TE Dsk BescheidSonstiger 2022/4/21 2022-0.263.348

1. B-VG Art. 140 heute
2. B-VG Art. 140 gültig ab 01.01.2015 zuletzt geändert durch BGBl. I Nr. 114/2013
3. B-VG Art. 140 gültig von 01.01.2014 bis 31.12.2014 zuletzt geändert durch BGBl. I Nr. 51/2012
4. B-VG Art. 140 gültig von 01.07.2008 bis 31.12.2013 zuletzt geändert durch BGBl. I Nr. 2/2008
5. B-VG Art. 140 gültig von 01.01.2004 bis 30.06.2008 zuletzt geändert durch BGBl. I Nr. 100/2003
6. B-VG Art. 140 gültig von 06.06.1992 bis 31.12.2003 zuletzt geändert durch BGBl. Nr. 276/1992
7. B-VG Art. 140 gültig von 01.01.1991 bis 05.06.1992 zuletzt geändert durch BGBl. Nr. 685/1988
8. B-VG Art. 140 gültig von 01.07.1988 bis 31.12.1990 zuletzt geändert durch BGBl. Nr. 341/1988
9. B-VG Art. 140 gültig von 01.07.1976 bis 30.06.1988 zuletzt geändert durch BGBl. Nr. 302/1975
10. B-VG Art. 140 gültig von 19.12.1945 bis 30.06.1976 zuletzt geändert durch StGBl. Nr. 4/1945
11. B-VG Art. 140 gültig von 03.01.1930 bis 30.06.1934

1. COVID-19-IG § 3b gültig von 11.04.2022 bis 28.07.2022 aufgehoben durch BGBl. I Nr. 131/2022

1. COVID-19-IG § 6 gültig von 05.02.2022 bis 28.07.2022 aufgehoben durch BGBl. I Nr. 131/2022

GZ: 2022-0.263.348 vom 21. April 2022 (Verfahrenszahl: DSB-D485.009)

[Anmerkung Bearbeiter: Der Name der Verantwortlichen ist hier nicht pseudonymisiert worden, da die Sache Gegenstand von Medienberichterstattung war, und eine Bearbeitung des Bescheidinhalts, die eine Identifizierung der Verantwortlichen unmöglich gemacht oder doch deutlich erschwert hätte, nur durch weitgehende Beseitigung der Verständlichkeit des Inhalts der Entscheidung möglich gewesen wäre. Dem Geheimhaltungsrecht (§ 1 DSG) und Geheimhaltungsinteresse der Beschwerdegegnerin, einer juristischen Person, die im Rahmen des Sachverhalts ausdrücklich mit gesetzlichen Aufgaben betraut war, steht der gesetzliche Auftrag gemäß § 23 Abs. 2 DSG gegenüber, wobei es sich hier um eine Entscheidung von grundsätzlicher Bedeutung für die Allgemeinheit handelt, da einige Rechtsfragen hier erstmals behandelt worden sind. Die Entscheidung war daher wegen Überwiegens des allgemeinen Interesses an der Veröffentlichung in die Entscheidungsdokumentation der Datenschutzbehörde aufzunehmen.]

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über den von der ELGA GmbH (Verantwortliche) am 06.04.2022 eingebrachten Antrag auf vorherige Konsultation nach Art. 36 DSGVO betreffend eine beabsichtigte Verarbeitung von personenbezogenen Daten aufgrund des COVID-19-Impfpflichtgesetzes wie folgt:

-    Der Antrag wird zurückgewiesen.

Rechtsgrundlage: Art. 35, 36 und 58 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1.

BEGRÜNDUNG

A. Vorbringen der Verantwortlichen

Mit Antrag vom 06.04.2022 brachte die Verantwortliche vor, sie werde durch das Bundesgesetz über die Pflicht zur Impfung gegen COVID-19 (COVID-19-Impfpflichtgesetz – COVID-19-IG), BGBl. I Nr. 4/2022 idF BGBl. I Nr. 22/2022, zur Durchführung von Verarbeitungstätigkeiten als datenschutzrechtliche Verantwortliche verpflichtet. Konkret werde sie nach „§ 3 COVID-19-IG“ [gemeint wohl: § 3b Abs. 3 COVID-19-IG] zur datenschutzrechtlichen Verantwortlichen für die personenbezogene Verarbeitung von Ausnahmen von der generellen COVID-19-Impfpflicht im Zentralen Impfregister sowie nach „§ 6 Abs. 2 COVID-19-IG“ [gemeint wohl: § 6 Abs. 1 Z 2 COVID-19-IG] für die Übermittlung der Impfdaten und Ausnahmen an den Gesundheitsminister (unter anderem zur Verhängung von Strafen gegenüber Nichtgeimpften) gemacht.

Im Zuge des Begutachtungsverfahrens des COVID-19-IG sei keine Datenschutz-Folgenabschätzung vorgenommen worden.

Nach interner Durchführung einer Datenschutz-Folgenabschätzung sei man zum Ergebnis gelangt, dass diese Verarbeitungstätigkeiten mit einem hohen datenschutzrechtlichen Risiko verbunden seien, welches auch nicht durch entsprechende Maßnahmen der Verantwortlichen eingedämmt werden könne.

Zur Sicherstellung der Rechtmäßigkeit ersuche die Verantwortliche die Datenschutzbehörde um Entscheidung, ob bzw. unter welchen Umständen die im COVID-19-IG vorgesehenen Verarbeitungstätigkeiten im Einklang mit der DSGVO durchgeführt werden können.

Dem Antrag hat die Verantwortliche ihre Datenschutz-Folgenabschätzung vom 06.04.2022 beigelegt, aus der zusammengefasst hervorgeht, dass zur Beurteilung der Zulässigkeit der durch das COVID-19-IG der Verantwortlichen auferlegten Datenverarbeitungen die Zulässigkeit, insbesondere die Verhältnismäßigkeit, der COVID-19-Impfpflicht als Vorfrage zu beurteilen sei. Maßnahmen wie die COVID-19-Impfpflicht könnten nur dann verhältnismäßig sein, wenn sie unter anderem geeignet und erforderlich seien. Beide Kriterien seien jedoch gegenwärtig nicht erfüllt. Die COVID-19-Impfflicht sei zudem mit erheblichen Risiken belastet und sei eine sanktionsbewehrte COVID-19-Impfpflicht unter den gegebenen Umständen nicht verhältnismäßig. Im Ergebnis bestehe weiterhin ein hohes Risiko iSd Art. 36 Abs. 1 DSGVO und sei daher eine vorherige Konsultation gemäß Art. 36 DSGVO durchzuführen.

B. Sachverhaltsfeststellungen

Die Datenschutzbehörde legt das im Punkt A. wiedergegebene Vorbringen der Verantwortlichen ihren Sachverhaltsfeststellungen zugrunde.

C. In rechtlicher Hinsicht folgt daraus:

1. Gemäß Art. 36 Abs. 1 DSGVO konsultiert der Verantwortliche vor der Verarbeitung die Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.

Die Verantwortliche gibt an, dass sie nach dem COVID-19-IG (§§ 3b und 6) zur Vornahme von Datenverarbeitungen verpflichtet werde.

Der Konsultationsmechanismus des Art. 36 DSGVO dient dem Ziel, dass die Aufsichtsbehörde eine Beratungsfunktion wahrnehmen kann, um folglich Empfehlungen zur Minderung datenschutzrechtlicher Risiken geben zu können (vgl. Jandt in Kühling/Buchner, DS-GVO, zu Art. 36, Rz 1). Die vorherige Konsultation der Aufsichtsbehörde durch den Verantwortlichen gemäß Abs. 1 leg. cit. ist als Konsequenz vorzunehmen, wenn eine Datenschutz-Folgenabschätzung im Ergebnis negativ ausfällt, dh faktisch keine Garantien, Sicherheitsvorkehrungen und Mechanismen zur Risikominderung verfügbar bzw. der Einsatz verfügbarer Technik und die erforderlichen Implementierungskosten nicht als vertretbarer Aufwand einzustufen sind (vgl. Jandt aaO Rz 5).

2. Die von der Verantwortlichen vorgebrachten Bedenken betreffen im Wesentlichen die Rechtsgrundlage der vorgesehenen Datenverarbeitung iSd Art. 6 Abs. 1 lit. c DSGVO bzw. Art. 9 Abs. 2 lit. i DSGVO im Hinblick auf deren befürchtete Verfassungs- bzw. Unionsrechtswidrigkeit. Die Verantwortliche bringt vor, die COVID-19-Impfflicht sei nicht verhältnismäßig, was dazu führe, dass auch die nach dem Gesetz vorgesehenen Datenverarbeitungen nicht verhältnismäßig und damit unzulässig seien.

Die behauptete Verfassungs- oder Unionsrechtswidrigkeit eines Gesetzes - hier: des COVID-19-IG - kann jedoch nicht Gegenstand eines Konsultationsverfahrens nach Art. 36 DSGVO sein. Dies vor allem vor dem Hintergrund, da es einem Verantwortlichen im Falle einer gesetzlich vorgesehenen Datenverarbeitung gar nicht möglich ist, diese zu beeinflussen und allfällige Restrisiken faktisch zu mindern.

Auch die Befugnisse einer Aufsichtsbehörde nach Art. 36 Abs. 2 iVm Art. 58 DSGVO zielen darauf ab, faktisch Einfluss auf die Datenverarbeitung nehmen zu können.

Die Kompetenz, über die Verfassungswidrigkeit eines Gesetzes zu entscheiden, obliegt jedoch nicht der Aufsichtsbehörde, sondern gemäß Art. 140 B-VG allein dem Verfassungsgerichtshof. Die Frage der Übereinstimmung nationaler gesetzlicher Regelungen mit dem Unionsrecht obliegt gemäß Art. 267 AEUV nur dem EuGH.

Die Datenschutzbehörde ist weder gemäß Art. 140 B-VG noch gemäß Art. 267 AEUV berechtigt, den Verfassungs- bzw. Europäischen Gerichtshof anzurufen, um die von der Verantwortlichen monierte Rechtswidrigkeit als Vorfrage iSd § 38 AVG prüfen zu lassen.

3. Abschließend – und losgelöst vom vorliegenden Verfahren – wird auf ein vom Verwaltungsgericht Wiesbaden (Beschluss vom 13.1.2022, GZ 6 K 1563/21.WI) an den EuGH gerichtetes Vorabentscheidungsersuchen (dort protokolliert zu C-61/22) hingewiesen:

Das Verwaltungsgericht stellt die Frage, ob das Unterlassen einer verpflichtenden Datenschutz-Folgenabschätzung nach Art. 35 Abs. 10 DSGVO die Wirksamkeit einer Norm unberührt lassen kann oder ob nicht vielmehr bei zwingender Verpflichtung des Normgebers zur Durchführung einer Risikofolgenabschätzung sein Unterlassen zu einer Ungültigkeit der Norm führen muss. Andernfalls würde der Normgeber für sein Fehlverhalten belohnt werden (siehe insbesondere Rz 69 des Vorlagebeschlusses).

4. Die Voraussetzungen für eine vorherige Konsultation nach Art. 36 DSGVO sind daher nicht gegeben und es war spruchgemäß zu entscheiden.