Datenschutzbehörde

Navigation im Suchergebnis

Entscheidungstext 2022-0.263.348

Entscheidende Behörde

Datenschutzbehörde

Dokumenttyp

Entscheidungstext

Entscheidungsart

Bescheid sonstiger

Geschäftszahl

2022-0.263.348

Entscheidungsdatum

21.04.2022

Anfechtung beim BVwG/VwGH/VfGH

Dieser Bescheid ist rechtskräftig.

Norm

B-VG Art140
COVID-19-IG §3b Abs3Nächster Suchbegriff
Vorheriger SuchbegriffCOVID-19-IG §6 Abs1 Z2Nächster Suchbegriff
DSGVO Art6 Abs1 litc
DSGVO Art9 Abs2 liti
DSGVO Art35
DSGVO Art35 Abs10
DSGVO Art36 Abs1
DSGVO Art36 Abs2
DSGVO Art58
  1. B-VG Art. 140 heute
  2. B-VG Art. 140 gültig ab 01.01.2015 zuletzt geändert durch BGBl. I Nr. 114/2013
  3. B-VG Art. 140 gültig von 01.01.2014 bis 31.12.2014 zuletzt geändert durch BGBl. I Nr. 51/2012
  4. B-VG Art. 140 gültig von 01.07.2008 bis 31.12.2013 zuletzt geändert durch BGBl. I Nr. 2/2008
  5. B-VG Art. 140 gültig von 01.01.2004 bis 30.06.2008 zuletzt geändert durch BGBl. I Nr. 100/2003
  6. B-VG Art. 140 gültig von 06.06.1992 bis 31.12.2003 zuletzt geändert durch BGBl. Nr. 276/1992
  7. B-VG Art. 140 gültig von 01.01.1991 bis 05.06.1992 zuletzt geändert durch BGBl. Nr. 685/1988
  8. B-VG Art. 140 gültig von 01.07.1988 bis 31.12.1990 zuletzt geändert durch BGBl. Nr. 341/1988
  9. B-VG Art. 140 gültig von 01.07.1976 bis 30.06.1988 zuletzt geändert durch BGBl. Nr. 302/1975
  10. B-VG Art. 140 gültig von 19.12.1945 bis 30.06.1976 zuletzt geändert durch StGBl. Nr. 4/1945
  11. B-VG Art. 140 gültig von 03.01.1930 bis 30.06.1934
  1. COVID-19-IG § 3b gültig von 11.04.2022 bis 28.07.2022 aufgehoben durch BGBl. I Nr. 131/2022
  1. COVID-19-IG § 6 gültig von 05.02.2022 bis 28.07.2022 aufgehoben durch BGBl. I Nr. 131/2022

Text

GZ: 2022-0.263.348 vom 21. April 2022 (Verfahrenszahl: DSB-D485.009)

[Anmerkung Bearbeiter: Der Name der Verantwortlichen ist hier nicht pseudonymisiert worden, da die Sache Gegenstand von Medienberichterstattung war, und eine Bearbeitung des Bescheidinhalts, die eine Identifizierung der Verantwortlichen unmöglich gemacht oder doch deutlich erschwert hätte, nur durch weitgehende Beseitigung der Verständlichkeit des Inhalts der Entscheidung möglich gewesen wäre. Dem Geheimhaltungsrecht (Paragraph eins, DSG) und Geheimhaltungsinteresse der Beschwerdegegnerin, einer juristischen Person, die im Rahmen des Sachverhalts ausdrücklich mit gesetzlichen Aufgaben betraut war, steht der gesetzliche Auftrag gemäß Paragraph 23, Absatz 2, DSG gegenüber, wobei es sich hier um eine Entscheidung von grundsätzlicher Bedeutung für die Allgemeinheit handelt, da einige Rechtsfragen hier erstmals behandelt worden sind. Die Entscheidung war daher wegen Überwiegens des allgemeinen Interesses an der Veröffentlichung in die Entscheidungsdokumentation der Datenschutzbehörde aufzunehmen.]

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über den von der ELGA GmbH (Verantwortliche) am 06.04.2022 eingebrachten Antrag auf vorherige Konsultation nach Artikel 36, DSGVO betreffend eine beabsichtigte Verarbeitung von personenbezogenen Daten aufgrund des COVID-19-Impfpflichtgesetzes wie folgt:

-    Der Antrag wird zurückgewiesen.

Rechtsgrundlage: Artikel 35,, 36 und 58 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1.

BEGRÜNDUNG

A. Vorbringen der Verantwortlichen

Mit Antrag vom 06.04.2022 brachte die Verantwortliche vor, sie werde durch das Bundesgesetz über die Pflicht zur Impfung gegen COVID-19 (COVID-19-Impfpflichtgesetz – Vorheriger SuchbegriffCOVID-19-IGNächster Suchbegriff), Bundesgesetzblatt Teil eins, Nr. 4 aus 2022, in der Fassung Bundesgesetzblatt Teil eins, Nr. 22 aus 2022,, zur Durchführung von Verarbeitungstätigkeiten als datenschutzrechtliche Verantwortliche verpflichtet. Konkret werde sie nach „§ 3 Vorheriger SuchbegriffCOVID-19-IGNächster Suchbegriff“ [gemeint wohl: Paragraph 3 b, Absatz 3, Vorheriger SuchbegriffCOVID-19-IGNächster Suchbegriff] zur datenschutzrechtlichen Verantwortlichen für die personenbezogene Verarbeitung von Ausnahmen von der generellen COVID-19-Impfpflicht im Zentralen Impfregister sowie nach „§ 6 Absatz 2, Vorheriger SuchbegriffCOVID-19-IGNächster Suchbegriff“ [gemeint wohl: Paragraph 6, Absatz eins, Ziffer 2, Vorheriger SuchbegriffCOVID-19-IGNächster Suchbegriff] für die Übermittlung der Impfdaten und Ausnahmen an den Gesundheitsminister (unter anderem zur Verhängung von Strafen gegenüber Nichtgeimpften) gemacht.

Im Zuge des Begutachtungsverfahrens des Vorheriger SuchbegriffCOVID-19-IGNächster Suchbegriff sei keine Datenschutz-Folgenabschätzung vorgenommen worden.

Nach interner Durchführung einer Datenschutz-Folgenabschätzung sei man zum Ergebnis gelangt, dass diese Verarbeitungstätigkeiten mit einem hohen datenschutzrechtlichen Risiko verbunden seien, welches auch nicht durch entsprechende Maßnahmen der Verantwortlichen eingedämmt werden könne.

Zur Sicherstellung der Rechtmäßigkeit ersuche die Verantwortliche die Datenschutzbehörde um Entscheidung, ob bzw. unter welchen Umständen die im Vorheriger SuchbegriffCOVID-19-IGNächster Suchbegriff vorgesehenen Verarbeitungstätigkeiten im Einklang mit der DSGVO durchgeführt werden können.

Dem Antrag hat die Verantwortliche ihre Datenschutz-Folgenabschätzung vom 06.04.2022 beigelegt, aus der zusammengefasst hervorgeht, dass zur Beurteilung der Zulässigkeit der durch das Vorheriger SuchbegriffCOVID-19-IGNächster Suchbegriff der Verantwortlichen auferlegten Datenverarbeitungen die Zulässigkeit, insbesondere die Verhältnismäßigkeit, der COVID-19-Impfpflicht als Vorfrage zu beurteilen sei. Maßnahmen wie die COVID-19-Impfpflicht könnten nur dann verhältnismäßig sein, wenn sie unter anderem geeignet und erforderlich seien. Beide Kriterien seien jedoch gegenwärtig nicht erfüllt. Die COVID-19-Impfflicht sei zudem mit erheblichen Risiken belastet und sei eine sanktionsbewehrte COVID-19-Impfpflicht unter den gegebenen Umständen nicht verhältnismäßig. Im Ergebnis bestehe weiterhin ein hohes Risiko iSd Artikel 36, Absatz eins, DSGVO und sei daher eine vorherige Konsultation gemäß Artikel 36, DSGVO durchzuführen.

B. Sachverhaltsfeststellungen

Die Datenschutzbehörde legt das im Punkt A. wiedergegebene Vorbringen der Verantwortlichen ihren Sachverhaltsfeststellungen zugrunde.

C. In rechtlicher Hinsicht folgt daraus:

1. Gemäß Artikel 36, Absatz eins, DSGVO konsultiert der Verantwortliche vor der Verarbeitung die Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung gemäß Artikel 35, DSGVO hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.

Die Verantwortliche gibt an, dass sie nach dem Vorheriger SuchbegriffCOVID-19-IGNächster Suchbegriff (Paragraphen 3 b, und 6) zur Vornahme von Datenverarbeitungen verpflichtet werde.

Der Konsultationsmechanismus des Artikel 36, DSGVO dient dem Ziel, dass die Aufsichtsbehörde eine Beratungsfunktion wahrnehmen kann, um folglich Empfehlungen zur Minderung datenschutzrechtlicher Risiken geben zu können vergleiche Jandt in Kühling/Buchner, DS-GVO, zu Artikel 36,, Rz 1). Die vorherige Konsultation der Aufsichtsbehörde durch den Verantwortlichen gemäß Absatz eins, leg. cit. ist als Konsequenz vorzunehmen, wenn eine Datenschutz-Folgenabschätzung im Ergebnis negativ ausfällt, dh faktisch keine Garantien, Sicherheitsvorkehrungen und Mechanismen zur Risikominderung verfügbar bzw. der Einsatz verfügbarer Technik und die erforderlichen Implementierungskosten nicht als vertretbarer Aufwand einzustufen sind vergleiche Jandt aaO Rz 5).

2. Die von der Verantwortlichen vorgebrachten Bedenken betreffen im Wesentlichen die Rechtsgrundlage der vorgesehenen Datenverarbeitung iSd Artikel 6, Absatz eins, Litera c, DSGVO bzw. Artikel 9, Absatz 2, Litera i, DSGVO im Hinblick auf deren befürchtete Verfassungs- bzw. Unionsrechtswidrigkeit. Die Verantwortliche bringt vor, die COVID-19-Impfflicht sei nicht verhältnismäßig, was dazu führe, dass auch die nach dem Gesetz vorgesehenen Datenverarbeitungen nicht verhältnismäßig und damit unzulässig seien.

Die behauptete Verfassungs- oder Unionsrechtswidrigkeit eines Gesetzes - hier: des Vorheriger SuchbegriffCOVID-19-IGNächster Suchbegriff - kann jedoch nicht Gegenstand eines Konsultationsverfahrens nach Artikel 36, DSGVO sein. Dies vor allem vor dem Hintergrund, da es einem Verantwortlichen im Falle einer gesetzlich vorgesehenen Datenverarbeitung gar nicht möglich ist, diese zu beeinflussen und allfällige Restrisiken faktisch zu mindern.

Auch die Befugnisse einer Aufsichtsbehörde nach Artikel 36, Absatz 2, in Verbindung mit Artikel 58, DSGVO zielen darauf ab, faktisch Einfluss auf die Datenverarbeitung nehmen zu können.

Die Kompetenz, über die Verfassungswidrigkeit eines Gesetzes zu entscheiden, obliegt jedoch nicht der Aufsichtsbehörde, sondern gemäß Artikel 140, B-VG allein dem Verfassungsgerichtshof. Die Frage der Übereinstimmung nationaler gesetzlicher Regelungen mit dem Unionsrecht obliegt gemäß Artikel 267, AEUV nur dem EuGH.

Die Datenschutzbehörde ist weder gemäß Artikel 140, B-VG noch gemäß Artikel 267, AEUV berechtigt, den Verfassungs- bzw. Europäischen Gerichtshof anzurufen, um die von der Verantwortlichen monierte Rechtswidrigkeit als Vorfrage iSd Paragraph 38, AVG prüfen zu lassen.

3. Abschließend – und losgelöst vom vorliegenden Verfahren – wird auf ein vom Verwaltungsgericht Wiesbaden (Beschluss vom 13.1.2022, GZ 6 K 1563/21.WI) an den EuGH gerichtetes Vorabentscheidungsersuchen (dort protokolliert zu C-61/22) hingewiesen:

Das Verwaltungsgericht stellt die Frage, ob das Unterlassen einer verpflichtenden Datenschutz-Folgenabschätzung nach Artikel 35, Absatz 10, DSGVO die Wirksamkeit einer Norm unberührt lassen kann oder ob nicht vielmehr bei zwingender Verpflichtung des Normgebers zur Durchführung einer Risikofolgenabschätzung sein Unterlassen zu einer Ungültigkeit der Norm führen muss. Andernfalls würde der Normgeber für sein Fehlverhalten belohnt werden (siehe insbesondere Rz 69 des Vorlagebeschlusses).

4. Die Voraussetzungen für eine vorherige Konsultation nach Artikel 36, DSGVO sind daher nicht gegeben und es war spruchgemäß zu entscheiden.

Entscheidung über DSB-Dokument (BVwG)

Gegen diesen Bescheid hat die Verantwortliche gemäß Art. 130 Abs. 1 Z. 1 B-VG Beschwerde an das Bundesverwaltungsgericht (BVwG) erhoben. Das BVwG hat die Beschwerde mit Beschluss vom 31. Jänner 2023, Zl. W258 2256074-1, nach Aufhebung des Vorheriger SuchbegriffCOVID-19-IG für gegenstandslos erklärt und das Verfahren eingestellt. Die ordentliche Revision ist nicht zugelassen worden, ein Revisionsverfahren ist der Datenschutzbehörde nicht zur Kenntnis gelangt.

Schlagworte

Konsultation, Datenschutz-Folgenabschätzung, DSFA, Antragslegitimation, gesetzlicher Auftrag zur Datenverarbeitung, keine Gesetzesprüfung durch die Datenschutzbehörde, besondere Kategorien, Gesundheitsdaten, COVID-19, Zentrales Impfregister, Impfpflicht, Durchsetzung

European Case Law Identifier (ECLI)

ECLI:AT:DSB:2022:2022.0.263.348

Zuletzt aktualisiert am

03.03.2023

Dokumentnummer

DSBT_20220421_2022_0_263_348_00

Navigation im Suchergebnis