Zurückweisung eines Individualantrags auf Aufhebung von Bestimmungen des GesundheitstelematikG 2012 betreffend die Speicherung erhaltener Impfungen wegen Zumutbarkeit der Geltendmachung einer Verletzung des Grundrechts auf Datenschutz bei der Datenschutzbehörde
Der Antrag wird zurückgewiesen.
Begründung
I. Antrag
1 Mit dem vorliegenden, auf Art140 Abs1 Z1 litc B VG gestützten Antrag begehrt der Antragsteller, der Verfassungsgerichtshof möge
"den Absatz 5 des §24e des Bundesgesetzes betreffend Datensicherheitsmaßnahmen bei der Verarbeitung elektronischer Gesundheitsdaten und genetischer Daten (Gesundheitstelematikgesetz 2012 - GTeIG 2012), BGBI. I Nr 111/2012 vom 14.12.2012 idF BGBI. I Nr 105/2024 vom 19.07.2024, in eventu
die §§24b — 24h des Bundesgesetzes betreffend Datensicherheitsmaßnahmen bei der Verarbeitung elektronischer Gesundheitsdaten und genetischer Daten (Gesundheitstelematikgesetz 2012 - GTeIG 2012), BGBl I Nr 111/2012 vom 14.12.2012 idF BGBl I Nr 105/2024 vom 19.07.2024;"
als verfassungswidrig aufheben.
II. Rechtslage
2 Die §§24b, 24c, 24d, 24e, 24f, 24g und 24h des Bundesgesetzes betreffend Datensicherheitsmaßnahmen bei der Verarbeitung elektronischer Gesundheitsdaten und genetischer Daten (Gesundheitstelematikgesetz 2012 – GTelG 2012), BGBl I 111/2012, idF BGBl I 105/2024 lauten (der mit dem Hauptantrag angefochtene Absatz ist hervorgehoben):
"2. Unterabschnitt
Elektronischer Impfpass (eImpfpass)
Allgemeine Bestimmungen zum eImpfpass
§24b. (1) Zur Sicherstellung der in Abs5 genannten Ziele ist die eHealth-Anwendung eImpfpass einzurichten und zu betreiben. Der Betrieb, die Wartung und die technische Weiterentwicklung obliegen
1. im Pilotbetrieb der ELGA GmbH,
2. im Vollbetrieb dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin und
3. in der Zeit des Übergangs beiden gemeinsam.
(2) Die Zeiten von Pilot, Voll- und Übergangsbetrieb sowie die jeweils einzuhaltende Vorgehensweise sind von dem für das Gesundheitswesen zuständigen Bundesminister oder der für das Gesundheitswesen zuständigen Bundesministerin durch Verordnung gemäß §28b Abs2 Z3 festzulegen.
(3) Gemeinsam Verantwortliche im Sinne des Art4 Z7 in Verbindung mit Art26 DSGVO des eImpfpasses sind:
1. der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin,
2. die ELGA GmbH,
3. die eImpf-Gesundheitsdiensteanbieter,
4. Apotheken gemäß §1 des Apothekengesetzes,
5. die Landeshauptleute,
6. die Bezirksverwaltungsbehörden,
7. die Österreichische Gesundheitskasse, die Sozialversicherungsanstalt der Selbstständigen, die Versicherungsanstalt öffentlich Bediensteter, Eisenbahnen und Bergbau sowie die Rechtsträger von Krankenfürsorgeeinrichtungen und
8 die Gesundheitsberatung 1450 gemäß §2 Z10 litg,
wobei die Festlegung der datenschutzrechtlichen Pflichten im Sinne des Art26 DSGVO durch Verordnung des für das Gesundheitswesen zuständigen Bundesministers oder der zuständigen Bundesministerin zu erfolgen hat.
(4) Die gemeinsam Verantwortlichen dürfen die im zentralen Impfregister gespeicherten Daten (§24c Abs2) entsprechend ihrer gemäß §28b Abs2 Z4 festgelegten spezifischen Zugriffsberechtigungen nach den Grundsätzen gemäß §24d Abs1 zu den Zwecken gemäß §24d Abs2 verarbeiten.
(5) Die Verwendung des eImpfpasses erfüllt ein erhebliches öffentliches Interesse gemäß Art9 Abs2 litg bis j DSGVO. Dieses erhebliche öffentliche Interesse ergibt sich insbesondere aus:
1. der Optimierung der Impfversorgung der Bevölkerung, vor allem durch
a) eine einheitliche, flächendeckende und lückenlose digitale Impfdokumentation sowie eine verbesserte, schnellere Verfügbarkeit von Impfinformationen,
b) die Steigerung der Prozess- und Ergebnisqualität von Impfungen und die Wirksamkeit von öffentlichen Impfprogrammen,
c) die Erhöhung der Arzneimittel- und Patient/inn/ensicherheit;
2. der Verfügbarkeit digitaler Impfinformationen für die Steuerung des öffentlichen Gesundheitswesens, vor allem zur
a) Bestimmung von Impfstatus und Durchimpfungsraten sowie des daraus ableitbaren Handlungsbedarfs,
b) Verbesserung der Reaktionsmöglichkeiten auf Ausbrüche von durch Impfungen bekämpfbaren Krankheiten,
c) Einhaltung von Verpflichtungen zur Verfolgung internationaler Eliminations- und Eradikationsziele sowie
3. der Reduktion von Aufwänden für Bürger/innen, Gesundheitsdiensteanbieter und das Gesundheitssystem.
Zentrales Impfregister
§24c. (1) Das zentrale Impfregister ist wesentlicher Bestandteil des eImpfpasses und dient der elektronischen Dokumentation aller durchgeführten Impfungen sowie impfrelevanten Informationen. Impfrelevante Informationen sind impfrelevante Vorerkrankungen, besondere Impfindikationen und die in einer Verordnung gemäß §28b Abs2 Z9 lita genannten oder im Einzelfall (Abs3) medizinisch indizierten Antikörperbestimmungen.
(2) Zur Erfüllung der in §24d Abs2 genannten Zwecke haben
1. eImpf-Gesundheitsdiensteanbieter, die Impfungen tatsächlich durchführen, die Angaben
a) zum Impfstoff (Klassifikation, Handelsname, Hersteller, Zulassungsnummer, Chargennummer, Verfallsdatum, Serialisierungsnummer, Pharmazentralnummer und Anatomisch-Therapeutisch-Chemische Zuordnung),
b) zur verabreichten Impfung (Datum der Verabreichung, Dosierung und Dosis, angewandtes Impfschema, Impfempfehlung und Zuordnung zu Impfprogrammen),
c) zum Bürger/zur Bürgerin (Name, Geburtsdatum, Geschlecht, Wohnadresse, Angaben zur Erreichbarkeit, Angaben zu einer allfälligen Vertretung, Sozialversicherungsnummer, bereichsspezifisches Personenkennzeichen Gesundheit [bPK-GH], Gemeindecode, Antikörperbestimmung, impfrelevante Vorerkrankungen und besondere Impfindikationen) sowie
d) zum impfenden oder speichernden eImpf-Gesundheitsdiensteanbieter (Name, Rolle, Berufsadresse, ein in einer Verordnung gemäß §28b Abs2 Z8 genanntes Impfsetting und Datum der Speicherung), und
2. eImpf-Gesundheitsdiensteanbieter, die Antikörpertests tatsächlich auswerten, unter den Voraussetzungen des Abs3,
a) Antikörperbestimmungen sowie das Krankheitsbild, auf das sich diese beziehen, und
b) die Angaben gemäß Z1 litc und d, ausgenommen das Impfsetting, sofern sie dem eImpf-Gesundheitsdiensteanbieter zur Verfügung stehen,
im zentralen Impfregister ab dem in einer Verordnung gemäß §28b Abs2 Z2 litb festgelegten Zeitpunkt zu speichern. Die Speicherung dieser Angaben im zentralen Impfregister erfüllt die berufsrechtliche Dokumentationsflicht (z. B. §51 Abs1 ÄrzteG 1998). Eine über diese Speicherung hinausgehende berufsrechtlich erforderliche Dokumentation hat nicht im zentralen Impfregister zu erfolgen.
(3) Unabhängig von der Verabreichung einer Impfung haben
1. eImpf-Gesundheitsdiensteanbieter gemäß §2 Z18 lita, die Angehörige des ärztlichen Berufes gemäß §3 ÄrzteG 1998 oder Amtsärzte und Amtsärztinnen, einschließlich Militärärzte und Militärärztinnen (§41 ÄrzteG 1998), sind, unter Berücksichtigung der jeweiligen Berufsrechte impfrelevante Informationen (Abs1) im zentralen Impfregister zu speichern. Die Beurteilung, ob eine besondere Impfindikation vorliegt oder eine Vorerkrankung impfrelevant ist, obliegt diesem eImpf-Gesundheitsdiensteanbieter. Jedenfalls impfrelevante Vorerkrankungen sind Frühsommer-Meningoenzephalitis (FSME), Masern, Röteln, Hepatitis A und B, Varizellen und Polio; und
2. eImpf-Gesundheitsdiensteanbieter gemäß §2 Z18 litb Antikörperbestimmungen
im zentralen Impfregister zu speichern. Die Voraussetzungen, unter denen Antikörperbestimmungen von eImpf-Gesundheitsdiensteanbietern im zentralen Impfregister gespeichert werden dürfen, sind von dem für das Gesundheitswesen zuständigen Bundesminister oder zuständigen Bundesministerin mittels Verordnung gemäß §28b Abs2 Z9 lita festzulegen. eImpf-Gesundheitsdiensteanbieter gemäß §2 Z18 lita, die Angehörige des ärztlichen Berufes gemäß §3 ÄrzteG 1998 oder Amtsärzte und Amtsärztinnen, einschließlich Militärärzte und Militärärztinnen (§41 ÄrzteG 1998) sind, dürfen über die in dieser Verordnung festgelegten Antikörperbestimmungen hinaus auch andere Antikörperbestimmungen im zentralen Impfregister speichern, sofern dies im Einzelfall medizinisch indiziert ist.
(4) eImpf-Gesundheitsdiensteanbieter gemäß §2 Z18 lita, ausgenommen diplomierte Gesundheits- und Krankenpfleger/innen sowie Apotheken gemäß §1 des Apothekengesetzes,
1. dürfen unter Berücksichtigung der jeweiligen Berufspflichten (z. B. §49 Abs1 ÄrzteG 1998) andere als die in Z3 genannten verabreichten und schriftlich dokumentierten, aber nicht im zentralen Impfregister gespeicherten Impfungen nachtragen;
2. dürfen die gemäß §24e Abs6 selbst eingetragenen Impfungen unter Berücksichtigung der jeweiligen Berufsrechte vidieren und
3. haben die in einer Verordnung gemäß §28b Abs2 Z7 genannten verabreichten Impfungen nachzutragen.
(5) Für die im zentralen Impfregister gespeicherten Daten geltenden folgende Löschfristen:
1. Impfungen, impfrelevante Vorerkrankungen und Impferinnerungen sind dreißig Jahre nach dem Tod eines Bürgers/einer Bürgerin von dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin zu löschen; ist kein Sterbedatum bekannt, sind diese Angaben spätestens 120 Jahre nach der Geburt des Bürgers/der Bürgerin zu löschen.
2. Antikörperbestimmungen sind nach Ablauf der des für das Gesundheitswesen zuständigen Bundesministers oder der zuständigen Bundesministerin mit Verordnung nach §28b Abs2 Z9 litb unter Berücksichtigung des Stands der Wissenschaft festgelegten angemessenen Löschfrist von dem für das Gesundheitswesen zuständigen Bundesminister oder der Bundesministerin zu löschen.
(6) Der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin hat
1. zu den in §24d Abs2 Z2 und 3 genannten Zwecken den jeweils aktuellen Impfplan Österreich im zentralen Impfregister sowie,
2. um den Zugriff auf die zusammenfassende Darstellung der im zentralen Impfregister gespeicherten Daten gemäß §24d Abs2 Z1 den ELGA Gesundheitsdiensteanbietern und ELGA-Teilnehmer/inne/n zu ermöglichen und ELGA-Anwendungen gemäß §2 Z16 oder andere eHealth-Anwendungen gemäß diesem Abschnitt zu unterstützen, standardisierte elektronische Schnittstellen
Grundsätze der Impfdatenverarbeitung
§24d. (1) Die Verarbeitung (Art4 Z2 DSGVO) von Daten im zentralen Impfregister gemäß §24c Abs2 bis 5 sowie zu den in Abs2 und in §24e Abs4 genannten Zwecken ist nur zulässig, wenn
1. die Gesundheitsdiensteanbieter gemäß §4 Abs4 oder §4a eindeutig identifiziert wurden,
2. die Vertraulichkeit (§6) der zu verarbeitenden Daten gewährleistet ist,
3. die Integrität (§7) der zu verarbeitenden Daten gewährleistet ist,
4. eine spezifische Zugriffsberechtigung gemäß §24f Abs4 besteht sowie
5. die Bürger/innen, soweit es sich um Zwecke gemäß Abs2 Z1, Z2, Z5, Z6, Z7 oder Z8 handelt, gemäß §18 oder durch Abgleich von Daten mit dem oder Abfrage des Stammzahlenregisters gemäß §2 Z9 E-GovG eindeutig identifiziert wurden. Für den Abgleich von Daten mit dem Stammzahlenregister gilt §18 Abs4a.
(2) Die im Impfregister gespeicherten Daten dürfen personenbezogen insbesondere für folgende Zwecke verarbeitet werden:
1. zusammenfassende Darstellung der im zentralen Impfregister gespeicherten Daten,
2. Darstellung persönlicher Impfkalender auf Basis der im zentralen Impfregister gespeicherten Daten und des jeweils aktuellen Impfplans Österreich,
3. Erinnerung an empfohlene Impfungen gemäß dem jeweils aktuellen Impfplan Österreich auf Basis der im zentralen Impfregister gespeicherten Daten,
4. Auswertungen von im zentralen Impfregister gespeicherten Daten gemäß §24g,
5. Krisenmanagement, sowohl im Rahmen des Ausbruchsmanagements in Zusammenhang mit anzeigepflichtigen Krankheiten gemäß §1 EpiG, als auch im Rahmen der Pharmakovigilanz,
6. Abrechnung im Rahmen von Impfprogrammen sowie deren Überprüfung,
7. Wahrnehmung der Rechte der Bürger/innen gemäß §24e sowie
8. Datenqualitätsmanagement gemäß §24h.
Rechte der Bürger/innen
§24e. (1) Die Bürger/innen sind von dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin in geeigneter Weise über die ihnen zustehenden Rechte sowie über jene Rechte des 3. Kapitels der DSGVO, die den Bürger/inne/n nicht zustehen, zu informieren. Diese Information hat auch den Hinweis zu enthalten, wem gegenüber die Bürger/innen die ihnen zustehenden Rechte geltend machen können.
(2) Die für die Wahrnehmung der Rechte erforderliche Entscheidungsfähigkeit (§24 Abs2 ABGB) wird im Zweifel ab Vollendung des 14. Lebensjahres (mündige Minderjährige) vermutet.
(3) Das Recht auf Auskunft über im zentralen Impfregister gespeicherte Daten (Art15 DSGVO) ist von den Bürger/inne/n gegenüber dem für das Gesundheitswesen zuständigen Bundesminister oder der für das Gesundheitswesen zuständigen Bundesministerin als ELGA- und eHealth Supporteinrichtung im Wege der eHealth-Servicestelle (§17 Abs2 Z2) wahrzunehmen. Bürger/innen können das Recht auf Auskunft (Art15 DSGVO) auch elektronisch im Wege des Zugangsportals (§23 in Verbindung mit §24f Abs6) wahrnehmen, wobei auch eine Datenkopie in Form eines ausdruckbaren PDF Dokuments zur Verfügung zu stellen ist. Im Zugangsportal sind die Informationen gemäß Art15 Abs1 lita bis h DSGVO in geeigneter Weise bereitzuhalten.
(4) Das Recht auf Berichtigung (Art16 DSGVO) ist von den Bürger/inne/n gegenüber jenem eImpf-Gesundheitsdiensteanbieter wahrzunehmen, der die zu berichtigende Angabe im zentralen Impfregister gespeichert hat. Treten Umstände hervor, die unter Berücksichtigung der jeweiligen Berufspflichten (z. B. §49 Abs1 ÄrzteG 1998) eine Berichtigung der im zentralen Impfregister gespeicherten Daten erfordern, sind diese von dem eImpf Gesundheitsdiensteanbieter, der diese Daten gespeichert hat, in Form einer Aktualisierung oder Stornierung zu berichtigen. Sollte dieser eImpf Gesundheitsdiensteanbieter nicht mehr verfügbar sein, so ist die Berichtigung auf Verlangen des Bürgers/der Bürgerin von einem Amtsarzt oder einer Amtsärztin vorzunehmen. Berichtigte Daten werden als solche gekennzeichnet. In Form einer Stornierung berichtigte Daten müssen und dürfen nur für den eImpf-Gesundheitsdiensteanbieter, der die stornierten Daten im zentralen Impfregister gespeichert hat, und für die Bürger/innen, die diese stornierten Daten betreffen, abrufbar bleiben. Über Berichtigungen sind eImpf Gesundheitsdiensteanbieter, die auf die Daten in der nicht berichtigten Fassung zugegriffen haben, in Übereinstimmung mit §24f Abs4 in Verbindung mit §28b Abs2 Z4 in geeigneter Weise zu informieren.
( 5) Hinsichtlich der Verarbeitungen nach diesem Unterabschnitt besteht gemäß Art23 Abs1 lite DSGVO kein Recht auf Einschränkung der Verarbeitung gemäß Art18 DSGVO und kein Widerspruchsrecht gemäß Art21 DSGVO. Das Recht auf Löschung gemäß Art17 DSGVO wird gemäß Art23 Abs1 lite DSGVO im Sinne des §24c Abs5 beschränkt.
(6) Bürger/innen haben das Recht, Impfungen in das zentrale Impfregister selbst einzutragen und diese Angaben bis zur Vidierung (§24c Abs4 Z2) selbst zu berichtigen oder zu löschen. Die Selbsteintragung der Impfungen erfolgt durch Übermittlung der einzutragenden, zu berichtigenden oder zu löschenden Daten in der mittels Verordnung gemäß §28b Abs2 Z6 festgelegten Form an den für das Gesundheitswesen zuständigen Bundesminister oder die zuständige Bundesministerin, der oder die diese übermittelten Daten in das zentrale Impfregister einzutragen, zu berichtigen oder zu löschen hat. Eine inhaltliche Prüfung der übermittelten Daten durch den für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin hat nicht zu erfolgen. Selbst eingetragene Impfungen sind von dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin als solche zu kennzeichnen und dienen den eImpf-Gesundheitsdiensteanbietern nur zur Information.
(7) Bürger/innen haben das Recht vom jeweils impfenden eImpf Gesundheitsdiensteanbieter die Dokumentation von Impfungen im Sinne des Art31 der Internationalen Gesundheitsvorschriften (IGV, BGBl III Nr 98/2008) im internationalen Impfausweis (Internationale Bescheinigungen über Impfungen und Impfbuch der WHO) zu verlangen. Der Eintrag im internationalen Impfausweis hat in diesem Fall zusätzlich zur Speicherung gemäß §24c Abs2 zu erfolgen.
(8) Bürger/innen haben das Recht, sich mit persönlichen Anliegen im Zusammenhang mit dem eImpfpass sowie mit Informationen oder Beschwerden über fehlende Einträge oder über Fehler der im zentralen Impfregister gespeicherten Daten an die ELGA- und eHealth-Supporteinrichtung (§17 Abs2 Z1 und Z2) zu wenden.
Nutzung von ELGA-Komponenten
§24f. (1) Die ELGA-Komponenten gemäß §24 Abs3 sind nach Maßgabe der folgenden Absätze zu nutzen.
(2) Soweit der Patient/inn/enindex (§18) gemäß §24d Abs1 Z5 zur Überprüfung der eindeutigen Identität der Bürger/innen genutzt wird, darf die Überprüfung der eindeutigen Identität in den Fällen, in denen die eImpf Gesundheitsdiensteanbieter oder Apotheken
1. zur Speicherung, Aktualisierung, Stornierung, Nachtragung und Vidierung der Angaben gemäß §24c Abs2 oder
2. zur Impfberatung und Impfanamnese
auf den eImpfpass zugreifen, nicht länger als 28 Tage zurückliegen.
(3) Der Gesundheitsdiensteanbieterindex (§19) dient der Überprüfung der eindeutigen Identität von Gesundheitsdiensteanbietern gemäß §24d Abs1 Z1.
(4) Das Berechtigungssystem (§21) dient der Verwaltung der in einer Verordnung gemäß §28b Abs2 Z4 nach den Kriterien gemäß §28b Abs7 festgelegten spezifischen Zugriffsberechtigungen auf die im zentralen Impfregister gespeicherten Daten und der Steuerung der Zugriffe.
(5) Das Protokollierungssystem (§22) dient der Dokumentation und Nachvollziehbarkeit der Verarbeitung der im zentralen Impfregister gespeicherten Daten unter Anwendung des §22 Abs3 bis 6; zu protokollieren sind gemäß Art32 DSGVO
1. die in §22 Abs2 Z1 bis 3, 7 und 8 genannten Daten,
2. die eindeutige elektronische Identität des Gesundheitsdiensteanbieters, der den Vorgang ausgelöst hat,
3. der Name der natürlichen Person, die die im zentralen Impfregister gespeicherten Daten tatsächlich verarbeitet hat,
4. die eindeutige Kennung der im zentralen Impfregister gespeicherten Daten.
(6) Das Zugangsportal (§23) dient der zusammenfassenden Darstellung der im zentralen Impfregister gespeicherten Daten gemäß §24e Abs3.
Auswertungen
§24g. Der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin, die Landeshauptleute und die Bezirksverwaltungsbehörden in ihrem jeweiligen gesetzlichen Wirkungsbereich dürfen die im zentralen Impfregister gespeicherten Daten gemäß §24c Abs2 im Sinne des §11 des Gesundheits-Zielsteuerungsgesetzes (G-ZG), BGBl I Nr 26/2017, verarbeiten.
Datenqualitätsmanagement
§24h. (1) Das Datenqualitätsmanagement umfasst die Sicherstellung von Vollständigkeit, Aktualität, Fehlerfreiheit, Konsistenz und Verfügbarkeit der im zentralen Impfregister gespeicherten Daten.
(2) Die ELGA- und eHealth-Supporteinrichtung hat im Wege der eHealth Servicestelle (§17 Abs2 Z2) zur Erfüllung dieser Aufgabe
1. die im zentralen Impfregister gespeicherten Daten sowie die Protokolldaten unter Zugrundelegung der in Abs1 genannten Kriterien auf Anforderung des für das Gesundheitswesen zuständigen Bundesministers oder der zuständigen Bundesministerin zu analysieren und Empfehlungen für Maßnahmen zur Sicherstellung und Verbesserung der Datenqualität zu erarbeiten,
2. die im Rahmen von Analysen gemäß Z1 erkannten Fehler einer Berichtigung gemäß Abs3 zuzuführen,
3. entsprechend standardisierter Vorgaben oder über Einzelanforderung des für das Gesundheitswesen zuständigen Bundesministers oder der zuständigen Bundesministerin Berichte über das Impfgeschehen aufzubereiten und zur Verfügung zu stellen,
4. den für das Gesundheitswesen zuständigen Bundesminister oder die zuständige Bundesministerin bei der Erfüllung der Verpflichtungen gegenüber gesetzlich festgelegten Kontrolleinrichtungen und bei der Erfüllung internationaler Berichtspflichten durch Bereitstellung der jeweils angeforderten Informationen zu unterstützen sowie
5. Informationen und Beschwerden gemäß §24e Abs8 entgegen zu nehmen.
(3) Werden bei der Analyse gemäß Abs2 Z1 Fehler erkannt, oder wird gemäß Abs2 Z5 eine Information oder Beschwerde von einem Bürger oder einer Bürgerin oder einem eImpf-Gesundheitsdiensteanbieter entgegen genommen, hat die eHealth Servicestelle die Art des Fehlers sowie den jeweiligen eImpf Gesundheitsdiensteanbieterder für die Speicherung der Daten im zentralen Impfregister verantwortlich ist, zu erheben und die Berichtigung der im zentralen Impfregister gespeicherten Daten bei diesem, oder im Falle seiner Nichtverfügbarkeit bei einem Amtsarzt oder einer Amtsärztin, zu veranlassen und die Durchführung zu überwachen. Die eImpf-Gesundheitsdiensteanbieter sowie die Amtsärzte und Amtsärztinnen haben die Berichtigung unverzüglich, längstens binnen eines Monats, vorzunehmen. Kann die eHealth-Servicestelle bei der Überprüfung einer Information oder Beschwerde gemäß Abs2 Z5 keinen Fehler feststellen, ist der Bürger/die Bürgerin binnen eines Monats darüber zu informieren.
(4) Berichte gemäß Abs2 Z3 und Informationen gemäß Abs2 Z4 dürfen ausschließlich anonymisiert bereitgestellt werden. Hat der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin Grund zur Annahme, dass Berichte gemäß Abs2 Z3 Daten enthalten, durch die Rückschlüsse auf eine natürliche Person gezogen werden können, so hat er oder sie diese Daten von einer allfälligen Veröffentlichung auszunehmen.
(5) Die zur Behebung von Fehlern im zentralen Impfregister gemäß Abs3 erforderlichen Daten sind von der eHealth-Servicestelle in personenbezogener Form bereitzustellen. Die Verarbeitung dieser Daten hat entsprechend dem Stand der Technik zu erfolgen. Im Falle einer Berichtigung aufgrund einer Analyse gemäß Abs2 Z1 in Verbindung mit Abs3 ist der Bürger/die Bürgerin über Art, Umfang und Grund der Berichtigung zu informieren. Dieser Verpflichtung kann durch einen Protokolleintrag entsprochen werden."
III. Antragsvorbringen und Vorverfahren
3 1. Der Antragsteller bringt zu seiner Antragslegitimation der Sache nach vor, durch die angefochtenen Bestimmungen über das "Impfregister" unmittelbar und aktuell in seinen Rechten, insbesondere auf Datenschutz (§1 DSG), auf Privatsphäre (Art8 EMRK) und auf informationelle Selbstbestimmung, verletzt zu sein. Seit dem 30. September 2024 würden seine persönlichen Gesundheitsdaten im Rahmen des elektronischen Impfpasses erfasst. Die Speicherung erhaltener Impfungen – sofern er keine Impfungen erhalten habe, sei dieser Umstand aus dem Impfregister ersichtlich – erfolge ohne seine Zustimmung. Der Antragsteller sei seit der Einführung des elektronischen Impfpasses automatisch im "Impfregister" erfasst, aus dem ersichtlich sei, ob der Antragsteller "bestimmte Impfungen erhalten habe oder nicht". Im Gegensatz zur ELGA bestehe beim elektronischen Impfpass weder ein Recht auf Einschränkung der Verarbeitung noch ein Widerspruchsrecht noch ein Recht auf Löschung der Daten. Durch die dauerhafte Speicherung und die fehlende Möglichkeit zur Löschung der Daten werde der Wesensgehalt des Rechtes auf informationelle Selbstbestimmung verletzt. Der Antragsteller habe keine Kontrolle mehr über seine eigenen Gesundheitsdaten, was zu einer unverhältnismäßigen und nicht evidenzbasierten Einschränkung von Grundrechten führe. Dem Antragsteller stehe auch kein anderer Rechtsweg zur Verfügung, um diese Verletzung seiner Rechte geltend zu machen.
4 2. Der Antragsteller legt seine Bedenken der Sache nach wie folgt dar:
5 2.1. Die angefochtenen Bestimmungen würden gegen das Recht auf Datenschutz (§1 DSG, Art8 GRC, Art8 EMRK) und gegen die DSGVO verstoßen: Der elektronische Impfpass erfasse umfassende Gesundheitsdaten und greife damit tief in die informationelle Selbstbestimmung der Bürger ein. Dieses Grundrecht, das in Art8 GRC, Art8 EMRK, im DSG und in der DSGVO verankert sei, gewähre Bürgern die Kontrolle über ihre persönlichen Daten und umfasse insbesondere das Recht, der Speicherung und Verarbeitung dieser Daten zu widersprechen sowie deren Löschung zu verlangen. Das zentrale Impfregister nach dem Gesundheitstelematikgesetz 2012 (GTelG 2012), das keine Widerspruchs- oder Löschungsrechte gewähre, verletze dieses Recht. Zwar erlaube die DSGVO Beschränkungen der Rechte Betroffener, stelle jedoch strenge Voraussetzungen wie die Notwendigkeit und Verhältnismäßigkeit der Maßnahme und die Wahrung des Wesensgehaltes der Grundrechte (Art23 leg. cit.) auf. Die im GTelG 2012 vorgesehene Verpflichtung zur Datenerfassung und -speicherung ohne Recht auf Widerspruch und Löschung (im Unterschied zu ELGA) begründe einen unverhältnismäßigen Eingriff in das Recht auf informationelle Selbstbestimmung.
6 2.2. Die angefochtenen Bestimmungen stünden in Widerspruch zu Art23 Abs1 lite DSGVO: §24e Abs5 GTelG 2012 sehe weitreichende Ausnahmen von den Rechten der Betroffenen vor, insbesondere von den Rechten auf Widerspruch (Art21 DSGVO) und auf Löschung (Art17 leg. cit.). Diese Einschränkungen wären nach Art23 Abs1 lite DSGVO nur dann zulässig, wenn sie notwendig, verhältnismäßig und zum Schutz wichtiger öffentlicher Interessen erforderlich seien und wenn der Wesensgehalt der Grundrechte gewahrt bleibe. Die angefochtene Regelung sei jedoch nicht differenziert und unverhältnismäßig. Die Einschränkung der Betroffenenrechte sei nicht das gelindeste Mittel, um die im Gesetz verfolgten Ziele – wie die Verbesserung des Krisenmanagements oder der Durchimpfungsraten – zu erreichen. Die Ziele des Gesetzes, wie die Optimierung der Impfversorgung, die Verbesserung des Krisenmanagements und die statistische Erfassung von Durchimpfungsraten, könnten auch durch eine anonymisierte oder pseudonymisierte Datenspeicherung erreicht werden. Dies würde die Grundrechte der Bürger wahren, indem die Erfassung persönlicher Gesundheitsdaten vermieden werde. Die vollständige Speicherung personenbezogener Daten im zentralen Impfregister stelle daher eine unverhältnismäßige Einschränkung dar, weil die gleichen Ziele auch auf weniger eingriffsintensive Weise erreicht werden könnten. Das GTelG 2012 sehe die umfassende Speicherung von Daten im Rahmen des elektronischen Impfpasses vor. Zwar würden derzeit nur bestimmte Impfungen erfasst werden, jedoch besteht die Möglichkeit, die Datenerfassung in Zukunft auszuweiten. Diese weitreichende Erfassung personenbezogener Daten gehe über das unbedingt notwendige Maß hinaus, weil nicht alle Impfungen für die öffentliche Sicherheit und Gesundheit in Österreich relevant seien (zu denken sei etwa an die "Zeckenimpfung" oder an die Impfung gegen Gelbfieber). Die verpflichtende Erfassung von Impfungen zeige auch, welche Impfungen eine Person nicht empfangen habe. Eine sachliche Rechtfertigung für die Speicherung dieser Informationen ohne Widerspruchsrecht sei nicht ersichtlich.
7 2.3. Das Fehlen einer "Opt-out"-Möglichkeit im GTelG 2012 (im Gegensatz zum ELGA) verstoße gegen Art8 EMRK und Art8 GRC. Die Erfassung des Impfstatus berge auch das Risiko sozialer Diskriminierung und Ausgrenzung. Die fehlende Möglichkeit, Daten löschen zu lassen, verletze den Wesensgehalt des Grundrechtes auf informationelle Selbstbestimmung und auf Datenschutz. Die mangelnde gesetzliche Differenzierung zwischen verschiedenen Impfungen mit unterschiedlicher Bedeutung für das öffentliche Interesse widerspreche Art23 DSGVO. Das GTelG 2012 verletze den Grundsatz der Datensparsamkeit, der sich auch aus §1 DSG ergebe, indem es die umfassende Speicherung aller Impfungen ohne Rücksicht auf deren Notwendigkeit anordne. Die Speicherung von Gesundheitsdaten im eImpfpass berge erhebliche Risken für die Rechte und Freiheiten der Bürger und sei nicht verhältnismäßig. Es bestehe die Gefahr eines "Social-Credit-Systems".
8 2.4. Der eImpfpass habe das Potential, zahlreiche weitere Grundrechte zu beeinträchtigen, konkret das Recht auf körperliche Unversehrtheit (Art3 GRC, Art8 EMRK), den Gleichheitsgrundsatz (Art7 B VG, Art2 StGG, Art20 GRC), das Recht auf Freiheit der Erwerbsbetätigung (Art6 StGG, Art15 GRC), das Recht auf Freizügigkeit (Art4 StGG, Art45 GRC, Art2 des 4. ZPEMRK), das Recht auf Freiheit und Sicherheit (Art5 EMRK, Art6 GRC), das Recht auf wirksamen gerichtlichen Rechtsschutz (Art47 GRC, Art6 EMRK), das Recht auf Nichtdiskriminierung (Art21 GRC), das Recht auf Bildung (Art14 GRC, Art2 des 1 ZPEMRK), das Recht auf Versammlungs- und Vereinigungsfreiheit (Art11 EMRK, Art12 GRC) und das Recht auf Zugang zu Gesundheitsdiensten (Art35 GRC).
9 3. Die Bundesregierung hat eine Äußerung erstattet, in der die Zulässigkeit des Antrages bestritten und den Bedenken in der Sache entgegengetreten wird.
IV. Zulässigkeit
10 1. Gemäß Art140 Abs1 Z1 litc B‐VG erkennt der Verfassungsgerichtshof über Verfassungswidrigkeit von Gesetzen auf Antrag einer Person, die unmittelbar durch diese Verfassungswidrigkeit in ihren Rechten verletzt zu sein behauptet, wenn das Gesetz ohne Fällung einer gerichtlichen Entscheidung oder ohne Erlassung eines Bescheides für diese Person wirksam geworden ist.
11 Voraussetzung der Antragslegitimation gemäß Art140 Abs1 Z1 litc B VG ist einerseits, dass der Antragsteller behauptet, unmittelbar durch das angefochtene Gesetz – im Hinblick auf dessen Verfassungswidrigkeit – in seinen Rechten verletzt worden zu sein, dann aber auch, dass das Gesetz für den Antragsteller tatsächlich, und zwar ohne Fällung einer gerichtlichen Entscheidung oder ohne Erlassung eines Bescheides wirksam geworden ist. Grundlegende Voraussetzung der Antragslegitimation ist, dass das Gesetz in die Rechtssphäre des Antragstellers nachteilig eingreift und diese – im Falle seiner Verfassungswidrigkeit – verletzt.
12 Nicht jedem Normadressaten aber kommt die Anfechtungsbefugnis zu. Es ist darüber hinaus erforderlich, dass das Gesetz selbst tatsächlich in die Rechtssphäre des Antragstellers unmittelbar eingreift. Ein derartiger Eingriff ist jedenfalls nur dann anzunehmen, wenn dieser nach Art und Ausmaß durch das Gesetz selbst eindeutig bestimmt ist, wenn er die (rechtlich geschützten) Interessen des Antragstellers nicht bloß potentiell, sondern aktuell beeinträchtigt und wenn dem Antragsteller kein anderer zumutbarer Weg zur Abwehr des – behaupteterweise – rechtswidrigen Eingriffes zur Verfügung steht (VfSlg 11.868/1988, 15.632/1999, 16.616/2002, 16.891/2003).
13 1.1. Der Verfassungsgerichtshof hat seit dem Beschluss VfSlg 8009/1977 in ständiger Rechtsprechung den Standpunkt vertreten, dass der durch Art140 Abs1 B VG dem Einzelnen eingeräumte Rechtsbehelf dazu bestimmt ist, Rechtsschutz gegen verfassungswidrige Gesetze nur insoweit zu gewähren, als ein anderer zumutbarer Weg hiefür nicht zur Verfügung steht (zB VfSlg 11.803/1988, 13.871/1994, 15.343/1998, 16.722/2002, 16.867/2003).
14 1.2. Der Antragsteller behauptet auf das Wesentliche zusammengefasst, dass die Erfassung seiner personenbezogenen Daten im elektronischen Impfpass bzw im zentralen Impfregister (§§24b ff. GTelG 2012) und die fehlende Möglichkeit, dem zu widersprechen bzw Daten löschen zu lassen, in unverhältnismäßiger Weise Grundrechte, insbesondere das Grundrecht auf Datenschutz, und die DSGVO verletze. Durch die Aufhebung von §24e Abs5 GTelG 2012 würde dem Einzelnen die Möglichkeit eingeräumt, über die Speicherung seiner Impfdaten frei zu entscheiden.
15 1.3. Der Verfassungsgerichtshof muss nicht näher untersuchen, ob der Antragsteller den Anfechtungsumfang richtig abgegrenzt hat, ob er alle Bedenken im Sinne von §62 Abs1 VfGH hinreichend aufgeführt hat und inwiefern die unmittelbare Anwendbarkeit der DSGVO der Zulässigkeit des Individualantrages entgegenstehen könnte, weil dem Antragsteller – wie die folgenden Ausführungen zeigen – ein anderer zumutbarer Weg zur Verfügung steht, die Bedenken gegen die angefochtenen Rechtsvorschriften an den Verfassungsgerichtshof heranzutragen:
16 1.3.1. Nach §24 Abs1 DSG hat jede betroffene Person das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die Datenschutz-Grundverordnung, gegen §1 DSG oder gegen Art2 des 1. Hauptstückes zum Datenschutzgesetz ("Durchführung der Datenschutz-Grundverordnung und ergänzende Regelungen") verstößt. In diesem Beschwerdeverfahren hat die Datenschutzbehörde – allenfalls nach einem vorangegangenen Löschungsbegehren des Antragstellers beim datenschutzrechtlich Verantwortlichen – die Rechtsgrundlagen der Datenverarbeitung, hier die maßgeblichen Bestimmungen der §§24b ff. Gesundheitstelematikgesetz 2012 über den elektronischen Impfpass, und insbesondere den Ausschluss des Widerspruchsrechtes bzw die Einschränkung des Löschungsrechtes durch §24e Abs5 leg. cit. anzuwenden.
17 1.3.2. Gegen den von der Datenschutzbehörde erlassenen Bescheid kann in der Folge gemäß §27 Abs1 DSG Beschwerde an das Bundesverwaltungsgericht und gegen dessen Erledigung Beschwerde gemäß Art144 B VG an den Verfassungsgerichtshof unter anderem mit der Behauptung erhoben werden, dass die präjudiziellen Bestimmungen des Gesundheitstelematikgesetzes 2012 verfassungswidrig seien.
18 1.3.3. Der Antragsteller konnte diesen Weg beschreiten, um die Frage der Verfassungskonformität der ihn betreffenden Bestimmungen des Gesundheitstelematikgesetzes 2012 an den Verfassungsgerichtshof heranzutragen (vgl VfGH 14.6.2019, G385/2018). Auf die (unmittelbaren) Erfolgsaussichten des Antragstellers im Verfahren vor der Datenschutzbehörde kommt es dabei nicht an (vgl zB VfSlg 9170/1981, 9285/1981, 10.592/1985, 11.889/1988, 15.030/1997, 19.874/2014).
V. Ergebnis
19 1. Der Antrag ist daher als unzulässig zurückzuweisen.
20 2. Diese Entscheidung konnte gemäß §19 Abs4 VfGG ohne mündliche Verhandlung in nichtöffentlicher Sitzung getroffen werden.
Rückverweise
Keine Ergebnisse gefunden
RIS