Liebe Leserinnen und Leser!

Das digitale COVID-Zertifikat der EU – rechtliche Grundlagen

Dr. Andreas Zavadil und LL.M (WU) Maximilian Macho

Die Europäische Kommission hat am 17. März 2021 einen Legislativvorschlag zur Schaffung eines gemeinsamen Rahmens für ein digitales COVID-Zertifikat (ursprünglich: „Grünes Zertifikat“) angenommen. Der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte haben in der Joint Opinion 4/2021 – die unter anderem auch unter Beteiligung Österreichs verfasst wurde – eine Stellungnahme zu den datenschutzrechtlichen Aspekten des Vorschlags abgegeben. Nunmehr haben sich die EU-Staaten über die rechtlichen Grundlagen für die Ausstellung eines solchen Zertifikats geeinigt. Die Verordnung (EU) 2021/953 des Europäischen Parlaments und des Rates vom 14. Juni 2021 gilt vom 1. Juli 2021 bis (vorerst) 30. Juni 2022 und dient als Grundlage für die Ausstellung, Überprüfung und Anerkennung interoperabler COVID-19-Zertifikate.

Die genannte Verordnung verfolgt das Ziel, die Ausübung des Grundrechts auf Freizügigkeit – etwa durch Reisen innerhalb der EU – während der COVID-19-Pandemie wiederherzustellen, respektive zu erleichtern. Unter Berücksichtigung von fundierten wissenschaftlichen Erkenntnissen soll in Form von digitalen Zertifikaten ein einheitlicher und EU-weit anerkannter Standard geschaffen werden, um nachzuweisen, dass von Personen eine geringe epidemiologische Gefahr ausgeht. Das COVID-Zertifikat der EU ist nicht mit dem nationalen „Grünen Pass“ zu verwechseln. Letzterer wurde durch die Novelle des Epidemiegesetzes 1950 und das COVID-19-Maßnahmengesetz, BGBl. I Nr. 100/2021 eingeführt und dient zum aktuellen Zeitpunkt (nur) als Nachweis für eine geringe epidemiologische Gefahr, um bestimmte Orte innerhalb Österreichs betreten zu können.

Konkret bestehen die COVID-Zertifikate aus drei Kategorien: Impfzertifikat (Art. 5), Testzertifikat (Art. 6) sowie Genesungszertifikat (Art. 7). Eine geringe epidemiologische Gefahr kann somit durch den Nachweis erbracht werden, dass eine Person geimpft, (negativ) getestet oder genesen ist („3-G-Regel“). Im Anhang zur Verordnung befindet sich eine taxative Auflistung jener Datensätze, die in den entsprechenden Zertifikaten verarbeitet werden dürfen. So sind etwa im Impfzertifikat u.a. die Datenfelder Name, Geburtsdatum, COVID-19-Impfstoff oder -Prophylaxe und das Datum der Impfung anzugeben.

Aus datenschutzrechtlicher Sicht ist festzuhalten, dass mit Geltung der Verordnung (EU) 2021/953 die Rechtsgrundlage für die Datenverarbeitung im Sinne von Art. 6 Abs. 1 lit. c und Art. 9 Abs. 2 lit. g DSGVO geschaffen wurde. Eine solche Rechtsgrundlage ist notwendig, um die Ausstellung und Überprüfung der Zertifikate – und somit die Verarbeitung von Gesundheitsdaten – zu ermöglichen. Der Schutz personenbezogener Daten wird spezifisch in Art. 10 der oben angeführten Verordnung angesprochen, der – vereinfacht formuliert – insbesondere Vorgaben hinsichtlich Zweckbindung, Datenminimierung und Speicherdauer enthält. So dürfen die personenbezogenen Daten ausschließlich zum Zweck des Abrufs und der Überprüfung der im Zertifikat enthaltenen Informationen verarbeitet werden, um die Ausübung des Rechts auf Freizügigkeit innerhalb der Union während der COVID-19-Pandemie zu erleichtern, und dürfen diese nach Ende der Geltungsdauer der Verordnung nicht mehr verarbeitet werden.

Bemerkenswert ist, dass die näheren technischen Spezifikationen gemäß Art. 9 durch die Kommission in Form von Durchführungsrechtsakten erlassen werden. Allerdings enthält Art. 9 grundsätzliche Rahmenbedingungen für diese Vorschriften: Demnach muss die Sicherheit der personenbezogenen Daten unter Berücksichtigung der Art der Daten gewährleistet werden, womit die Anforderungen an die Datensicherheit nach Art. 5 Abs. 1 lit. f und Art. 32 DSGVO gemeint sind. Darüber hinaus müssen u.a. Funktionalität, Interoperabilität sowie Barrierefreiheit gewährleistet sein.

In der Praxis funktioniert das Zertifikat in der Form, dass ein QR-Code entweder elektronisch (z.B. am Smartphone, Tablet) oder in gedruckter Form vorgewiesen werden kann. Das Zertifikat besteht außerdem aus einer über EU-Gateway verifizierten digitalen Signatur zur Vorbeugung von Fälschungen. Die ausstellenden Stellen (z.B. Krankenhäuser, Testzentren oder Gesundheitsbehörden) haben ihren eigenen digitalen Signaturschlüssel. Bei einer Kontrolle werden QR-Code und Signatur überprüft. Sämtliche Schlüssel sind EU-weit in einer sicheren Datenbank gespeichert. Die EU-Kommission hat für die Überprüfung eine Schnittstelle eingerichtet, über die alle Zertifikat-Signaturen EU-weit überprüft werden können. Hierbei werden keine personenbezogenen Daten des Zertifikat-Inhabers übermittelt, da dies für die Überprüfung der elektronischen Signatur nicht erforderlich ist. Vor dem Online-Start wurde das Gateway von mehr als 20 Mitgliedstaaten und von Island erfolgreich getestet. Die genauen technischen Spezifikationen wurden vom eHealth-Netz veröffentlicht und sind online abrufbar.

Abschließend ist festzuhalten, dass das Datenschutzrecht kein Hindernis für die Umsetzung des oben beschriebenen Vertrauensrahmens für COVID-19-Zertifikate ist. Die Einhaltung der datenschutzrechtlichen Vorgaben ist – im Gegenteil – eine notwendige Voraussetzung für den Erfolg. Die Bevölkerung muss darauf vertrauen können, dass Gesundheitsdaten sicher verarbeitet und vertraulich behandelt werden, da das Vorhaben ansonsten auf keine Akzeptanz stoßen wird.

2021-0.404.151 (D124.4082), Unerlaubte Einsichtnahme in den elektronischen Impfpass

Im Bescheid vom 10. Juni 2021 GZ: 2021-0.404.151, hatte sich die DSB mit dem Vorwurf der unerlaubten Einsichtnahme einer Ärztin in den elektronischen Impfpass einer Betroffenen zu befassen.

Die Beschwerdegegnerin ist niedergelassene Ärztin und betreibt eine Ordination. Die Beschwerdegegnerin und die Beschwerdeführerin sind einander bekannt, da die Schwägerin der Beschwerdeführerin Mitarbeiterin der Beschwerdegegnerin ist. Die Mitarbeiterin der Beschwerdegegnerin teilte der Beschwerdegegnerin mit, dass am Wochenende eine Familienfeier geplant sei. Daraufhin nahm die Beschwerdegegnerin in den elektronischen Impfpass zu Daten der Beschwerdeführerin Einsicht.

Rechtfertigend führte die Beschwerdegegnerin aus, dass es ihr seit Beginn der Pandemie gelungen sei, Covid-19 Infektionen aus der Ordination fern zu halten. Nachdem mittlerweile bekannt sei, dass gehäuft Cluster nach Familienfeiern auftreten, habe sie für sich und ihre Mitarbeiterin durch die Abfrage des Impfpasses eine Risikoabschätzung durchgeführt. Die Beschwerdegegnerin stützte sich daher auf ein überwiegendes berechtigtes Interesse.

Bei den eingesehenen Daten handelt es sich jedoch um Gesundheitsdaten gemäß Art. 4 Z 15 DSGVO. Diese gelten gemäß Art. 9 Abs. 1 DSGVO als besondere Kategorie personenbezogener Daten und dürfen ausschließlich in den in Abs. 2 DSGVO genannten Fällen verarbeitet werden. Im Vergleich zu den Rechtfertigungstatbeständen des Art. 6 Abs. 1 DSGVO, fehlen die Zulässigkeitstatbestände der „Verarbeitung im berechtigten Interesse des Verantwortlichen oder eines Dritten“ (Art. 6 Abs. 1 lit. f DSGVO) und der „Verarbeitung zur Vertragserfüllung“ (Art.6 Abs.1 lit. b DSGVO).

Da der in Art. 6 Abs. 1 lit. f DSGVO befindliche Rechtfertigungsgrund nicht von Art. 9 Abs. 2 DSGVO umfasst ist, war die Berufung auf diesen Ausschlussgrund konsequenterweise unzulässig. Der Beschwerde wurde daher stattgegeben und festgestellt, dass die Beschwerdeführerin in ihrem Recht auf Geheimhaltung verletzt wurde.

Dieser Bescheid ist nicht rechtskräftig.

2021-0.119.956 (D124.1965), Das Recht auf Auskunft (Art. 15 DSGVO) umfasst zwar nicht die Übersendung von Akten, jedoch ein Recht auf die Beauskunftung der gesundheitsbezogenen Daten in Patientenakten

Die Beschwerdeführerin erhob Beschwerde gegen die Stadt Wien, vertreten durch die MA 63 und behauptete im Recht auf Auskunft verletzt zu sein, da ihr ihre gesundheitsbezogenen Daten (Patientenakten, Diagnosen, Untersuchungsergebnisse etc.) aus ihren Krankenhausaufenthalten nicht beauskunftet wurden. Die Beschwerdeführerin berief sich insbesondere auf ErwG. 63, 2. Satz DSGVO.
Die Beschwerdegegnerin führte aus, dass nach der DSGVO kein Recht bestehe, alle Pateientenakten vollinhaltlich als Kopie zu übermitteln. Darüber hinaus sei eine Kopie der Krankengeschichte gegen Kostenersatz gemäß § 17a Abs. 2 lit. g Wr. KAG möglich. Art. 15 DSGVO werde von den spezielleren Rechten aus dem Wr. KAG verdrängt, welche ihre europarechtlichen Fundierungen in der RL 2011/24/EU habe.

Die Datenschutzbehörde gab der Beschwerde statt und stellte eine Verletzung im Recht auf Auskunft fest, da sich in der Auskunft der Beschwerdegegnerin lediglich die Namen der Akten/Befunde und Therapien mit Datum befanden. Aus Art. 15 iVm. ErwGr. 63 2 Satz DSGVO lasse sich zwar kein Anspruch auf (kostenfreie) Herausgabe ganzer Dokumente ableiten, jedoch ein Anspruch auf die gesundheitsbezogenen Daten in Patientenakten, also Informationen wie beispielweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte und Angaben zu Behandlungen oder Eingriffen.

Im Übrigen derogiert § 17a Abs. 2 lit.g Wr. KAG den Art. 15 DSGVO nicht, da die RL 2011/24/EU auf die RL 95/46/EG (nunmehr DSGVO) verweist, welche für die Verarbeitung personenbezogener Daten maßgeblich ist und das Wr. KAG kein spezielleres Auskunftsrecht ohne Kostenersatz normiert.

Dieser Bescheid ist rechtskräftig.

2021-0.017.641 (D124.2337) Überschießende Akteneinsicht im Rahmen eines Ermittlungsverfahrens der Staatsanwaltschaft

Mit Bescheid vom 11. März 2021 bejahte die Datenschutzbehörde abermals ihre Zuständigkeit gegenüber Staatsanwaltschaften und führte weitergehend aus, dass auch die einfachgesetzlichen Bestimmungen der StPO im Lichte der Verfassungsbestimmung des

§ 1 DSG sowie der unionsrechtlichen Datenminimierungspflicht auszulegen seien.

Ausgangspunkt des Beschwerdeverfahrens war ein einheitlich geführtes Ermittlungsverfahren, im Rahmen dessen die zuständige Staatsanwaltschaft dem Zweitbeschuldigten antragsgemäß vollständige Akteneinsicht (§ 51 StPO) gewährte. Dies beinhaltete unter anderem ein medizinisches Gutachten, welches aufgrund eines der Erstbeschuldigten vorgeworfenen Körperverletzungsdeliktes erstellt worden war, dabei jedoch in keinerlei sachlichem Zusammenhang mit der Tat des Zweitbeschuldigten stand. Die Datenschutzbehörde gab der infolgedessen erhobenen Beschwerde der Erstbeschuldigten wegen Verletzung im Recht auf Geheimhaltung statt und führte begründend aus, dass auch Datenverarbeitungen durch zuständige Strafverfolgungsbehörden ungeachtet einer gesetzlichen Grundlage stets auf ihre Verhältnismäßigkeit (Datenminimierungspflicht) zu prüfen seien.

Der Bescheid ist nicht rechtskräftig.

2020-0.436.002 (D124.909), Einstufungen von Betroffenen in Geo_Milieus zum Zwecke des strategischen Marketings sind ein Profiling iS von Art. 4 Z 4 DSGVO; eine Auskunftserteilung hat gemäß Art. 15 Abs. 1 lit. h DSGVO zu erfolgen und sollte die Eingangsvariablen, deren Gewichtung und eine Erklärung, weshalb Betroffenen ein bestimmtes Bewertungsergebnis zugeordnet wird, oder gleichwertige Informationen beinhalten, um dem Betroffenen die Rechte auf Richtigstellung und Löschung zu ermöglichen

Im Bescheid vom 8. September 2020, GZ: DSB-D124.909, 2020-0.436.002 hatte sich die Datenschutzbehörde mit dem Umfang eines Auskunftsanspruchs im Rahmen der sogenannten Geo_Milieus auseinanderzusetzen. Geo_Milieus sind, vereinfacht gesprochen, Einstufungen von Personen, basierend auf einer Wahrscheinlichkeitsrechnung zum Zwecke des strategischen Marketings. Derartige Einstufungen sind u.a. „Wahrscheinlichkeitswert_konservative“ (beschrieben als „Stark von christlichen Wertvorstellungen geprägt, hohe Wertschätzung von Bildung und Kultur, kritisch gegenüber aktuellen gesellschaftlichen Entwicklungen“) oder „Wahrscheinlichkeitswert_hedonisten“ (beschrieben als „Die momentbezogene, erlebnishungrige untere Mitte: Leben im Hier und Jetzt, Suche nach Spaß und Unterhaltung; Verweigerung von Konventionen der Mehrheitsgesellschaft“).

Der Beschwerdeführer hatte zwar Auskunft zu den - ihm zugeordneten - Wahrscheinlichkeitswerten und den Beschreibungen der zugeordneten Geo_Milieus erhalten, jedoch keine Angaben darüber, aufgrund welcher Parameter bspw. der „Wahrscheinlichkeitswert_konservative“ bei ihm 2,03% und der Wahrscheinlichkeitswert_hedonisten 9,28 % betrug. Der Beschwerdeführer relevierte daher eine unvollständige Auskunft, da der Adressverlag unter Berufung auf Betriebs- und Geschäftsgeheimnisse sich weigerte, nähere Auskunft zur Errechnung der Werte zu erteilen.

Die Datenschutzbehörde stellte zunächst fest, dass es sich bei Errechnung und Zuordnung der Geo_Milieus Wahrscheinlichkeiten um ein Profiling gemäß Art. 4 Z 4 DSGVO handelt, da im Rahmen einer automatisierten Verarbeitung insbesondere Aspekte bezüglich wirtschaftlicher Lage, persönlicher Vorlieben und Interessen eines Betroffenen analysiert, segmentiert und diesbezügliche Wahrscheinlichkeitswerte errechnet wurden.

Da Art. 15 Abs. 1 lit. h DSGVO vorsieht, dass bei Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person zu erteilen sind, weiters Art. 15 Abs. 1 lit. h DSGVO die spezifischen Auskunftsrechte nicht abschließend auf Art. 22 Abs. 1 und 4 DSGVO beschränkt, sondern diese Rechte durch das Wort zumindest („at least“) auch auf andere Fälle ausgedehnt sehen will, hat die Datenschutzbehörde eine Auskunftserteilung zum Zustandekommen der Geo_Milieus gemäß Art. 12 Abs. 1 iVm 15 Abs. lit. h DSGVO angeordnet. Es ist Betroffenen nur durch eine Auskunftserteilung letztlich der Eingangsvariablen, deren Gewichtung und einer Erklärung, weshalb Betroffenen ein bestimmtes Bewertungsergebnis zugeordnet wird, möglich, dass diese ihre Betroffenenrechte auf Richtigstellung und Löschung wahrnehmen können.

Demgegenüber treten auch Geschäfts- und Betriebsgeheimnisse des Adressverlages in den Hintergrund, da die im Verfassungsrang (§ 1 Abs. 3 DSG) stehenden bzw. auf EU-Primärrecht (Art. 8 EU-GRC) basierenden Rechte auf Auskunft und Richtigstellung gewichtiger zu bewerten und Ausnahmen der von den allgemeinen Bestimmungen der DSGVO eng auszulegen sind (vgl. EuGH C-311/18).

Das Begehren auf Offenlegung der vollständigen Berechnungsmethodik – wie vom Beschwerdeführer ebenfalls verlangt – wurde hingegen abgewiesen. Art. 15 Abs. 1 lit. h DSGVO spricht lediglich von „aussagekräftigen Informationen zur involvierten Logik und deren Auswirkungen“, nicht aber von der involvierten Logik selbst.

Dieser Bescheid ist rechtskräftig.

2021-0.258.447 (DSB-D124.2651), Entfernung des Personenbezugs als Mittel zur Löschung

Mit Bescheid vom 16. April 2021, GZ: 2021-0.258.447 hatte sich die Datenschutzbehörde mit einer Beschwerde gegen eine Immobilientreuhänderin wegen einer Verletzung im Recht auf Löschung auseinanderzusetzen.

Der Beschwerdeführer hatte mehrfach die Löschung seiner Daten begehrt, da er keine weiteren Zusendungen von der Beschwerdegegnerin erhalten wollte. Die Beschwerdegegnerin änderte dessen Namen in ihrer Personendatenbank auf Max Mustermann, ersetzte seine Anschrift mit einem Platzhalter, fügte zur Adresse einen Vermerk ein, wonach zu dieser Liegenschaft kein Grundbuchauszug mehr einzuholen sei und löschte sämtliche Korrespondenz mit diesem. Die Beschwerdegegnerin wandte sich jedoch neuerlich mit einem Schreiben zwecks Liegenschaftsakquise an den Beschwerdeführer.

Die DSGVO enthält keine Definition des Begriffs von Löschung iSv Art. 17 DSGVO und kommt die Entfernung des Personenbezugs grundsätzlich als Mittel zur Löschung in Betracht, jedoch muss eine Identifizierbarkeit auch unter Heranziehung zusätzlicher Mittel ausgeschlossen sein (vgl. ErwGr 26 DSGVO). Dies war gegenständlich nicht gegeben, konnte durch eine Grundbuchabfrage der Personenbezug doch wiederhergestellt werden. Überdies befand die Datenschutzbehörde die wiederholte Kontaktaufnahme zur Liegenschaftsakquise im Lichte ihrer Rsp als unrechtmäßig, weshalb der Tatbestand des Art. 17 Abs. lit. d DSGVO als erfüllt zu betrachten war und der Beschwerde stattgegeben wurde.

Der Bescheid ist nicht rechtskräftig.

Die DSB hat zu folgenden Gesetzesvorhaben eine Stellungnahme abgegeben:

• Entwurf eines Bundesgesetzes, mit dem das Bundes-Verfassungsgesetz, das Rechnungshofgesetz 1948 und das Verfassungsgerichtshofgesetz 1953 geändert und ein Informationsfreiheitsgesetz erlassen werden
• Unterbringungsgesetz- und IPR-Gesetz-Novelle 2021
• Bundesgesetz, mit dem das Polizeiliche Staatsschutzgesetz, das Sicherheitspolizeigesetz, das Strafgesetzbuch, die Strafprozessordnung 1975 und das Tilgungsgesetz 1972 geändert werden
• Kartell- und Wettbewerbsrechts-Änderungsgesetz 2021
• AWG-Novelle Kreislaufwirtschaftspaket
• Bundesgesetz, mit dem das Unternehmensserviceportalgesetz - USPG geändert wird
• Änderung des Vereinsgesetzes 2002 und des Waffengesetzes 1996
• Bundesgesetz, mit dem das Epidemiegesetz 1950 und das COVID-19-Maßnahmengesetz geändert werden
• Transparenzdatenbank - Abfrageverordnung 2021
• Novelle des Luftfahrtgesetzes
• Bundesgesetz, mit dem das Ausschreibungsgesetz 1989 geändert wird
• Änderung des Bauarbeiter-Urlaubs- und Abfertigungsgesetzes
• Bundesgesetz, mit dem das Bundesgesetz betreffend Medizinprodukte 2021 (Medizinproduktegesetz 2021 – MPG 2021) erlassen und das Gesundheits- und Ernährungssicherheitsgesetz - GESG geändert wird

Folgende neue Mitarbeiterinnen und Mitarbeiter nahmen ihre Tätigkeit in der DSB auf:

Frau Tatjana Zsalacz kommt aus dem Burgenland und unterstützt seit April tatkräftig das Team der Kanzlei.

Herr Mag. Lukas Jessl studierte Rechtswissenschaften an der rechtswissenschaftlichen Fakultät Universität Wien - Juridicum und beschäftigte sich während des Studiums bereits mit dem Datenschutzrecht. Im Anschluss war er Rechtspraktikant im Gerichtssprengel des OLG Wien und unterstützt nun seit 1. April 2021 das Team der Juristinnen und Juristen der Datenschutzbehörde in den Bereichen nationales und internationales Verfahren.

Folgende Mitarbeiter beendeten ihre Tätigkeit in der DSB:

Herr Gregor Hechberger, Herr Mag. Petar Nenadovic, Herr Mag. Quentin Soyer