppen, Bestimmung des jährlichen Bedarfs und Verwaltung des Budgets des Bereichs Informatik.

Die Abteilung ist der Ansprechpartner für alle IT-Probleme des Betriebes, für die IT-Ämter der Autonomen Provinz Bozen sowie für die anderen öffentlichen und privaten Subjekte des Sektors.”

Das soeben dargestellte Gesamtbild der dem Direktor der Informatikabteilung übertragenen Aufgaben ist an und für sich bereits ausreichend, um demselben konkrete Verantwortlichkeiten hinsichtlich der sachgerechten Konfiguration der betrieblichen Informationssysteme, und damit auch der EPA, zuzuerkennen.

Zudem ist festzuhalten, dass mit den Beschlüssen Nr.  334 vom 23.  September 2016 und Nr.  229 vom 8.  Mai 2018 dem Direktor der Informatikabteilung ausdrücklich die Ausführung der Aufgaben übertragen wurde, die mit der Anpassung des Informationssystems und der EPA an die einschlägigen gesetzlichen Vorgaben verbunden sind. Durch den ersten Beschluss wurde dem Direktor der Informatikabteilung und der betrieblichen Datenschutzreferentin die Umsetzung des operativen Privacy-Plans übertragen, wobei ihnen die Befugnis eingeräumt wurde, sich an fachkundiges Personal zu wenden (vgl. Dok. 39 Akte des Klägers). Mit dem zweiten Beschluss wurde vorgesehen, dass die betriebliche Datenschutzreferentin und die Data Protection Officer, zur Umsetzung der Regelung für die Verwaltung der elektronischen Patientenakte, „auf das Personal der zuständigen Fachbereiche zurückgreifen können, insbesondere im technologischen Bereich“ (vgl. Dok. 38 Akte des Klägers).

In diesen Kontext sind auch die bereits genannten Aufforderungen vom 16. Oktober 2019, 17. August 2021 und 23. November 2021 einzuordnen, mit denen die DPO den Beklagten IU erneut aufgefordert hat, die erforderlichen Sicherheitsmaßnahmen zu ergreifen, um eine ordnungsgemäße Verarbeitung der in der EPA enthaltenen Daten zu gewährleisten (vgl. Dok. 14, 16 und 17 Akte des Klägers).

Paragraf 8 der genannten Regelung legt außerdem Folgendes fest: „Der Sanitätsbetrieb hat automatische Warnsysteme eingeführt, um unregelmäßige oder nicht autorisierte Zugriffe auf die EPA zu überwachen und um diesen vorzubeugen. Die diesbezügliche Kontrolle ist der Abteilung Informatik anvertraut, die diese Zugriffe unverzüglich der Datenschutz TEungsgruppe für die weiteren erforderlichen Schritte melden muss.“ (vgl. Dok. 38 Akte des Klägers).

Schließlich ist auch die Maßnahme vom 19. Juli 2021 zu berücksichtigen, mit der der Generaldirektor ER IU gemäß Art. 29 der Verordnung (EU) 2016/679 zum Beauftragten für die Verarbeitung personenbezogener Daten bestellt und ihm vorgeschrieben hat, „unter Beachtung der Vorgaben des Südtiroler Sanitätsbetriebs angemessene organisatorische und technische Sicherheitsmaßnahmen zum Schutz personenbezogener Daten zu ergreifen“ (vgl. Dok. 53 Akte des Klägers).

Aufgrund der genannten organisatorischen Maßnahmen ist insgesamt eine Allgemeinheit der Beauftragung des Beklagten IU auszuschließen, sowie dass diese die Befugnis zur Einwirkung auf die Konfiguration der EPA nicht enthielte. Angesichts der dem Abteilungsdirektor zukommenden Leitungs, Impuls, Organisations und Aufsichtsaufgabe ist die fehlende operative Befugnis hinsichtlich der Informatiksysteme, zurückzuführen auf einen vermeintlich hohen Spezialisierungsgrades bzw. auf das Fehlen der Qualifikation als Systemadministrator, unerheblich. Solche Umstände entbinden den Vorgesetzten keinesfalls von der Pflicht, Weisungen zu erteilen und deren Umsetzung zu überwachen, erforderlichenfalls unter Einbeziehung von Mitarbeitern und von Dritten.

Das Vorliegen eines Leitungsverhältnisses, das geeignet ist, schädliche Handlungen wie die hier streitgegenständlichen zu verhindern, setzt auf jeden Fall nicht zwingend das Verfügen über Durchgriffs oder Ersatzbefugnisse voraus, wie sie einem strikt hierarchischen Verhältnis eigen sind.

In diesem Zusammenhang ist ferner unerheblich, dass im Jahresplan zur Ergebnisbewertung kein spezifisches Ziel in Bezug auf die EPA angeführt wurde. Ein solches Dokument ist nämlich nicht zur Eingrenzung der den Führungskräften zugewiesenen Aufgaben vorgesehen.

Dies vorausgeschickt ist festzustellen, dass der Beklagte IU nichts unternommen hat, um eine datenschutzkonforme Konfiguration der EPA zu gewährleisten.

Insbesondere blieb jeder Eingriff auf das Schreiben des Generaldirektors vom 15. Januar 2015 aus, das vom vorigen Direktor der Informatikabteilung, IA UR, ausgearbeitet worden war und die „Umsetzung der Verordnung der Datenschutzbehörde“ zum Gegenstand hatte (vgl. Dok. 52, Akte des Klägers). Das betreffende Schreiben sah ausdrücklich vor, dass für den Zugang zur EPA eine Eigenerklärung über das Bestehen eines Behandlungsverhältnisses abzugeben war. Es handelt sich diesbezüglich gerade um die Konfiguration, die – in Verbindung mit dem Fehlen von Kontrollen – Personen, die nicht im besagten Behandlungsverhältnis eingebunden waren, die rechtswidrige Einsichtnahme in die EPA ermöglicht hat. Da dem Beklagten IU, wie oben dargestellt, die „Ausarbeitung von Regelungen“, die Planung und Weiterentwicklung des Informationssystems sowie die Umsetzung des operativen Privacy-Plans und der Betriebsordnung für die Verwaltung der elektronischen Patientenakte oblagen, wäre es seine Aufgabe gewesen, eine neue Mitteilung zu erstellen und diese der Genehmigung des Generaldirektors vorzulegen.

Ebenso wurde von der Befugnis, Weisungen zu erteilen und die den Informatikbereich betreffenden Stellen zu koordinieren, mit Übertragung der Umsetzung der technischen Maßnahmen zur regelkonformen Ausgestaltung der EPA, nicht Gebrauch gemacht.

Im konkreten Fall blieb die von der DPO mit EMail vom 16. Oktober 2019 formulierte Aufforderung, die mit der EPA verbundenen Problematiken zu übernehmen, unbeantwortet (vgl. Dok. 14 Akte der Beklagten RG: „Der Inhalt und die Vorgaben dieser Betriebsordnung, die ich dir beilege, wurden daher mit deiner Struktur abgestimmt. Dennoch haben wir – trotz meiner Anfrage in den vergangenen Monaten, die ich dir nachstehend anführe – leider bislang weder Gelegenheit gehabt, die Ergebnisse der gemäß den geltenden Vorschriften erforderlichen Überprüfungs und Kontrolltätigkeiten zu erfahren noch uns hierzu fachlich auszutauschen. Die Zusammenarbeit, zu der ich dich auffordere, ist meiner Ansicht nach sehr wichtig, um sowohl die im Reglement vorgesehenen Maßnahmen als auch die diesen zugrunde liegenden und vorbereitenden organisatorischen und technischen Maßnahmen gezielt umzusetzen, damit die Funktionsfähigkeit des Systems der elektronischen Patientenakte im Rahmen des betrieblichen AccountabilitySystems gemäß der DSGVO gewährleistet werden kann.“).

Mit Bezugnahme auf die von der DPO am 17. August 2021 übermittelten EMail hat ER IU den Direktor des Amtes für Krankenhausinformationssysteme, HO NG, damit beauftragt, „eine Antwort zu den Eingriffen zu verfassen, die am EPASystem vorzunehmen sind, einschließlich der Angabe der jeweiligen Umsetzungszeiten“ (vgl. Dok. 63 Akte des Klägers). Mit EMail vom 20. August 2021 erläuterte ER NG sodann die erforderlichen technischen Änderungen und ersuchte ER IU um eine Rückmeldung bzgl. der Notwendigkeit in der dargestellten Weise vorzugehen (vgl. Dok. 3 Akten des Beklagten NG: “Nachdem diese Anpassung doch Auswirkungen auf viele Benutzer hat, ersuche ich höflichst um eine kurze Rückmeldung, ob die Arbeiten in oben genanntem Sinne in Angriff genommen werden können.”). Auf diese Anfrage hat der Beklagte IU in keiner Weise reagiert und damit seine Leitungs, Koordinierungs und Überwachungsbefugnisse nicht wahrgenommen.

In Folge des von der DPO vorgebrachten Ansuchens um ein Treffen vom 23. November 2021 schlug ER IU einige Ersatztermine vor und ersuchte ER NG, „die beigefügte Mitteilung der DPO betreffend das Thema der nicht angemessenen Zugriffe auf die EPA, das in der nachfolgenden EMail erneut aufgenommen wird, zu prüfen“ (vgl. Dok. 17 Akte der Beklagten RG). Auch in diesem Fall beschränkte sich der Abteilungsdirektor darauf, die Prüfung der eingegangenen Meldung an ER NG weiterzuleiten, ohne jegliche Weisung zu erteilen und ohne Prüfung der konkreten Lösung der aufgetretenen Problematiken.

Ein Anstoß zur Anpassung der EPA lässt sich auch den von ER IU am 22. März 2022 und 25. März 2022 versandten Mitteilungen nicht entnehmen, da diese lediglich die Ausarbeitung einer Antwort an den Datenschutzgaranten im Zusammenhang mit der eingereichten Beschwerde zum Gegenstand hatten (vgl. Dok. 2 Akte des Beklagten IU).

Ebenso hat der Beklagte IU hinsichtlich der von der Datenschutzreferentin am 30. März 2022 und 18. Mai 2022 versandten Mitteilungen lediglich deren Weiterleitung an ER NG vorgenommen (vgl. Dok. 64 und 65 Akte des Klägers; Dok. 3 und 5 Akte des Beklagten IU).

Erst mit den Mitteilungen vom 18. Mai 2022 (13:38 Uhr) und vom 20. Mai 2022 zeigte der Beklagte gegenüber der Datenschutzreferentin eine konkrete Bereitschaft, geeignete technische Lösungen zu erarbeiten, darunter die Einführung eines Warnsystems (vgl. Dok. 4 und 6 Akte des Beklagten IU). Dabei handelt es sich jedoch um ein verspätetes Eingreifen, das nicht geeignet war, die den gegenständlichen Sanktionen zugrunde liegenden unbefugten Zugriffe zu verhindern, die sich zwischen dem 30. Juli 2020 und dem 25. Mai 2022 ereignet hatten. Entsprechendes gilt auch für die Erstellung des Entwurfs „Elektronische Patientenakte SABES 2023“ sowie für die Mitteilung vom 11. Februar 2025 mit dem Titel „Umsetzung organisatorischer und technischer Maßnahmen infolge der Maßnahme Nr. 97 vom 22. Februar 2024 der Datenschutzbehörde“ (vgl. Dok. 7 und 8 Akte des Beklagten IU).

Die aus diesen zuletzt genannten Dokumenten ersichtliche Tätigkeit zeigt vielmehr, dass ER IU tatsächlich über die Befugnis verfügte, auf die Konfiguration der EPA einzuwirken und somit den eingetretenen Schaden zu verhindern.

Was das Verhältnis zu den externen Anbietern betrifft, wird in der vom Generaldirektor am 2. Februar 2018 an die Finanzpolizei übermittelten Mitteilung Folgendes ausgeführt: “Am 27. Oktober 2017 beauftragte die Data Protection Officer den Direktor der Informatikabteilung damit, jene Maßnahmen zu ermitteln, die erforderlich waren, um „die tatsächliche Umsetzung der im Entwurf der Betriebsordnung vorgesehenen Vorgaben sicherzustellen, was zuvor eine Überarbeitung und Anpassung der geltenden technischen, organisatorischen und dokumentarischen Regelungen erfordert“. Zu diesen Maßnahmen zählen auch jene, die zur Einführung eines automatischen Warnsystems notwendig sind, und es wurde die Angabe der vorgesehenen Bearbeitungsfristen für die einzelnen Maßnahmen verlangt. In diesem Zusammenhang — und unter Berücksichtigung sowohl der Bestimmungen der Leitlinien zur EPA als auch der EUVerordnung Nr. 2016/679 — beauftragte der Sanitätsbetrieb seinen technischen Partner SAIM (vgl. Beschluss Nr. 507/2016 im Anhang) mit der Entwicklung eines Systems, das „automatische präventive Warnsignale für nicht einschlägige Zugriffe auf Daten (z. B. eine anomale Anzahl von Zugriffen) generieren kann“ (siehe Anhang). (…) Die geplanten Umsetzungszeiten für ein erstes automatisiertes Warnsystem, das zunächst die EPA betreffen wird, ist mit drei Monaten veranschlagt (Fälligkeit Ende April).“ (vgl. Dok. 42 Akte des Klägers).

Obwohl die oben genannten organisatorischen Maßnahmen dem Direktor der Informatikabteilung im Rahmen seiner Zuständigkeiten auch die Funktion eines Ansprechpartners gegenüber privaten Subjekten zuweisen, unterblieben in dieser Phase jegliche Kontrollen oder Eingriffe — selbst in Form einer bloßen Meldung an andere Stellen — hinsichtlich der Erfüllung der dem genannten technischen Partner übertragenen Aufgaben.

Ebenso wenig findet die Behauptung des Beklagten Bestätigung, wonach die dem ER NG am 11. März 2022 vom Generaldirektor erteilte Delegation zur Datenverarbeitung eine „direkte und ohne Zwischeninstanzen verlaufende Verbindung zwischen dem Direktor des Amtes für Krankenhausinformationssysteme und dem Generaldirektor geschaffen habe, wodurch der Abteilungsdirektor, Ing. IU, umgangen werde“ (vgl. S. 9 der Klageerwiderung des Beklagten IU). Dieses Dokument (vgl. Dok. 59 Akte des Klägers) hatte – ebenso wie die Ernennung zum Systemadministrator vom 30. November 2016 (vgl. Dok. 11 Akte des Beklagten IU) – ausschließlich den Zweck, ER NG zur Verarbeitung personenbezogener Daten und zur Tätigkeit am Informatiksystem zu befähigen, wobei es in keiner Weise Auswirkungen auf die oben dargestellte organisatorische Struktur hatte. Durch diese Maßnahme wurde somit ER NG nicht die unmittelbare Umsetzung organisatorischer oder technischer Maßnahmen im Zusammenhang mit dem Informatiksystem allgemein oder der EPA im Besonderen übertragen. Vielmehr wurde damit lediglich die Voraussetzung geschaffen, dass ER NG die von den hierfür zuständigen Subjekten festgelegten Lösungen ausführen konnte.

Ein unmittelbares Verhältnis lässt sich auch nicht aus der EMail ableiten, die ER NG am 18. September 2022 an den Generaldirektor gesendet hat (vgl. Anhang zu Dok. 29 Akte des Klägers). Diese Mitteilung, die zeitlich nach den rechtswidrigen Zugriffen liegt, welche der Sanktionsmaßnahme Nr. 97/2024 zugrunde liegen, enthält lediglich eine Stellungnahme NGs zu den mutmaßlichen Unregelmäßigkeiten der EPA. Aus der EMail ergibt sich hingegen in keiner Weise, dass der Generaldirektor ER NG – ohne zwischengeschaltete Stellen – mit der ordnungsgemäßen Implementierung der EPA betraut hätte.

Ebenso ist auszuschließen, dass der Generaldirektor durch die Einrichtung des Stabstelle Datenschutz und der Datenschutzsteuerungsgruppe — bestehend aus der betrieblichen Datenschutzreferentin und der DPO — die hier in Rede stehenden Aufgaben an sich gezogen hätte.

Im Gegenteil: Durch die Einrichtung dieser Struktur hat der Generaldirektor eine interne Organisation geschaffen, die auf den Schutz personenbezogener Daten ausgerichtet ist, und die Ermittlung sowie Umsetzung der erforderlichen Maßnahmen ausdrücklich dafür vorgesehenem Fachpersonal übertragen. Zu diesen zählt, aufgrund der oben genannten organisatorischen Bestimmungen, zweifellos auch der Direktor der Informatikabteilung.

3.3. Dies geklärt, ist nun die Stellung des Generaldirektors zu betrachten, da er (gesetzlicher Vertreter der Körperschaft und damit) der Rechtsinhaber der Verarbeitung der Daten ist.

Zwar setzt die Leitungsfunktion einer Verwaltung, auch einer hochkomplexen, ein aktives und bewusstes Engagement in sämtlichen Bereichen voraus, doch ergeben sich im vorliegenden Verfahren keine Anhaltspunkte für eine Vorhaltung gegen die in Rede stehende Person, da hier tatsächlich die Schaffung einer organisatorischen Struktur feststellbar ist, die grundsätzlich geeignet ist, schädliche Ereignisse wie die hier zu beurteilenden zu verhindern.

Dies führt im Anlassfall, angesichts der Größe der Körperschaft, der Vielzahl der übertragenen Aufgaben sowie der technischen Komplexität der Materie, dazu, den Generaldirektor von jeglichen relevanten Verantwortlichkeitsprofilen freizustellen, da nämlich angenommen werden kann, dass er zu Recht auf die Funktionsfähigkeit der Struktur vertraute, die eigens dazu geschaffen worden war, um die Einhaltung der einschlägigen Vorgaben zu gewährleisten (vgl. Rechtsprechungssektion Bozen, Urteil Nr. 1/2024; siehe auch Rechtsprechungssektion Trient, Urteil Nr. 7/2024).

Es lassen sich nämlich keinerlei objektive Anhaltspunkte dafür feststellen, dass der Generaldirektor, nach der Verabschiedung des „operativen Privacy-Plans“ (vgl. Beschluss Nr. 334 vom 23. September 2016, Dok. 39 Akte des Klägers) und der Regelung zur Verwaltung der Elektronischen Patientenakte von 2018 (vgl. Beschluss Nr. 229 vom 8. Mai 2018, Dok. 38 Akte des Klägers), und noch vor den hier in Rede stehenden unbefugten Zugriffen, hätte Kenntnis von den Versäumnissen der Informatikabteilung erlangen können und somit seiner Aufsichtspflicht nicht nachgekommen wäre.

Diesbezüglich ist hervorzuheben, dass der Generaldirektor in der am 2. Februar 2018 an die Finanzpolizei übermittelten Mitteilung (vgl. Dok. 42 Akte des Klägers) über die von ihm ergriffenen Maßnahmen Bericht erstattet, darunter der oben erwähnte „Auftrag“ an den Direktor der Informatikabteilung sowie die Delegation an die betriebliche Datenschutzreferentin und an die Data Protection Officer. Dies lässt das Vertrauen in die eigens eingerichtete Struktur erkennen, Vertrauen, das, angesichts der fachlichen Qualifikation der Personen, aus denen sie besteht, als plausibel zu bewerten ist. Die von der Datenschutzsteuerungsgruppe an die Informatikabteilung gerichteten Aufforderungen scheinen nicht an die Betriebsführung weitergeleitet worden zu sein und sind somit nicht zur Kenntnis des Generaldirektors gebracht. Ebenso wenig ergibt sich, dass der Direktor der Informatikabteilung dem Generaldirektor etwaige Schwierigkeiten im Zusammenhang mit der Anpassung der EPA gemeldet habe. Im genannten Zeitraum standen dem Generaldirektor daher keinerlei Informationen zur Verfügung, die ein Einschreiten seinerseits als übergeordnete Instanz gerechtfertigt hätten.

3.4. Nach Auffassung des Senats ist abschließend festzuhalten, dass die rechtswidrigen Zugriffe nicht auf eine Unwirksamkeit der bereits eingeführten Maßnahmen zurückzuführen sind, sondern vielmehr grundsätzlich auf die unterlassene Umsetzung von Korrekturmaßnahmen nach den von der Datenschutzsteuerungsgruppe übermittelten Meldungen. Diese Pflicht oblag eindeutig dem Direktor der Informatikabteilung, der, auch wenn er nicht persönlich zu konkreten Eingriffen berufen war, zumindest gehalten war, die Durchführung der Änderungen anzuordnen und damit den notwendigen Impuls für eine ordnungsgemäße Konfiguration des Systems zu geben.

3.5. Hinsichtlich des Beklagten HO NG, der zum maßgeblichen Zeitpunkt Direktor des Amtes für Krankenhausinformationssysteme war, sieht die Regionale Staatsanwaltschaft eine Verantwortung im Hinblick auf die von ihm wahrgenommene Rolle bei der technischen Konfiguration des EPASystems.

In diesem Zusammenhang wird festgestellt, dass der genannte Leitungsauftrag zunächst mit Beschluss Nr. 70 vom 5. Mai 2015 übertragen und anschließend durch die Beschlüsse Nr. 243 vom 28. April 2020 sowie Nr. 893 vom 23. August 2022 bestätigt wurde (vgl. Dok. 56, 57 und 58 Akte des Klägers).

Der Beschluss Nr. 217 vom 30. September 2013 (“Genehmigung des Organigramms der Verwaltungsleitung des Sanitätsbetriebes der Autonomen Provinz Bozen und Widerruf der Beschlüsse des Generaldirektors Nr. 168 vom 28.07.2009 und Nr. 303 vom 30.12.2011“ – Dok. 18 Akte des Beklagten NG) umschreibt wie folgt den Aufgabenbereich des Amts für Krankenhausinformationssysteme:

“- Definition und Weiterentwicklung der Systemarchitektur des Krankenhausinformationssystems Südtirol (KISS);

- Definition Systemabgrenzungen, Funktionsumfang und Einsatzort von Departmentsystemen und weiteren Subsystemen und Integration ins Krankenhausinformationssystem (KISS);

- Weiterentwicklung der Anwendungen im Rahmen der betrieblichen Ermächtigungen;

- Support für amtsspezifische Kompetenzen und Eskalation an Lieferanten und andere Ämter.”

Dabei handelt es sich um Aufgaben rein technischer Natur, die die Umsetzung des Krankenhausinformationssystems sowie die Unterstützung anderer Stellen betreffen. Aussagekräftig ist insbesondere die Klarstellung, wonach die „Weiterentwicklung der Anwendungen“ „im Rahmen der betrieblichen Ermächtigungen“ zu erfolgen hat. Dies bedeutet nämlich, dass das Amt bei der Weiterentwicklung der Informationssysteme an die internen Vorgaben gebunden war, die vom Sanitätsbetrieb erlassen wurden.

In diesem Zusammenhang kommt auch den soeben genannten organisatorischen Maßnahmen Bedeutung zu, nämlich der Ernennung ER NGs zum Systemadministrator am 30. November 2016 (vgl. Dok. 11 Akte des Beklagten IU) sowie der Bestellung zum Beauftragten für die Verarbeitung der personenbezogenen Daten vom 11. März 2022 (vgl. Dok. 59 Akte des Klägers).

Wie bereits hervorgehoben, beschränkt sich die Tragweite dieser Akte darauf, die zur Arbeit an den Informationssystemen erforderlichen Befugnisse zu verleihen, wobei die Erweiterung der oben definierten Kompetenzen nicht zu deren Ziele zählt.

Im Beschluss vom 11. März 2022 ist nämlich vorgesehen, dass der Beauftragte verpflichtet ist,

“- die vom Verantwortlichen für den Schutz personenbezogener Daten erteilten Anweisungen und operativen Vorgaben zu beachten und deren Einhaltung durch die eigenen Mitarbeiter sicherzustellen sowie für deren Verbreitung zu sorgen;

- weitere organisatorische und technische Sicherheitsmaßnahmen zum Schutz personenbezogener Daten zu ergreifen, um insbesondere sicherzustellen, dass diese weder an Andere mitgeteilt und/oder verbreitet werden”.

Die Umsetzung der „weiteren Sicherheitsmaßnahmen“ fügt sich eindeutig in den durch die zuvor genannten Dokumente vorgegebenen organisatorischen Rahmen ein und ist im Lichte des rein ausführenden Charakters der Aufgaben des betreffenden Amtes zu verstehen. Außerdem ist eine kausale Relevanz der am 11. März 2022 erfolgten Bestellung auszuschließen, da diese nicht geeignet war, die der Sanktionsmaßnahme zugrunde liegenden Ereignisse zu verhindern, welche sich im Zeitraum vom 30. Juli 2020 bis zum 25. Mai 2022 ereignet hatten.

Nach diesen Ereignissen ist auch der Beschluss Nr. 1511 vom 29. Dezember 2022 ergangen, mit dem die Zuständigkeiten des Amtes für Krankenhausinformationssysteme wie folgt ergänzt wurden: “Das Amt für die Krankenhausinformationssysteme ist für die Analyse, die Gestaltung, die technischfunktionale Integration und das Betriebsmanagement der folgenden Informationssysteme zuständig: (…) • Softwaremodule zur Integration und Einspeisung der elektronischen Patientenakte und der elektronischen Gesundheitsakte in seinen eigenen Zuständigkeitsbereichen. (…) Das Büro unterstützt die Abteilungsdirektion bei der operativen Leitung der technischen Aktivitäten auf dem Gebiet der Provinz, die für die Implementierung, die Inbetriebnahme und den Betrieb des neuen Krankenhausinformationssystems in allen Krankenhäusern der vier Gesundheitsbezirke erforderlich sind. Das Amt sorgt für die Umsetzung der geltenden Vorschriften bzgl. Datenschutz und Cyber Security in seinen Zuständigkeitsbereichen.” (vgl. Dok. 55 Akte des Klägers). Unbeschadet der Irrelevanz dieses Beschlusses, auf ätiologischer Ebene, ist hervorzuheben, dass er den ausführenden Charakter der dem genannten Amt übertragenen Aufgaben bestätigt, welches dazu gerufen wurde, die Abteilungsdirektion bei der Wahrnehmung der „technischen Tätigkeiten“ zu unterstützen. Andererseits müssen die „geltenden Datenschutzvorschriften“, deren Anwendung das Amt sicherzustellen hat, zwangsläufig auch die vom Sanitätsbetrieb intern erlassenen Regelungen umfassen.

Entsprechende Überlegungen gelten auch für die Nennung von ER NG als Ansprechpartner „für etwaige technische Rückfragen und Probleme (…)“ im betriebsinternen Dokument „Hinweise zum Zugang zur elektronischen Patientenakte (EPA) – 9.06.2023“ (vgl. Dok. 60 Akte des Klägers) sowie in der Mitteilung des Generaldirektors vom 10. Mai 2023 (vgl. Dok. 62 Akte des Klägers).

Die vorstehenden Ausführungen zeigen letztendlich, eine rein ausführende Rolle bei der Umsetzung und Konfiguration des EPAInformationssystems. Die Tätigkeit des Beklagten NG bestand somit, anders ausgedrückt, darin, auf technischoperativer Ebene das umzusetzen, was auf anderen Verantwortungsebenen im Sanitätsbetriebs entschieden worden war.

In diesem Zusammenhang ist zunächst auf das bereits erwähnte Schreiben des Generaldirektors vom 15. Januar 2015 zu verweisen, das vom Abteilungsdirektor UR ausgearbeitet wurde und eine Eigenerklärung der Gesundheitsbediensteten über das Bestehen eines Behandlungsverhältnisses vorsah (vgl. Dok. 52 Akte des Klägers). Wie oben dargelegt, oblag die Änderung dieser Vorgabe der Initiative des Direktors der Informatikabteilung. Solange diese Regelung unverändert in Kraft blieb, war es ER NG grundsätzlich verwehrt, die Modalitäten des Zugangs zur EPA in irgendeiner Weise zu modifizieren.

Unter einem weiteren Gesichtspunkt ist der Umstand zu berücksichtigen, dass, vor den gegenständlichen unerlaubten Zugriffen, ER NG keine Weisung zur Einführung eines Warnsystems erteilt wurde. Trotz der oben beschriebenen Rolle des Direktors der Informatikabteilung, ging von ihm tatsächlich keinerlei Initiative zur Einführung geeigneter expostKontrollmaßnahmen aus.

Mit der EMail vom 7. Juli 2014 beschränkte sich der Abteilungsdirektor IA UE darauf, das Dokument „Aktivierung der Patientenakte gemäß den Bestimmungen des Datenschutzgaranten und der AGID“ an ER NG weiterzuleiten, mit der Bitte um Stellungnahme (vgl. Dok. 51 Akte des Klägers).

Ebenso wurde vom Abteilungsdirektor RE IU, anstelle der tatsächlichen Durchführung korrigierender Maßnahmen, lediglich eine Stellungnahme eingefordert mittels der Nachrichten vom 17. August 2021, 30. März 2022 und 18. Mai 2022, welche die Weiterleitung der zuvor von der DPO und der Datenschutzreferentin geschickten EMails zum Gegenstand hatten (vgl. Dok. 63, 64 und 65 Akte des Klägers).

Der Beklagte NG hat seinerseits den an ihn gerichteten Mitteilungen fristgerecht mit den EMails vom 20. August 2021, 30. März 2022 und 20. Mai 2022 geantwortet (vgl. Dok. 3, 4 und 5 Akte des Beklagten NG). Wie oben dargelegt, hat er in der ersten dieser Nachrichten technische Lösungen vorgeschlagen und ER IU ausdrücklich gefragt, ob deren Umsetzung erforderlich sei; eine Antwort erhielt er jedoch nicht. In der zweiten Nachricht hat er die angeforderten Informationen geliefert und erneut auf seine Vorschläge zum Warnsystem Bezug genommen. Dabei stellte er klar, dass er hinsichtlich der Deaktivierung des Zugangs des Personals zu ihrer eigenen EPA noch auf eine Bestätigung warte. In der dritten Nachricht legte er dar, welche Maßnahmen er aufgrund der Anordnungen von ER IU umgesetzt hatte, und berichtete wie folgt: “Guten Tag, derzeit kann der Benutzer seine Dokumente nicht mehr einsehen. Wenn es für Sie in Ordnung ist, können wir den Zugriff auf die eigenen Daten vollständig entfernen. Im Übrigen fahren wir mit der Umsetzung des vorgeschlagenen Alerts betreffend wiederholte Zugriffe auf dasselbe Objekt fort.“ Aus der vom Abteilungsdirektor IU an die Datenschutzreferentin RG am 20. Mai 2022 übermittelten EMail (vgl. Dok. 5 Akte des Beklagten NG) ergibt sich nämlich, dass ER NG nur am Vortag mit der Implementierung eines AlertSystems beauftragt worden war.

Die technischoperative Rolle des Beklagten NG findet schließlich Bestätigung in der oben genannten EMail vom 18. September 2022, die jedenfalls zeitlich nach den hier in Rede stehenden unrechtmäßigen Zugriffen liegt (vgl. Anlage zu Dok. 29 Akte des Klägers). In derselben EMail nimmt der Beklagte, indem er an den Generaldirektor und den Verwaltungsdirektor schreibt, Stellung zu den Ergebnissen des gegen einige Bedienstete des Sanitätsbetriebs wegen unbefugter Einsichtnahme in die EPA geführten Disziplinarverfahrens. In diesem Zusammenhang legt er dar, dass die Deaktivierung des Zugangs mittels Eigenerklärung zwar in sehr kurzer Zeit durchgeführt werden könne, jedoch einige praktische Nachteile mit sich bringe. Es handelt sich dabei um eine objektive, rein technische Analyse, mit der der Beklagte lediglich alle mit den vorgeschlagenen Optionen verbundenen Aspekte aufgezeigt hat, ohne sich an die Stelle derjenigen Personen zu setzen, denen die diesbezügliche Entscheidung oblag.

Die vorstehenden Ausführungen zeigen, dass ER NG seine Dienstpflichten ordnungsgemäß erfüllt hat, indem er den ihm übertragenen operativen Beitrag geleistet, sich an die betriebsinternen Vorgaben gehalten und die erhaltenen Anweisungen befolgt hat.

Dem Beklagten HO NG kann daher keine Unterlassung im Zusammenhang mit der Verarbeitung der in der EPA enthaltenen Daten angelastet werden.

4. Nach der Feststellung des Vorliegens einer kausal relevanten Unterlassung seitens des Beklagten IU, ist die Zurechenbarkeit derselben zu prüfen.

In diesem Zusammenhang ist festzustellen, dass Art. 1 Abs. 1 Buchst. a) des Gesetzes Nr. 1/2026 folgenden Satz in Art. 1 Abs. 1 des Gesetzes Nr. 20/1994 eingefügt hat: „Grobe Fahrlässigkeit liegt vor, wenn die anwendbaren Rechtsvorschriften offenkundig verletzt werden, wenn der Sachverhalt verkannt wird, wenn ein Umstand behauptet wird, dessen Vorliegen durch die Verfahrensakten unzweifelhaft ausgeschlossen wird, oder wenn ein Umstand verneint wird, dessen Vorliegen sich aus den Akten des Verfahrens eindeutig ergibt. Zwecks Feststellung der Fälle, in denen eine offenkundige Verletzung der anwendbaren Rechtsnormen vorliegt, werden insbesondere der Grad der Klarheit und Genauigkeit der verletzten Normen sowie die Unentschuldbarkeit und Schwere des Verstoßes berücksichtigt. (…)“. Nach Art. 6 desselben Gesetzes, das am 22. Januar 2026 in Kraft getreten ist, „werden die Bestimmungen des Art. 1 Abs. 1 Buchst. a) auf anhängige Verfahren und Prozesse angewandt, die zum Zeitpunkt des Inkrafttretens dieses Gesetzes noch nicht durch ein rechtskräftiges Urteil abgeschlossen sind.“

Auch wenn es sich um eine materielle Norm handelt, die nicht dem Grundsatz tempus regit actum unterliegt, zwingt der eindeutige Wortlaut der zitierten Bestimmung zum intertemporalen Recht dazu, das subjektive Element im Lichte der Gesetzesnovelle zu prüfen. Die normale Nichtrückwirkung materieller Rechtsnormen, wie sie in Art. 11 der einleitenden Bestimmungen zum Zivilgesetzbuch vorgesehen ist, kann tatsächlich vom ordentlichen Gesetzgeber geändert werden. Das Hinzukommen der genannten Vorschrift nach Einlassung der Parteien hat jedenfalls keine Verletzung des Rechts auf Verteidigung bewirkt. Art. 11 der Durchführungsbestimmungen zur Prozessordnung des Rechnungshofs lässt nämlich aus schwerwiegenden Gründen die Vorlage von Unterlagen auch in der Erörterungsverhandlung zu. In jedem Fall erscheint der von der I. Zentralen Berufungssektion im Urteil Nr. 91/2024 aufgestellte Rechtssatz, der die Nichtrückwirkung von Art. 21, Abs. 1, des Gesetzesdekrets Nr. 76/2020 betrifft, als nicht einschlägig. Dies deshalb, weil diese letztgenannte Bestimmung, welche eine Definition des Begriffs ‚Vorsatz‘ enthält, nicht von einer Bestimmung zum intertemporalen Recht wie der soeben genannten begleitet war.

Unter diesen Voraussetzungen weist die in Rede stehende Unterlassung die Merkmale grober Fahrlässigkeit auf, wie sie im novellierten Art. 1 Abs. 1 des Gesetzes Nr. 20/1994 definiert sind.

In diesem Zusammenhang ist zunächst die Klarheit und Genauigkeit der oben genannten organisatorischen Maßnahmen zu berücksichtigen, die der Abgrenzung der Dienstpflichten des Direktors der Informatikabteilung dienten. Zudem ist festzuhalten, dass der Garant für den Datenschutz bereits mit Maßnahme Nr. 340 vom 3. Juli 2014 (vgl. Dok. 31 Akte des Klägers) die Mängel der EPA deutlich aufgezeigt und den Weg für dessen Anpassung vorgezeichnet hatte. Trotz der seit Mai 2019 wiederholten Aufforderungen der Datenschutzsteuerungsgruppe hat ER IU jedoch erst im Mai 2022 mit den erforderlichen Abhilfemaßnahmen begonnen. Zu diesem Zeitpunkt hatten die unbefugten Zugriffe – wie oben dargestellt – bereits stattgefunden, und der Garant für den Datenschutz hatte die Ermittlungen, die schließlich zu der hier streitgegenständlichen Sanktionsmaßnahme führten, bereits eingeleitet.

Die Unentschuldbarkeit und Schwere der Unterlassung wird jedenfalls nicht durch die behauptete Komplexität der Materie gemindert. Die vom Beklagten bekleidete Stellung setzte nämlich ein hohes Maß an Professionalität voraus und ermöglichte den Rückgriff auf interne und externe Ressourcen des Betriebs. Dass der technische Charakter des Systems eine hindernde Wirkung gehabt haben soll, wird zudem durch das, wenn auch verspätete, Tätigwerden des Beklagten widerlegt.

5. Für die Bemessung des dem ER IU anzulastenden Verantwortungsanteils ist es erforderlich, den ursächlichen Beitrag etwaiger weiterer Beteiligter zu berücksichtigen.

Im Lichte der vorstehenden Ausführungen und somit der Rolle, die den Führungskräften der Informatikabteilung im Anlassfall beizumessen ist, sind die Direktoren IA UR, im Amt vom 1. November 2012 bis zum 31. Oktober 2017, und GO IN, im Amt vom 1. November 2017 bis zum 30. April 2019, zu berücksichtigen. Was Letzteren betrifft, schließt sich der Senat den Überlegungen der Staatsanwaltschaft im Dekret zur Einstellung des Verfahrens vom 25. August 2025 an. Das Vorliegen grober Fahrlässigkeit ist in seinem Fall aufgrund der begrenzten Dauer des Auftrags und der Inanspruchnahme, während dieses Zeitraums, des Sonderurlaubs gemäß Gesetz Nr. 104/1992 auszuschließen. Zudem war ER IN, anders als die ERen UR und IU, nicht Adressat von Aufforderungen seitens der Datenschutzreferentin und der DPO.

Es ist daher ein ursächlicher Beitrag ausschließlich der Abteilungsdirektoren UR und IU anzuerkennen. Geht man von der erwähnten Maßnahme Nr. 340 des Garanten vom 3. Juli 2014 aus, welche erstmals die Schwachstellen der EPA ausdrücklich aufgezeigt hat, und nimmt sie als zeitlichen Bezugspunkt, so hatten beide einen Zeitraum von etwa drei Jahren zur Verfügung, um Korrekturmaßnahmen zu ergreifen. Der dem Beklagten IU zuzurechnende Verantwortungsanteil ist daher mit 50 % zu bemessen.

6. Nachdem beim Beklagten IU somit eine Verantwortlichkeit festgestellt wurde, die durch das psychische Element der groben Fahrlässigkeit getragen ist, erachtet der Senat – unabhängig von jeder hermeneutischen Erwägung zu Art. 1, Abs. 1octies, des Gesetzes Nr. 20/1994, eingeführt durch das genannte Gesetz Nr. 1/2026 (wobei im Übrigen, angesichts des in Rede stehenden Betrages, hier das im selben Absatz vorgesehene Kriterium der Vergütungsobergrenze ohnehin nicht in Betracht kommen würde) – es im Lichte des allgemeinen Kontextes, in dem sich der Sachverhalt entwickelt hat, dennoch als angemessen, dem Obgenannten einen Betrag in Höhe von 30 % des ihm zurechenbaren Schadens aufzuerlegen, was, wie dargelegt, der Hälfte des insgesamt verursachten Schadens entspricht (da hier zwei schädigende Verhaltensweisen in einem Rahmen teilweiser Verantwortlichkeit zusammentreffen).

Daher ist, nachdem der Gesamtbetrag des dem Südtiroler Sanitätsbetriebs entstandenen Schadens infolge der am 13. März 2024 erfolgten Zahlung der Sanktion (vgl. Dok. 1 Akte des Klägers) 37.500,00 Euro beträgt, der Beklagte RE IU zur Zahlung des Betrags von 5.625,00 Euro zugunsten der Körperschaft zu verurteilen. Dieser Betrag ist – unter Berücksichtigung der Geldentwertung – ab dem obgenannten Tag bis zum Datum der Hinterlegung des vorliegenden Urteils um die Aufwertung zu erhöhen.

Ab diesem letzteren Datum bis zur tatsächlichen Zahlung laufen auf den so aufgewerteten Betrag die gesetzlichen Zinsen.

7. Der vollständige Freispruch der Beklagten RI RG und HO NG bewirkt die Verpflichtung des Südtiroler Sanitätsbetriebs, deren Verteidigungskosten, beziffert mit jeweils 1.500,00 Euro bzw. 2.500,00 Euro zuzüglich Nebenspesen, zu erstatten.

Die Prozesskosten, die dem Staat zu erstatten sind, folgen dem Unterliegensprizip und werden dem Beklagten RE IU gemäß dem Tenor auferlegt.

AUS DIESEN GRÜNDEN

Der Rechnungshof, Rechtsprechungssektion Bozen, unter Zurückweisung sämtlicher entgegenstehender Anträge, Einreden und Vorbringen,

1) weist die Klage gegen die Beklagte AR GI ab und setzt zu ihren Gunsten die Verteidigungskosten in Höhe von 1.500,00 Euro fest, zuzüglich der allgemeinen Spesen, des Fürsorgebeitrags und der MwSt. laut Gesetz;

2) weist die Klage gegen den Beklagten OL SC ab und setzt zu dessen Gunsten die Verteidigungskosten in Höhe von 2.500,00 Euro fest, zuzüglich der allgemeinen Spesen, des Fürsorgebeitrags und der MwSt. laut Gesetz;

3) verurteilt den Beklagten RE TI zur Zahlung zugunsten des SÜDTIROLER SANITÄTSBETRIEBS des Gesamtbetrags von 5.625,00 Euro, zuzüglich der Aufwertung vom 13. März 2024 bis zum Datum der Hinterlegung des vorliegenden Urteils und der gesetzlichen Zinsen auf den so bestimmten Betrag ab der Hinterlegung des Urteils bis zur vollständigen Bezahlung;

4) verurteilt den Beklagten RE TI zur Zahlung der Verfahrenskosten, die dem Staat zu erstatten sind, festgesetzt in Höhe von Euro 1.001,29.

Das Sekretariat wird mit den erforderlichen Formalitäten beauftragt.

So entschieden in der nichtöffentlichen Sitzung vom 12. Februar 2026.

Der verfasser des urteils	DER PRÄSIDENT
EL SS	IC MA
(digital unterzeichnet)	(digital unterzeichnet)

Im Sekretariat hinterlegt am 31/03/2026