Grüner Pass: Datenschutzinformation gemäß Art. 14 DSGVO

Das Bundesministerium für Soziales, Gesundheit, Pflege und Konsumentenschutz (BMSGPK) steht zu seiner Verantwortung personenbezogene Daten zu schützen. Sie finden deshalb nachfolgend eine Information über die Datenverarbeitungen im Zusammenhang mit dem „Grünen Pass“, die durch das BMSGPK vorgenommen werden. Da die Daten für die Ausstellung und Bereitstellung der Test-, Genesungs- und Impfzertifikate durch das BMSGPK nicht bei Ihnen direkt erhoben werden, finden Sie in der Datenschutzinformation auch eine Auflistung der Quellen, woher die Daten stammen.

Die nachfolgende Datenschutzinformation behandelt ausschließlich die Test-, Genesungs- und Impfzertifikate auf nationaler Ebene.

Bitte beachten Sie, dass im Rahmen der Ausstellung der Testzertifikate eine gemeinsame Verantwortlichkeit zwischen dem BMSGPK und den Einrichtungen, die Sars-CoV-2-Tests auswerten, besteht. Die Pflicht zur Information gemäß Art. 13 DSGVO obliegt gemäß § 4c Abs. 3 Z 2 lit. a EpiG den Einrichtungen, die Sars-CoV-2-Tests auswerten.

Weitere Informationen zur Pflichtenaufteilung finden Sie hier.

Verantwortlich für die Datenverarbeitung:

Bundesminister für Soziales, Gesundheit, Pflege und Konsumentenschutz
Stubenring 1

1010 Wien

E-Mail: post@sozialministerium.at

Die Datenschutzbeauftragten erreichen Sie unter folgender E-Mail-Adresse:

corona-datenschutz@gesundheitsministerium.gv.at

Zwecke, zu denen Ihre Daten verarbeitet werden:

Ihre Daten werden durch das BMSGPK nur zu einem der folgenden Zwecke verarbeitet:

  • Erstellung eines Test-, Genesungs- oder Impfzertifikats als Nachweise für die Inanspruchnahme von bestimmten Dienstleistungen (zum Beispiel körpernahe Dienstleistungen oder Gastronomie),
  • zur allfälligen Fehlersuche und -behebung sowie
  • zur Erstellung von statistischen Auswertungen.

Rechtsgrundlage(n), aufgrund derer wir Ihre personenbezogenen Daten verarbeiten:

Für die Ausstellung und Bereitstellung der Test-, Genesungs- und Impfzertifikate wird ein elektronisches Service namens „EPI-Service“ eingerichtet und betrieben. Die Einrichtung und der Betrieb des EPI-Service sowie die damit einhergehende Ausstellung und Bereitstellung der Zertifikate erfüllt ein erhebliches öffentliches Interesse (Art. 9 Abs. 2 lit. g DSGVO) sowie insbesondere auch ein öffentliches Interesse im Bereich der öffentlichen Gesundheit (Art. 9 Abs. 2 lit. i DSGVO). Die Verarbeitung der personenbezogenen Daten ist außerdem für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt (Art. 6 Abs. 1 lit. e DSGVO). Die nationale Umsetzung erfolgt durch die §§ 4b bis 4e EpiG.

Kategorien der personenbezogenen Daten, die verarbeitet werden:

Im Rahmen des EPI-Service werden folgende Daten verarbeitet:

Für die Ausstellung von Testzertifikaten:

  • Nachname(n) und Vorname(n) der getesteten Person, in dieser Reihenfolge,
  • das Geburtsdatum der getesteten Person,
  • Zielkrankheit oder -erreger, auf die oder den die Person getestet wurde, ausschließlich lautend auf „COVID-19“ (umfasst auch „SARS-CoV-2“ oder dessen Varianten),
  • der Art des Tests,
  • die Bezeichnung des Tests und des Herstellers des Tests (optional bei NAAT-Tests),
  • Datum und Uhrzeit der Probenahme,
  • das Testergebnis,
  • die Bezeichnung des Testzentrums oder der testenden Einrichtung,
  • die Bezeichnung des Staates, in dem der Test durchgeführt wurde,
  • die Bezeichnung des Ausstellers des Testzertifikats und
  • die eindeutige Kennung des Testzertifikats
  • sowie – sofern vorhanden – die Sozialversicherungsnummer und
  • das bereichsspezifische Personenkennzeichen Gesundheit.

Für die Ausstellung von Genesungszertifikaten:

  • Nachname(n) und Vorname(n) der getesteten Person, in dieser Reihenfolge,
  • das Geburtsdatum der getesteten Person,
  • Krankheit oder Erreger, von der oder dem die Person genesen ist, ausschließlich lautend auf „COVID-19“ (umfasst auch „SARS-CoV-2“ oder dessen Varianten),
  • das Datum des ersten positiven Testergebnisses,
  • die Bezeichnung des Staates, in dem der Test durchgeführt wurde,
  • die Bezeichnung des Ausstellers des Genesungszertifikats,
  • Gültigkeitsbeginn und Gültigkeitsende des Genesungszertifikats,
  • die eindeutige Kennung des Genesungszertifikats,
  • sowie – sofern vorhanden – die Sozialversicherungsnummer und
  • das bereichsspezifische Personenkennzeichen Gesundheit.

Für die Ausstellung von Impfzertifikaten:

  • Nachname(n) und Vorname(n) der geimpften Person in dieser Reihenfolge,
  • das Geburtsdatum der geimpften Person,
  • Krankheit oder Erreger, gegen die oder den die Person geimpft ist, ausschließlich lautend auf „COVID-19“ (umfasst auch „SARS-CoV-2“ oder dessen Varianten),
  • der Impfstoff/die Prophylaxe (generische Beschreibung des Impfstoffs oder seiner Komponenten),
  • das Impfarzneimittel (Bezeichnung des Impfstoffs gemäß Zulassung),
  • die Chargennummer des Impfstoffs,
  • der Zulassungsinhaber oder Hersteller des Impfstoffs,
  • die Nummer der Impfdosis und die Gesamtanzahl der Impfdosen einer Impfserie,
  • das Datum der letzten Impfung der Impfserie,
  • die Bezeichnung des Staates, in dem die Impfung durchgeführt wurde,
  • die Bezeichnung des Ausstellers des Impfzertifikats,
  • die eindeutige Kennung des Impfzertifikats,
  • das bereichsspezifische Personenkennzeichen Gesundheit.

Quellen, aus denen Ihre Daten stammen:

Die Daten für die Erstellung und Bereitstellung der Testzertifikate werden von den Einrichtungen, die SARS-CoV-2-Tests auswerten (das sind insbesondere Teststellen und Labore), an das BMSGPK übermittelt. Das BMSGPK ermittelt aus den übermittelten Daten im Wege der Abfrage des Patientenindex oder – im Falle des Fehlens der Sozialversicherungsnummer – im Wege der Stammzahlenregisterbehörde das bereichsspezifische Personenkennzeichen Gesundheit und erstellt das Testzertifikat.

Die Daten für die Erstellung und Bereitstellung der Genesungszertifikate werden vom BMSGPK aus dem Register anzeigepflichtiger Krankheiten („EMS“) und das bereichsspezifische Personenkennzeichen Gesundheit im Wege der Abfrage des Patientenindex oder – im Falle des Fehlens der Sozialversicherung – im Wege der Stammzahlenregisterbehörde ermittelt. Genesungszertifikate sind vom BMSGPK auf Anforderung von Betroffenen auszustellen.

Die Daten für die Erstellung und Bereitstellung der Impfzertifikate werden von der ELGA GmbH aus dem zentralen Impfregister („eImpfpass“) an das BMSGPK übermittelt.

Wer Ihre personenbezogenen Daten erhält (Empfänger):

Auftragsverarbeiterin für den Betrieb des EPI-Service ist die Bundesrechenzentrum GmbH, Hintere Zollamtsstraße 4, 1030 Wien.

Über das Öffentliche Gesundheitsportal Österreichs („Zugangsportal gemäß § 23 GTelG 2012“) erhalten Sie sowie Ihre allfälligen Vertreter/innen gemäß § 4b Abs. 7 Z 3 EpiG die Möglichkeit zur Einsichtnahme, zum Druck und zum Download von Zertifikaten.

Gemäß § 4b Abs. 7 Z 1 EpiG können die Landeshauptleute als datenschutzrechtliche Verantwortliche Ihnen Ihr Test-, Genesungs- oder Impfzertifikats in elektronischer Form zur Verfügung stellen. Dafür erhalten sie das jeweilige Zertifikat vom BMSGPK per Abruf über ein gesichertes elektronisches Netzwerk.

Gemäß § 4b Abs. 7 2 lit. a EpiG können Gemeinden, Bezirksverwaltungsbehörden und die ELGA-Ombudsstelle als datenschutzrechtlich Verantwortliche Ihnen oder Ihrem allfälligen Vertreter/Ihrer allfälligen Vertreterin Ihr Test-, Genesungs- oder Impfzertifikats in gedruckter Form zur Verfügung stellen. Dafür wird eine Portalverbundanwendung bereitgestellt.

Gemäß § 4b Abs. 7 2 lit. b EpiG können die Kundenservicestellen der Österreichischen Gesundheitskasse als datenschutzrechtlich Verantwortliche Ihnen oder Ihrem allfälligen Vertreter Ihr Impfzertifikats in gedruckter Form zur Verfügung stellen. Dafür wird eine Portalverbundanwendung bereitgestellt.

Gemäß § 4c Abs. 2 EpiG dürfen Teststellen Ihr Testzertifikat und gemäß § 4e Abs. 2 EpiG Impfstellen Ihr Impfzertifikat für Sie ausdrucken. Dafür wird ihnen das jeweilige Zertifikat vom BMSGPK übermittelt.

Das Impfzertifikat wird gemäß § 4e Abs. 5 EpiG der ELGA GmbH als datenschutzrechtlich Verantwortliche zur Speicherung im zentralen Impfregister übermittelt. Sie oder Ihr allfälliger Vertreter können Ihr Impfzertifikat also auch über den eImpfpass erlangen, Sie können sich das Impfzertifikat aber auch von niedergelassenen Ärztinnen und Ärzten oder von Apotheken aus dem zentralen Impfregister ausdrucken lassen.

Überprüft wird Ihr Zertifikat anhand eines QR-Codes, der die Daten gemäß § 4c Abs. 1, § 4d Abs. 1 oder § 4e Abs. 1 EpiG enthält (das sind mit Ausnahme der Sozialversicherungsnummer, des bereichsspezifischen Personenkennzeichens Gesundheit sowie die Chargennummer die oben unter „Datenkategorien“ genannten Daten). Die Überprüfenden sehen nur, ob Ihr Zertifikat gültig (grün hinterlegt) oder ungültig (rot hinterlegt) ist und gegebenenfalls einen Anhaltspunkt, warum das Zertifikat ungültig ist (etwa weil die Gültigkeitsdauer abgelaufen ist oder ein technischer Fehler vorliegt).

Wie lange die Daten gespeichert werden (Speicherdauer):

Die Löschung der Daten im EPI-Service erfolgt

  • bei Testzertifikaten gemäß § 4c Abs. 5 EpiG 1 Woche ab Datum der Probenahme,
  • bei Genesungszertifikaten gemäß § 4d Abs. 6 EpiG 1 Woche ab Gültigkeitsende,
  • bei Impfzertifikaten gemäß § 4e Abs. 7 EpiG 1 Jahr ab Übermittlung an das zentrale Impfregister.

Gemäß § 4 Abs. 8 EpiG sind fehlerhafte Genesungs- und Impfzertifikate vor Ablauf der Gültigkeitsdauer zu widerrufen. Widerrufene Zertifikate sind unverzüglich im EPI-Service zu löschen.

Ihre Rechte:

In Bezug auf das EPI-Service, das für die Ausstellung und Bereitstellung der Zertifikate eingerichtet und betrieben wird, kommen Ihnen grundsätzlich die Rechte aus der DSGVO und dem DSG zu: Sie haben also ein Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung sowie ein Widerspruchsrecht. Bitte beachten Sie, dass Zertifikate selbst nicht berichtigt, sondern nur widerrufen und neu ausgestellt werden können.

Wenn Sie der Meinung sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen österreichisches oder europäisches Recht verstößt, haben Sie gemäß Art. 77 DSGVO das Recht auf Beschwerde bei der Österreichischen Datenschutzbehörde (E-Mail: dsb@dsb.gv.at; Barichgasse 40-42, 1030 Wien).

Die verwendete Literatur finden Sie im Quellenverzeichnis.

Letzte Aktualisierung: 10. Juni 2021

Erstellt durch: Bundesministerium für Soziales, Gesundheit, Pflege und Konsumentenschutz

Abgenommen durch: Bundesministerium für Soziales, Gesundheit, Pflege und Konsumentenschutz

Zurück zum Anfang des Inhaltes