Information der Datenschutzbehörde zum Coronavirus (Covid-19)

Stand 12. April 2022

Aufgrund der derzeitigen Epidemie stellt sich für Unternehmen, Behörden und auch für ArbeitnehmerInnen die Frage, unter welchen Umständen Daten (insbesondere Gesundheitsdaten) verarbeitet und ausgetauscht werden können und dürfen.

Die Datenschutzbehörde weist einleitend darauf hin, dass Daten über Infektionen mit dem Coronavirus (Covid-19) sowie über Verdachtsfälle zu jenen sensiblen Daten zählen, für die das Datenschutzrecht einen besonderen Schutz vorsieht.

Das Datenschutzrecht sieht jedoch ebenso vor, dass diese Gesundheitsdaten in jenem Ausmaß verwendet werden können, das notwendig ist, um die Verbreitung des Virus einzudämmen und um die Mitmenschen zu schützen. Dazu zählt insbesondere die Datenerhebung von Personen, bei denen eine Infektion festgestellt wurde oder bei denen ein Verdachtsmoment aufgrund eines Kontakts mit einer infizierten Person oder aufgrund eines Aufenthalts in einer Risikoregion besteht.

Im arbeitsrechtlichen Kontext ist festzuhalten, dass jeder Arbeitgeber gegenüber seinen ArbeitnehmerInnen zur Fürsorge verpflichtet, wozu der Ausschluss von Gesundheitsrisiken am Arbeitsplatz zählt. Vor diesem Hintergrund kann die Verarbeitung von Gesundheitsdaten auf Art. 9 Abs. 2 lit.b DSGVO iVm den jeweils einschlägigen Bestimmungen zur Fürsorgepflicht (Verarbeitung zum Zwecke der Erfüllung arbeits- und sozialrechtlicher Pflichten) gestützt werden. Für die Übermittlung der Gesundheitsdaten an die Gesundheitsbehörden normiert Art. 9 Abs. 2 lit.i DSGVO iVm § 10 Abs. 2 DSG eine entsprechende Rechtsgrundlage (Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit). Weiters kann auf Verlangen der Bezirksverwaltungsbehörden ebenso eine Pflicht des Arbeitgebers zur Auskunftserteilung (über Verdachtsfälle und Infektionen) nach Art. 9 Abs. 2 lit.i DSGVO iVm § 5 Abs. 3 Epidemiegesetz 1950 bestehen. In unseren FAQ finden Sie weiterführende Informationen. Bitte wenden Sie sich bei Fragen, wem festgestellte Infektionen oder Verdachtsfälle zu melden sind, an die Gesundheitsbehörden.

Zur Risikoprävention ist es ferner zulässig, dass Arbeitgeber die private Handynummer der ArbeitnehmerInnen erfragen und temporär speichern, um diese kurzfristig über eine Infektion im Betrieb oder in der Behörde warnen zu können und damit diese nicht am Arbeitsplatz erscheinen müssen. Die ArbeitnehmerInnen können zu dieser Bekanntgabe jedoch nicht gezwungen werden. Die Datenschutzbehörde stellt auf ihrer Webpage ein Musterformular für die Erhebung privater Kontaktdaten von Mitarbeiter zur freien Verwendung zur Verfügung.

Die Datenverarbeitung hat unter Einhaltung des Zweckbindungsgrundsatzes gemäß Art. 5 Abs. 1 lit.b DSGVO zu erfolgen. Eine Verwendung der Gesundheitsdaten für andere Zwecke als der Gesundheitsvorsorge, der Eindämmung des Virus und der Heilbehandlung ist daher unzulässig. Darüber hinaus ist auf den Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit.e DSGVO hinzuweisen. Nach Ende der Epidemie sind daher jene Daten, die nicht mehr notwendig sein werden, (wie insbesondere die privaten Kontaktdaten der ArbeitnehmerInnen) zu löschen. Aufgrund des Umstands, dass vermehrt Home-Office zum Einsatz kommt, ist schließlich auf die Sicherheitsvorgaben gemäß Art. 5 Abs. 1 lit.f iVm Art. 32 Abs. 1 DSGVO hinzuweisen. Die Arbeitgeber sollten Ihre Mitarbeiter insbesondere darauf hinweisen, dass Hardware (wie Dienstlaptops und Diensthandys) sicher aufzubewahren und dass eine geschützte WLAN-Verbindung mit einem starken Passwort (optimalerweise auch eine verschlüsselte VPN-Verbindung) zu verwenden ist (so diese vorhanden) sowie, dass erhöhte Aufmerksamkeit gegenüber Phishing-Nachrichten mit angeblich neuen Informationen über das Coronavirus bestehen sollte. Die Datenschutzbehörde stellt auf ihrer Webpage ein weiterführendes Informationsblatt zum Thema Datensicherheit und Home-Office zur Verfügung.

FAQ zum Thema Datenschutz und COVID-19

Stand 12. April 2022

1. Darf ein Arbeitgeber seine ArbeitnehmerInnen befragen, ob sich diese in einer Risikoregion aufgehalten haben, oder ob diese Kontakt mit Infizierten hatten?

Arbeitgeber haben aufgrund arbeitsrechtlicher Bestimmungen (sowohl im privaten, als auch im öffentlichen Bereich) eine Fürsorgepflicht und müssen dafür Sorge tragen, dass Gesundheitsrisiken am Arbeitsplatz ausgeschlossen werden. Zum Ausschluss von Gesundheitsrisiken zählt jedenfalls auch die Prävention von Infektionen und die Eindämmung einer Virusverbreitung am Arbeitsplatz.

Vor diesem Hintergrund kann die Erhebung des Gesundheitszustands durch Arbeitgeber (Verantwortliche) insbesondere auf die Erfüllung der arbeitsrechtlichen Fürsorgepflicht in Verbindung mit Art. 9 Abs. 2 lit. b DSGVO gestützt werden. Die Datenverarbeitung hat allerdings stets unter Einhaltung aller Grundsätze nach Art. 5 Abs. 1 DSGVO zu erfolgen.

Weiterführende Informationen zu COVID-19 sind zu finden unter:

https://www.sozialministerium.at/Themen/Gesundheit/Uebertragbare-Krankheiten/Infektionskrankheiten-A-Z/Neuartiges-Coronavirus.html

Aktuelle Reisewarnungen in Bezug auf COVID-19 sind zu finden unter:

https://www.bmeia.gv.at/reise-services/coronavirus-covid-19-und-reisen/

2. Wenn ein Arbeitgeber seine ArbeitnehmerInnen mündlich über den Gesundheitszustand befragt, findet das Datenschutzrecht keine Anwendung. Stimmt das?

Nein.

Es ist darauf hinzuweisen, dass das Grundrecht auf Geheimhaltung gemäß § 1 Abs. 1 DSG, anders als die DSGVO, auch für mündliche Mitteilungen gilt. Somit sind datenschutzrechtliche Vorgaben einzuhalten, unabhängig davon, ob die Daten von ArbeitnehmerInnen elektronisch, in Form von physischen Fragebögen („Dateisystem“) oder mündlich erhoben werden.

3. Darf ein Arbeitgeber anordnen, dass alle ArbeitnehmerInnen vor Betreten des Betriebs stets eine Temperaturmessung („Fiebermessen“) durchführen müssen?

Das ist in erster Linie eine arbeitsrechtliche Frage (siehe Frage 9). Aus datenschutzrechtlicher Sicht bestehen grundsätzlich gelindere Mittel für die Erhebung von Gesundheitsdaten (also die Kontrolle des Gesundheitszustandes), zumal Fieber nur eines von mehreren möglichen Symptomen für eine mögliche Ansteckung mit COVID-19 ist und der Krankheitsverlauf auch gänzlich ohne Symptome erfolgen kann.

Es ist daher stets zu hinterfragen, ob nicht gelindere Mittel zur Zielerreichung zur Verfügung stehen, wie etwa Umstieg auf Home-Office, Befragung des Mitarbeiters (siehe dazu Frage 1), Einhalten von Sicherheitsabständen, Maskenpflicht oder Bereitstellung von Desinfektionsmittel.

ArbeitnehmerInnen haben im Rahmen der Treuepflicht gegenüber dem Arbeitgeber aber auch die Eigeninitiative zu ergreifen und einen Verdacht über eine Infektion zu melden. Hierauf kann die Belegschaft hingewiesen werden.

Eine Ausnahme kann bestehen, wenn eine Untersuchungspflicht (Eignungs- und Folgeuntersuchung) gesetzlich angeordnet ist. Dies kann bei Tätigkeiten im Sinne des gemäß § 49 ArbeitnehmerInnenschutzgesetz der Fall sein, bei denen die Gefahr einer Berufskrankheit besteht.

4. Darf ein Arbeitgeber anordnen, dass alle ArbeitnehmerInnen einen PCR-Test durchführen müssen?

Auch dies ist in erster Linie eine arbeitsrechtliche Frage (siehe Frage 9). Aus datenschutzrechtlicher Sicht ist zu bemerken, dass solche Schnelltests, anders als Fiebermessungen (siehe Frage 3) jedenfalls geeigneter sind, um den Gesundheitszustand von Personen festzustellen.

Die Durchführung solcher Schnelltests kann grundsätzlich auf Art. 9 Abs. 2 lit. b DSGVO iVm den jeweiligen arbeitsrechtlichen Bestimmungen zur Fürsorgepflicht gestützt werden. Dies kann dann zulässig sein, sofern es bereits nachweislich zu Infektionen im Betrieb gekommen ist und die Überprüfung des Gesundheitszustandes zur Verhinderung einer weiteren Infektionsverbreitung tatsächlich notwendig ist.

Es gilt stets, dass objektive Gründe vorhanden sein müssen und derartige Maßnahmen nicht willkürlich durchgeführt werden.

5. Darf ein Arbeitgeber Daten über Infektionsfälle an Gesundheitsbehörden übermitteln?

Für die Übermittlung von Informationen über konkrete Infektionsfälle an die Gesundheitsbehörden normiert Art. 9 Abs. 2 lit. i DSGVO iVm § 10 Abs. 2 DSG eine entsprechende Rechtsgrundlage. Die aktuelle Epidemie kann als Katastrophenfall gemäß § 10 Abs. 1 DSG angesehen werden.

Darüber hinaus kann auf Verlangen der Bezirksverwaltungsbehörden eine Pflicht des Arbeitgebers zur Auskunftserteilung über Verdachtsfälle und Infektionen nach Art. 9 Abs. 2 lit. i DSGVO iVm § 5 Abs. 3 Epidemiegesetz 1950 bestehen.

Bitte wenden Sie sich bei Fragen, wem festgestellte Infektionen oder Verdachtsfälle zu melden sind, an die Gesundheitsbehörden.

6. Darf ein Arbeitgeber die privaten Kontaktdaten von ArbeitnehmerInnen erheben, um diese kurzfristig über ein Verdachtsmoment oder eine Infektion am Arbeitsplatz informieren zu können?

Zur Risikoprävention ist es zulässig, dass Arbeitgeber die privaten Kontaktdaten ihrer ArbeitnehmerInnen erfragen und temporär speichern, um diese kurzfristig über ein Verdachtsmoment oder eine Infektion am Arbeitsplatz warnen zu können, damit diese nicht am Arbeitsplatz erscheinen müssen. Die ArbeitnehmerInnen können zu dieser Bekanntgabe jedoch nicht gezwungen werden.

Die Datenschutzbehörde stellt auf ihrer Webpage ein Musterformular für die Erhebung privater Kontaktdaten von Mitarbeiter zur Verfügung. Das Musterformular deckt alle datenschutzrechtlichen Vorgaben, insbesondere die Informationspflichten gemäß Art. 13 DSGVO, ab.

7. Darf ein Arbeitgeber gegenüber der Belegschaft den konkreten Namen einzelner Personen nennen, die sich mit dem Coronavirus (COVID-19) infiziert haben?

Daten über Infektionen sowie über Verdachtsfälle zählen zu jenen sensiblen Daten, für die das Datenschutzrecht einen besonderen Schutz vorsieht. Insbesondere soll verhindert werden, dass es zu einer Stigmatisierung einzelner Personen am Arbeitsplatz aufgrund eines Verdachts oder einer Infektion kommt.

Gleichzeitig sieht das Datenschutzrecht aber vor, dass Daten über den Gesundheitszustand in jenem Ausmaß verwendet werden können, das notwendig ist, um die Verbreitung des Virus einzudämmen und um die Mitmenschen zu schützen.

Im Sinne des Grundsatzes der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO ist daher im Einzelfall sorgfältig abzuwägen, ob es notwendig ist, gegenüber der Belegschaft den konkreten Namen einzelner Personen zu nennen, die sich infiziert haben, oder mit der allgemeinen Information, dass am Arbeitsplatz eine Infektion aufgetreten ist, das Auslangen gefunden werden kann. Eine individuelle Nennung von infizierten Personen kann sich dann als zulässig erweisen, wenn erhoben werden muss, wer mit diesen Personen vor Bekanntwerden der Infektion Kontakt hatte.

8. Darf ein Arbeitgeber seine ArbeitnehmerInnen über den Impfstatus (Corona-Schutzimpfung) befragen?

Nach aktueller Rechtslage besteht in Österreich keine generelle Verpflichtung, im Rahmen des Beschäftigungsverhältnisses seinen Impfstatus offenlegen zu müssen.

So sieht § 1 Abs. 5a COVID-19-Maßnahmengesetz mehrere gleichwertige Methoden für den „Nachweis einer geringen epidemiologischen Gefahr“ vor (etwa Impfnachweis, Nachweis einer Genesung und Nachweis einer negativen Testung). Eine Befragung der ArbeitnehmerInnen über den Impfstatus (was eine Erhebung von Gesundheitsdaten ist) ist daher im Regelfall nicht zulässig.

Eine Ausnahme besteht dann, wenn eine Impfung gegen COVID-19 zwingende Voraussetzungen für die Dienstverrichtung ist.

Zur Vollständigkeit ist festzuhalten, dass die arbeitsrechtliche Fürsorgepflicht nach Ansicht der Datenschutzbehörde eine Erhebung des Impfstatus von ArbeitnehmerInnen jedenfalls nicht zu rechtfertigen vermag:

Anders als die Befragung und Information von ArbeitnehmerInnen über einen akuten COVID-19 Fall am Arbeitsplatz (siehe Frage 1), dient die Befragung über den Impfstatus nicht der Beseitigung eines unmittelbar drohenden Risikos. Zudem ist zu berücksichtigen, dass sich gewisse Personengruppen aus gesundheitlichen Gründen nicht impfen lassen können und diese daher unter Umständen zur Offenlegung ihres Gesundheitszustandes gezwungen oder stigmatisiert werden.

9. Wie verhält sich das Datenschutzrecht zum Arbeitsrecht im Kontext von COVID-19?

Gemäß Art. 88 DSGVO besteht die Möglichkeit („Öffnungsklausel“) für den nationalen Gesetzgeber, spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext zu normieren.

Vor diesem Hintergrund gilt es bei den Fragen 1-8 (siehe oben) zu beachten, dass neben den Bestimmungen der DSGVO und des DSG auch die einschlägigen arbeitsrechtlichen Bestimmungen des ArbVG (und ggf. des AVRAG) Anwendung finden können.

So hat der Betriebsinhaber den Betriebsrat gemäß § 92a Abs. 1 ArbVG „in allen Angelegenheiten der Sicherheit und des Gesundheitsschutzes rechtzeitig anzuhören und mit ihm darüber zu beraten“. Dies betrifft insbesondere die Fälle des § 92a Abs 1 Z 1 ArbVG, bei denen – vereinfach formuliert – neue Technologien zur (systematischen) Erhebung von Gesundheitsdaten von Arbeitnehmern eingeführt werden. Somit muss der Betriebsrat vor der Einführung von (systematischen) Maßnahmen zur Eindämmung von SARS-CoV-2 (Fiebermessung, PCR-Tests, Contact-Tracing, u.ä.) eingebunden werden. Die Datenschutzbehörde empfiehlt, die Einbindung des Betriebsrats zu dokumentieren.

Darüber hinaus gilt es zu beachten, dass gemäß § 96 Abs. 1 ArbVG in bestimmten Fällen die Zustimmung des Betriebsrats erforderlich ist.

Dies ist bei der Einführung von Personalfragebögen zur Befragung des Gesundheitszustandes der Mitarbeiter gemäß § 96 Abs. 1 Z 2 ArbVG (etwa Fragen zum Aufenthalt in Risikogebieten sowie zu Krankheitssymptomen) der Fall.

Ebenso zustimmungspflichtig ist gemäß § 96 Abs. 1 Z 3 ArbVG die Einführung von „Kontrollmaßnahmen und technischen Systemen zur Kontrolle der Arbeitnehmer, sofern diese Maßnahmen (Systeme) die Menschenwürde berühren“. Die Datenschutzbehörde vertritt vorerst die Auffassung, dass die systematische Erhebung des Gesundheitszustandes (wie etwa Fiebermessung oder PCR-Tests) darunter fallen. Sofern kein Betriebsrat eingerichtet ist, ist gemäß § 10 AVRAG die Zustimmung des Arbeitnehmers erforderlich.

Von einer Zulässigkeit derartiger Maßnahmen ist daher nur auszugehen, sofern die datenschutz- und arbeitsrechtlichen Bedingungen eingehalten werden.

10. Ich stehe im Verdacht, infiziert zu sein oder bin infiziert. Welche Daten können die Gesundheitsbehörden über mich verarbeiten?

Daten über den Gesundheitszustand können in jenem Ausmaß verwendet werden, das notwendig ist, um die Verbreitung des Virus einzudämmen und um Ihre Mitmenschen zu schützen.

Die Gesundheitsbehörden dürfen nach Art. 9 Abs. 2 lit. i DSGVO iVm § 4 Abs. 4 Epidemiegesetz 1950 jedenfalls folgende Datenkategorien von Ihnen verarbeiten:

Daten zur Identifikation von Erkrankten (Name, Geschlecht, Geburtsdatum, Sozialversicherungsnummer und bereichsspezifisches Personenkennzeichen gemäß § 9 E-GovG),
die für die anzeigepflichtige Krankheit relevanten klinischen Daten (Vorgeschichte und Krankheitsverlauf) und Labordaten,
Daten zum Umfeld des Erkrankten, soweit sie in Bezug zur anzeigepflichtigen Erkrankung stehen, und
Daten zu den getroffenen Vorkehrungsmaßnahmen.

Zum Schutz Ihrer Daten sind in § 4 Epidemiegesetz 1950 besondere Sicherheitsvorgaben normiert, die die Gesundheitsbehörden einzuhalten haben.

11. Dürfen Labors das Ergebnis meines PCR-Tests an die Gesundheitsbehörden übermitteln?

Ja.

Im Falle eines positiven PCR-Tests sind Labors verpflichtet, eine Anzeige an die zuständige Gesundheitsbehörde zu erstatten. Die Rechtmäßigkeit der Datenübermittlung ergibt sich demnach aus Art. 6 Abs. 1 lit. c und Art. 9 Abs. 2 lit. i DSGVO in Verbindung mit § 3 Abs. 1 Z 1a Epidemiegesetz 1950.

Darüber hinaus hat die Datenschutzbehörde mit Bescheid vom 15. Jänner 2021, GZ: 2021-0.101.211 ausgesprochen, dass auch die Übermittlung eines negativen PCR-Testergebnisses an die zuständige Gesundheitsbehörde zulässig ist.

12. Müssen Unternehmer, die Massenveranstaltungen organisiert haben (Messe, Theater, Sportevent o.ä.), Daten von Besuchern an die Gesundheitsbehörden übermitteln?

Auf Verlangen der Bezirksverwaltungsbehörden besteht eine Pflicht von Veranstaltern zur Auskunftserteilung über Verdachtsfälle und Infektionen nach Art. 9 Abs. 2 lit. i DSGVO iVm § 5 Abs. 3 Epidemiegesetz 1950. Die Pflicht zur Auskunftserteilung erfasst auch die Übermittlung von Besucherdaten im notwendigen Ausmaß. Diese Auskunftserteilung kann insbesondere dann relevant werden, sofern es in Zukunft wieder zu Verschärfungen der Ausgangsbeschränkungen kommen sollte.

13. Welche Daten darf ein Bürgermeister verwenden, um Bürger in seinem Gemeindegebiet in der aktuellen Ausnahmesituation zu unterstützen?

Der Gesetzgeber hat mit dem 3. COVID-19-Gesetz, BGBl. I Nr. 23/2020 das Epidemiegesetz 1950 angepasst und eine weitere Rechtsgrundlage für Datenverarbeitungen eingeführt.

Nunmehr normiert § 3a Epidemiegesetz 1950, dass die Bezirksverwaltungsbehörde ermächtigt ist, dem Bürgermeister den Namen und die erforderlichen Kontaktdaten einer von einer Absonderungsmaßnahme nach Epidemiegesetz 1950 wegen COVID-19 betroffenen Person, die in seinem Gemeindegebiet wohnhaft ist, mitzuteilen, wenn und soweit es zur Versorgung dieser Person mit notwendigen Gesundheitsdienstleitungen oder mit Waren oder Dienstleistungen des täglichen Bedarfs unbedingt notwendig ist.

Diese Rechtsgrundlage ist im Lichte der datenschutzrechtlichen Grundsätze von Art. 5 DSGVO auszulegen, was auch in § 3a Abs. 3 und Abs. 4 Epidemiegesetz 1950 zum Ausdruck kommt. Demnach ist eine Datenverarbeitung zu anderweitigen Zwecken untersagt und sind die Daten umgehend zu löschen, sofern ihre Verarbeitung nicht mehr erforderlich ist. Überdies sind geeignete Datensicherheitsmaßnahmen gemäß Art. 32 Abs. 1 DSGVO zu treffen.

Schließlich ist darauf hinzuweisen, dass diese Rechtsgrundlage gemäß § 50 Abs. 8 Epidemiegesetz 1950 mit Ablauf des 30. Juni 2022 außer Kraft tritt und somit zeitlich begrenzt ist.

14. Muss ich als betroffene Person an den sogenannten „Screening-Programmen“ teilnehmen?

Der Gesetzgeber hat mit dem 16. COVID-19-Gesetz, BGBl. I Nr. 43/2020 das Epidemiegesetz 1950 erneut novelliert.

Nunmehr normiert § 5a Epidemiegesetz 1950 zwar, dass der für das Gesundheitswesen zuständige Bundesminister, soweit dies zur Beurteilung der bereits gesetzten Bekämpfungsmaßnahmen, zur Planung der weiteren Bekämpfungsstrategie, zum Schutz bestimmter von der Pandemie besonders betroffener Personengruppen oder zur Sicherung der Funktionsfähigkeit des Gesundheitssystems notwendig ist, Screeningprogramme durchführen kann. Diese Screeningprogramme zielen – vereinfach formuliert – darauf ab, das Vorkommen von Infektionen innerhalb bestimmter Regionen oder Bevölkerungsgruppen festzustellen.

Nach dem ausdrücklichen Wortlaut von § 5a Abs. 3 Epidemiegesetz 1950 ist eine Teilnahme jedoch freiwillig. Dies beutet daher, dass Sie nicht an Screening-Programmen teilnehmen müssen, sofern Sie dies nicht wollen. Die Nichtteilnahme darf auch nicht dazu führen, dass Sie seitens einer Behörde in irgendeiner Form benachteiligt werden.

15. Kann die Teilnahme an Veranstaltungen, die ein Zusammenströmen größerer Menschenmengen mit sich bringen, an die Bedingung geknüpft werden, dass ich als betroffene Person die Verwendung einer Contact-Tracing-App („Kontakttagebuch-App“) nachweisen muss?

Nein.

Nach § 15 Abs. 1 Z 2 Epidemiegesetz 1950 kann die Teilnahme an derartigen Veranstaltungen zwar an die Einhaltung bestimmter Voraussetzungen oder Auflagen gebunden werden.

Allerdings hält § 15 Abs. 3 Epidemiegesetz 1950 ausdrücklich fest, dass solche behördlich angeordneten Voraussetzungen oder Auflagen nicht die Verwendung von Contact-Tracing-Technologien umfassen dürfen.

16. Was ist aus datenschutzrechtlicher Sicht beim Einsatz von Home-Office zu beachten?

Aus datenschutzrechtlicher Sicht sind beim Thema Home-Office insbesondere die Vorgaben für die Datensicherheit gemäß Art. 32 Abs. 1 DSGVO zu beachten.

Die Datenschutzbehörde stellt auf ihrer Webpage ein entsprechendes Informationsblatt zur Verfügung. Es wird angeregt, dass Arbeitgeber dieses Informationsblatt mit ihren ArbeitnehmerInnen teilen.

17. Dürfen Kommunikationsanbieter die Bewegungsprofile von Handynutzern der Regierung zur Verfügung stellen, um die Ausbreitung von Infektionen einzudämmen?

Dies ist gemäß Art. 9 e-DSRL iVm § 169 Abs. 1 Z 1 TKG 2021 zulässig, sofern ausschließlich Daten ohne Personenbezug („anonyme Daten“) übermittelt werden. Anhand dieser anonymen Daten können Bewegungsströme analysiert und kann folglich überprüft werden, inwiefern die Ausgangsbeschränkungen eingehalten werden. Es müssen entsprechende Anonymisierungstechniken eingesetzt werden, um sicherzustellen, dass ein Rückschluss auf konkrete Personen nicht mehr oder nur mit unverhältnismäßig hohem Aufwand möglich ist.

Im gegenständlichen Kontext und nach derzeitiger nationaler Rechtslage ist die Weitergabe eines individuellen Bewegungsprofils, das einer konkreten Person zuordenbar sind, nur auf Grundlage einer jederzeit widerrufbaren Einwilligung der konkreten Person gemäß Art. 9 e-DSRL iVm § 169 Abs. 1 Z 1 TKG 2021 möglich.

18. Muss ich Organen des öffentlichen Sicherheitsdienstes Informationen über eine (mögliche) Infektion mit SARS-CoV-2 mitteilen?

Gemäß § 28a Abs. 1b Epidemiegesetz 1950 können sich die Gesundheitsbehörden der Organe des öffentlichen Sicherheitsdienstes bedienen, um folgende Informationen von kranken, krankheitsverdächtigen oder ansteckungsverdächtigen Personen zu erheben:

die Erhebung von Identitätsdaten (Name, Wohnsitz),
die Erfragung allfälliger Krankheitssymptome und
die Erhebung von Kontaktdaten (Telefonnummer, E-Mail-Adresse)

Darüber hinaus sind die Organe des öffentlichen Sicherheitsdienstes ermächtigt, zu diesem Zweck ZMR-Abfragen durchzuführen.

Diese von den Organen des öffentlichen Sicherheitsdienstes erhobenen Daten dürfen ausschließlich zum Zweck der Kontaktierung der betroffenen Person verarbeitet werden und sind nach Übermittlung an die zuständige Gesundheitsbehörde zu löschen.

19. Muss ich bei Betreten einer Gaststätte dem Betreiber der Gaststätte meine Kontaktdaten für ein mögliches Contact-Tracing durch die zuständige Gesundheitsbehörde zur Verfügung stellen?

Hierzu ist zunächst festzuhalten, dass der Anwendungsbereich der DSGVO erfüllt ist, sofern die Gästeprotokolle nach bestimmten Merkmalen (Dateisystem) iSd Art. 4 Z 6 der Verordnung strukturiert werden. Spätestens bei der Übermittlung der Gästeprotokolle an die Gesundheitsbehörden (im Falle einer bestätigen Infektion) ist aber ohnedies vom Anwendungsbereich der DSGVO auszugehen.

Unabhängig vom Anwendungsbereich der DSGVO unterliegen aber auch unstrukturierte Gästeprotokolle dem Anwendungsbereich des Grundrechts auf Geheimhaltung nach § 1 Abs. 1 DSG, der im Lichte der DSGVO auszulegen ist.

Weiters ist festzuhalten, dass bei derartigen Sachverhalten das Verbotsprinzip gemäß Art. 9 Abs. 1 DSGVO greift. Dies deshalb, da die Information über eine mögliche Infektion eines gewissen Besucherkreises ein potenziell sensibles Datum darstellt und spätestens ab diesem Zeitpunkt (jedenfalls auch) auch ein Tatbestand von Art. 9 Abs. 2 DSGVO erfüllt sein muss.

Somit kann ein derartiges Contact-Tracing jedenfalls nicht (allein) auf berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO gestützt werden.

Ebenso wenig kann ein derartiges Contact-Tracing auf Art. 9 Abs. 1 lit. c DSGVO gestützt werden, da dieser Tatbestand nach Auffassung der Datenschutzbehörde eine unmittelbare Gefährdung voraussetzt und andere Tatbestände in Betracht kommen (vgl. ErwGr 46 DSGVO).

In Frage kommt jedenfalls eine Einwilligung gemäß Art. 9 Abs. 1 lit. a DSGVO, sofern der Zutritt zur Gaststätte bei Verweigerung der Bekanntgabe der Kontaktdaten nicht verweigert wird, andernfalls von keiner freiwilligen Einwilligung auszugehen ist.

In Frage kommt weiters die Schaffung einer qualifizierten gesetzlichen Grundlage im nationalen Recht gemäß Art. 9 Abs. 2 lit. i DSGVO, auf deren Basis die oben genannten Daten durch den Betreiber der Gaststätte erhoben werden.

Hierbei gilt zu beachten, dass diese gesetzliche Grundlage nach dem ausdrücklichen Verordnungstext von Art. 9 Abs. 2 lit. i DSGVO angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person vorsehen muss. Weiters muss die Rechtsgrundlage klar und präzise sowie ihre Anwendung für die Rechtsunterworfenen vorhersehbar sein (vgl. ErwGr 41 DSGVO).

Eine nationale Norm hat diesen Anforderungen zu genügen, um als qualifizierte Rechtsgrundlage gemäß Art. 9 Abs. 2 lit. i DSGVO für eine solche Datenverarbeitung herangezogen werden zu können.

20. Was ist das digitale COVID-Zertifikat der EU?

Die Verordnung (EU) 2021/953 gilt vom 1. Juli 2021 bis (vorerst) 30. Juni 2022 und dient als Grundlage für die Ausstellung, Überprüfung und Anerkennung interoperabler COVID-19-Zertifikate.

Das Ziel der genannten Verordnung ist es, die Ausübung des Grundrechts auf Freizügigkeit – insbesondere die Möglichkeit von Reisen innerhalb der EU – während der COVID-19-Pandemie wiederherzustellen. Hierfür sollen dieselben COVID-Zertifikate in allen Mitgliedstaaten anerkannt werden. Zum Beispiel soll ein COVID-Testzertifikat von Mitgliedstaat A auch in Mitgliedstaat B als Nachweis für eine geringe epidemiologische Gefahr gelten.

Nähere Informationen zum COVID-Zertifikat der EU finden sich im Newsletter 3/2021 der Datenschutzbehörde.

21. Was ist der österreichische Grüne Pass?

Der Grüne Pass wurde durch die Novelle des Epidemiegesetzes 1950 und das COVID-19-Maßnahmengesetz, BGBl. I Nr. 100/2021 eingeführt.

Der Grüne Pass besteht aus drei Zertifikaten: Testzertifikat (§ 4c Epidemiegesetz 1950), Genesungszertifikat (§ 4d Epidemiegesetz 1950) und Impfzertifikat (§ 4e Epidemiegesetz 1950).

Die Zertifikate des Grünen Passes können entweder ausgedruckt oder in einer entsprechenden App angezeigt werden und dienen als Nachweis für das Vorliegen einer geringen epidemiologische Gefahr auf nationaler Ebene.

Nähere Informationen zum Grünen Pass finden sich unter:

https://www.gesundheit.gv.at/service/gruener-pass/inhalt

22. Eine Person trägt in einer Betriebsstätte keinen Mund-Nasen-Schutz. Ist es zulässig, diese Person aufzufordern, ein ärztliches Attest („Befreiung vom Tragen eines Mund-Nasen-Schutzes“) vorzulegen?

Die Datenschutzbehörde hat mit Bescheid vom 9. August 2021, GZ: 2021-0.410.237 ausgesprochen, dass dies (jedenfalls nach der für den Bescheid maßgeblichen Rechtslage) zulässig ist.

Andernfalls kann nämlich nicht überprüft werden, ob Personen das Tragen eines Mund-Nasen-Schutzes in geschlossenen Räumen zurecht ablehnen oder nicht.

Dies gilt jedoch nur dann, wenn das Tragen einen Mund-Nasen-Schutzes in Innenräumen zwingend vorgeschrieben ist.

23. Welche Leitlinien hat der Europäische Datenschutzausschuss zum Thema Datenschutz und COVID-19 bislang veröffentlicht?

Der Europäische Datenschutzausschuss hat in seinen Leitlinien 04/2020 zur Verwendung von Standortdaten und Instrumenten zur Ermittlung von Kontaktpersonen im Zusammenhang mit dem Ausbruch von COVID-19 einerseits Ausführungen zum Thema Standortdaten und Anonymisierung getroffen (siehe Frage 17) und andererseits Empfehlungen und funktionelle Anforderungen an sogenannte „Corona-Apps“ (elektronische Kontakttagebücher) formuliert.

Darüber hinaus hat der Europäische Datenschutzausschuss in seinen Leitlinien 3/2020 über die Verarbeitung von Gesundheitsdaten zum Zwecke der wissenschaftlichen Forschung im Zusammenhang mit dem Ausbruch von COVID-19 Ausführungen zum Verhältnis Grundrecht auf Datenschutz und Freiheit der Wissenschaft nach Art. 13 EU-GRC getroffen.

Schließlich hat der Europäische Datenschutzausschuss gemeinsam mit dem Europäischen Datenschutzbeauftragten eine Stellungnahme zur Einführung eines COVID-19-Zertifikats der EU abgegeben.