Bundesländer haben für Impfeinladungen Datenschutz missachtet

Datenschutzbehörde erklärt Datenverwendung für Impfeinladungen als rechtswidrig

Letztes Jahr wurden Impftermine an Ungeimpfte ausgeschickt. Die Datenschutzbehörde (DSB) erklärt nun, dass die Ämter der Bundesländer kein Recht hatten, auf die persönlichen Daten der Betroffenen zuzugreifen. Die uns bekannten Entscheidungen betreffen bis jetzt Tirol und Vorarlberg. Unten finden Sie eine dieser Entscheidungen (anonymisiert), in der Sie die Ansicht der DSB selbst nachlesen können.

Nicht zu verwechseln ist diese Entscheidung der DSB mit den Entscheidungen über jene Impfeinladungen, die der Dachverband der Sozialversicherungsträger (DVSV) ausschickte. Schon im Juli wies die DSB Beschwerden gegen den DVSV ab. Wir berichteten dazu am 25.07.: https://www.afa-zone.at/beitraege/impfeinladungen-beschwerden-vor-der-datenschutzbehoerde-abgewiesen/. Diese Abweisungen sind leicht erklärt: Der DVSV ist dazu berechtigt, auf die Daten zuzugreifen, die er zum Aussenden der Impfeinladungen brauchte (Wohnadresse, Impfstatus). Es ist im Gesetz vorgesehen, dass der DVSV Zugriff auf diese Daten hat. Ein Zugriff auf diese Daten durch Land, Stadt oder Gemeinden hingegen ist im Gesetz überhaupt nicht vorgesehen. Die Bundesländer hätten die Daten nicht verwenden dürfen. Abgesehen davon ist auch die Bedingung, dass die Verwendung der Daten „unbedingt notwendig“ sein muss, nicht erfüllt.

Im Zusammenhang mit den Beschwerden gegen den DVSV stellt sich die noch vom Bundesverwaltungsgericht zu klärende Frage, ob auch der Zweck dieser Datenverarbeitung vom Gesetz gedeckt ist.

Die nun gegen die Ämter der Landesregierungen vorliegenden Entscheidungen haben zwar bestätigt, dass die Datenverarbeitung unzulässig war. Sie haben aber den Antrag, dem Land (bzw. der Stadt, der Gemeinde) zu verbieten, die Daten in Zukunft zu verwenden, abgewiesen. Dies, weil sie davon ausgingen, dass die Daten nach der Verwendung ohnehin gelöscht wurden. Angesichts der neuerlich für den 4. Stich versandten Impfeinladungen stellt sich die Frage, ob diese Abweisung zu Recht erfolgt ist. Dabei muss man allerdings bedenken, dass es sich nicht mehr um dieselben Daten handeln dürfte, sondern um „upgedatete“. Das würde eine neuerliche rechtswidrige Datenübermittlung aus dem Zentralen Impfregister an Gebietskörperschaften bedeuten. Damit ginge ein Verbot, die (alten) Daten zu verwenden, möglicherweise ins Leere.

Schließlich hat die Datenschutzbehörde den Antrag, eine Strafe wegen der rechtswidrigen Datenverwendung zu verhängen, zurückgewiesen mit der Begründung, dass gegen Gebietskörperschaften keine Strafen für DSGVO-Verstöße verhängt werden dürften. Diese Ansicht ist durch die aktuelle Rechtslage in § 30/5 Datenschutzgesetz gestützt.

Dr. Christian Ortner

Über den Autor

Rechtsanwälte für Grundrechte

Wir haben uns als unabhängige, keiner politischen Partei oder Bewegung angehörige Rechtsanwälte/innen aus Anlass der infolge COVID-19 seit März 2020 gesetzten staatlichen Maßnahmen zum Schutz von Freiheit und Demokratie, des Rechtsstaates und seiner rechtsschutzsuchenden Bevölkerung vernetzt und auf dieser Plattform zusammengeschlossen.

17 Kommentar

  1. Dablander Kornelia

    Exakt den gleichen Wortlaut lese ich in meinem Bescheid. Bin in Tirol daheim. Allerdings wurde auf meine Frage im Beschwerdebrief, wie auf Daten im ELGA zugegriffen werden konnte, obwohl ich dort nicht registriert bin, nicht eingegangen!

    1. konny obermüller

      Es wurde eigens ein Impfregister angelegt, bei dem das Elga sozusagen umgangen worden ist. Also, das bedeutet, all jene, welche einst als Abgemeldete im Elga Register aufschienen wurden dann in das Impf-Register übertragen. Ohne Einverständniserklärung wurde dies durchgeführt.

      Ein paar Links zum Einlesen
      https://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2020_I_115/BGBLA_2020_I_115.pdfsig
      https://www.e-impfpass.gv.at/allgemeines/
      https://www.gesundheit.gv.at/news/aktuelles/aktuell-2020/pilotprojekt-e-impfpass.html
      https://fokus.genba.org/e-impfregister-und-e-impfpass
      https://www.sozialversicherung.at/cdscontent/?contentid=10007.864037&portal=svportal
      https://www.sozialversicherung.at/cdscontent/?contentid=10007.864545&portal=svportal
      https://www.sozialversicherung.at/cdscontent/?contentid=10007.867243&portal=svportal
      https://www.elga.gv.at/e-impfpass/faq-zum-e-impfpass/
      -https://www.oesterreich.gv.at/themen/gesundheit_und_notfaelle/elektronischer_impfpass.html

      Bemerkung: Ein Zugriff auf ELGA-Daten, ist auch sozusagen mittels einer „Goldenen Karte“ möglich, wenn insbesondere bei einer Konsultation in einer Arzt-Ordination die E-Card aus verschiedenen Gründen nicht vorgelegt werden konnte.

      Die Frage ist: Obliegt es der Selbstverantwortung sich zu informieren oder obliegt es der Verantwortung jeweiliger Institution vorzeitig zu informieren?

      Meine Meinung: Wenn etwas beschlossen wird, dann sollte dies zeitnah schriftlich übermittelt werden!

      1. stefan sabor

        Auch ich habe ein Schreiben bekommen, schon vor langer Zeit (bin aus Wien.) Eine Formlose Erinnerung mit „Impftermin“ (ein ganzer Tag.) Und ich bin auch nicht bei ELGA (dort sollte man mal nachfragen wie das denn geht, ist man jetzt abgemeldet oder nicht?)

    2. Erwin Polzhofer

      Bin ebenfalls von Elfer abgemeldet, trotzdem Impfeinladungen erhalten. Gleiche Beantwortung durch die DSB.

      1. konny obermüller

        Ergänzung obigen Kommentars

        Suche nach der Rechtsgrundlage
        Im Zuge der Recherche scheint auffällig, immer wiederkehrend der Wortlaut „Abmeldung vom e-Impfpass nicht vorgesehen“. Wie ist das zu verstehen? Sollte der Planung nicht nur ein Gesundheitsinteresse zugrunde liegen? So wurde im Parlament am 16. März 2020 das COVID-19-Maßnahmengesetz umgesetzt, dies sozusagen das Epidemiegesetz 1950 aushebelte. Und trotz neuester Erkenntnisse wurde das Epidemiegesetz 1950 noch nicht zurückgesetzt. Seit ca. Sommer 2020 werden im Rahmen der Corona-Virus-Situation Gesetze sozusagen kreiert, auch Änderungen im Arzneimittelgesetz wurden vorgenommen. Waren das intendierte Schritte zur Vorbereitung eines unauslöschlichen Registers? Im Vergleich zu ELGA obliegt den Menschen die Verantwortung, ob wer angemeldet sein möchte oder nicht. Schließlich betrifft es persönliche Daten, deren Schutz gewahrt werden muss!

        Verlauf der weiteren Recherche
        Elektronischer Impfpass … Entstehungsgeschichte …. Hauptzielsetzungen des Vorhabens eImpfpass. Zugriff am 13.09.2022. Verfügbar unter => https://www.oesterreich.gv.at/themen/gesundheit_und_notfaelle/elektronischer_impfpass.html

        Pilotprojekt e-Impfpass ist gestartet. 10.11.2020. Das Pilotprojekt zur Erprobung des elektronischen Impfpasses (e-Impfpass) startete Ende Oktober 2020 in den öffentlichen Impfstellen in Wien. Danach werden die Länder Niederösterreich und Steiermark folgen. Die Pilotphase umfasst die öffentlichen Impfstellen sowie ausgewählte niedergelassene Ärztinnen und Ärzte ….. Abmeldung vom e-Impfpass nicht vorgesehen. Eine Abmeldung vom elektronischen Impfpass hat der Gesetzgeber im öffentlichen Interesse an einer vollständigen Dokumentation nicht vorgesehen. Die Ärzteschaft wird unterschiedliche Zugangsmöglichkeiten zum e-Impfpass haben: Die Landessanitätsdirektionen Wien, Niederösterreich und Steiermark werden Impfungen mittels vollintegrierter Software dokumentieren. Niedergelassene Ärztinnen und Ärzte mit e-card-Anschluss haben die Möglichkeit Impfungen über das e-card-System zu erfassen. Ärztinnen und Ärzte, die über keinen eigenen e-card-Anschluss verfügen, wird eine österreichweite Erfassung der Impfdaten auf mobilen Geräten (Tablets) ermöglicht. Im Rahmen des Pilotprojekts wird der elektronische Impfpass evaluiert. Danach soll dieser schrittweise in ganz Österreich umgesetzt werden. Zugriff am 13.09.2022. Verfügbar unter => https://www.gesundheit.gv.at/news/aktuelles/aktuell-2020/pilotprojekt-e-impfpass.html

        Abmeldung vom e-Impfpass nicht möglich. (3ter Absatz). Zugriff am 13.09.2022. Verfügbar unter => https://www.elga.gv.at/news/

        Auch ELGA-Abgemeldete haben weiter einen elektronischen Impfpass. Jede Person mit einer österreichischen Sozialversicherungsnummer hat auch einen elektronischen Impfpass. Eine Abmeldung von diesem ist nicht möglich. Nur eine vollständige österreichweite Dokumentation von Impfungen unterstützt gesundheitspolitische Maßnahmen wie die Bekämpfung ansteckender Krankheiten. Eine vollständige Erfassung aller Impfungen im Impfregister ist daher im öffentlichen Interesse und steht in keinem Zusammenhang mit der elektronischen Gesundheitsakte ELGA. Eine Abmeldung von ELGA bewirkt KEINE Abmeldung vom elektronischen Impfpass.

        Rechtliche Grundlage für den e-Impfpass geschaffen (2ter Absatz). Zugriff am 13.09.2022. Verfügbar unter => https://www.elga.gv.at/e-impfpass/e-impfpass/
        Die gesetzliche Grundlage für die Verarbeitung der Impfdaten ist mit der Novelle des Gesundheitstelematikgesetzes (GTelG) im Herbst 2020 geschaffen worden. Das GTelG regelt u.a. die elektronische Weitergabe von personenbezogenen Gesundheitsdaten, in der Novelle wurden nun die rechtlichen Grundlagen für den elektronischen Impfpass geschaffen. Analog zum Papier-Impfpass erhält jede Bürgerin und jeder Bürger einen e-Impfpass als Gesundheitsvorsorgeinstrument. Eine Abmeldung vom elektronischen Impfpass ist im öffentlichen Interesse an einer vollständigen Dokumentation nicht vorgesehen.
        • Gesundheitstelematikgesetz (GTelG 2012, Fassung vom 16.01.2021)
        • eHealth Verordnung (eHealthV, BGBl. II Nr. 449/2020)
        • eHealth-Verordnungsnovelle 2021

        Bundesrecht konsolidiert: Gesundheitstelematikgesetz 2012 § 24b, tagesaktuelle Fassung. Zugriff am 13.09.2022. Verfügbar unter => https://ris.bka.gv.at/NormDokument.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20008120&Paragraf=24b
        Inkrafttretensdatum: 09.04.2022
        2. Unterabschnitt – Elektronischer Impfpass (eImpfpass) – Ziele des eImpfpasses § 24b.
        Die Verwendung des eImpfpasses erfüllt ein erhebliches öffentliches Interesse gemäß Art. 9 Abs. 2 lit. g bis j DSGVO. Dieses erhebliche öffentliche Interesse ergibt sich insbesondere aus:
        1. der Optimierung der Impfversorgung der Bevölkerung, vor allem durch
        a) eine einheitliche, flächendeckende und lückenlose digitale Impfdokumentation sowie eine verbesserte, schnellere Verfügbarkeit von Impfinformationen,
        b) die Steigerung der Prozess- und Ergebnisqualität von Impfungen und die Wirksamkeit von öffentlichen Impfprogrammen,
        c) die Erhöhung der Durchimpfungsraten,
        d) die Erhöhung der Arzneimittel- und Patient/inn/en/sicherheit;
        2. der Verfügbarkeit digitaler Impfinformationen für die Steuerung des öffentlichen Gesundheitswesens, vor allem zur
        a) Bestimmung von Impfstatus und Durchimpfungsraten sowie des daraus ableitbaren Handlungsbedarfs,
        b) Verbesserung der Reaktionsmöglichkeiten auf Ausbrüche von durch Impfungen vermeidbaren Krankheiten,
        c) Einhaltung von Verpflichtungen zur Verfolgung internationaler Eliminations- und Eradikationsziele sowie
        3. der Reduktion von Aufwänden für Bürger/innen, Gesundheitsdiensteanbieter und das Gesundheitssystem.
        Im RIS seit 11.04.2022
        Zuletzt aktualisiert am 11.04.2022

        Noch erwähnenswertes
        Schon bei ELGA wurde Datenmissbrauch thematisiert. Hierfür kam Kritik von Seiten der Ärzteschaft bzw. Ärztekammer
        Hausärzte starten Kampagne für ELGA-Austritt. Ordinationen mit Plakaten versorgt – Ärzte sehen „Aufklärungspflicht“, wollen aber keinen Druck auf Patienten ausüben – Patientenanwalt warnt vor Stimmungsmache. 9. Jänner 2014. Zugriff am 13.09.2022. Verfügbar unter => https://www.derstandard.at/story/1388650499449/hausaerzte-starten-kampagne-fuer-elga-austritt
        Ärztekammer geht gegen ELGA vor. Die Wiener Ärztekammer überlegt „juristische Schachzüge“ gegen die Elektronische Gesundheitsakte ELGA. Kritik gab es einmal mehr wegen der reduzierten Nachtdienste im AKH. Publiziert am 11.02.2014. Zugriff am 13.09.2022. Verfügbar unter => https://wien.orf.at/v2/news/stories/2630356/index.html

        Ausblick
        Eine Abmeldung bei ELGA ist aus Sicherheitsgründen hinsichtlich Datenschutzes möglich. So ist es auch erforderlich dies beim Elektronischen Impfpass (eImpfpass) zu gewährleisten.
        Die Wahlen stehen vor der Tür. Daher ist es wünschenswert, wenn in der Politik ein humanistisches Denkvermögen einzieht. Darin würde ich eine Chance sehen: Erstens der jahrelangen Verwerfung bzw. Zerrüttung der Gesellschaft entgegenzuwirken. Erholung und Ruhe wirken lassen, sodass mit Besonnenheit dann Entscheidungen getroffen werden, die dem Werte- und Moraldenken innewohnen. Und zweitens die Gesetze in ihrer ursprünglichen Rechtmäßigkeit positioniert werden.

    3. Josef Richard Skumautz

      Weil jeder Bürger sich zwar von ELGA abmelden kann, das mit der Abmeldung betrifft aber nicht das e-Impfergister, dass ein e-Health-Tool des Staates (auf Basis eines EU Regelwerkes, erstellt und geplant noch vor der lfd. Pandemie wegen SARS-CoV-2) ist, zwar unter ELGA „firmiert“, aber ein eigenes, selbstständiges spezielles Datensammlungs-Werkzeug ist, von dem man sich, gesetzlich so vorgesehen, (noch) nicht abmelden kann.

  2. Doris Grassberger

    Vielen Dank für Ihre Arbeit!
    Schöne Grüße!

  3. Kurt Scharf

    Sehr geehrter Herr Dr. Christian Ortner!
    Ich danke Ihnen und Ihrem Team für Ihren Einsatz für den Schutz des Individuums, insbesondere für unsere Kinder, und unsere Grundrechte. Sie machen mir Mut in diesen ungeheuerlichen politischen und gesellschaftlichen Wirren.
    Grüße Sie herzlich
    Kurt Scharf

  4. Herby

    Danke. bei mir hat die DSB komplett anderes entschieden. Was hat sich nun daran geändert. Verletzung ist Verletzung und es gibt keine Möglichkeit eines Schadenersatzanspruches.

  5. SPQR

    Welche weiteren Möglichkeiten, diesen Bescheid „auszuschlachten“, gibt es nun? Vermutlich einerseits der zivilrechtliche Weg (§29 DSG), andererseits ein „öffentlichkeitswirksamer“ durch entsprechende Kundmachung in Medien, die sich dafür interessieren?

    1. stefan sabor

      Sind aber nicht viele Medien (AUF, Servus TV, Wochenblick….)

    2. Elke-Maria Gerner

      Hallo! Dieselbe Frage hab ich mir gestellt, wie kann ich jetzt dagegen vorgehen. Gibt es da eine Sammelklage wo man sich eintragen kann?
      Grüße, Gerner Elke

  6. Stiedry

    …und wie immer, keine Konsequenzen für die Verantwortlichen. Die machen genauso weiter!

  7. Admira

    Sehr geehrter Dr. Ortner
    Ich habe nun von der Datenschutzbehörde ein Schreiben bekommen mit dem
    Betrifft: Beschwerde an das Bundesverwaltungsgericht; Mitteilung
    Die Datenschutzbehörde teilt mit, dass die vom Amt der Vorarlberger Landesregierung gegen den
    Bescheid der Datenschutzbehörde vom 31. August 2022 erhobene
    Beschwerde unter Anschluss der Verfahrensakten dem Bundesverwaltungsgericht zur Entscheidung
    vorgelegt wurde.
    Alle Eingaben sind nun direkt beim Bundesverwaltungsgericht einzubringen.
    Was heißt es für mich, einen RA aufsuchen oder abwarten?
    Vielen Dank!
    Mit freundlichen Grüßen

  8. Eli ohne Lilly

    Keine Strafen gegen Gebietskörperschaften erlaubt? Soweit ich weiß, haben ein Amtshaftungsgesetz und man glaubt es kaum, aber das ist nicht an Corona gestorben. Wer solche Sätze formuliert, nimmt den Rechtsstaat und auch sich selbst nicht mehr ernst. Wie könnte man solche Personen also selber noch ernst nehmen? Und vor allem: wieso sollte man? Die richten nur noch Schaden an.

    1. Liebe Leserin!
      Damit haben Sie natürlich Recht, das Amtshaftungsgesetz bleibt von dieser Problematik unberührt. Es hat eine andere Stoßrichtung: Durch die Amtshaftung kann vom Staat Schadenersatz verlangt werden, wenn eines seiner Organe schuldhaft durch ein rechtswidriges Verhalten einen Schaden verursacht hat.
      Dass Gebietskörperschaften Geldleistungen erbringen müssen, ist also nicht absolut unmöglich. Nur kann die Datenschutzbehörde nicht wegen Datenschutzverstößen Geldbußen gegen Bund, Länder oder Gemeinden oder Behörden verhängen (§ 30 Abs 5 DSG). Das ist eine Ausnahmeregelung, denn generell können juristische Personen (Unternehmen, Organisationen) durchaus zu Strafzahlungen wegen Datenschutzverletzungen verpflichtet werden. Ob das eine sachgerechte Regelung ist, ist Ansichtssache

      1. Eli ohne Lilly

        Vielen Dank für Ihre Antwort!

        „Durch die Amtshaftung kann vom Staat Schadenersatz verlangt werden, wenn eines seiner Organe schuldhaft durch ein rechtswidriges Verhalten einen Schaden verursacht hat.“

        Von diesem Gesetz ist die Datenschutzbehörde als explizite Behörde bzw. deren jeweilige Amtsträger aber doch nicht ausgenommen. Verstehe ich das richtig? Wieso also kann hier nicht der Amtshaftung entsprechend direkt gegen diese Behörde bzw. deren jeweilige Amtsträger vorgegangen werden? Die Datenschutzbehörde ist selbst eine Behörde und damit sind ihre jeweiligen Amtsträger für das jeweilige eigene Handeln verantwortlich und bei Gesetzesverstößen jeweils entsprechend haftbar. Oder verstehe ich das falsch?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert