Wir speichern und verarbeiten personenbezogene Daten ausschließlich im Sinne der EU-Datenschutz-Grundverordnung (DSGVO) und des Datenschutzgesetzes (DSG).
Datenschutzrechtlich verantwortlich für die eHealth-Anwendung Elektronischer Impfpass (eImpfpass) sind gemäß Art. 4 Z 7 der Datenschutz-Grundverordnung (DSGVO) sowie gemäß § 24b Abs. 3 des Gesundheitstelematikgesetzes 2012 (GTelG 2012):
Die Aufteilung der gemeinsamen Pflichten gemäß Art. 26 DSGVO werden in §§ 21ff eHealth-Verordnung 2025 (eHealthV 2025) geregelt.
Die Anwendung eImpfpass befindet sich derzeit noch im Pilotbetrieb. In diesem Pilotbetrieb ist die ELGA GmbH für den Betrieb, die Wartung und die technische Weiterentwicklung verantwortlich. Sobald sich der eImpfpass im Vollbetrieb befindet, übernimmt der:die für das Gesundheitswesen zuständige Bundesminister:in die Verantwortung für Betrieb, Wartung und technische Weiterentwicklung.
Mag. Patrick Rasztovics +43 1 711 00-0 post@sozialministerium.gv.at
Die Verwendung des eImpfpass erfüllt ein erhebliches öffentliches Interesse gemäß § 24b Abs. 5 GTelG 2012 iVm Art. 9 Abs. 2 lit g bis j DSGVO. Dieses erhebliche öffentliche Interesse ergibt sich insbesondere aus:
Die im zentralen Impfregister gespeicherten Daten dürfen personenbezogen insbesondere für folgende Zwecke verarbeitet werden (§ 24d Abs. 2 GTelG 2012):
Bei einer Impfung werden folgende Daten (Impfdaten) erfasst und direkt an den eImpfpass übermittelt (§ 24c Abs. 2 GTelG 2012):
Es werden keine Impfdaten direkt auf dem Gerät (Computer, Mobilgerät, ...) gespeichert.
Für die Übermittlung der Impfdaten werden eingeschränkte Informationen über das Gerät (Computer, Mobilgerät, ...), von dem aus die Impfdaten übermittelt werden, an den Auftragsverarbeiter Dachverband der Sozialversicherungsträger übermittelt. Zu diesen Daten gehören die IP-Adresse, Browsertyp und Betriebssystem (Log-Daten). Diese Daten werden nicht gespeichert.
Zur Dokumentation und Nachvollziehbarkeit der Verarbeitung der im eImpfpass gespeicherten Daten werden Protokollierungsdaten (Datum, Zeit und Art des Zugriffs, eindeutige Protokoll-Transaktionsnummer, eindeutige elektronische Identität der zugreifenden Gesundheitsdiensteanbieter [wie etwa Ärzt:innen, Krankenanstalten, ...], Namen der zugreifenden natürlichen Personen, eindeutigen Kennung der Impfdaten, Abfragekriterien sowie allfällige Fehlermeldungen) im Protokollierungssystem verarbeitet.
Zur Abrechnung durchgeführter Impfungen werden die folgenden Abrechnungsdaten verarbeitet:
Von der Anwendung eImpfpass betroffen sind alle natürlichen Personen, die in Österreich geimpft werden bzw. eImpf-GDA, die Impfungen verabreichen.
Die Impfdaten werden von eImpf-GDA (wie etwa Ärzt:innen) erhoben. Durch den Einsatz von Sozialversicherungsnummer bzw. bereichsspezifischen Personenkennzeichen (e-Card) ist die eindeutige Identität der Bürger:innen sichergestellt. Die Übermittlung der Impfdaten an den eImpfpass über Schnittstellen, die in der Arzt- bzw. KrankenhausSoftware integriert sind, Weboberflächen im Rahmen der e-Card-Verwaltung oder einer mobilen Applikation ("e-Impfdoc").
Die Log-Daten werden von dem jeweiligen Gerät (Computer, Mobilgerät, ...) erhoben, das für die Übermittlung der Impfdaten an den eImpfpass verwendet wird.
Die Protokollierungsdaten werden beim Zugriff auf den eImpfpass automatisch generiert.
Die Clearingdaten sind Impfdaten (siehe oben).
Die Abrechnungsdaten sind eine Teilmenge der Impfdaten (siehe oben).
Die Verarbeitung erfolgt auf Grundlage des GTelG 2012, insbesondere dessen §§ 17, 22, 23 und 24b bis 24h. Dabei handelt es sich um ein Gesetz im Sinne des Art. 9 Abs. 2 lit. g bzw. i DSGVO.
Die Verpflichtung zur Durchführung des Datenqualitätsmanagements ergibt sich aus dem Datenrichtigkeitsgrundsatz gemäß Art. 5 Abs. 1 lit. d DSGVO.
Nähere Bestimmungen zum eImpfpass finden sich auch in der eHealth-Verordnung 2025 (eHealthV 2025).
Empfänger:innen der Impfdaten sind entsprechend ihrer jeweiligen Berechtigungen alle die auf das zentrale Impfregister zugriffsberechtigt sind. Das sind
Nähere Informationen zum Umfang der jeweiligen Zugriffsberechtigungen entnehmen Sie bitte direkt der eHealthV 2025 (siehe §§ 13ff eHealthV 2025).
Darüber hinaus können Empfänger:innen von Impfdaten sein:
Empfänger:innen der Log-Daten sind der Dachverband der Sozialversicherungsträger als Auftragsverarbeiter (Artikel 28 DSGVO) sowie die IT-Services der Sozialversicherung GmbH als Sub-Auftragsverarbeiter (Art. 28 Abs. 4 DSGVO).
Näheres zum Datenschutz in der Sozialversicherung sowie die Kontaktdaten der jeweiligen Datenschutzbeauftragten finden sich hier.
Empfänger:innen der Protokollierungsdaten können Gerichte, Verwaltungsstrafbehörden, Patient:innenschiedsstellen der Ärztekammern, Patient:innenentschädigungsfonds, die betroffenen Personen (Patient:innen, Ärzt:innen, ...) sowie ELGA-Systempartner (Bund, Länder und Dachverband der Sozialversicherungsträger) sein.
Darüber hinaus erfolgt keine Weitergabe von personenbezogenen Daten.
Eine Übermittlung in Drittländer, d.h. aus dem Gebiet der Europäischen Union hinaus, ist im Zuge dieser Verarbeitung nicht vorgesehen. Die personenbezogenen Daten bleiben somit immer im Schutzbereich der DSGVO.
Die im eImpfpass gespeicherten Impfdaten sind 30 Jahre nach Sterbedatum, spätestens jedoch 120 Jahre nach der Geburt des jeweiligen Bürgers bzw. der jeweiligen Bürgerin zu löschen (§ 24c Abs. 5 GTelG 2012).
Die Log-Daten werden nicht gespeichert.
Die Protokollierungsdaten sind 3 Jahre nach Protokollierung zu löschen (§ 24f Abs. 5 GTelG 2012).
Die Abrechnungsdaten sind eine Teilmenge der Impfdaten (siehe oben).
Das Recht auf Auskunft steht elektronisch im ELGA-Portal oder gegenüber der ELGA- und eHealth-Supporteinrichtung zu (§ 24e Abs. 3 GTelG 2012).
Das Recht auf Berichtigung steht gegenüber den eImpf-Gesundheitsdiensteanbieter (wie etwa Ärzt:innen) zu, die die Impfdaten im eImpfpass gespeichert haben. Sollten diese eImpf-Gesundheitsdiensteanbieter (wie etwa Ärzt:innen) nicht mehr verfügbar sein, steht das Recht auf Berichtigung gegenüber dem Amtsarzt bzw. der Amtsärztin zu (§ 24e Abs. 4 GTelG 2012).
Das Recht auf Löschung steht - bei Impfdaten - frühestens 30 Jahre nach dem Tod der betroffenen Person zu (§ 24e Abs. 5 GTelG 2012).
Das Recht auf Einschränkung der Verarbeitung sowie das Recht auf Widerspruch bestehen nicht (§ 24e Abs. 5 GTelG 2012).
Das Recht auf Beschwerde steht betroffenen Personen gegenüber der Österreichischen Datenschutzbehörde, Barichgasse 40-42, 1030 Wien, zu, wenn sie der Ansicht sind, dass die Verarbeitung ihrer Daten gegen die DSGVO verstößt.
Die Übermittlung der Impfdaten an den eImpfpass ist gesetzlich, verpflichtend vorgesehen (§ 24c Abs. 2 GTelG 2012).
Damit verbunden ist auch eine Übermittlung der technisch erforderlichen Log-Daten.
Die Erzeugung der Protokollierungsdaten ist gesetzlich, verpflichtend vorgesehen (§ 24f Abs. 5 GTelG 2012).
Die Durchführung des Datenqualitätsmanagements ist gesetzlich vorgesehen (§ 24h GTelG 2012) und dient der Einhaltung des Datenschutzrichtigkeitsgrundsatzes (Art. 5 Abs. 1 lit. d DSGVO).
Im Zuge der Verarbeitung kommt es weder zur automatisierten Entscheidungsfindung, d.h. der alleinigen Entscheidung eines Algorithmus über rechtliche oder vergleichbare Angelegenheiten einer betroffenen Person, noch zu Profiling.