Datenschutzerklärung

Schloss-Symbol für Datenschutz bzw Sicherheit.

1. Allgemeine Informationen zum Datenschutz

Die Datenschutz-Grundverordnung (DSGVO) ist am 25. Mai 2018 in Kraft getreten. Wie die ELGA GmbH Ihre Datenschutzrechte einhält, erfahren Sie im Rahmen unserer Datenschutzerklärung. Aktuell ist die ELGA GmbH für die folgenden Verarbeitungen verantwortlich:

1.1 Datenschutzbeauftragter

Die ELGA GmbH hat

     Dr. Sebastian Reimer

als Datenschutzbeauftragten bestellt. Er steht Ihnen für Ihre Fragen zum Datenschutz unter

     Datenschutz
     ELGA GmbH
     Treustraße 35-43/ Stg. 4/ 1. Stock
     1200 Wien

oder

     via E-Mail an datenschutz(at)elga.gv.at

zur Verfügung. 

1.2 Einhaltung Ihrer Datenschutzrechte

Die Datenschutz-Grundverordnung sieht grundsätzlich folgende Rechte für betroffene Personen vor:

Welche dieser Rechte Ihnen konkret in Bezug auf die jeweilige Verarbeitung zustehen, erfahren Sie in den einzelnen Kapiteln zum eImpfpass, zur Erbringung von Serviceleistungen sowie zur Website / Logfiles. Sie können Ihre Rechte beim Datenschutzbeauftragten geltend machen.

 

2. Erbringung allgemeiner Serviceleistungen (VT03)   

2.1 Zweck der Verarbeitung

Zweck der Verarbeitung ist

  • die Bearbeitung von (allgemeinen) Anfragen, insbesondere auch zu den Betroffenenrechten gemäß Kapitel III DSGVO,
  • das Vertragsmanagement, insbesondere für Vereinbarungen gemäß Artikel 28 DSGVO mit Auftragsverarbeiter:innen, sowie
  • das Erbringen jeglicher anderen Serviceleistungen auf dem Gebiet der Daseinsvorsorge im Bereich von e-Health zur Einführung und Implementierung der elektronischen Gesundheitsakte („ELGA“).

2.2 Verarbeitete Daten

Verarbeitet werden:

  • Angaben zur Person/„Serviceempfänger:in“ (Name, Anschrift, Telefonnummer, E-Mail-Adresse bzw. sonstige Angaben zur elektronischen Erreichbarkeit),
  • Angaben zum Kontakt (Datum, Art, Ansprechpartner:in und Gegenstand des Kontakts),
  • Angaben zur Mitarbeiter:in der ELGA GmbH (Name, E-Mail, Organisation, Sprache [DE/EN] in Art-Decor bzw. Allgemeine Informationen, Kontaktdaten, zugewiesene Aufgaben [“Tasks”], Interessen, Position im Organigramm, Aktivitäten, Einstellungen sowie Verantwortlichkeiten in Confluence),
  • Kommunikationsdaten (E-Mails, Briefe, Gesprächsnotizen, SMS, Chatverläufe oder sonstige Informationen, die die Kommunikation zwischen ELGA GmbH und Serviceempfänger:in sowie insbesondere deren Absicherung [etwa durch kryptographische Daten zur Verschlüsselung oder Authentifizierung] betreffen) sowie
  • Informationen zur Serviceleistung (Dokumente sowie andere von der ELGA GmbH oder der Serviceempfänger:in zur Verfügung gestellte Informationen).

2.3 Betroffene Personen

Von der Verarbeitung „Erbringung allgemeiner Serviceleistungen“ betroffen sind alle natürlichen Personen, die sich an die ELGA GmbH wenden sowie Mitarbeiter:innen der ELGA GmbH.

2.4 Herkunft der Daten

Die Angaben zur Person werden von den anfragenden Personen zur Verfügung gestellt.

Die Angaben zum Kontakt werden seitens der ELGA GmbH im Zuge des Kontakts erhoben und gespeichert.

Die Kommunikationsdaten werden von der ELGA GmbH und den Serviceempfänger:innen zur Verfügung gestellt.

Die Informationen zur Serviceleistung werden von der ELGA GmbH und den Serviceempfänger:innen zur Verfügung gestellt.

2.5 Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage der Einwilligung der betroffenen Personen nach den Bestimmungen der DSGVO. Je nachdem, ob sensible oder nichtsensible Daten verarbeitet werden, basiert die Einwilligung entweder auf Artikel 9 Absatz 2 Buchstabe a DSGVO oder Artikel 6 Absatz 1 Buchstabe a DSGVO.

Da es sich um von der ELGA GmbH erbrachte Leistungen handelt, ist gemäß der Ausnahme “DSFA-A04 Kundenbetreuung und Marketing für eigene Zwecke” keine Datenschutz-Folgenabschätzung erforderlich. Dies gilt umso mehr als die ELGA GmbH die Leistungen für die Interessent:innen gratis erbringt und die DSFA-A04 sogar entgeltliche Leistungen umfasst. Außerdem ist auch die Ausnahme “DSFA-A19 Öffentlichkeitsarbeit und Informationstätigkeit durch öffentliche Funktionsträger“ erfüllt, weil Kernaufgabe der ELGA GmbH die Information und Aufklärungsarbeit zu ELGA ist.

2.6 Empfänger:innen

Die Daten werden folgenden Auftragsverarbeiter:innen bereitgestellt:

  • A1 Telekom Austria AG für O365 (mit baseIT als Sub-Auftragsverarbeiter:in für Support-Dienstleistungen für O365)
  • collabri GmbH für Jira und Confluence
  • ITSV GmbH für Sharepoint

2.7 Keine Übermittlung aus der EU

Eine Übermittlung in Drittländer ist im Zuge dieser Verarbeitung nicht vorgesehen.

2.8 Dauer der Datenspeicherung

Die Löschfrist von 3 Jahren, ergibt sich aus den Bestimmungen des Haftungsrechts (§§ 1293 ff ABGB in Verbindung mit § 1489 ABGB, Artikel 9 Absatz 2 Buchstabe f DSGVO sowie EuGH 20.12.2017, C-434/16 “Nowak” Randnummer 55 und OGH 24.07.2019, 6 Ob 45/19i), die bei der Erbringung von Serviceleistungen zu beachten sind.

2.9 Datenschutzrechte

Aufgrund der Datenschutz-Grundverordnung steht betroffenen Personen

zu.

Die genannten Rechte stehen gegenüber der ELGA GmbH zu. Das Recht auf Beschwerde steht betroffenen Personen gegenüber der Österreichischen Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, zu, wenn sie der Ansicht sind, dass die Verarbeitung ihrer Daten gegen die Datenschutz-Grundverordnung verstößt.

Bis zum Ablauf der Löschfrist steht das Recht auf Löschung (Artikel 17 DSGVO) nicht zu, weil mit Artikel 9 Absatz 2 Buchstabe f DSGVO sowie EuGH 20.12.2017, C-434/16 “Nowak” Randnummer 55 und OGH 24.07.2019, 6 Ob 45/19i eine gesetzliche Grundlage für die Speicherung zu Zwecken des Freibeweisens besteht.

Außerdem steht das Widerspruchsrecht nicht zu, weil die Verarbeitung weder

erfolgt.

2.10 Pflicht zur Bereitstellung der Daten und Folgen der Weigerung

Wenn die Daten nicht bereitgestellt werden, kann es sein, dass die Serviceleistungen nicht erbracht werden können.

2.11 Weder automatisierte Entscheidungsfindung noch Profiling

Im Zuge der Verarbeitung kommt es weder zur automatisierten Entscheidungsfindung, d.h. der alleinigen Entscheidung eines Algorithmus über rechtliche oder vergleichbare Angelegenheiten einer betroffenen Person, noch zu Profiling.

3. Knowledge-Management (VT05)    

Unter https://confluence.elga.gv.at wird eine Informationsplattform betrieben, die nicht nur Mitarbeiter:innen der ELGA GmbH, sondern auch selbstregistrierten und von der ELGA GmbH angelegten Benutzer:innen zur Verfügung steht.

3.1 Zweck der Verarbeitung

Zweck der Verarbeitung ist die Verteilung von aktuellen Informationen für ELGA-Softwarehersteller:innen und sonstige Interessent:innen. Diese Verteilung kann nur nach Registrierung erfolgen, weil die Rückmeldungen der Nutzer:innen essentiell für die gesetzliche Aufgabe der ELGA GmbH, das ist die Planung und Koordination der Weiterentwicklung der ELGA, sind. Daher ist auch die Möglichkeit zur Interaktion erforderlich, die eine Benutzer:innenverwaltung voraussetzt.

3.2 Verarbeitete Daten

Verarbeitet werden:

  • Angaben zur Person (Name, E-Mail-Adresse und Benutzer:innenname) sowie
  • Nutzungsdaten (wie insbesondere Datum des Einloggens bzw. des Abrufens von Informationen aus der Informationsplattform, Kommentare).

Außerdem können noch Angaben zu Sprachen, Zeitzonen, Arbeitgeber und beruflicher Rolle bzw. Position getroffen werden sowie ein Icon bzw. Bild hochgeladen werden, falls dies gewünscht sein sollte.
 

3.3 Betroffene Personen

Von der Verarbeitung betroffen sind alle natürlichen Personen, die sich auf der Informationsplattform entweder selbst registrieren oder auf ihren Wunsch von der ELGA GmbH registriert werden.

3.4 Herkunft der Daten

Die Angaben zur Person werden von den betroffenen Personen im Zuge der Registrierung zur Verfügung gestellt.

Die Nutzungsdaten werden seitens der ELGA GmbH im Zuge des Kontakts erhoben und gespeichert.

3.5 Rechtsgrundlage

Die Gründung der ELGA GmbH im Rahmen des geltenden Unternehmensrechts, insbesondere der Vorschriften der Insolvenzordnung betreffend Zahlungsunfähigkeit (§ 66 der Insolvenzordnung) und Überschuldung (§ 67 der Insolvenzordnung), dem verfassungsrechtlichen Effizienzgebot für Bundesmittel (Artikel 51 Absatz 8 B-VG) sowie der Übertragung gesetzlicher Aufgaben, insbesondere durch die Bestimmungen zum eImpfpass gebieten eine möglichst effiziente Aufgabenerfüllung der ELGA GmbH. Eine unmittelbare Rechtspflicht zur effizienten Unternehmensführung lässt sich – insbesondere aus den unternehmensrechtlichen Bestimmungen – nicht ableiten. Allerdings zeigen insbesondere die Bestimmungen der Insolvenzordnung, dass ein Mindestmaß an Effizienz vorausgesetzt wird, weil sonst unweigerlich die Insolvenz droht, die – aufgrund der Bestimmungen der Insolvenzordnung – regelmäßig zur Beseitigung des jeweiligen Unternehmens führt, sodass ineffizientes Vorgehen nicht “ungestraft” an den Tag gelegt werden kann. Ein effizienzes Arbeiten ist in einem arbeitsteiligen Umfeld – wie der ELGA GmbH – nur möglich, wenn vorhandenes Wissen mit möglichst vielen Personen geteilt wird. Zur Erfüllung der genannten gesetzlichen Vorgaben ist daher im Sinne des Artikel 6 Absatz 1 Buchstabe e DSGVO die Verarbeitung “Knowledge-Management” erforderlich. Außerdem ist die Ausnahme “DSFA-A19 Öffentlichkeitsarbeit und Informationstätigkeit durch öffentliche Funktionsträger“ erfüllt, weil Kernaufgabe der ELGA GmbH die Information und Aufklärungsarbeit zu ELGA ist (siehe auch Art. 7 Abs. 3 der Vereinbarung gemäß Art 15a B-VG über die Organisation und Finanzierung des Gesundheitswesens, BGBl. I Nr. 2/2025).

3.6 Empfänger:innen

Es erfolgt keine Weitergabe von personenbezogenen Daten, [außer die Weitergabe der Daten ist gesetzlich vorgesehen oder von den Serviceempfänger:innen erwünscht].

Die erforderliche Software wird in Österreich gehostet. Hosting, Betriebsführung und Applikationsbetreuung erfolgt durch folgende Auftragsverarbeiter:

3.7 Keine Übermittlung aus der EU

Eine Übermittlung in Drittländer ist im Zuge dieser Verarbeitung nicht vorgesehen.

3.8 Dauer der Datenspeicherung

Die Daten werden mit Abmeldung von der Informationsplattform gelöscht.

3.9 Datenschutzrechte

Aufgrund der Datenschutz-Grundverordnung steht betroffenen Personen

zu.

Die genannten Rechte stehen gegenüber der ELGA GmbH zu. Das Recht auf Beschwerde steht betroffenen Personen gegenüber der Österreichischen Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, zu, wenn sie der Ansicht sind, dass die Verarbeitung ihrer Daten gegen die Datenschutz-Grundverordnung verstößt.

Die Verarbeitung ist zur Einhaltung gesetzlicher Anforderungen erforderlich. Daher stehen folgende Rechte nicht zu:

3.10 Pflicht zur Bereitstellung der Daten und Folgen der Weigerung

Wenn die betroffenen Personen sich nicht registrieren, können sie die bereitgestellten Informationen nicht abrufen.

3.11 Weder automatisierte Entscheidungsfindung noch Profiling

Im Zuge der Verarbeitung kommt es weder zur automatisierten Entscheidungsfindung, d.h. der alleinigen Entscheidung eines Algorithmus über rechtliche oder vergleichbare Angelegenheiten einer betroffenen Person, noch zu Profiling.

4. Videokonferenzen (VT10)    

Videokonferenz werden mit MS Teams, Skype/Lync, WebEx sowie partner-internen Videokonferenztools, abgehalten. Innerhalb der ELGA GmbH werden Videokonferenzen mit MS Teams durchgeführt.

4.1 Zweck der Verarbeitung

Die Videokonferenzen werden benötigt, um

  • Informationen über gemeinsame Projekte austauschen,
  • Tätigkeiten koordinieren und
  • somit im weitesten Sinn den Geschäftsgegenstand der ELGA GmbH erreichen

zu können.

4.2 Verarbeitete Daten

Im Zuge von Videokonferenzen können folgende Daten der Teilnehmer:innen verarbeitet werden:

  • Namen oder Kennungen
  • IP-Adressen
  • Video- und Audiostreams
  • von den Teilnehmer:innen geteilte Inhalte
  • Videodaten und Screesnhots im Falle von Aufzeichnungen.

4.3 Betroffene Personen

Betroffen von der Verarbeitung sind die Mitarbeiter:innen, Partner:innen und sonstige Kommunikationspartner:innen der ELGA GmbH (“Teilnehmer:innen”).

4.4 Herkunft der Daten

Die verarbeiteten Daten werden bei den Teilnehmer:innen erhoben.

4.5 Rechtsgrundlage der Verarbeitung

Die Durchführung von Videokonferenzen ist zur Erfüllung der (gesetzlichen) Aufgaben der ELGA GmbH erforderlich, insbesondere weil die Zusammenarbeit wesentlich effizienter gestaltet werden kann. Damit soll das verfassungsrechtliche Effizienzgebot (Art. 51 Abs. 8 B-VG bzw. VfSlg. 14.500/1996) beim Einsatz öffentlicher (Bundes-)Mittel eingehalten werden. Bei den der ELGA GmbH von ihren Eigentümer:innen übertragenen Aufgaben handelt es sich um Aufgaben im öffentlichen Interesse im Sinne des Artikels 6 Absatz 1 Buchstabe e DSGVO.

Eine Datenschutz-Folgenabschätzung ist nicht erforderlich, weil maximal nur ein Kriterium der so genannten Artikel 29-Kriterien nämlich die schutzbedürftigen Betroffenen (Mitarbeiter:innen), erfüllt ist.

4.6 Empfänger:innen / Kategorien von Empfänger:innen

Technische Dienstleister:in und damit Auftragsverarbeiter:in bzw. Empfänger:in ist die A1 Telekom Austria AG. Außerdem kommen Entscheidungsträger:innen, politische Akteur:innen, Programm- und Projektmanager:innen, technisches Personal und Mitglieder von Standardisierungsorganisationen als Empfänger:innen in Betracht.

4.7 Keine Übermittlung in Drittländer

Eine Übermittlung in Drittländer, d.h. ein Datenexport aus der Europäischen Union, ist im Zuge dieser Verarbeitung nicht vorgesehen.

4.8 Dauer der Datenspeicherung

Diagnosedaten können bis zu 13 Monate gespeichert bleiben; der Anrufverlauf bleibt 30 Tage gespeichert. Alle übrigen Daten sind nach Verlassen der Videokonferenz nicht mehr verfügbar.

4.9 Datenschutzrechte

Aufgrund der Datenschutz-Grundverordnung steht betroffenen Personen

zu.

Die genannten Rechte stehen gegenüber der ELGA GmbH zu. Das Recht auf Beschwerde steht betroffenen Personen gegenüber der Österreichischen Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, zu, wenn sie der Ansicht sind, dass die Verarbeitung ihrer Daten gegen die Datenschutz-Grundverordnung verstößt.

Die Verarbeitung ist zur Einhaltung gesetzlicher Anforderungen erforderlich. Daher stehen folgende Rechte nicht zu:

4.10 Pflicht zur Bereitstellung der Daten und Folgen der Weigerung

Wenn die betroffenen Personen nicht an Videokonferenzen teilnehmen, kann es sein, dass ihnen Informationen entgehen oder sie an Koordinierungshandlungen nicht teilnehmen können.

4.11 Weder automatisierte Entscheidungsfindung noch Profiling

Im Zuge der Verarbeitung kommt es weder zur automatisierten Entscheidungsfindung noch zu Profiling.

5. Website & Logfiles (VT12)    

Beim Aufruf der Website „elga.gv.at“ werden eine Reihe von allgemeinen Daten und Informationen erfasst. Diese allgemeinen Daten und Informationen werden in den Logfiles des Servers gespeichert („Server-Logfiles“). 

5.1 Zweck der Verarbeitung

Die Server-Logfiles werden benötigt, um

  • die Inhalte der Website „elga.gv.at“ korrekt auszuliefern,
  • die Inhalte der Website „elga.gv.at“ zu optimieren sowie
  • die dauerhafte Funktionsfähigkeit der IT-Systeme und der Technik der Website „elga.gv.at“ zu gewährleisten.

Bei der Nutzung der Server-Logfiles werden keine Rückschlüsse auf die betroffenen Personen, d.h. die Besucher:innen der Website, gezogen.

5.2 Verarbeitete Daten

Beim Aufruf der Website „elga.gv.at“ können folgende Daten erhoben werden:

  • die verwendeten Browsertypen und Versionen,
  • das vom zugreifenden System verwendete Betriebssystem,
  • die Website, von der ein zugreifendes System auf die Website gelangt (sogenannte Referrer),
  • die Unterwebseiten, die über ein zugreifendes System auf die Website angesteuert werden,
  • aufgerufene URL und Status des Aufrufs,
  • das Datum und die Uhrzeit eines Zugriffs auf die Website,
  • Menge der gesendeten Daten in Byte,
  • verwendete Internet-Protokoll-Adresse (IP-Adresse),
  • der Internet-Service-Provider des zugreifenden Systems sowie
  • sonstige ähnliche Daten und Informationen, die der Gefahrenabwehr im Falle von Angriffen auf die IT-Systeme der ELGA-GmbH dienen.

5.3 Betroffene Personen

 Von der Verarbeitung „Website / Logfiles“ betroffen sind alle natürlichen Personen, die die Website der ELGA GmbH besuchen.

5.4 Herkunft der Daten

Die verarbeiteten Daten werden bei Ihnen erhoben, wenn Sie eine der oben genannten Webseiten mit Ihrem Browser aufrufen.

5.5 Rechtsgrundlage der Verarbeitung

Die Rechtsgrundlage für die Verarbeitung Ihrer Daten besteht in den berechtigten Interessen der ELGA-GmbH im Sinne des Artikel 6 Absatz 1 Buchstabe f DSGVO.

5.6 Empfänger:innen / Kategorien von Empfänger:innen

Soweit dies zur Sicherstellung der Funktionsfähigkeit und IT-Sicherheit der IT-Systeme der ELGA-GmbH und erforderlich ist, werden die Daten an externe Dienstleister:innen übermittelt.

5.7 Berechtigte Interessen der ELGA GmbH

Die berechtigten Interessen der ELGA-GmbH bestehen darin einen funktionierenden Internetauftritt zu haben. Dafür ist es unerlässlich die eingesetzten (Web-)Services technisch zu überwachen, um Fehlfunktionen zu vermeiden und eine hohe Sicherheit zu erzielen. Damit kommt die ELGA-GmbH insbesondere ihrer Pflicht gemäß Artikel 32 Absatz 1 DSGVO nach, wonach „geeignete technische und organisatorische Maßnahmen [getroffen werden müssen], um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Müssen Daten aus Beweisgründen aufgehoben werden, sind sie solange von der Löschung ausgenommen bis der Vorfall endgültig geklärt ist.

5.8 Keine Übermittlung in Drittländer

Eine Übermittlung in Drittländer, d.h. ein Datenexport aus der Europäischen Union, ist im Zuge dieser Verarbeitung nicht vorgesehen.

5.9 Dauer der Datenspeicherung

Die Speicherdauer beträgt 99 Tage.

5.10 Ihre Rechte aufgrund der DSGVO in Bezug auf die Server-Logfiles

Aufgrund der Datenschutz-Grundverordnung steht Ihnen

  • das Recht auf Auskunft,
  • das Recht auf Berichtigung,
  • das Recht auf Widerspruch,
  • das Recht auf Beschwerde bei der Datenschutzbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung von Log-Files in Bezug auf Ihre Person gegen die DSGVO verstößt,

zu.

Das Recht auf Löschung steht Ihnen nicht zu, weil die ELGA-GmbH mit der serverseitigen Protokollierung der Zugriffe insbesondere ihrer Pflicht gemäß Artikel 32 DSGVO zur Einhaltung der Sicherheit der Verarbeitung nachkommt, womit das Recht auf Löschung nicht zukommt (Artikel 17 Absatz 3 Buchstabe b DSGVO). Aus diesem Grund steht Ihnen auch das Recht auf Einschränkung der Verarbeitung nicht zu (Artikel 18 Absatz 2 DSGVO). Da die Rechtsgrundlage nicht in einer Einwilligung besteht, gibt es – mangels Einwilligung – auch kein Recht auf jederzeitigen Widerruf der erteilten Einwilligung. Hinsichtlich des Rechts auf Widerspruch ist von zwingend schutzwürdigen Gründen für die Verarbeitung im Sinne des Artikels 21 Absatz 1 DSGVO auszugehen, weil – wie bereits oben erwähnt – Artikel 32 DSGVO eine technische Überwachung von Webservern aus Gründen der Datensicherheit nahelegt. Das Recht auf Datenübertragbarkeit besteht nicht, weil die Verarbeitung weder auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a DSGVO noch auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO beruht.

Das datenschutzrechtliche Beschwerderecht steht Ihnen bei der österreichischen Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, zu.

5.11 Pflicht zur Bereitstellung der Daten und Folgen der Weigerung

Es besteht weder eine Pflicht zur Bereitstellung Ihrer Daten noch ist eine Weigerung möglich, wenn Sie die Website „elga.gv.at“ im Browser ansurfen.

5.12 Weder automatisierte Entscheidungsfindung noch Profiling

Im Zuge der Verarbeitung kommt es weder zur automatisierten Entscheidungsfindung noch zu Profiling.

 

[Letzte Änderung: 3. März 2025 - Aktualisierung von Verweisen und Links]