Datenschutz: Hinweis zur gemeinsamen Verantwortlichkeit
Einrichtungen, die SARS-CoV-2-Tests auswerten, müssen dem BMSGPK die Testergebnisse übermitteln, damit dieses die Testzertifikate aus- und bereitstellen kann. Beim BMSGPK und den Einrichtungen, die Sars-CoV-2-Tests auswerten, handelt es sich um gemeinsame Verantwortliche.
An dieser Stelle informieren wir Sie, wer für welchen Verarbeitungsvorgang verantwortlich ist und wie die Pflichten aus der DSGVO aufgeteilt sind. Die rechtliche Grundlage für diese Pflichtenaufteilung finden Sie in § 4c Abs. 3 EpiG.
Einrichtungen, die Sars-CoV-2-Tests auswerten
Einrichtungen, die Sars-CoV-2-Tests auswerten, sind insbesondere Teststellen und Labore. Sie sind verantwortlich für die Ermittlung Ihres Testergebnisses und Übermittlung des Testergebnisses an das BMSGPK.
- Die Einrichtungen, die die Sars-CoV-2-Tests auswerten, treffen folgende Pflichten:
- Zurverfügungstellung der Datenschutzinformation gemäß Art. 13 DSGVO in geeigneter Weise;
- Wahrnehmung von Anträgen auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung hinsichtlich jener Daten, die von der jeweiligen Einrichtung verarbeitet werden;
- unverzügliche Benachrichtigung des BMSGPK über jede erfolgte Berichtigung oder Löschung oder Einschränkung der Verarbeitung hinsichtlich jener Daten, die von der jeweiligen Einrichtung verarbeitet werden;
- Sicherstellung der Datensicherheit hinsichtlich der Ermittlung und Übermittlung der Daten, die die jeweilige Einrichtung verarbeitet;
- Wahrnehmung von Meldepflichten an die Datenschutzbehörde und an die betroffenen Personen bei einer allfälligen Datenschutzverletzung, sofern diese bei der Ermittlung oder Übermittlung der Daten aufgetreten ist.
BMSGPK
Das BMSGPK ist verantwortlich für die Einrichtung und den Betrieb des EPI-Service und für die Ausstellung und Bereitstellung der Testzertifikate.
Das BMSGPK treffen folgende Pflichten:
- Wahrnehmung von Anträgen auf Auskunft, sofern sie das EPI-Service betreffen;
- Sicherstellung der Datensicherheit hinsichtlich des EPI-Service;
- Wahrnehmung von Meldepflichten an die Datenschutzbehörde und an die betroffenen Personen bei einer allfälligen Datenschutzverletzung, sofern diese im EPI-Service aufgetreten ist;
- Zurverfügungstellung des wesentlichen Inhalts der Pflichtenaufteilung in geeigneter Weise, was hiermit erfüllt wird.
Sowohl die Einrichtungen, die Sars-CoV-2-Tests auswerten, als auch das BMSGPK treffen folgende Pflichten:
- Verweis an den zuständigen Verantwortlichen, wenn Sie unter Nachweis Ihrer Identität eines Ihrer Betroffenenrechte gegenüber einem unzuständigen Verantwortlichen geltend machen wollen. Sie werden dabei entsprechend angeleitet. Wenn der zuständige Verantwortlichen aufgrund Ihres Antrages nicht tätig wird, muss er Sie darüber informieren.
- Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten;
- Zusammenarbeit mit der Aufsichtsbehörde.
Die verwendete Literatur finden Sie im Quellenverzeichnis.
Letzte Aktualisierung: 10. Juni 2021
Erstellt durch: Bundesministerium für Soziales, Gesundheit, Pflege und Konsumentenschutz
Abgenommen durch: Bundesministerium für Soziales, Gesundheit, Pflege und Konsumentenschutz