Entscheidende Behörde

Datenschutzbehörde

Entscheidungsdatum

21.04.2022

Geschäftszahl

2022-0.263.348

Anfechtung beim BVwG/VwGH/VfGH

Dieser Bescheid ist rechtskräftig.

Text

GZ: 2022-0.263.348 vom 21. April 2022 (Verfahrenszahl: DSB-D485.009)

[Anmerkung Bearbeiter: Der Name der Verantwortlichen ist hier nicht pseudonymisiert worden, da die Sache Gegenstand von Medienberichterstattung war, und eine Bearbeitung des Bescheidinhalts, die eine Identifizierung der Verantwortlichen unmöglich gemacht oder doch deutlich erschwert hätte, nur durch weitgehende Beseitigung der Verständlichkeit des Inhalts der Entscheidung möglich gewesen wäre. Dem Geheimhaltungsrecht (Paragraph eins, DSG) und Geheimhaltungsinteresse der Beschwerdegegnerin, einer juristischen Person, die im Rahmen des Sachverhalts ausdrücklich mit gesetzlichen Aufgaben betraut war, steht der gesetzliche Auftrag gemäß Paragraph 23, Absatz 2, DSG gegenüber, wobei es sich hier um eine Entscheidung von grundsätzlicher Bedeutung für die Allgemeinheit handelt, da einige Rechtsfragen hier erstmals behandelt worden sind. Die Entscheidung war daher wegen Überwiegens des allgemeinen Interesses an der Veröffentlichung in die Entscheidungsdokumentation der Datenschutzbehörde aufzunehmen.]

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über den von der ELGA GmbH (Verantwortliche) am 06.04.2022 eingebrachten Antrag auf vorherige Konsultation nach Artikel 36, DSGVO betreffend eine beabsichtigte Verarbeitung von personenbezogenen Daten aufgrund des COVID-19-Impfpflichtgesetzes wie folgt:

-      Der Antrag wird zurückgewiesen.

Rechtsgrundlage: Artikel 35,, 36 und 58 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1.

BEGRÜNDUNG

A. Vorbringen der Verantwortlichen

Mit Antrag vom 06.04.2022 brachte die Verantwortliche vor, sie werde durch das Bundesgesetz über die Pflicht zur Impfung gegen COVID-19 (COVID-19-Impfpflichtgesetz – COVID-19-IG), Bundesgesetzblatt Teil eins, Nr. 4 aus 2022, in der Fassung Bundesgesetzblatt Teil eins, Nr. 22 aus 2022,, zur Durchführung von Verarbeitungstätigkeiten als datenschutzrechtliche Verantwortliche verpflichtet. Konkret werde sie nach „§ 3 COVID-19-IG“ [gemeint wohl: Paragraph 3 b, Absatz 3, COVID-19-IG] zur datenschutzrechtlichen Verantwortlichen für die personenbezogene Verarbeitung von Ausnahmen von der generellen COVID-19-Impfpflicht im Zentralen Impfregister sowie nach „§ 6 Absatz 2, COVID-19-IG“ [gemeint wohl: Paragraph 6, Absatz eins, Ziffer 2, COVID-19-IG] für die Übermittlung der Impfdaten und Ausnahmen an den Gesundheitsminister (unter anderem zur Verhängung von Strafen gegenüber Nichtgeimpften) gemacht.

Im Zuge des Begutachtungsverfahrens des COVID-19-IG sei keine Datenschutz-Folgenabschätzung vorgenommen worden.

Nach interner Durchführung einer Datenschutz-Folgenabschätzung sei man zum Ergebnis gelangt, dass diese Verarbeitungstätigkeiten mit einem hohen datenschutzrechtlichen Risiko verbunden seien, welches auch nicht durch entsprechende Maßnahmen der Verantwortlichen eingedämmt werden könne.

Zur Sicherstellung der Rechtmäßigkeit ersuche die Verantwortliche die Datenschutzbehörde um Entscheidung, ob bzw. unter welchen Umständen die im COVID-19-IG vorgesehenen Verarbeitungstätigkeiten im Einklang mit der DSGVO durchgeführt werden können.

Dem Antrag hat die Verantwortliche ihre Datenschutz-Folgenabschätzung vom 06.04.2022 beigelegt, aus der zusammengefasst hervorgeht, dass zur Beurteilung der Zulässigkeit der durch das COVID-19-IG der Verantwortlichen auferlegten Datenverarbeitungen die Zulässigkeit, insbesondere die Verhältnismäßigkeit, der COVID-19-Impfpflicht als Vorfrage zu beurteilen sei. Maßnahmen wie die COVID-19-Impfpflicht könnten nur dann verhältnismäßig sein, wenn sie unter anderem geeignet und erforderlich seien. Beide Kriterien seien jedoch gegenwärtig nicht erfüllt. Die COVID-19-Impfflicht sei zudem mit erheblichen Risiken belastet und sei eine sanktionsbewehrte COVID-19-Impfpflicht unter den gegebenen Umständen nicht verhältnismäßig. Im Ergebnis bestehe weiterhin ein hohes Risiko iSd Artikel 36, Absatz eins, DSGVO und sei daher eine vorherige Konsultation gemäß Artikel 36, DSGVO durchzuführen.

B. Sachverhaltsfeststellungen

Die Datenschutzbehörde legt das im Punkt A. wiedergegebene Vorbringen der Verantwortlichen ihren Sachverhaltsfeststellungen zugrunde.

C. In rechtlicher Hinsicht folgt daraus:

1. Gemäß Artikel 36, Absatz eins, DSGVO konsultiert der Verantwortliche vor der Verarbeitung die Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung gemäß Artikel 35, DSGVO hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.

Die Verantwortliche gibt an, dass sie nach dem COVID-19-IG (Paragraphen 3 b, und 6) zur Vornahme von Datenverarbeitungen verpflichtet werde.

Der Konsultationsmechanismus des Artikel 36, DSGVO dient dem Ziel, dass die Aufsichtsbehörde eine Beratungsfunktion wahrnehmen kann, um folglich Empfehlungen zur Minderung datenschutzrechtlicher Risiken geben zu können vergleiche Jandt in Kühling/Buchner, DS-GVO, zu Artikel 36,, Rz 1). Die vorherige Konsultation der Aufsichtsbehörde durch den Verantwortlichen gemäß Absatz eins, leg. cit. ist als Konsequenz vorzunehmen, wenn eine Datenschutz-Folgenabschätzung im Ergebnis negativ ausfällt, dh faktisch keine Garantien, Sicherheitsvorkehrungen und Mechanismen zur Risikominderung verfügbar bzw. der Einsatz verfügbarer Technik und die erforderlichen Implementierungskosten nicht als vertretbarer Aufwand einzustufen sind vergleiche Jandt aaO Rz 5).

2. Die von der Verantwortlichen vorgebrachten Bedenken betreffen im Wesentlichen die Rechtsgrundlage der vorgesehenen Datenverarbeitung iSd Artikel 6, Absatz eins, Litera c, DSGVO bzw. Artikel 9, Absatz 2, Litera i, DSGVO im Hinblick auf deren befürchtete Verfassungs- bzw. Unionsrechtswidrigkeit. Die Verantwortliche bringt vor, die COVID-19-Impfflicht sei nicht verhältnismäßig, was dazu führe, dass auch die nach dem Gesetz vorgesehenen Datenverarbeitungen nicht verhältnismäßig und damit unzulässig seien.

Die behauptete Verfassungs- oder Unionsrechtswidrigkeit eines Gesetzes - hier: des COVID-19-IG - kann jedoch nicht Gegenstand eines Konsultationsverfahrens nach Artikel 36, DSGVO sein. Dies vor allem vor dem Hintergrund, da es einem Verantwortlichen im Falle einer gesetzlich vorgesehenen Datenverarbeitung gar nicht möglich ist, diese zu beeinflussen und allfällige Restrisiken faktisch zu mindern.

Auch die Befugnisse einer Aufsichtsbehörde nach Artikel 36, Absatz 2, in Verbindung mit Artikel 58, DSGVO zielen darauf ab, faktisch Einfluss auf die Datenverarbeitung nehmen zu können.

Die Kompetenz, über die Verfassungswidrigkeit eines Gesetzes zu entscheiden, obliegt jedoch nicht der Aufsichtsbehörde, sondern gemäß Artikel 140, B-VG allein dem Verfassungsgerichtshof. Die Frage der Übereinstimmung nationaler gesetzlicher Regelungen mit dem Unionsrecht obliegt gemäß Artikel 267, AEUV nur dem EuGH.

Die Datenschutzbehörde ist weder gemäß Artikel 140, B-VG noch gemäß Artikel 267, AEUV berechtigt, den Verfassungs- bzw. Europäischen Gerichtshof anzurufen, um die von der Verantwortlichen monierte Rechtswidrigkeit als Vorfrage iSd Paragraph 38, AVG prüfen zu lassen.

3. Abschließend – und losgelöst vom vorliegenden Verfahren – wird auf ein vom Verwaltungsgericht Wiesbaden (Beschluss vom 13.1.2022, GZ 6 K 1563/21.WI) an den EuGH gerichtetes Vorabentscheidungsersuchen (dort protokolliert zu C-61/22) hingewiesen:

Das Verwaltungsgericht stellt die Frage, ob das Unterlassen einer verpflichtenden Datenschutz-Folgenabschätzung nach Artikel 35, Absatz 10, DSGVO die Wirksamkeit einer Norm unberührt lassen kann oder ob nicht vielmehr bei zwingender Verpflichtung des Normgebers zur Durchführung einer Risikofolgenabschätzung sein Unterlassen zu einer Ungültigkeit der Norm führen muss. Andernfalls würde der Normgeber für sein Fehlverhalten belohnt werden (siehe insbesondere Rz 69 des Vorlagebeschlusses).

4. Die Voraussetzungen für eine vorherige Konsultation nach Artikel 36, DSGVO sind daher nicht gegeben und es war spruchgemäß zu entscheiden.

Entscheidung über DSB-Dokument (BVwG)

Gegen diesen Bescheid hat die Verantwortliche gemäß Artikel 130, Absatz eins, Ziffer eins, B-VG Beschwerde an das Bundesverwaltungsgericht (BVwG) erhoben. Das BVwG hat die Beschwerde mit Beschluss vom 31. Jänner 2023, Zl. W258 2256074-1, nach Aufhebung des COVID-19-IG für gegenstandslos erklärt und das Verfahren eingestellt. Die ordentliche Revision ist nicht zugelassen worden, ein Revisionsverfahren ist der Datenschutzbehörde nicht zur Kenntnis gelangt.

European Case Law Identifier

ECLI:AT:DSB:2022:2022.0.263.348