Liebe Leserinnen und Leser!

Das Impfpflichtgesetz – rechtliche Grundlagen

Mag. Vanessa Neudecker

Das Bundesministerium für Soziales, Gesundheit, Pflege und Konsumentenschutz hat der Datenschutzbehörde am 9. Dezember 2021 den Ministerialentwurf betreffend das Bundesgesetz über die Impfpflicht gegen COVID-19 (COVID-19-Impfpflichtgesetz – COVID-19-IG) zur Begutachtung übermittelt.

Der genannte Ministerialentwurf verfolgt das Ziel, die Verbreitung von COVID-19 zu verhindern. Angesichts der unzureichenden Durchimpfungsrate soll zum Schutz der öffentlichen Gesundheit für alle Personen, die im Bundesgebiet einen Wohnsitz oder gewöhnlichen Aufenthalt haben oder über eine Hauptwohnsitzbestätigung gemäß § 19a MeldeG verfügen eine Impfpflicht gegen COVID-19 vorgeschrieben werden, sofern für diese Personen kein Ausnahmetatbestand gilt.

Der für das Gesundheitswesen zuständige Bundesminister hat nach dem genannten Gesetzesentwurf nicht ausreichend immunisierte Personen über die Impfung zu informieren und daran zu erinnern, dass die jeweilige Impfung nachzuholen ist. Darüber hinaus sieht der Entwurf vor, dass der für das Gesundheitswesen zuständige Bundesminister die Daten jener Personen, welche zum Impfstichtag die Voraussetzungen nicht erfüllen, zum Zweck der Einleitung eines Verwaltungsstrafverfahrens an die Bezirksverwaltungsbehörden bzw. an den örtlich zuständigen Landeshauptmann übermittelt. Denn wer der aus dem Gesetzesentwurf ergebenden Verpflichtung, sich einer Impfung zu unterziehen, zuwiderhandelt, begeht künftig eine Verwaltungsübertretung und wird mit einer Geldstrafe von bis zu 3600 Euro bestraft.

Damit die Impfpflicht vollzogen werden kann, ist es notwendig, dass die Gesundheitsbehörden Kenntnis darüber erlangen, welche Personen nicht oder nicht ausreichend immunisiert sind. Hierbei handelt es sich um Personen, für die am Impfstichtag weder eine Impfung noch das Bestehen einer Ausnahme im Zentralen Impfregister gespeichert ist und die auch keine bestätigte Infektion mit SARS-CoV-2 vorweisen können. Zur Erhebung dieser Personen ist ein Datenabgleich zwischen dem Zentralen Melderegister (ZMR) und dem Zentralen Impfregister vorgesehen.

Aus datenschutzrechtlicher Sicht ist festzuhalten, dass es sich bei den oben genannten Informationen regelmäßig um Gesundheitsdaten gemäß Art. 4 Z 15 DSGVO handelt. Diese gelten gemäß Art. 9 Abs. 1 DSGVO als besondere Kategorie personenbezogener Daten und dürfen ausschließlich in den in Art. 9 Abs. 2 DSGVO genannten Fällen verarbeitet werden. Mit Geltung des Bundesgesetzes über die Impfpflicht gegen COVID-19 (COVID-19-Impfpflichtgesetz – COVID-19-IG) soll somit eine Rechtsgrundlage für die Datenverarbeitung im Sinne von Art. 6 Abs. 1 lit. c und Art. 9 Abs. 2 DSGVO geschaffen werden. Eine solche Rechtsgrundlage ist notwendig, um die vorgesehene Erhebung der zum Impfstichtag nicht ausreichend immunisierten Personen – und somit die Verarbeitung von Gesundheitsdaten – zu Zwecken der Information und verwaltungsstrafrechtlichen Verfolgung zu ermöglichen.

Die Datenschutzbehörde hat zum genannten Entwurf am 3. Jänner 2022 aus Sicht ihres Wirkungsbereiches eine Stellungnahme (92147/SN) abgegebenen. Diese kann über die verlinkte Webseite abgerufen werden. Zusammengefasst hat die Datenschutzbehörde angeregt, nachstehende Punkte zu überarbeiten:

• Es ist kein konkreter Ausnahmetatbestand des Art. 9 Abs. 2 DSGVO angeführt. In den Erläuterungen sollte klar hervorkommen, welche der abschließenden Ausnahmebestimmungen des Art. 9 Abs. 2 DSGVO in Anspruch genommen werden.
• Es wäre im Gesetzestext jeweils selbst festzulegen, hinsichtlich welcher konkreten Datenkategorien eine Verarbeitung erfolgen soll (z.B. konkrete Angabe, jener Daten(kategorien), welche zum Zweck der Einleitung eines Verfahrens zu übermitteln sind).
• Im Zuge des Datenabgleichs werden neben dem verschlüsselten bereichsspezifischen Personenkennzeichen Gesundheit (vbPK-GH) und dem bereichsspezifischen Personenkennzeichen Gesundheit (bPK-GH) auch der Name, das Geschlecht und das Geburtsdatum übermittelt. Nach Ansicht der Datenschutzbehörde sind Personen bereits durch das vbPK-GH bzw. das bPK-GH ausreichend identifizierbar.
• Der für das Gesundheitswesen zuständige Bundesminister kann sich künftig der ELGA GmbH als Auftragsverarbeiterin bedienen. Eine gesetzliche Anordnung entbindet jedoch nicht davon, einen Aufragsverarbeitungsvertrag abzuschließen.
• Es ist nicht ersichtlich, weshalb eine Datenschutz - Folgenabschätzung entfällt.

Leitlinien des Europäischen Datenschutzausschusses über das Zusammenspiel zwischen der Anwendung von Artikel 3 und den Bestimmungen über internationale Übermittlungen gemäß Kapitel V der DSGVO [1]

Mag. Katharina Mayrhofer

Der Europäische Datenschutzausschuss (EDSA) hat am 18. November 2021 die Leitlinien über das Zusammenspiel zwischen der Anwendung von Art. 3 und den Bestimmungen über internationale Übermittlungen gemäß Kapitel V der DSGVO angenommen. [2]
Bei der Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen sind gemäß Art. 44 DSGVO - zusätzlich zu den sonstigen Bestimmungen der DSGVO - die in Kapitel V dargelegten Bedingungen einzuhalten. Eine „internationale Übermittlung“ kann bei Vorliegen eines Angemessenheitsbeschlusses der Europäischen Kommission gemäß Art. 45 DSGVO - in Ermangelung eines solchen – bei Vorhandensein geeigneter Garantien entsprechend Art. 46 DSGVO oder in Ausnahmefällen unter den Bedingungen des Art. 49 DSGVO als zulässig angesehen werden. Kapitel V zielt darauf ab, eine Verminderung des durch die DSGVO gewährleisteten Schutzniveaus hintanzuhalten.
Der DSGVO ist keine Definition der „Übermittlung personenbezogener Daten in ein Drittland oder eine internationale Organisation“ zu entnehmen. Der EDSA hat daher in den gegenständlichen Leitlinien drei kumulative Kriterien identifiziert, bei deren Vorliegen eine Verarbeitung als „Übermittlung“ zu qualifizieren ist:
1. Der Verantwortliche oder Auftragsverarbeiter [in weiterer Folge: Exporteur] unterliegt im Hinblick auf die konkrete Verarbeitung der DSGVO. Der EDSA betont, dass Exporteure ohne Niederlassung in der EU gleichermaßen umfasst sind (vgl. Art. 3 Abs. 2 DSGVO).
2. Der Exporteur stellt einem anderen Verantwortlichen, einem gemeinsamen Verantwortlichen oder einem Auftragsverarbeiter [in weiterer Folge: Importeur] personenbezogene Daten, die Gegenstand der Verarbeitung sind, durch Übermittlung oder auf andere Weise zur Verfügung. Sohin liegt nach den Ausführungen des EDSA keine „Übermittlung“ vor, wenn eine betroffene Person ihre Daten direkt an einen Empfänger weitergibt. Als Beispiel wird in diesem Zusammenhang eine Bestellung in einem Onlineshop genannt. Der EDSA hebt zudem hervor, dass bei einer „Übermittlung“ jeweils zwei voneinander verschiedene Beteiligte agieren. Wenn etwa ein Arbeitnehmer für ein Meeting in ein Drittland reist und auf dem Dienstlaptop auf personenbezogene Daten zugreift, stellt dieser Vorgang keine „Übermittlung“ dar, zumal dieser Verarbeitungsvorgang dem Arbeitgeber als datenschutzrechtlich Verantwortlichen zuzurechnen ist. Dementgegen weist der EDSA darauf hin, dass eine „Übermittlung“ von Daten an ein Drittland auch dann vorgenommen wird, wenn ein Auftragsverarbeiter, der unter den Anwendungsbereich der DSGVO fällt, für einen Verantwortlichen tätig wird, der nicht unter die DSGVO fällt.
3. Der Importeur befindet sich in einem Drittland oder ist eine internationale Organisation. Unbeachtlich ist dabei, ob der Importeur im Hinblick auf die konkrete Verarbeitung der DSGVO unterliegt oder nicht.
Sind alle drei Kriterien erfüllt, kommt Kapitel V der DSGVO – unbeschadet des Art. 3 DSGVO - zur Anwendung. Die Leitlinien des EDSA schaffen somit Klarheit über den Anwendungsbereich der DSGVO im Zusammenhang mit internationalem Datentransfer.

2021-0.857.225 ( D196.020) Zurückweisung eines Antrags auf Verhaltensregeln (keine „Ein-Unternehmen-Verhaltensregeln“)
Mit Bescheid vom 9. Dezember 2021 setzte sich die Datenschutzbehörde mit der Zulässigkeit eines Antrags auf Genehmigung von Verhaltensregeln für einen Universaldienstbetreiber auseinander („Universaldienstbetreiber-CoC“). Der Antrag wurde vom Universaldienstbetreiber selbst gestellt.
Zu den Voraussetzungen eines Antrags auf Genehmigung von Verhaltensregeln war zunächst festzuhalten, dass dieser nach dem Wortlaut von Art. 40 Abs. 2 und Abs. 5 DSGVO nur von Verbänden und anderen Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, gestellt werden kann. Es ist demnach ausgeschlossen, dass ein einzelnes Unternehmen (stellvertretend für eine Branche) einen solchen Antrag stellt.
Darüber hinaus ist es dem Konzept von datenschutzrechtlichen Verhaltensregeln fremd, dass diese im Ergebnis ausschließlich für ein einzelnes Unternehmen – also dem aktuellen Universaldienstbetreiber in Österreich – Geltung haben. Aus dem Wortlaut von Art. 40 Abs. 2 DSGVO ergibt sich, dass Verhaltensregeln für mehrere Unternehmen von Relevanz sein müssen. Dies kommt auch in ErwGr 98 der Verordnung zum Ausdruck, wonach bei der Ausarbeitung von Verhaltensregeln den „besonderen Bedürfnissen der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen ist“.
Dem Vorbringen des Antragstellers, dass es in Zukunft auch weitere Unternehmen
gemäß § 12 PMG geben könnte, war zu entgegnen, dass es zum maßgeblichen Entscheidungszeitpunkt der Datenschutzbehörde nur einen Universaldienstbetreiber in Österreich gibt und dass dieser nicht befugt ist, mögliche weitere Universaldienstbetreiber zu vertreten.
Nach Auffassung der Datenschutzbehörde sind Verhaltensregeln, die nur für ein Unternehmen Geltung haben, nicht mit den Vorgaben der DSGVO vereinbar. Dem genannten Universaldienstbetreiber ist die Teilnahme an datenschutzrechtlichen Verhaltensregeln dadurch nicht verwehrt, da er sich (bestehenden oder zukünftigen) Verhaltensregeln unterwerfen kann, die für seine Tätigkeitsbereiche relevant sind.
Im Ergebnis war der Antrag bescheidmäßig zurückzuweisen. Dieser Bescheid ist nicht rechtskräftig.

2020-0.591.897 (D124.422) Aufzeichnung von Kundenanruf durch Bank
Der Beschwerdeführer sah sich durch die Aufzeichnung seines Kundenanrufs (ohne Opt-out-Option) durch eine Bank in seinem Grundrecht auf Geheimhaltung verletzt. Diese Aufzeichnungen betrafen alle Kundenhotlines (einschließlich einer solchen für Wertpapiergeschäfte) und die Festnetznummern aller Filialen der Bank, ausgenommen waren jedoch persönliche (Mobilfunk-) Rufnummern einzelner Kundenbetreuer.
Die Bank berief sich auf ihre gesetzlichen Pflichten als Zahlungs- (§ 66 Abs. 1 ZaDiG 2018) und Wertpapierdienstleister (§ 33 Abs. 2 bis 4 WAG 2018, Art. 16 Abs. 6 und 7 MIFID II-Richtlinie).
Die DSB hat der Beschwerde Folge gegeben. Aus dem ZaDiG 2018 könne keine Aufzeichnungspflicht abgeleitet werden, die über die Authentifizierung von Telefonbankingaufträgen hinausreiche. WAG 2018 und MIFID II würden eine Aufzeichnungspflicht für Telefonate „in Bezug auf Kundenaufträge“ ausdrücklich vorsehen. Beide Tatbestände trafen auf den Anruf des Beschwerdeführers jedoch nicht zu. Die Bank hätte daher ihre Organisation so einrichten müssen, dass Telefongespräche, die unter eine Aufzeichnungspflicht fallen, von anderen Kundengesprächen getrennt geführt werden. Dies auch deshalb, weil die Aufzeichnung ohnehin nicht lückenlos jedes Kundentelefonat umfasste. Die Datenverarbeitung war daher überschießend (Verstoß gegen den Grundsatz der Datenminimierung).
Der Bescheid ist beim BVwG angefochten worden und daher nicht rechtskräftig.

2021-0.790.607 (D213.1166) Abweisung eines Antrages auf Feststellung der Parteistellung
Die Datenschutzbehörde hat mit Bescheid vom 8. Februar 2021, GZ D213.1166, 2020-0.849.832, in einem amtswegigen Prüfverfahren gegen einen als Körperschaft des öffentlichen Rechtes eingerichteten Wasserverband ausgesprochen, dass die Datenverarbeitung durch intelligente Wasserzähler mangels Rechtsgrundlage unrechtmäßig erfolgt. Dieser Bescheid ist nicht rechtskräftig.
Nach Bescheiderlassung richteten zwei Unternehmen einen Antrag auf Feststellung ihrer Parteistellung an die Datenschutzbehörde. Einer der Antragsteller stellt die genannten Wasserzähler her; der andere vertreibt, installiert und betreibt sie.
Gegenständlich kam die Datenschutzbehörde zu dem Ergebnis, dass den Antragstellern keine Parteistellung zusteht: Das amtswegige Prüfverfahren wurde ausschließlich gegen den datenschutzrechtlichen Verantwortlichen geführt und der Bescheid gegenüber diesem erlassen. Den Antragstellern war zwar ein wirtschaftliches Interesse zuzuerkennen, welches jedoch unter Heranziehung des in § 8 AVG statuierten Parteibegriffs sowie der materienspezifischen Regelungen zur datenschutzrechtlichen Rollenverteilung eine Parteistellung nicht zu begründen vermochte. Überdies kommt entsprechend der öffentlich-rechtlichen Judikatur nur dem Adressaten eines aufsichtsbehördlichen Bescheides Parteistellung zu, nicht aber Dritten.
Dieser Bescheid ist nicht rechtskräftig.

BVwG-Erkenntnis vom 19.11.2021, GZ: W211 2236448-1/11E
Mit diesem Erkenntnis bestätigte das BVwG ein Straferkenntnis der Datenschutzbehörde dem Grunde nach, reduzierte jedoch die verhängte Geldstrafe.
Die Datenschutzbehörde verhängte eine Geldbuße wegen unrechtmäßiger Verarbeitung personenbezogener Daten. Der Verantwortliche lud einen - von ihm aufgezeichneten - Verkehrsunfall auf der Plattform „Youtube“ hoch. Auf diesem Video waren die Kennzeichen eines Unfallbeteiligten sowie unbeteiligter Fahrzeuge zu erkennen. Der Verantwortliche führte ins Treffen, dass er das Video per Link an das Innenministerium als Beweismittel schicken wollte.
Das BVwG stellte zwar fest, dass das Video auf Youtube als „privat“ hochgeladen wurde. Es handelt sich jedoch dennoch um eine Verarbeitung (Offenlegung durch Verbreitung). Die Verarbeitung war im Ergebnis nicht erforderlich, da nicht das gelindeste Mittel. Das Video hätte auch mittels einer DVD an das Innenministerium übermittelt werden können. Die Kennzeichen hätten zudem unkenntlich gemacht werden müssen.
Das BVwG hielt darüber hinaus fest, dass der Spruch im Straferkenntnis in Bezug auf den Tatort (Hauptwohnsitz, jedoch jedenfalls in Österreich) ausreichend bestimmt ist. Es lagen keine Hinweise vor, dass die Tathandlung nicht in Österreich gesetzt wurde. Die konkrete Bezeichnung eines Ortes im Bundesgebiet war für die Wahrung der Verteidigungsrechte des Beschuldigten nicht erforderlich und es besteht auch keine Gefahr der Doppelbestrafung.
Die Strafe wurde reduziert, weil kein Vorsatz, sondern Fahrlässigkeit vorlag.
Das BVwG erklärte die Revision für zulässig.

Die DSB hat zu folgenden Gesetzesvorhaben eine Stellungnahme abgegeben:

• Bundesgesetz, mit dem das Arzneimittelgesetz und das Gentechnikgesetz geändert werden
• Bundesgesetz, mit dem ein Sterbeverfügungsgesetz erlassen und das Suchtmittelgesetz sowie das Strafgesetzbuch geändert werden
• COVID-19-Impfpflichtgesetz
• Ökosoziales Steuerreformgesetzes 2022 Teil 1
• Ökosoziale Steuerreform Teil II Klimabonus
• Gesetzesentwurf zum Gemeinde-Wasserleitungsgesetz NÖ
• Entwurf eines Bundesgesetzes, mit dem das E Government-Gesetz geändert wird

Folgende neue Mitarbeiter nahmen ihre Tätigkeit in der DSB auf:

Herr Said Neubauer und Herr Izzet Ünlü arbeiten in den Teams des Sekretariats und der Kanzlei.
Herr Sebastian Weny und Herr Robert Hartmann verstärken seit Jänner 2022 die juristischen Teams zur Führung der nationalen Verfahren.


Folgende Mitarbeiterinnen und Mitarbeiter beendeten ihre Tätigkeit in der DSB:

Katharina Rutner, Tatjana Zsalacz, Mag. Herwig Zaczek