DSGVO Bgld Test- Impfstraßen: Alles ohne Datenschutz-Folgenabschätzung?

Grundgrafiken pixabay.com Grafikdesign hu bkftv

Blacklist über verpflichtend durchzuführende Datenschutz-Folgenabschätzungen

Der Artikel 35 Abs 4 DSGVO sieht die Erstellung und Veröffentlichung einer „Blacklist“ vor, welche Verarbeitungsvorgänge enthält, für die eine Datenschutz-Folgenabschätzung verpflichtend durchzuführen ist. Jene „Blacklist“ wurde am 9. November 2018 mit der „Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (DSFA-V)“, mit BGBl. II Nr. 278/2018 veröffentlicht und ist am 10. November 2018 in Kraft getreten.

Trotz intensiver Recherchen ist es nicht gelungen einen Hinweis, Link oder Quellenverweis zur Datenschutz-Folgenabschätzung der EDV-Anwendungen im Bereich der betriebenen Teststraßen zu finden. Wer ist dafür zuständig? Das Amt der Burgenländischen Landesregierung, die Landessicherheitszentrale, das Gesundheitsministerium, die ELGA-GmbH, das Bundesrechenzentrum? Im Rahmen eines derzeit laufenden DSGVO Auskunftsbegehrens wird es darauf vielleicht eine Antwort geben. Falls nicht wird sich wohl die Datenschutzkommission damit befassen müssen. Denn interessant dazu ist, ab wann die angeführten Behörden die Datenschutzkommission und den Datenschutzrat eingebunden haben. Datenschützer haben zu bereits alarmiert!

Beim grünen Pass scheint es auch keine Datenschutzfolgenabschätzung zu geben

Datenschützer äußern schwere Kritik am grünen Pass und ELGA Benachteiligung

Das heikelste Datenschutzthema der Pandemie ohne Begutachtung durch das Parlament gepeitscht?

Die Datenschutzspezialisten von epicenter.works meinen dazu: „Ohne jede Begutachtung hat der Nationalrat letzte Woche innerhalb von zwei Tagen eine gesetzliche Grundlage beschlossen, mit der die Datenbasis und die Kompetenzen für den Gesundheitsminister zu diesem Thema geschaffen wurden. Seit Mai 2020 warnen wir vor einem elektronischen Immunitätsausweis und vor den gravierenden Folgen, die ein solches System auf die Gesellschaft haben würde. In einer Nacht-und-Nebel-Aktion ist letzte Woche die rechtliche Grundlage geschaffen worden. Heute veröffentlichen wir interne Folien des Projekts, die unsere Befürchtungen über seine Tragweite leider bestätigen. Bevor es zu spät ist, wollen wir eine gesellschaftliche Debatte starten, die von der Politik bisher vermieden wurde.“

https://epicenter.works/content/wieso-der-elektronische-gruene-impfpass-keine-probleme-loest-aber-neue-schafft

Die DSGVO sieht vor, eine Datenschutz-Folgenabschätzung (DSFA) ist durchzuführen, wenn

  1. eine Verarbeitung die Bewertung oder Einstufung für bestimmte Zwecke umfasst und ausschließlich auf automatisierter Verarbeitung beruht und negative Auswirkungen für die betroffene Person haben kann (z.B. automatisierte Preisgestaltung anhand eines „Kunden-Scorings“) ;
  2. eine Verarbeitung zur Bewertung des Verhaltens und persönlicher Aspekte dient und von Dritten für automatisierte Entscheidungsfindung eingesetzt werden kann, wobei diese mit Rechtswirkungen oder ähnlichen erheblichen Beeinträchtigungen für die bewertete Person verbunden ist;
  3. Verarbeitungsvorgänge die Beobachtung, Überwachung betroffener Personen, insbesondere mittels Bild- und Tonverarbeitung, zum Ziel haben auf bestimmte, in der „Blacklist“ näher definierte Weise erfolgen;
  4. eine Verarbeitung unter Einsatz neuer Technologie erfolgt und die Auswirkungen auf die betroffene Person und die gesellschaftlichen Folgen schwer abschätzbar sind (z.B. künstliche Intelligenz, Verarbeitung biometrischer Daten);
  5. eine Zusammenführung bzw. ein Abgleich von Daten aus mehreren Verarbeitungen zu unterschiedlichen Zwecken bzw. von verschiedenen Verantwortlichen erfolgt, wenn die betroffene Person eine solche Verarbeitung üblicherweise nicht erwarten kann und durch Entscheidungen, die von Algorithmen getroffen wurden, erheblich beeinträchtigt wird;
  6. Verarbeitungsvorgänge im höchstpersönlichen Bereich einer Person, ungeachtet einer Einwilligung.

Gibt es eine Datenschutzfolgenabschätzung zu den Covid Test-EDV-Systemen?

Da die Covid-19 Testergebnisse den Zutritt oder Nichtzutritt zu verschiedenen Bereichen des sozialen Lebens, in Spitäler, Pflegeheimen usw., sowie sogar die Covid19 Infizierung oder Nichtinfizierung nachweisen und weitreichende persönliche Folgen für den Betroffenen – bis zur Einschränkung der Bewegungs- und Reisefreiheit (Beispiel Tirol) oder die Verhängung einer behördlichen Quarantäne bewirken – wäre zu prüfen ob Puntk 1) und 2) der Blicklist erfüllt sind.

Da die Covid Tests bei Verstößen negative Maßnahmen bis zu Verwaltungsstrafen und Haft auslösen können und zu erheblichen Beinträchtigungen der betroffenen Personen bei Verstößen führen, wäre mit Einführung neuer EDV-Systeme wohl eine Datenschutz-Folgenabschätzung durchzuführen.

Rotes Kreuz zeigt wie es geht – Datenschutzfolgenabschätzung zur StoppcoronaApp

Siehe dazu als Beispiel die 106-seitige Datenschutzfolgenabschätzung des Roten Kreuzes zur StoppCoronaApp. Trotz intensiver Onlinerecherchen konnte eine entsprechende Datenschutzfolgenabschätzung zu den EDV Anwendungen Covid Teststraßen und zum zukünftigen digitalen „grünen Impfpass“ nicht gefunden werden.

Screenshot Rotes Kreuz Datenschutzfolgenabschätzung zur StoppCoronaApp

Abschließend darf erwähnt werden dass es sich bei allen Test- und Impfdaten um personenbezogene Gesundheitsdaten handelt die den besonderen Schutz der DSGVO genießen. Als besonders schützenswert nennt die DSGVO personenbezogene Daten zu ethnischer und kultureller Herkunft, politischen, religiösen und philosophischen Überzeugungen, Gesundheit, Sexualität und Gewerkschaftszugehörigkeit.

Somit bleibt es spannend und wir (der Autor und das Rechercheteam von bkftv.at) werden hoffentlich Ende Juni über das Ergebnis der beiden noch ausstehenden Auskunftsbeantwortungen berichten können. Denn im Hintergrund laufen bereits neue interessante Recherchen und Presseanfragen zum nächsten Projekt. Der digitale „Grüne Impfpass“.

Die internen Pläne des Gesundheitsministeriums und des Bundesrechenzentrums sorgen unter Datenschützern für große Aufregung. Foto: BRZ – Veröffentlicht https://www.derstandard.at/story/2000124607250/datenschutzchaos-rund-um-den-gruenen-impfpass

Für alle Firmen, Institutionen, Personen, Behörden und überhaupt „Jeden und „Alles“ gilt die Unschuldsvermutung. (hu) ++ende++

Quellenangaben:

Bgld: Covid-19 Testzentren (BITZ) im Test – Teil 2
https://bkftv.at/2021/03/07/bgld-covid-19-testzentren-bitz-im-test-teil-2/

Bgld: Covid-19 Antigenschnelltest Selbst-“Feldversuch“
https://bkftv.at/2021/02/22/bgld-covid-19-antigenschnelltest-selbst-feldversuch/

DSGVO Auskunftserteilung BRZ
DSGVO Auskunftserteilung BMSGPK
DSGVO Verständigung Amt der Burgenländischen Landesregierung

https://www.roteskreuz.at/fileadmin/user_upload/PDF/Datenschutz/Datenschutz-Folgenabschaetzung-Bericht_OeRK_StopCoronaApp_04-08-2020_V2.0_final.pdf

https://bkftv.at/2021/04/03/datenschuetzer-aeussern-schwere-kritik-am-gruenen-pass-und-elga-benachteiligung/

DSGVO Auskunftsbegehren zu Testvorgang in einer BITZ

https://drive.google.com/file/d/1X61IpkavptYa__o5ZJtI_tooKL5adg0j/view?usp=sharing

 

Share Button

Related posts