Das BMfGSPK hat eine Verordnung zur Erhebung, Speicherung und Weitergabe von Kontaktdaten durch Beförderungsunternehmer erlassen, die datenschutzrechtliche Implikationen hat.
Die VO gilt ab 21.7.2020.
Wer ist von der Verpflichtung zur Datenerhebung betroffen?
Beförderungsunternehmer (siehe § 1 Abs 1 der VO), die Personen, nach Österreich bringen, und zwar mit folgenden Beförderungsmitteln:
o mit einem Luft- oder Wasserfahrzeug oder
o im Rahmen des grenzüberschreitenden Kraftfahrlinienverkehrs mit einem Autobus oder
o im Rahmen des grenzüberschreitenden Personengelegenheitsverkehrs mit einem Autobus oder einem Personenkraftwagen nach Österreich bringen
Voraussetzung ist, dass sich der Reiseausgangspunkt in einem Gebiet befindet,
das
auf der Homepage des Bundesministeriums für europäische und internationale Angelegenheiten als Gebiet angeführt ist, für das eine Reisewarnung im Zusammenhang mit dem
Auftreten von SARS-CoV-2 ausgesprochen ist,
Welche Daten sind zu erheben?
1. Identitätsdaten der von ihnen beförderten Personen (vollständiger Name, Geburtsdatum und Staatsangehörigkeit),
2. der ursprünglichen Abreiseort,
3. die Abreise- und Ankunftszeit,
4. die Grenzübergangsstelle für die Einreise in das Bundesgebiet,
5. die Gesamtzahl der mit der betreffenden Beförderung beförderten Personen und
6. im Fall der Beförderung auf dem Luftweg die Beförderungs-Codenummer
Der Zweck
Die Daten dürfen vom Verantwortlichen (dem Beförderungsunternehmer) nur für die Auskunftserteilung gegenüber der Gesundheitsbehörde sowie an das Bundesministerium für Soziales, Gesundheit, Pflege und Konsumentenschutz verwendet werden (§ 1 Abs 1 lt. HS)
Die Verarbeitung der Daten für einen anderen Zweck ist unzulässig (§ 1 Abs 3).
Die Speicherdauer
In der Verordnung ist die Verpflichtung zur Speicherung der Daten für die Dauer von 28 Tagen nach Ankunft des Beförderungsmittels (§ 1 Abs 4) festgelegt.
Nach Ablauf der Aufbewahrungsfrist hat der Beförderungsunternehmer die Daten unverzüglich zu löschen. (§ 1 Abs 2).
Datensicherheitsmaßnahmen
Die VO schreibt dem Verantwortlichen ausdrücklich vor, dass dieser geeignete Datensicherheitsmaßnahmen zu treffen hat, ohne im Detail dazu Aussagen zu treffen.
Jedenfalls unzulässig sind mE „offene“ Listen, in die sich die Passagiere eintragen, denn dadurch werden die erhobenen Daten auch den anderen Passagieren offengelegt.
Eine „elektronische“ Erhebung der Daten bietet sich an, da die meisten Daten dem Beförderungsunternehmen bekannt sein werden, und nicht ausschließlich für diesen Zweck erhoben werden.
Begrenzte Geltungsdauer
Die VO tritt mit Ablauf des 20. Juli 2020 in Kraft, dh sie gilt ab 21.7.2020, 00:00 Uhr, und tritt mit 31.12.2020 außer Kraft (sofern sie nicht verlängert wird).
Sonstige Datenschutzanforderungen
Es ist zu bedenken, dass durch die VO zwar die Rechtsgrundlage für die Erhebung, Speicherung und Weitergabe der in der VO genannten Daten an bestimmte Empfänger geschaffen wird, der Verantwortliche aber seiner Informationspflicht iSd Art 13 DSGVO nachzukommen hat. Die Verarbeitung dieser Daten stützt sich daher auf Art 6 Abs 1 lit c DSGVO (gesetzliche, normative Grundlage).
Eine Datenschutzinformation (in einer Sprache, die die beförderten Personen auch
verstehen) iSd Art 13 DSGVO ist jedenfalls notwendig. Gerne erstelle ich eine derartige DS-Information für Sie.
20.07.2020, Autor:
Michael Schweiger, zert DSBA
Kommentar schreiben