DSGVO Auskunft eImpfpass: Ein Hürdenlauf und Zuständigkeitschaos

Nach den bis jetzt vorliegenden Informationen und Daten zeichnete sich für den Autor dieses Artikels beim eImpfpass eine gesetzlich legitimierte „Gesundheitsdatenvorratsspeicherung“ über 9 Millionen Menschen ab. Die Rechte der Patienten sind vollkommen eingeschränkt und der Staat sieht eine 120-jährige allgemeine Speicherung und eine 30-jährige Speicherung von Vorerkrankungen ohne Recht auf Löschung, Einschränkung und Widerspruch vor. Die für den Patienten wichtigen „Zugriffsprotokolle“ werden jedoch bereits nach 3 Jahren gelöscht. Bei der DSGVO Datenbeauskunftung herrscht ein Zuständigkeitschaos und den Menschen wird ein bürokratischer Hürdenlauf zugemuten, an dem viele Österreicher scheitern. Der gläserne Patient nimmt aber auch in Richtung EU-Gesundheitsdatenraum bereits konkrete Formen an. Lesen Sie hier eine Zusammenfassung der aktuellen Lage nach 4 Monaten seit dem Start eines Auskunftsverfahrens. Mit 300924 wurde der eImpfpass in Österreich gesetzlich im Pilotbetrieb in Kraft gesetzt. Dazu berichtete BKFTV bereits im Oktober 2024 https://bkftv.at/2024/10/02/elga-eimpfpass-mit-300924-in-kraft-kein-optout-moeglich/

Aufgrund der COVID–19–Pandemie beschloss die Bundes–Zielsteuerungskommission in ihrer Sitzung im April 2020 die Neuausrichtung des Pilotprojekts eImpfpass. Sie hob die Altersbeschränkungen auf und weitete das Pilotprojekt auf ganz Österreich aus. Als Eckpunkte des Pilotprojekts beschloss die Fachgruppe eHealth, zur Vorbereitung auf die im Jahr 2021 gegen COVID–19 verfügbaren Impfungen die Influenza–Impfungen ab Oktober 2020 in eImpfpass zu dokumentieren. Mit der Novelle des Gesundheitstelematikgesetzes 2012 wurde im Oktober 2020 die gesetzliche Grundlage zur Umsetzung von eImpfpass geschaffen und es begann die Pilotphase.

Das Gesundheitsministerium verfügte auf Basis des Gesundheitstelematikgesetzes 2012 im Sommer 2024 eine elmpfpass–Verordnung mit umfangreichen Regelungen zum elmpfpass, die die geltende eHealth–Verordnung ersetzen soll. Laut der neuen Verordnung werde am 1. Jänner 2026 der Vollbetrieb des elmpfpasses aufgenommen und habe die ELGA GmbH bis zum 31. Dezember 2025 sicherzustellen, dass alle in § 24d Abs. 2 Gesundheitstelematikgesetz 2012 genannten Funktionalitäten – so auch die vom RH angesprochene Erinnerungsfunktion – umgesetzt werden.

Die Anwendung eImpfpass ist in dasselbe Zugangsportal wie ELGA integriert und nutzte die für ELGA geschaffene Infrastruktur, z.B. das Berechtigungs– und das Protokollierungssystem. Von ELGA unterschied sich eImpfpass vor allem durch die verpflichtende Teilnahme und den weiteren Kreis der zugriffsberechtigten Gesundheitsdiensteanbieter (z.B. auch Amtsärzte). Das Gesundheitstelematikgesetz 2012 bezeichnete die Anwendung eImpfpass – in Abgrenzung zu ELGA – als eine „eHealth–Anwendung“. (Quelle RH Bericht zu ELGA)

Viele Menschen verzweifeln derzeit am behördlichen Hürdenlauf zu ihrem DSGVO Auskunftsbegehren zum eImpfpass, der letztes Jahr durch die Bundesregierung als Zwangsmaßnahme für alle Österreicher eingeführt wurde. Die ELGA GmbH ist für eine DSGVO Auskunft zum eImpfpass nicht zuständig, die Menschen werden an das Gesundheitsministerium verwiesen. Wird dort das Auskunftsverfahren zum eImpfpass eingebracht, erhält man trotz ordnungsgemäß unterschriebenen und eingebrachten Antrag von der jeweiligen ELGA Ombudsstelle im Bundesland einen Papierbrief mit Informationsmaterial und 2 Formularen zur Unterschrift um Auskunft über den eImpfpass zu bekommen.

Letzter Informationsstand: Der eImpfpass wird vom GESUNDHEITSMINISTERIUM betrieben. Als technische Basis dient die ELGA Infrastruktur der elektronischen Gesundheitsakte. Alles befindet sich in einem „Pilotprojektstatus“, da der ZwangseImpfpass erst am 1.1.2026 seinen Vollbetrieb unter der Verantwortung des Gesundheitsministeriums aufnimmt.

Zur Beauskunftung des eImpfpasses herrscht Grünes Chaos im Gesundheitsministerium

Das Grüne Gesundheitsministerium und auch die ÖVP im Digitalisierungsministerium scheinen mit dem eImpfpass heillos überfordert zu sein. Im Gesundheitsministerium gibt es eine ELGA-Koordinierungsstelle. Höchst eigenartig ist, dass die zur Erledigung beauftragte Ombundsstelle trotz einem rechtsgültig unterschriebenen DSGVO Auskunftsverfahren wieder eine eigene 2-fache Zustimmung benötigt um mein DSGVO Ansuchen zu bearbeiten. Dieser Verwaltungsaufwand ist nicht nachvollziehbar. Das gesamte Verfahren zur Erledigung der DSGVO Auskunft ist zu hinterfragen.

eImpfpass/ELGA – Speichermanagement ist zu hinterfragen

Betreiber der zentralen Komponenten waren vor allem die IT–Dienstleister der Systempartner: die BRZ GmbH, die ITSV GmbH und die SVC GmbH. Es gab Unstimmigkeiten zwischen den Systempartnern, wie und wer die zentralen Komponenten, wie das Berechtigungssystem, am zweckmäßigsten betreiben könnte. Dezentral lagen die Daten in 13 Speichern, sogenannten ELGA–Bereichen. Die Länder betrieben acht Bereiche (Burgenland hatte sich an die Steiermark angeschlossen), die Sozialversicherung betrieb einen Bereich für ihre Einrichtungen, die Orden sowie drei private Anbieter ebenfalls je einen Bereich. Die Existenz von 13 Bereichen verursachte erhöhten Aufwand durch die mehrfache Vorhaltung von Infrastruktur. Es erhöhte sich auch die technische Komplexität, weil u.a. lokale Verweisregister und verteilte Berechtigungssysteme erforderlich waren, um die Befunde einer Patientin oder eines Patienten in allen Bereichen suchen und die Berechtigung jeder Suche überprüfen zu können. Ein Grund für die dezentrale Speicherung von Befunden lag darin, dass beim Aufbau von ELGA der Ansatz verfolgt wurde, bestehende Datenspeicher zu integrieren statt neue aufzubauen. Es gab während der Konzeption von ELGA auch datenschutzrechtliche Bedenken gegen eine Konzentration aller Daten.“ (Quelle RH Bericht zu ELGA)

eImpfpass Speicherfristen, kein Recht auf Löschung, Einschränkung, Widerspruch!

Der Staat hat durch die #övpgrüninnenregierung vorgesorgt und die Patientenrechte der Österreicher zum eImpfpass umfassend eingeschränkt. Aufgrund der gesetzlichen Verpflichtung §24c Abs. 5Z1GTelG 2012 werden die im elmpfpass gespeicherten Impfdaten und Vorerkrankungen 30 Jahre nach dem Sterbedatum, spätestens aber 120 Jahre nach der Geburt gelöscht. Den Löschantrag nach DSGVO werden dann wohl die Kinder oder Enkelkinder für ihre Eltern stellen. Hier findet meiner Meinung nach eine Gesundheitsvorratsdatenspeicherung statt.

Daher sollten gespeicherte Gesundheitsdaten auch für den Fall eines (späteren) Opt–outs erhalten bleiben. Dazu wäre zu erwägen, ob – anstatt die Daten zu löschen – der Zugriff bzw. die Einsichtsmöglichkeit für Gesundheitsdiensteanbieter nur eingeschränkt werden könnte. Auf diese Weise blieben die Gesundheitsdaten der ELGA– Teilnehmenden verfügbar und könnten hinkünftig auch pseudonymisiert ausgewertet werden.“ (Quelle RH Bericht zu ELGA)

Wichtig – Beschaffen Sie sich einmal im Jahr die Protokollierungszugriffe!

Denn die Protokollierungsdaten werden 3 Jahre nach der Protokollierung, das heißt nach dem erfolgten Zugriff, gelöscht (§ 2 Abs. 3GTelG 2012).

In OpenDataAUSTRIA sind die anonymisierten Covid Impfdaten von 9 Millionen Österreichern in allen Gemeinden verfügbar. Downloadlink der Datei im Artikel. BKFTV.at berichtete dazu im November 2024 https://bkftv.at/2024/11/05/eimpfass-opendata-impfdatenstatistik-alle-gemeinden-verfuegbar/

Der aktuelle Rechnungshofbricht zur ELGA GmbH und zum System ELGA weist unter anderem 41 Fundstellen zum eImpfpass/eImpfregister auf. Der gesamte Rechnungshofbereicht steht hier zum Download bereit Reihe BUND 2024/32 Bericht des Rechnungshofes: 2024_32_ELGA

Elektronische Gesundheitsakte ELGA und ELGA GmbH
26 Millionen Covid Impfungen im eImpfregister gespeichert
2,8 Impfungen im Durchschnitt bei 9 Millionen Österreichern.
Manche mehr, manche weniger, einige KEINE.

Kein Recht auf Einschränkung der Verarbeitung – kein Recht auf Widerspruch

Das Recht auf Einschränkung der Verarbeitung sowie das Recht auf Widerspruch besteht beim elmpfpass nicht (§ 24e Abs. 5 GTelG 2012). Auch hier hat der Staat vorgesorgt.

Zur empfohlenen Änderung der Rechte zur Einschränkung der Teilnahme an ELGA teilte das Gesundheitsministerium mit, dass nur ein kleiner Teilnehmerkreis das Widerspruchsrecht im Anlassfall (situatives Opt–out) tatsächlich ausübe. Das Gesundheitsministerium habe die Datenschutzbehörde bereits im Zuge einer früheren Novelle des Gesundheitstelematikgesetzes 2012 zum Entfall des situativen Opt– outs kontaktiert. Ohne eine vertiefte Prüfung vorgenommen zu haben, sei die Datenschutzbehörde diesem Vorhaben eher kritisch gegenübergestanden“ (Quelle RH Bericht zu ELGA)

Im akuellen Rechnungshofbericht ist zu lesen, dass die ELGA GmbH und das Gesundheitsministerium gemeinsam mit der Datenschutzbehörde am Entfall oder der Änderung des situativen Opt– out arbeiten. https://bkftv.at/2024/11/11/eimpfpass-elga-optout-kommt-entfall-des-situativen-opt-out/

Wer ist nun für den eImpfpass VERANTWORTLICHER?

8 ! (in Worten Acht) Verantwortliche zum eImpfpass werden im Informationsblatt der ELGA Ombudsstelle mitgeteilt. Datenschutzrechtlich verantwortlich für den § 24b Abs. 3 Gesundheitstelematikgesetz 2012 (GTelG 2012) elmpfpass sind:

  • der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesminister der am 1.1.2026 den Vollbetrieb sicherzustellen hat.
  • die ELGA GmbH,
  • die elmpf-Gesundheitsdiensteanbieter, Apotheken,
  • die Landeshauptleute,
  • die Bezirksverwaltungsbehörden,
  • die Österreichische Gesundheitskasse, die Sozialversicherungsanstalt der Selbständigen
  • die Versicherungsanstalt öffentlich Bediensteter, Eisenbahnen und Bergbau sowie die Rechtsträger von Krankenfürsorgeeinrichtungen und
  • die Gesundheitsberatung 1450

Sind nun wirklich 8 eigene DSGVO Auskunftsverfahren an diese DSGVO Verantwortlichen zum eImpfpass zu stellen um eine Vollständige Auskunft zu bekommen?

In den vergangenen Jahren gab es unter den Systempartnern unterschiedliche Standpunkte zu Speicherverpflichtungen einzelner Gesundheitsdiensteanbieter– Gruppen, z.B. von Fachärztinnen und Fachärzten für medizinisch–chemische Labordiagnostik oder von Zahnärztinnen und Zahnärzten. Zur Zeit der Gebarungsüberprüfung lag keine vollständige Übersicht über die Speicherverpflichtungen der Gesundheitsdiensteanbieter gegliedert nach Gesundheitsdiensteanbieter–Gruppen und ELGA–Anwendungen vor.“ (Quelle RH Bericht zu ELGA)

Der Staat hat vorgesorgt – auch beim Verarbeitungszweck zum eImpfpass

Denn der eImpfpass wird im „erheblichen öffentlichen Interesse“ der Republik Österreich betrieben. Die Zwecke, zu denen die mit dem elmpfass gespeicherten Daten personenbezogen verarbeitet werden dürfen, sind in § 24d Abs. 2 GTelG 2012 aufgezählt. Auch dagegen kann kein Einspruch erhoben werden.

Verarbeitungszwecke zum eImpfpass:

  • die zusammenfassende Darstellung der im zentralen Impfregister gespeicherten Daten,
  • die Darstellung persönlicher Impfkalender auf Basis der im zentralen Impfregister gespeicherten Daten und des jeweils aktuellen Impfplans Osterreich,
  • die Erinnerung an empfohlene Impfungen gemäß dem jeweils aktuellen Impfplan Österreich auf Basis der mi zentralen Impfregister gespeicherten Daten,
  • die Auswertungen von mi zentralen Impfregister gespeicherten Daten gemäß § 24g GTelG 2012,
  • das Krisenmanagement, sowohl mi Rahmen des Ausbruchsmanagements in Zusammenhang mit anzeigepflichtigen Krankheiten gemäß § 1 EpiG, als auch mi Rahmen der Pharmakovigilanz,
  • die Abrechnung mi Rahmen von Impfprogrammen sowie deren Überprüfung,
  • die Wahrnehmung der Bürger/innen gemäß § 24e GTelG 2012
  • sowie Datenqualitätsmanagement gemäß § 24h GTelG 2012

Es gelten wie schon in der Covid19-Zeit die Wahrnehmung rechtlicher Interessen durch den Staat, die in unmittelbarem oder mittelbarem Zusammenhang mit hoheitsrechtlichen Anordnungen, die durch eine Ausnahmesituation an eine Personenmehrheit gerichtet sind.

Im Parlament werden 2025 Anpassungen im ASVG, im Epidemiegesetz, im Patientenverfügungs-Gesetz und im Suchtmittelgesetz durchgeführt.

Der Staat bedient sich weiterer schlagkräftiger Gesetze und digitaler Tools um seine Interessen im erheblichen öffentlichen Interesse gemäß Art. 9 Abs. 2 lit. g bis j DSGVO sowie zur nationalen Gesundheitssicherheit durchzusetzen:

  • Gesundheitstelematikgesetz
  • Pandemieplan 2023
  • Impfplan Österreich 2024
  • Once-Only-Plattform (dadeX)
  • Bundessystemregisterverbund
  • Epidemiologisches Meldesystem (EMS)
  • Epidemiegesetz
  • Bundeskrisensicherheitsgesetz
  • eImpfpass
  • eMutterkindpass
  • Reisepass zukünftig eReisepass (2030)
  • IDAustria EUid
  • EU Digital Identity Wallet
  • Gesundheitsdatenraum AUT / EU
  • Singel-Digital-Gateway Verordnung SDG-VO

In meinem seit 4 Monate laufenden Projekt „eImpfpass Auskunft“ können sie die Chronologie, alle Hintergrundinformationen und das Grundlagenmaterial zum eImfpass abrufen und alles zu diesem Verwaltungsmonster eImfpass mitlesen.

Das Schlimme daran ist, dass es hier um besonders geschützte personenbezogene Gesundheitsdaten von 9 Millionen Österreichern geht und alles ein wenig außer Kontrolle gerät. Zusätzlich ist noch die Umsetzung zum österreichischen und europäischen Gesundheitsdatenraum voll im Gang. Somit heißt es Wachsam bleiben. Lesen Sie mit hier:

https://www.datenschutzberater-dsgvo.at/eimpfass-2024/

https://www.datenschutzberater-dsgvo.at/eimpfass-2024/grundlagendokumente/

https://www.datenschutzberater-dsgvo.at/eimpfass-2024/chronologie/

Für alle betroffenen Firmen, Institutionen, Personen und Verantwortlichen sowie für die Zuständigen gilt die Unschuldsvermutung. (hu) ++ende++


Herbert Unger – freier Journalist bei bkftv.at
herbert.unger@bkftv.at oder 06645344908
Meine Artikel: https://bkftv.at/author/hu/
Schreiben Sie mir zum Thema
Vertrauliche Kommunikation über:
Threema ID hcclnoname: WUU3ZJJV
Signal-Messenger oder persönliche Treffen: Face-to-Face

 

Share Button

Related posts