Ein Dienstleistungsunternehmen im Gesundheitsbereich brachte vor, es werde durch das Bundesgesetz über die Pflicht zur Impfung gegen COVID-19 (COVID-19-Impfpflichtgesetz – COVID-19-IG), BGBl. I Nr. 4/2022 idF BGBl. I Nr. 22/2022, zur datenschutzrechtlichen Verantwortlichen für die personenbezogene Verarbeitung von Ausnahmen von der generellen COVID-19-Impfpflicht im Zentralen Impfregister sowie für die Übermittlung der Impfdaten und Ausnahmen an den Gesundheitsminister (unter anderem zur Verhängung von Strafen gegenüber Nichtgeimpften) gemacht. Im Zuge des Begutachtungsverfahrens des COVID-19-IG sei keine Datenschutz-Folgenabschätzung vorgenommen worden. Das hohe Risiko könne auch nicht durch entsprechende Maßnahmen eingedämmt werden. Die Datenschutzbehörde werde um Entscheidung ersucht, ob bzw. unter welchen Umständen die im COVID-19-IG vorgesehenen Verarbeitungstätigkeiten im Einklang mit der DSGVO durchgeführt werden können.
Mit Bescheid vom 21.4.2022 hat die Datenschutzbehörde den Antrag auf vorherige Konsultation zurückgewiesen, da die Voraussetzungen dafür nicht gegeben sind. Die von der Verantwortlichen vorgebrachten Bedenken betreffen nämlich im Wesentlichen die Rechtsgrundlage der vorgesehenen Datenverarbeitungen im Hinblick auf deren befürchtete Verfassungs- bzw. Unionsrechtswidrigkeit. Die behauptete Verfassungs- oder Unionsrechtswidrigkeit eines Gesetzes kann jedoch vor allem deshalb nicht Gegenstand eines Konsultationsverfahrens sein, da es einem Verantwortlichen im Falle einer gesetzlich vorgesehenen Datenverarbeitung gar nicht möglich ist, diese zu beeinflussen und allfällige Restrisiken faktisch zu mindern. Auch die Befugnisse einer Aufsichtsbehörde zielen darauf ab, faktisch Einfluss auf die Datenverarbeitung nehmen zu können. Die Kompetenz, über die Verfassungswidrigkeit eines Gesetzes zu entscheiden oder zu prüfen, ob dieses mit dem Unionsrecht übereinstimmt, obliegt nicht der Aufsichtsbehörde.
Der Bescheid ist nicht rechtskräftig.
Quelle: DSB Österreich