Schloss-Symbol für Datenschutz bzw Sicherheit.

1. Allgemeine Informationen zum Datenschutz

Die Datenschutz-Grundverordnung (DSGVO) ist am 25. Mai 2018 in Kraft getreten. Wie die ELGA GmbH Ihre Datenschutzrechte einhält, erfahren Sie im Rahmen unserer Datenschutzerklärung. Aktuell ist die ELGA GmbH für die folgenden Verarbeitungen verantwortlich:

1.1 Datenschutzbeauftragter

Die ELGA GmbH hat

     Dr. Sebastian Reimer

als Datenschutzbeauftragten bestellt. Er steht Ihnen für Ihre Fragen zum Datenschutz unter

     Datenschutz
     ELGA GmbH
     Treustraße 35-43/ Stg. 4/ 1. Stock
     1200 Wien

oder

     via E-Mail an datenschutz@elga.gv.at

zur Verfügung.

1.2 Einhaltung Ihrer Datenschutzrechte

Die Datenschutz-Grundverordnung sieht grundsätzlich folgende Rechte für betroffene Personen vor:

Welche dieser Rechte Ihnen konkret in Bezug auf die jeweilige Verarbeitung zustehen, erfahren Sie in den einzelnen Kapiteln zum Elektronischer Impfpass, zur Erbringung von Serviceleistungen sowie zur Website / Logfiles. Sie können Ihre Rechte beim Datenschutzbeauftragten geltend machen.

 

2. Elektronischer Impfpass

2.1 Gemeinsame Verantwortliche

Datenschutzrechtlich verantwortlich für die eHealth-Anwendung „Elektronischer Impfpass“ sind gemäß Artikel 4 Nummer 7 der Datenschutz-Grundverordnung (DSGVO) sowie den §§ 24b ff des Gesundheitstelematikgesetzes 2012 (GTelG 2012):

  • ELGA GmbH
    Treustraße 35-43/ Stg. 4/ 1. Stock
    1200 Wien
  • die jeweils impfenden Gesundheitsdiensteanbieter*innen (wie etwa Ärzt*innen) sowie
  • die ELGA-Systempartner (Bund, Länder und Dachverband der Sozialversicherungsträger).

Dabei werden die Pflichten nach der DSGVO wie folgt erfüllt:

  ELGA GmbH Impfstelle
Pflicht zur Information über die Aufteilung der Pflichten (§ 4a eHealthV)  
Information auf der Website der ELGA GmbH (§ 4b Abs. 2 Z 1 eHealthV)  
Information durch Verweis auf die Website der ELGA GmbH (§ 4c Abs. 2 Z 1 eHealthV)  
Weiterleitung von Anträgen auf Richtigstellung (§ 4b Abs. 2 Z 2 eHealthV)  
Richtigstellung (§ 4c Abs. 2 Z 2 eHealthV)  
Information, falls Betroffenenrechte nicht ausgeübt werden können (§ 4d Abs. 1 Z 1 eHealthV)
Anlaufstelle für Fragen zur Gemeinsamen Verarbeitung (§ 4e eHealthV)  
Verzeichnis der Verarbeitungstätig­keiten (§ 4d Abs. 1 Z 2 eHealthV)
Zusammenarbeit mit der Aufsichtsbehörde (§ 4d Abs. 1 Z 3 eHealthV)
Zentrale Datensicherheit (§ 4b Abs. 2 Z 3 eHealthV)  
Lokale Datensicherheit (§ 4c Abs. 2 Z 3 eHealthV)  
Meldepflicht bei zentralen Datenschutz­verletzungen (§ 4b Abs. 2 Z 4 eHealthV)  
Meldepflicht bei lokalen Datenschutz­verletzungen (§ 4c Abs. 2 Z 4 eHealthV)  
Information über Pflichtenaufteilung auf Website der ELGA GmbH (§ 4b Abs. 2 Z 5 eHealthV)  

 

Außerdem arbeitet die ELGA GmbH mit Telekom-Providern zusammen, die Ärzt*innen Tablets oder andere Mobilgeräte für die Eintragung von Impfdaten in das zentrale Impfregister zur Verfügung stellen. Die ELGA GmbH sowie die Telekom-Provider sind gemeinsam Verantwortliche für die Erbringung der damit verbunden Support-Leistungen. Eine Zusammenfassung der Vereinbarung über die gemeinsame Verarbeitung zwischen der ELGA GmbH und den Telekom-Providern findet sich hier.

Bei der Zusammenarbeit zwischen der ELGA GmbH und den Telekom-Providern werden die Pflichten nach der DSGVO wie folgt erfüllt:

  ELGA GmbH Telekom-Provider
Pflicht zur Information über die Aufteilung der Pflichten
Information durch Datenschutzerklärung auf Website der ELGA GmbH  
Information durch Verweis auf die Website der ELGA GmbH  
Einhaltung der Betroffenenrechte im 1st-Level-Support  
Einhaltung der Betroffenenrechte im 2nd-Level-Support  
Verzeichnis der Verarbeitungstätigkeiten
Datensicherheit im 1st-Level-Support  
Datensicherheit im 2nd-Level-Support  
Meldepflicht bei Datenschutzverletzungen im 1st-Level-Support  
Meldepflicht bei Datenschutzverletzungen im 2nd-Level-Support  

2.2 Zweck der Verarbeitung

Mit der eHealth-Anwendung „Elektronischer Impfpass“ sollen vor allem folgende Zwecke erreicht werden:

  • bessere Versorgung der Bevölkerung, beispielsweise durch Erhöhung von

    • Durchimpfungsraten sowie
    • Arzneimittel- und Patient*innensicherheit,

  • bessere Reaktionsmöglichkeiten bei Ausbruch von Krankheiten sowie
  • geringerer Aufwand für Patient*innen und Ärzt*innen.

Darüber hinaus werden Impfdaten zur Einhaltung des Datenrichtigkeitsgrundsatzes im Wege des so genannten Datenclearings.

Zu Abrechnungszwecken erfolgt auch eine Übermittlung der Angaben zu Ärzt*innen an Landeshauptleute und Bezirkverwaltungsbehörden.

Zur Einhaltung des Datenrichtigkeitsgrundsatzes, und zwar im Wege des gemeinsamen Supports mit Telekom-Providern werden Support-Daten verarbeitet.

2.3 Verarbeitete Daten

Bei einer Impfung werden folgende Daten („Impfdaten“) erfasst und direkt an das zentrale Impfregister übermittelt:

  • Angaben zum Impfstoff (Klassifikation, Handelsname, Hersteller, Zulassungsnummer, Chargennummer, Verfallsdatum, Serialisierungsnummer, Pharmazentralnummer und anatomisch-therapeutisch-chemische Zuordnung),
  • Angaben zur verabreichten Impfung (Datum der Verabreichung, Dosierung und Dosis, angewandtes Impfschema, Impfempfehlung und Zuordnung zu Impfprogrammen),
  • Angaben zur Patient*in (Name, Geburtsdatum, Geschlecht, Wohnadresse, Angaben zur Erreichbarkeit, Angaben zu einer allfälligen Vertretung, Sozialversicherungsnummer, bereichsspezifisches Personenkennzeichen Gesundheit, Gemeindecode, Titerbestimmung, impfrelevante Vorerkrankungen und besondere Impfindikationen) sowie
  • Angaben zur Ärzt*in (Name, Rolle, Berufsadresse und Datum der Speicherung).

Es werden keine Impfdaten direkt auf dem Gerät (Computer, Mobilgerät, …) gespeichert.

Für die Übermittlung der Impfdaten werden eingeschränkte Informationen über das Gerät (Computer, Mobilgerät, …), von dem aus die Impfdaten übermittelt werden, an den Auftragsverarbeiter „Dachverband der Sozialversicherungsträger“ übermittelt. Zu diesen Daten gehören die IP-Adresse, Browsertyp und Betriebssystem („Log-Daten“). Diese Daten werden nicht gespeichert.

Zur Dokumentation und Nachvollziehbarkeit der Verarbeitung der im zentralen Impfregister gespeicherten Daten werden Protokollierungsdaten (Datum, Zeit und Art des Zugriffs, eindeutige Protokoll-Transaktionsnummer, eindeutige elektronische Identität der zugreifenden Gesundheitsdiensteanbieter*innen [wie etwa Ärzt*innen, Krankenanstalten, ...], Namen der zugreifenden natürlichen Personen, eindeutigen Kennung der Impfdaten, Abfragekriterien sowie allfällige Fehlermeldungen) im Protokollierungssystem verarbeitet. Zur Abrechnung durchgeführter Impfungen werden die folgenden Abrechnungsdaten verarbeitet:

  • OID sowie Vor- und Familienname der impfenden Ärzt*in,
  • Datum der durchgeführten Impfung sowie
  • – zur Vermeidung von Mehrfachabrechnungen – das bereichsspezifische Personenkennzeichen Gesundheit der geimpften Person.

Zur Erbringung von Supportleistungen mit Telekom-Providern, wenn Ärzt*innen Tablets oder andere Mobilgeräte für die Eintragung in das zentrale Impfregister zur Verfügung gestellt werden, werden folgende Support-Daten verarbeitet:

  • OID sowie Vor- und Familienname der Ärzt*innen / bei Bestellung durch Kostenträger: Name des Kostenträgers und Tablet-Verantwortlichen des Kostenträgers, Providerkennung, Adresse, Telefon, E-Mail (falls vorhanden), IMEI, Seriennummer, Gerätenummer, Vertragsbeginn, Vertragsende („Daten für 1st-Level-Support“);
  • OID sowie Vor- und Familienname der Ärzt*innen, IMEI, Seriennummer, Gerätenummer, Fehlermeldung samt bisheriger Lösungsversuche („Daten für 2nd-Level-Support“).

2.4 Betroffene Personen

Von der Verarbeitung „Elektronischer Impfpass“ betroffen sind alle natürlichen Personen, die in Österreich geimpft werden bzw. Ärzt*innen, die Impfungen verabreichen.

2.5 Herkunft der Daten

Die Impfdaten werden von Gesundheitsdiensteanbieter*innen (wie etwa Ärzt*innen) erhoben. Durch den Einsatz von Sozialversicherungsnummer bzw. bereichsspezifischen Personenkennzeichen (e-Card) ist die eindeutige Identität der Patient*innen sichergestellt. Die Übermittlung der Impfdaten an das zentrale Impfregister über Schnittstellen, die in der Arzt- bzw. Krankenhaus-Software integriert sind, Weboberflächen im Rahmen der e-Card-Verwaltung oder die e-Impfpass-App.

Die Log-Daten werden von dem jeweiligen Gerät (Computer, Mobilgerät, …) erhoben, das für die Übermittlung der Impfdaten an das zentrale Impfregister verwendet wird.

Die Protokollierungsdaten werden beim Zugriff auf das zentrale Impfregister automatisch generiert.

Die Clearingdaten sind Impfdaten (siehe oben).

Die Abrechnungsdaten sind eine Teilmenge der Impfdaten (siehe oben).

Die Support-Daten werden von den Telekom-Providern bzw. der ELGA GmbH bei den Ärzt*innen im Zuge der Anschaffung der Tablets oder anderen Mobilgeräte bzw. des Supports erhoben.

2.6 Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage des Gesundheitstelematikgesetzes 2012, insbesondere dessen §§ 17, 22, 23 und 24b bis 24g. Dabei handelt es sich um ein Gesetz im Sinne des Artikel 9 Absatz 2 Buchstabe g bzw. i DSGVO.

Die Verpflichtung zur Durchführung des Datenclearings und des Supports ergibt sich aus dem Datenrichtigkeitsgrundsatz gemäß Artikel 5 Absatz 1 Buchstabe d DSGVO.

Nähere Bestimmungen zum Elektronischen Impfpass finden sich auch in der eHealth-Verordnung.

2.7 Empfänger*innen

Empfänger*innen der Impfdaten sind:

Darüber hinaus können Empfänger*innen von Impfdaten sein:

Empfänger*innen der Log-Daten sind der Dachverband der Sozialversicherungsträger als Auftragsverarbeiter (Artikel 28 DSGVO) sowie die IT-Services der Sozialversicherung GmbH als Sub-Auftragsverarbeiter (Artikel 28 Absatz 4 DSGVO).

Näheres zum Datenschutz in der Sozialversicherung sowie die Kontaktdaten der jeweiligen Datenschutzbeauftragten finden sich hier.

Empfänger*innen der Protokollierungsdaten können Gerichte, Verwaltungsstrafbehörden, Patient*innenschiedsstellen der Ärztekammern, Patient*innenentschädigungsfonds, die betroffenen Personen (Patient*innen, Ärzt*innen, …) sowie ELGA-Systempartner (Bund, Länder und Dachverband der Sozialversicherungsträger) sein.

Empfänger*innen der Abrechnungsdaten sind Landeshauptleute und Bezirksverwaltungsbehörden.

Empfänger*innen der Support-Daten sind die ELGA GmbH bzw. die Telekom-Provider, bei denen Tablets oder andere Mobilgeräte für die Eintragung in das zentrale Impfregister angeschafft wurden.

Darüber hinaus erfolgt keine Weitergabe von personenbezogenen Daten.

2.8 Keine Übermittlung aus der EU

Eine Übermittlung in Drittländer ist im Zuge dieser Verarbeitung nicht vorgesehen, d.h. die personenbezogenen Daten bleiben immer im Schutzbereich der Datenschutz-Grundverordnung.

2.9 Dauer der Datenspeicherung

Die im zentralen Impfregister gespeicherten Impfdaten sind 10 Jahre nach Sterbedatum, spätestens jedoch 120 Jahre nach der Geburt der jeweiligen Patient*in zu löschen (§ 24c Absatz 6 GTelG 2012).

Die Log-Daten werden nicht gespeichert.

Die Protokollierungsdaten sind 3 Jahre nach Protokollierung (d.h. dem erfolgten Zugriff) zu löschen (§ 24f Absatz 5 GTelG 2012).

Die Clearingdaten sind Impfdaten (siehe oben).

Die Abrechnungsdaten sind eine Teilmenge der Impfdaten (siehe oben).

Die Support-Daten werden von der ELGA GmbH nach 3 Jahren (§ 1489 ABGB) und den Telekom-Providern nach 7 Jahren nach Vertragsende (§ 97 Absatz 2 des Telekommunikationsgesetzes in Verbindung mit § 132 Absatz 1 der Bundesabgabenordnung) gelöscht.

2.10 Datenschutzrechte

Aufgrund der Datenschutz-Grundverordnung steht betroffenen Personen, d.h. in der Regel Patient*innen,

zu.

Das Recht auf Auskunft steht Patient*innen elektronisch im ELGA-Portal oder schriftlich gegenüber der ELGA-Ombudsstelle (siehe Kontaktdaten zu den Standorten der ELGA-Ombudsstelle) zu. Für statistische Auswertungen besteht kein Auskunftsrecht (§ 24g Absatz 3 GTelG 2012). Ärzt*innen und Personen, die in Apotheken arbeiten, kommt das Recht auf Auskunft gegenüber den ELGA-Systempartnern zu. Für die Richtigkeit der Impfdaten sind die einzelnen schreibberechtigten Gesundheitsdiensteanbieter*innen (wie etwa Ärzt*innen) als Verantwortliche nach Artikel 4 Nummer 7 DSGVO zuständig. Das Recht auf Berichtigung steht Patienten*innen gegenüber den Gesundheitsdiensteanbieter*innen (wie etwa Ärzt*innen) zu, die die Impfdaten im zentralen Impfregister gespeichert haben. Sollten diese Gesundheitsdiensteanbieter*innen (wie etwa Ärzt*innen) nicht mehr verfügbar sein, steht das Recht auf Berichtigung gegenüber der Bezirksverwaltungsbehörde zu. Für statistische Auswertungen besteht kein Recht auf Berichtigung (§ 24g Absatz 3 GTelG 2012). Ärzt*innen und Personen, die in Apotheken arbeiten, kommt das Recht auf Berichtigung gegenüber den ELGA-Systempartnern zu. Das Recht auf Einschränkung der Verarbeitung steht Patient*innen zu, wenn diese der Ansicht sind, dass ihre Daten unrichtig sind, und zwar für die Dauer der Überprüfung. Wenn über die Berichtigung sofort entschieden wird, ist das Recht auf Einschränkung nicht mehr anwendbar. Für statistische Auswertungen besteht kein Recht auf Einschränkung der Verarbeitung (§ 24g Absatz 3 GTelG 2012). Ärzt*innen und Personen, die in Apotheken arbeiten, kommt gegenüber den ELGA-Systempartnern das Recht auf Einschränkung der Verarbeitung zu, wenn Ärzt*innen bzw. Personen, die in Apotheken arbeiten, der Ansicht sind, dass ihre Daten unrichtig sind, und zwar für die Dauer der Überprüfung. Wenn über die Berichtigung sofort entschieden wird, ist das Recht auf Einschränkung nicht mehr anwendbar. Das Recht auf Beschwerde steht betroffenen Personen gegenüber der Österreichischen Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, zu, wenn sie der Ansicht sind, dass die Verarbeitung ihrer Daten gegen die Datenschutz-Grundverordnung verstößt.

Die Verarbeitung ist gesetzlich vorgesehen. Daher stehen folgende Rechte nicht zu:

Außerdem steht das Widerspruchsrecht grundsätzlich nicht zu, weil die Verarbeitung weder

erfolgt und hinsichtlich der Verarbeitung zu Zwecken der Wissenschaft, Forschung und Statistik (Artikel 21 Absatz 5 DSGVO) das Widerspruchsrecht gesetzlich ausgeschlossen ist (§ 24g Absatz 3 GTelG 2012).

Im Zusammenhang mit der Erbringung von Support-Leistungen kann grundsätzlich ein Widerspruchsrecht zustehen; in der Praxis werden die Support-Daten allerdings oft zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich sein, womit das Widerspruchsrecht in diesen Fällen auch nicht zusteht (Artikel 21 Absatz 1 DSGVO)

2.11 Pflicht zur Bereitstellung der Daten und Folgen der Weigerung

Die Übermittlung der Impfdaten an das zentrale Impfregister ist gesetzlich, verpflichtend vorgesehen (§ 24c Absatz 2 GTelG 2012).

Damit verbunden ist auch eine Übermittlung der technisch erforderlichen Log-Daten.

Die Erzeugung der Protokollierungsdaten ist gesetzlich, verpflichtend vorgesehen (§ 24f Absatz 5 GTelG 2012).

Die Durchführung des Clearings dient der Einhaltung des Datenschutzrichtigkeitsgrundsatzes, der gesetzlich, verpflichtend vorgesehen ist (Artikel 5 Absatz 1 Buchstabe d DSGVO).

Die Übermittlung der Abrechnungsdaten ist gesetzlich vorgesehen (§ 24f Absatz 4 Ziffer 6 GTelG 2012).

Die Erbringung von Support-Leistungen dient der Einhaltung des Datenschutzrichtigkeitsgrundsatzes, der gesetzlich, verpflichtend vorgesehen ist (Artikel 5 Absatz 1 Buchstabe d DSGVO). Allerdings könnte bei der Anschaffung von Tablets oder anderen Mobilgeräten bei Telekom-Providern ein Widerspruch hinsichtlich der Übermittlung der Daten für den 1st-Level-Support abgegeben werden. In diesem Fall müssten die Daten für den 1st-Level-Support beim ersten Support-Fall erhoben werden, was unter Umständen zu vermeidbaren Verzögerungen führen kann.

2.12 Weder automatisierte Entscheidungsfindung noch Profiling

Im Zuge der Verarbeitung kommt es weder zur automatisierten Entscheidungsfindung, d.h. der alleinigen Entscheidung eines Algorithmus über rechtliche oder vergleichbare Angelegenheiten einer betroffenen Person, noch zu Profiling.

 

3. Erbringung allgemeiner Serviceleistungen

3.1 Zweck der Verarbeitung

Zweck der Verarbeitung ist

  • die Bearbeitung von (allgemeinen) Anfragen, insbesondere auch zu den Betroffenenrechten gemäß Kapitel III DSGVO,
  • das Vertragsmanagement, insbesondere für Vereinbarungen gemäß Artikel 28 DSGVO mit Auftragsverarbeiter*innen, sowie
  • das Erbringen jeglicher anderen Serviceleistungen auf dem Gebiet der Daseinsvorsorge im Bereich von e-Health zur Einführung und Implementierung der elektronischen Gesundheitsakte („ELGA“).

3.2 Verarbeitete Daten

Verarbeitet werden:

  • Angaben zur Person/„Serviceempfänger*in“ (Name, Anschrift, Telefonnummer, E-Mail-Adresse bzw. sonstige Angaben zur elektronischen Erreichbarkeit),
  • Angaben zum Kontakt (Datum, Art, Ansprechpartner*in und Gegenstand des Kontakts),
  • Kommunikationsdaten (E-Mails, Briefe, Gesprächsnotizen, SMS, Chatverläufe oder sonstige Informationen, die die Kommunikation zwischen ELGA GmbH und Serviceempfänger*in sowie insbesondere deren Absicherung [etwa durch kryptographische Daten zur Verschlüsselung oder Authentifizierung] betreffen) sowie
  • Informationen zur Serviceleistung (Dokumente sowie andere von der ELGA GmbH oder der Serviceempfänger*in zur Verfügung gestellte Informationen).

3.3 Betroffene Personen

Von der Verarbeitung „Erbringung allgemeiner Serviceleistungen“ betroffen sind alle natürlichen Personen, die sich an die ELGA GmbH wenden.

3.4 Herkunft der Daten

Die Angaben zur Person werden von den anfragenden Personen zur Verfügung gestellt. Bei Erfüllung rechtlicher Pflichten – wie etwa des gemäß Artikel 26 DSGVO in Verbindung mit § 24c Absatz 3 oder § 27 Absatz 17 des Gesundheitstelematikgesetzes 2012 erforderlichen Vertragsmanagements – können die Angaben zur Person auch von Dritten, wie etwa dem Gesundheitsministerium als Betreiber des eHealth-Verzeichnisdienstes, eingeholt werden.

Die Angaben zum Kontakt werden seitens der ELGA GmbH im Zuge des Kontakts erhoben und gespeichert.

Die Kommunikationsdaten werden von der ELGA GmbH und den Serviceempfänger*innen zur Verfügung gestellt.

Die Informationen zur Serviceleistung werden von der ELGA GmbH und den Serviceempfänger*innen zur Verfügung gestellt.

3.5 Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage der Vereinbarung gemäß Art 15a B-VG über die Organisation und Finanzierung des Gesundheitswesens, BGBl. I Nr. 98/2017, sowie des Gesundheitstelematikgesetzes 2012. Dabei handelt es sich um rechtliche Verpflichtungen im Sinne des Artikel 6 Absatz 1 Buchstabe c DSGVO sowie ein Gesetz im Sinne des Artikel 9 Absatz 2 Buchstabe g bzw. i DSGVO.

3.6 Empfänger*innen

Es erfolgt keine Weitergabe von personenbezogenen Daten.

3.7 Keine Übermittlung aus der EU

Eine Übermittlung in Drittländer ist im Zuge dieser Verarbeitung nicht vorgesehen.

3.8 Dauer der Datenspeicherung

Die Löschfristen ergeben sich aus den jeweiligen Bestimmungen zur Erbringung von Serviceleistungen.

3.9 Datenschutzrechte

Aufgrund der Datenschutz-Grundverordnung steht betroffenen Personen

zu.

Die genannten Rechte stehen gegenüber der ELGA GmbH zu. Das Recht auf Beschwerde steht betroffenen Personen gegenüber der Österreichischen Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, zu, wenn sie der Ansicht sind, dass die Verarbeitung ihrer Daten gegen die Datenschutz-Grundverordnung verstößt.

Die Verarbeitung ist gesetzlich vorgesehen. Daher stehen folgende Rechte nicht zu:

Außerdem steht das Widerspruchsrecht nicht zu, weil die Verarbeitung weder

erfolgt und hinsichtlich der Verarbeitung zu Zwecken der Wissenschaft, Forschung und Statistik (Artikel 21 Absatz 5 DSGVO) das Widerspruchsrecht gesetzlich ausgeschlossen ist (§ 24g Absatz 3 GTelG 2012).

3.10 Pflicht zur Bereitstellung der Daten und Folgen der Weigerung

Wenn die Daten nicht bereitgestellt werden, kann es sein, dass die Serviceleistungen nicht erbracht werden können.

3.11 Weder automatisierte Entscheidungsfindung noch Profiling

Im Zuge der Verarbeitung kommt es weder zur automatisierten Entscheidungsfindung, d.h. der alleinigen Entscheidung eines Algorithmus über rechtliche oder vergleichbare Angelegenheiten einer betroffenen Person, noch zu Profiling.

 

4. Website / Logfiles

Beim Aufruf der Website „elga.gv.at“ werden eine Reihe von allgemeinen Daten und Informationen erfasst. Diese allgemeinen Daten und Informationen werden in den Logfiles des Servers gespeichert („Server-Logfiles“). 

4.1 Zweck der Verarbeitung

Die Server-Logfiles werden benötigt, um

  • die Inhalte der Website „elga.gv.at“ korrekt auszuliefern,
  • die Inhalte der Website „elga.gv.at“ zu optimieren sowie
  • die dauerhafte Funktionsfähigkeit der IT-Systeme und der Technik der Website „elga.gv.at“ zu gewährleisten.

Bei der Nutzung der Server-Logfiles werden keine Rückschlüsse auf die betroffenen Personen, d.h. die Besucher*innen der Website, gezogen.

4.2 Verarbeitete Daten

Beim Aufruf der Website „elga.gv.at“ können folgende Daten erhoben werden:

  • die verwendeten Browsertypen und Versionen,
  • das vom zugreifenden System verwendete Betriebssystem,
  • die Website, von der ein zugreifendes System auf die Website gelangt (sogenannte Referrer),
  • die Unterwebseiten, die über ein zugreifendes System auf die Website angesteuert werden,
  • aufgerufene URL und Status des Aufrufs,
  • das Datum und die Uhrzeit eines Zugriffs auf die Website,
  • Menge der gesendeten Daten in Byte,
  • verwendete Internet-Protokoll-Adresse (IP-Adresse),
  • der Internet-Service-Provider des zugreifenden Systems sowie
  • sonstige ähnliche Daten und Informationen, die der Gefahrenabwehr im Falle von Angriffen auf die IT-Systeme der ELGA-GmbH dienen.

4.3 Herkunft der Daten

Die verarbeiteten Daten werden bei Ihnen erhoben, wenn Sie eine der oben genannten Webseiten mit Ihrem Browser aufrufen.

4.4 Rechtsgrundlage der Verarbeitung

Die Rechtsgrundlage für die Verarbeitung Ihrer Daten besteht in den berechtigten Interessen der ELGA-GmbH im Sinne des Artikel 6 Absatz 1 Buchstabe f DSGVO.

4.5 Empfänger*innen / Kategorien von Empfänger*innen

Soweit dies zur Sicherstellung der Funktionsfähigkeit und IT-Sicherheit der IT-Systeme der ELGA-GmbH und erforderlich ist, werden die Daten an externe Dienstleister*innen übermittelt.

4.6 berechtigte Interessen der ELGA-GmbH

Die berechtigten Interessen der ELGA-GmbH bestehen darin einen funktionierenden Internetauftritt zu haben. Dafür ist es unerlässlich die eingesetzten (Web-)Services technisch zu überwachen, um Fehlfunktionen zu vermeiden und eine hohe Sicherheit zu erzielen. Damit kommt die ELGA-GmbH insbesondere ihrer Pflicht gemäß Artikel 32 Absatz 1 DSGVO nach, wonach „geeignete technische und organisatorische Maßnahmen [getroffen werden müssen], um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Müssen Daten aus Beweisgründen aufgehoben werden, sind sie solange von der Löschung ausgenommen bis der Vorfall endgültig geklärt ist.

4.7 Keine Übermittlung in Drittländer

Eine Übermittlung in Drittländer, d.h. ein Datenexport aus der Europäischen Union, ist im Zuge dieser Verarbeitung nicht vorgesehen.

4.8 Dauer der Datenspeicherung

Die Speicherdauer beträgt 99 Tage.

4.9 Ihre Rechte aufgrund der DSGVO in Bezug auf die Server-Logfiles

Aufgrund der Datenschutz-Grundverordnung steht Ihnen

  • das Recht auf Auskunft,
  • das Recht auf Berichtigung,
  • das Recht auf Widerspruch,
  • das Recht auf Beschwerde bei der Datenschutzbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung von Log-Files in Bezug auf Ihre Person gegen die DSGVO verstößt,

zu.

Das Recht auf Löschung steht Ihnen nicht zu, weil die ELGA-GmbH mit der serverseitigen Protokollierung der Zugriffe insbesondere ihrer Pflicht gemäß Artikel 32 DSGVO zur Einhaltung der Sicherheit der Verarbeitung nachkommt, womit das Recht auf Löschung nicht zukommt (Artikel 17 Absatz 3 Buchstabe b DSGVO). Aus diesem Grund steht Ihnen auch das Recht auf Einschränkung der Verarbeitung nicht zu (Artikel 18 Absatz 2 DSGVO). Da die Rechtsgrundlage nicht in einer Einwilligung besteht, gibt es – mangels Einwilligung – auch kein Recht auf jederzeitigen Widerruf der erteilten Einwilligung. Hinsichtlich des Rechts auf Widerspruch ist von zwingend schutzwürdigen Gründen für die Verarbeitung im Sinne des Artikels 21 Absatz 1 DSGVO auszugehen, weil – wie bereits oben erwähnt – Artikel 32 DSGVO eine technische Überwachung von Webservern aus Gründen der Datensicherheit nahelegt. Das Recht auf Datenübertragbarkeit besteht nicht, weil die Verarbeitung weder auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Absatz 2 Buchstabe a DSGVO noch auf einem Vertrag gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO beruht.

Das datenschutzrechtliche Beschwerderecht steht Ihnen bei der österreichischen Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, zu.

4.10 Pflicht zur Bereitstellung der Daten und Folgen der Weigerung

Es besteht weder eine Pflicht zur Bereitstellung Ihrer Daten noch ist eine Weigerung möglich, wenn Sie die Website „elga.gv.at“ im Browser ansurfen.

4.11 Weder automatisierte Entscheidungsfindung noch Profiling

Im Zuge der Verarbeitung kommt es weder zur automatisierten Entscheidungsfindung noch zu Profiling.