Das bkftv.at Projekt startete im Februar 2021 mit einem „BITZ Feldversuch“ zur Covid Test Anmeldung (Artikel bkftv am 22.02.2021) und zur Covid Testung (Artikel bkftv am 07.03.2021) in einem Burgenländischen Impf- und Testzentrum in Eisenstadt. Wir haben damals angekündigt, dass der Abschluss dieser Artikelserie in ca. einem Monat mit einem Bericht über das Auskunftsbegehren gem. DSGVO abgeschlossen wird. Es soll mit dieser Recherche näher beleuchtet werden wo die personenbezogenen Daten zur Covid Testung in BITZ gespeichert sind, an wen die Daten weitergegeben werden, wer darauf Zugriff hat und welche Daten nach der DSGVO durch welchen „Verantwortlichen“ im Sinne der DSGVO beauskunftet werden. Es ist nun aus gegebenen Anlass Zeit für einen Zwischenbericht.
Die Auskunftsbegehren des Autors ergingen an das Amt der Burgenländischen Landesregierung, an das Bundesrechenzentrum (BRZ) und an das Gesundheitsministerium (BMSGPK). Vom BRZ und vom BMSGPK langten innerhalb der gesetzlich vorgeschriebenen Frist Auskunftserledigungen ein.
DSGVO Auskunftserteilung durch das Amt der Burgenländischen Landesregierung
Das Amt der Burgenländischen Landesregierung teile am 23. April 2021 um 18:30 nach einem Monat der Bearbeitung per Mail folgendes an den Anfragesteller mit:
- Das Schreiben ist am 22. März 2021 eingelangt und mit Zahl Zl. RE/AR.DSBR-10021-7-2021 in der Stabsabteilung Recht protokolliert.
- Auf Grund der Komplexität der Anfrage wird die Bearbeitungszeit um 2 Monate gem. Art. 12 Abs. 3 DSGVO bis längstens 22. Juni 2021 verlängert.
- Es wird mitgeteilt, dass die Beantwortung von Begehren durch den jeweiligen Verantwortlichen zu erfolgen hat und dazu eine Auskunft hinsichtlich sämtlicher Datenverarbeitungen erfolgen wird, bei denen das Amt der Burgenländischen Landesregierung „Verantwortlicher“ ist.
- Hinsichtlich § 5a Abs. 1 des Epidemiegesetzes 1950 – EpiG ist der für das Gesundheitswesen zuständige Bundesminister „Verantwortlicher“ im Sinne der DSGVO. Zu diesem Sachverhalt wurde die Anfrage an das BMSGPK abgetreten. Das BMSGPK wird dazu die Antwort erledigen.
- „Verantwortlicher“ i.S.d. DSGVO ist das Amt der Burgenländischen Landesregierung.
- Datenschutzbeauftragter des Amtes der Burgenländischen Landesregierung ist die KPMG Security Servicers GmbH.
- Verantwortlicher für das österreichweite COVID-19-Screeningprogramm gemäß § 5a Abs. 1 des Epidemiegesetzes 1950 – EpiG ist der für das Gesundheitswesen zuständige Bundesminister
- Als offizieller Betreiber der Burgenländischen Impf- und Testzentren (BITZ) fungiert das Land Burgenland
Da es sich beim Auskunftsbegehren des Autors um kein Staatsgeheimnis handelt und um Ihnen die in der Begründung angeführte „Komplexität“ vor Augen zu führen, wird hier das Auskunftsersuchen an das BMSGPK welches in angepassten Wortlaut an alle 3 „verantwortlichen“ Behörden übermittelt wurde veröffentlicht. (Download PDF-Dokument)
Begründet wird die Fristerweiterung durch das Amt der Burgenländischen Landesregierung mit dem Ansuchen des Antragstellers, welches sich auf „alle“ besonderen personenbezogenen Gesundheitsdaten bezieht. Es müssen daher sämtliche Organisationseinheiten des Amtes der Burgenländischen Landesregierung in den Bearbeitungsprozess mit einbezogen werden heißt es im Schreiben. Dazu wird mitgeteilt, dass in 369! Datenverarbeitungen recherchiert werden muss.
Keine Auskünfte durch das BRZ – das BRZ ist nur „Dienstleister
Das BRZ teilte mit, dass es zum Sachverhalt keine Auskunft erteilen kann, da das BRZ nur Dienstleister von verschiedenen Auftraggebern ist und Auskunftsersuchen an die zuständigen Auftraggeber und „Verantwortlichen“ im Sinne der DSGVO zu richten sind.
DSGVO Auskunftserteilung durch das Gesundheitsministerium
Das Gesundheitsministerium BMSGPK teilte am 12.04.2021 innerhalb der gesetzmäßigen Frist folgenden Sachverhalt mit:
- Im Zusammenhang mit den von Ihnen vorgelegten Protollen werden keine Ihnen zugeordneten Daten gespeichert.
- Ergänzend zu dieser Beantwortung wird zum „Elektronischen Impfpass“ und zu „ELGA“ mitgeteilt, dass der für das Gesundheitswesen zuständige Bundesminister nicht datenschutzrechtlicher Verantwortlicher für den Pilotbetrieb der eHealth-Anwendung „Elektronischer Impfpass“ ist.
- Verantwortlich für den „Elektronischen Impfpass“ und „ELGA“ ist die ELGA GmbH sowie die jeweils impfenden Gesundheitsdienstanbieter.
Zuständigkeiten zur Auskunftserteilung scheinen „unklar“ zu sein
Das Gesundheitsministerium ging auf keinen einzigen Punkt des Auskunftsersuchens ein und verweist zum „Elektronischen Impfpass“ und zu „ELGA auf die ELGA GmbH. Es erfolgte keine „Abtretung“ wegen Unzuständigkeit. Daher wurde durch den Autor ein gleichlautendes Auskunftsbegehren an die ELGA GmbH gestellt. Das Ansuchen ist seit 20.04.21 bei der ELGA GmbH in Bearbeitung.
Bgld: Der Postweg kann sich schon mal um 13 Tage verzögern
Alle 3 Auskunftsersuchen wurden am 09.03.21 „eingeschrieben“ per Brief abgeschickt und ordnungsgemäß zustellt. Im Gesundheitsministerium wird die Zustellung mit 11.3.21 bestätigt. Im Amt der Burgenländischen Landesregierung dauerte die Zustellung anscheinend 13 Tage länger. Bemerkenswert dazu ist, dass am 18.04.21 durch den Antragsteller eine schriftliche Urgenz an das Amt der Burgenländischen Landesregierung und den Datenschutzbeauftragten erfolgte, welche ein kurzes Antwortschreiben mit der Aussicht auf das nunmehr zitierte Antwortschreiben auslöste.
Das Auskunftsverfahren beim Amt der Burgenländischen Landesregierung ist nun bis längstens 22. Juni 2021 in Bearbeitung
Die Antwort der ELGA GmbH wird nicht vor dem 20.05.2021 eintreffen, falls die Erledigungsfrist erstreckt wird, könnte es auch länger dauern. Spannend wird noch die Klärung der Zuständigkeit als „Verantwortlicher“ im Sinne der DSGVO zu den Burgenländischen Impf- und Testzentren, die zwischen dem Gesundheitsministerium und dem Amt der Burgenländischen Landesregierung derzeit hin- und hergeschoben wird. Dies obwohl das Covid Testergebnis durch das Gesundheitsministerium ausgestellt wurde und es dazu neue gesetzliche Regelungen zur Datenübermittlung an das Gesundheitsministerium gibt.
Die ELGA GmbH ist gefordert für eine klare Auskunft zu sorgen
Der Autor als betroffene Auskunftsperson war zwischenzeitlich 5x bei einer Covid Testung in BITZ, in einer Teststraße in Wien und bei einem HNO Facharzt. Keiner dieser Testungen wurde mit Stand 25.4.21 im Pilotprojekt ELGA gespeichert. Was die Frage aufwirft mit welchen Daten das Gesundheitsministerium die mit einem besonderen sicherheitszertifizierten QR-Code ausgestatteten Testergebnisse erzeugt und ausstellt. Es liegen nach Auskunft des BMSGPK keine Daten des Antragstellers im BMSGPK auf. Beim Auslesen des Testergebnisses über den QR-Code wird das Ergebnis je nach Datumsfortschritt mit grünen, orangen und roten Balken über eine Web-Anwendung angezeigt. Zu diesem Vorgang wurde durch das BMSGPK ebenfalls keine Auskunft erteilt.
Für den Antragsteller ist die Mitteilung des Amtes der Burgenländischen Landesregierung nicht nachvollziehbar, dass nach 4 Wochen der Bearbeitung die Beurteilung ergibt, es müsse noch in 369! Datenverarbeitungen recherchiert werden. Zumindest ist nun öffentlich bekannt, daß im Burgenland in 369 Datenverarbeitungen personenbezogene Gesundheitsdaten der Burgenländer gespeichert sind. Eine Nennung der 369 Datenverarbeitungen samt der „Verantwortlichen“ im Sinne der DSGVO wird wohl nicht erfolgen.
Blacklist über verpflichtend durchzuführende Datenschutz-Folgenabschätzungen
Der Artikel 35 Abs 4 DSGVO sieht die Erstellung und Veröffentlichung einer „Blacklist“ vor, welche Verarbeitungsvorgänge enthält, für die eine Datenschutz-Folgenabschätzung verpflichtend durchzuführen ist. Jene „Blacklist“ wurde am 9. November 2018 mit der „Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (DSFA-V)“, mit BGBl. II Nr. 278/2018 veröffentlicht und ist am 10. November 2018 in Kraft getreten.
Eine DSFA ist durchzuführen, wenn
- eine Verarbeitung die Bewertung oder Einstufung für bestimmte Zwecke umfasst und ausschließlich auf automatisierter Verarbeitung beruht und negative Auswirkungen für die betroffene Person haben kann (z.B. automatisierte Preisgestaltung anhand eines „Kunden-Scorings“) ;
- eine Verarbeitung zur Bewertung des Verhaltens und persönlicher Aspekte dient und von Dritten für automatisierte Entscheidungsfindung eingesetzt werden kann, wobei diese mit Rechtswirkungen oder ähnlichen erheblichen Beeinträchtigungen für die bewertete Person verbunden ist;
- Verarbeitungsvorgänge die Beobachtung, Überwachung betroffener Personen, insbesondere mittels Bild- und Tonverarbeitung, zum Ziel haben auf bestimmte, in der „Blacklist“ näher definierte Weise erfolgen;
- eine Verarbeitung unter Einsatz neuer Technologie erfolgt und die Auswirkungen auf die betroffene Person und die gesellschaftlichen Folgen schwer abschätzbar sind (z.B. künstliche Intelligenz, Verarbeitung biometrischer Daten);
- eine Zusammenführung bzw. ein Abgleich von Daten aus mehreren Verarbeitungen zu unterschiedlichen Zwecken bzw. von verschiedenen Verantwortlichen erfolgt, wenn die betroffene Person eine solche Verarbeitung üblicherweise nicht erwarten kann und durch Entscheidungen, die von Algorithmen getroffen wurden, erheblich beeinträchtigt wird;
- Verarbeitungsvorgänge im höchstpersönlichen Bereich einer Person, ungeachtet einer Einwilligung.
Gibt es eine Datenschutzfolgenabschätzung zu den Covid-Test EDV-Systemen?
Da die Covid-19 Testergebnisse den Zutritt oder Nichtzutritt zu verschiedenen Bereichen des sozialen Lebens, in Spitäler, Pflegeheimen usw., sowie sogar die Covid19 Infizierung oder Nichtinfizierung nachweisen und weitreichende persönliche Folgen für den Betroffenen – bis zur Einschränkung der Bewegungs- und Reisefreiheit (Beispiel Tirol) oder die Verhängung einer behördlichen Quarantäne bewirken – wäre zu prüfen ob Puntk 1) und 2) der Blicklist erfüllt sind.
Da die Covid Tests bei Verstößen negative Maßnahmen bis zu Verwaltungsstrafen und Haft auslösen können und zu erheblichen Beinträchtigungen der betroffenen Personen bei Verstößen führen, wäre mit Einführung neuer EDV-Systeme wohl eine Datenschutz-Folgenabschätzung durchzuführen. Siehe dazu als Beispiel die 106-seitige Datenschutzfolgenabschätzung des Roten Kreuzes zur StoppCoronaApp. Trotz intensiver Onlinerecherchen konnte eine entsprechende Datenschutzfolgenabschätzung zu den EDV Anwendungen Covid Teststraßen nicht gefunden werden.
Abschließend darf erwähnt werden dass es sich bei allen Test- und Impfdaten um personenbezogene Gesundheitsdaten handelt die den besonderen Schutz der DSGVO genießen. Als besonders schützenswert nennt die DSGVO personenbezogene Daten zu ethnischer und kultureller Herkunft, politischen, religiösen und philosophischen Überzeugungen, Gesundheit, Sexualität und Gewerkschaftszugehörigkeit.
Somit bleibt es spannend und wir (der Autor und das Rechercheteam von bkftv.at) werden hoffentlich Ende Juni über das Ergebnis der beiden noch ausstehenden Auskunftsbeantwortungen berichten können. Denn im Hintergrund laufen bereits neue interessante Recherchen und Presseanfragen zum nächsten Projekt. Der digitale „Grüne Impfpass“.
Für alle Firmen, Institutionen, Personen und überhaupt „Jeden und „Alles“ gilt die Unschuldsvermutung. (hu) ++ende++
Quellenangaben:
Bgld: Covid-19 Testzentren (BITZ) im Test – Teil 2
https://bkftv.at/2021/03/07/bgld-covid-19-testzentren-bitz-im-test-teil-2/
Bgld: Covid-19 Antigenschnelltest Selbst-“Feldversuch“
https://bkftv.at/2021/02/22/bgld-covid-19-antigenschnelltest-selbst-feldversuch/
DSGVO Auskunftserteilung BRZ
DSGVO Auskunftserteilung BMSGPK
DSGVO Verständigung Amt der Burgenländischen Landesregierung
DSGVO Auskunftsbegehren zu Testvorgang in einer BITZ
https://drive.google.com/file/d/1X61IpkavptYa__o5ZJtI_tooKL5adg0j/view?usp=sharing
