DATENSCHUTZ-FOLGENABSCHÄTZUNG
SYSTEMATISCHE BESCHREIBUNG
der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen
Gemäß § 52 Z 5 ASchG sowie § 52 Z 5 B-BSG haben die untersuchenden Ärztinnen und Ärzte bei Durchführung von Eignungs- und Folgeuntersuchungen den jeweiligen Befund samt Beurteilung unverzüglich dem ärztlichen Dienst des zuständigen Arbeitsinspektorates zu übermitteln. Gemäß § 52 Z 7 ASchG sowie § 52 Z 7 B-BSG ist der Arbeitgeberin oder dem Arbeitgeber bzw. der Dienststellenleiterin oder dem Dienststellenleiter schriftlich mitzuteilen, ob die Beurteilung auf „geeignet“ oder „nicht geeignet“ lautet und sind gemäß § 52 Z 7 B-BSG die sich aus dem Befund ergebenden Einschränkungen für bestimmte dienstliche Tätigkeiten mitzuteilen.
Die Übermittlung nach § 52 Z 5 ASchG bzw. § 52 Z 5 B-BSG kann gemäß § 52a ASchG bzw. § 52a B-BSG auch elektronisch erfolgen. Es wird den untersuchenden Ärztinnen und Ärzten im Sinne moderner Kommunikationstechnologien ermöglicht, ihrer bestehenden Übermittlungsverpflichtung auch durch elektronische Eingabe von Befund und Beurteilung nachzukommen. Dies dient dem Zweck der Erfassung und der erleichterten Prüfung von Befund und Beurteilung im Sinn des § 53 ASchG bzw. § 53 B-BSG.
Zweck der elektronischen Übermittlung ist es weiters, seitens der Arbeitsinspektion die Befunde der betroffenen Personen samt Beurteilung zu erfassen, um den gesundheitlichen Verlauf besser dokumentieren und beurteilen zu können.
BEWERTUNG
der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge
Die Notwendigkeit der Verarbeitung oder Übermittlung personenbezogener Daten und besonderer Kategorien personenbezogener Daten im Rahmen des § 52a ASchG bzw. des § 52a B-BSG ergibt sich aus § 52 ASchG bzw. § 52 B-BSG in Zusammenschau mit dem 5. Abschnitt des ASchG bzw. des B-BSG, der jeweils Eignungs- und Folgeuntersuchungen im Sinne der Gesundheitsüberwachung sowie der Feststellung der Eignung im Hinblick auf die spezifischen mit der jeweiligen Tätigkeit verbundenen Gesundheitsgefährdungen insbesondere zum Schutz der Bediensteten vorsieht.
Die Verarbeitung und Übermittlung der jeweiligen personenbezogenen Daten und besonderer Kategorien personenbezogener Daten liegt im Interesse der betroffenen Personen und ist erforderlich, damit die Verantwortlichen oder die betroffenen Personen ihre Rechte und Pflichten ausüben oder geltend machen können.
Für die medizinische Entscheidung, ob eine betroffene Person für eine bestimmte Tätigkeit unter Einwirkung von gesundheitsgefährdenden Arbeitsstoffen (z. B. Quarzstaub, Asbest, Isocyanate) oder für bestimmte Tätigkeiten unter besonderen physischen Belastungen (z. B. Hitze) gesundheitlich geeignet ist, sind die Vorbefunde erforderlich. Die Verlaufsbeobachtung (Vergleich des aktuellen Untersuchungsergebnisses mit Vorbefunden) auch über mehrere Jahre (insbesondere bei Einwirkung von krebserzeugenden Arbeitsstoffen mit langer Latenzzeit) bildet die arbeitsmedizinische Grundlage für die Entscheidung, ob Beschäftigte weiter ihre Tätigkeit ausführen können oder den Arbeitsplatz wechseln müssen.
In diesem Zusammenhang wird auf Artikel 9 Abs. 2 lit. h der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, (im Folgenden: DSGVO) hingewiesen, der die Verarbeitung und Übermittlung besonderer Kategorien personenbezogener Daten insbesondere für Zwecke der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten sowie für die Verwaltung von Systemen und Diensten im Gesundheitsbereich auf der Grundlage des Rechts eines Mitgliedstaats erforderlichenfalls zulässt. Es wird weiters auf Artikel 9 Abs. 3 DSGVO und damit verbunden vor allem auf die Verschwiegenheitspflicht gemäß § 54 Ärztegesetz 1998 – ÄrzteG 1998, BGBl. I Nr. 169/1998, verwiesen.
Grundsätzlich bestehen Risiken, allerdings ist deren Eintritt einerseits nicht sehr wahrscheinlich und sind andererseits zahlreiche, wirksame und auch auf den jeweiligen Einzelfall bezogene Abhilfemaßnahmen vorgesehen, sodass die Datenschutz-Folgenabschätzung klar positiv ausfällt.
RISIKEN
Risiken, die bei der Verarbeitung und Übermittlung von personenbezogenen Daten und besonderer Kategorien personenbezogener Daten bestehen, werden insbesondere durch die strikte Einhaltung der Erfassungs- und Bearbeitungsvorgaben (z.B. Handbücher, Datensicherheitskonzept der Arbeitsinspektion, …) minimiert.
Als Risiken werden insbesondere in Erwägungsgrund 85 der DSGVO unter anderem genannt:
– „physische, materielle oder immaterielle Schäden“, „unbefugte Aufhebung der Pseudonymisierung“, „Rufschädigung“, „Identitätsdiebstahl oder -betrug“, „finanzielle Verluste“, „Verlust der Vertraulichkeit bei Berufsgeheimnissen“ oder „erhebliche wirtschaftliche oder gesellschaftliche Nachteile“:
Diese Risiken bzw. Nachteile sind nahezu ausgeschlossen, weil mit den Strafbestimmungen des vierten bis sechsten sowie zweiundzwanzigsten Abschnitts des Besonderen Teils des Strafgesetzbuches – StGB, BGBl. Nr. 60/1974, sowie den allenfalls anzuwendenden dienstrechtlichen Bestimmungen, wie beispielsweise dem Disziplinarrecht, wirksame Vorkehrungen gegen die unrechtmäßige Verarbeitung von Daten und somit das Entstehen von physischen, materiellen oder immateriellen Schäden bestehen. Wer die jeweiligen Daten missbraucht, geht angesichts der gerichtlichen Strafdrohung selbst ein sehr hohes Risiko ein.
Auf die Regelungen zur Amtsverschwiegenheit sowie auf anderweitige Verschwiegenheitspflichten darf verwiesen werden (vgl. Art. 20 B-VG, § 46 BDG 1979, § 54 ÄrzteG 1998).
Da keine Finanzdaten verarbeitet oder übermittelt werden, ist bei der Verarbeitung oder Übermittlung nicht mit finanziellen Verlusten zu rechnen.
Zusätzliche Sicherheit bietet das schon jetzt umgesetzte Rollenkonzept („IT-Sicherheitspolitik der Arbeitsinspektion“), das unbefugte Verarbeitungen oder Übermittlungen verhindert.
– „Verlust der Kontrolle über personenbezogene Daten“:
Diese Risiken werden dadurch verringert, dass Art. 5 Abs. 2 DSGVO als unmittelbar anwendbaren Grundsatz die Rechenschaftspflicht vorsieht. Die oder der Verantwortliche ist also nicht nur für die Einhaltung des Art. 5 Abs. 1 DSGVO verantwortlich, sondern muss auch dessen Einhaltung nachweisen können, was durch Rollenkonzepte sowie einzelfallbezogen durch entsprechende Protokollierungen sowie Dokumentation erfolgt.
Im Anwendungsbereich des Datensicherheitskonzeptes der Arbeitsinspektion ergibt sich außerdem aufgrund des dort vorgesehenen Protokollierungssystems eine lückenlose Protokollierung der Verarbeitungen und Übermittlungen.
Eine weitere Verringerung dieser Risiken wird dadurch bewirkt, dass die Arbeitsinspektion den elektronischen Befund samt Beurteilung 10 Jahre lang ab dem Zeitpunkt der Übermittlung aufzubewahren und mit Ablauf des jeweiligen Kalenderjahres zu löschen hat. Nur in Einzelfällen kann die Aufbewahrungsfrist auf Grund einer arbeitsmedizinischen Begründung verlängert werden. Damit wird auch den Grundsätzen der Datenminimierung, der Speicherbegrenzung und der Integrität und Vertraulichkeit nachgekommen.
– „Diskriminierung“:
Dieses Risiko ist durch diverse Diskriminierungsverbote ausgeschlossen, insbesondere durch solche des Gleichbehandlungsgesetzes – GlBG, BGBl. I Nr. 66/2004, bzw. des B-GlBG oder etwa durch § 43a BDG 1979.
– „Einschränkung der Rechte der betroffenen Personen“:
Eine Einschränkung der Rechte der betroffenen Personen ist nicht vorgesehen.
Die genannten Risiken sind nach Erwägungsgrund 75 DSGVO mit Eintrittswahrscheinlichkeit und Schwere anzugeben. Angesichts der verschwindend geringen Zahl von zwei Verurteilungen nach § 118a StGB (Widerrechtlicher Zugriff auf ein Computersystem) im Jahr 2016 (Statistik Austria, Gerichtliche Kriminalstatistik 2016, https://www.statistik.at/web_de/statistiken/menschen_und_gesellschaft/soziales/kriminalitaet/index.html, [08.01.2018]) sowie einer Zahl von ca. 3,6 Mio. aktiven IT-Systemen in Österreich, ergibt sich eine Wahrscheinlichkeit von unter 1:1 Million, dass sich die von der DSGVO angeführten Risiken oder Nachteile verwirklichen. Die Zahl von 3 610 602 aktiven IT-Systemen ergibt sich aus der Zahl der Privathaushalte, die für das Jahr 2016 mit 3 865 000 beziffert wird (Statistik Austria, Haushaltsstatistik 2016, https://www.statistik.at/web_de/statistiken/menschen_und_gesellschaft/bevoelkerung/haushalte_familien_lebensformen/index.html, [08.01.2018]), der Zahl der Unternehmen, die für das Jahr 2015 mit 328 638 beziffert wird (Statistik Austria, Leistungs- und Strukturstatistik 2015, http://www.statistik.at/web_de/statistiken/wirtschaft/unternehmen_arbeitsstaetten/index.html, [08.01.2018]) sowie dem Faktor der IKT-Nutzung der für das Jahr 2016 für private Haushalte mit 85 Prozent und für Unternehmen mit 99 Prozent (Statistik Austria, IKT-Einsatz in Haushalten beziehungsweise Unternehmen, https://www.statistik.at/web_de/statistiken/energie_umwelt_innovation_mobilitaet/informationsgesellschaft/index.html, [08.01.2018]) beziffert wird.
ABHILFEMAßNAHMEN
Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in Erwägungsgrund 78 der DSGVO unter anderem genannt:
– „Minimierung der Verarbeitung personenbezogener Daten“ und „Verwendungsbeschränkung“:
Grundsätzlich ist festzuhalten, dass nur ein sehr eingeschränkter Personenkreis bestehend aus vor allem Arbeitsinspektionsärztinnen und Arbeitsinspektionsärzten bzw. bestimmten Kanzlistinnen und Kanzlisten die personenbezogenen Daten und besonderen Kategorien personenbezogener Daten verarbeiten darf und daher überhaupt Zugang zu diesen Daten hat.
Die Arbeitsinspektion hat den elektronischen Befund samt Beurteilung 10 Jahre lang ab dem Zeitpunkt der Übermittlung aufzubewahren und mit Ablauf des jeweiligen Kalenderjahres zu löschen. Durch diese Regelung finden insbesondere die Grundsätze der Datenminimierung sowie der Speicherbegrenzung Berücksichtigung.
Aus arbeitsmedizinischen Gründen hat die Arbeitsinspektion den Befund samt Beurteilung 10 Jahre lang aufzubewahren. Die 10-Jahres-Frist orientiert sich an § 51 Abs. 3 ÄrzteG 1998, wonach Aufzeichnungen sowie sonstige der Dokumentation dienliche Unterlagen mindestens 10 Jahre aufzubewahren sind. Bei Untersuchungen wegen Einwirkung von Arbeitsstoffen bzw. aufgrund gesundheitsgefährdender Tätigkeiten, die zu akuten oder chronischen Erkrankungen (z. B. Silikose, Asbestose und Lungenkarzinom nach Quarzstaub- oder Asbestexposition, Herz-Kreislauferkrankungen nach Hitzeexposition) führen können, ist ein längerer Zeitraum der Aufbewahrung erforderlich, weil Gesundheitsstörungen oder Erkrankungen erst nach langjähriger Einwirkung auftreten können. Dies ist insbesondere erforderlich bei Erkrankungen mit langer Latenzzeit (Zeit zwischen Einwirkung und Auftreten der Erkrankung, z. B. bei Arbeiten mit krebserzeugenden Arbeitsstoffen) und Gesundheitsbeeinträchtigungen mit schwerwiegenden Langzeitfolgen (z. B. Hautkrebs nach Einwirkung von krebserzeugendem Steinkohlenteer bzw. Blutbildveränderungen nach Einwirkung von Benzol). Deshalb sind die Untersuchungsergebnisse auch bei langjährigen, wiederkehrenden Untersuchungen 10 Jahre aufzubewahren, um einen Vergleich mit vorhergehenden Untersuchungsergebnissen zu haben und eine Eignung bzw. Nicht-Eignung zu begründen. Des Weiteren ist eine 10-jährige Aufbewahrungszeit erforderlich, um gegebenenfalls das Vorliegen von Ausnahmevoraussetzungen von der Untersuchungspflicht nach § 2 Abs. 3 Z 1 VGÜ 2014 beurteilen zu können, da mehrjährige Untersuchungsergebnisse vorliegen müssen, um die Verpflichtung zur Durchführung von Untersuchungen bei krebserzeugenden Arbeitsstoffen beurteilen zu können (z. B. bei Chrom-Exposition).
In Einzelfällen kann die Aufbewahrungsfrist auf Grund einer arbeitsmedizinischen Begründung verlängert werden. Für die Beurteilung durch den arbeitsinspektionsärztlichen Dienst, ob eine betroffene Person für eine spezifische Tätigkeit/Einwirkung geeignet bzw. nicht geeignet ist, ist bei von Normwerten abweichenden Befunden grundsätzlich ein Längsschnittvergleich erforderlich. Erst bei Vergleich des aktuellen Befundes mit vorliegenden Vorbefunden kann eine Beurteilung für eine dauerhafte Eignung bzw. Nicht-Eignung erfolgen. Aus diesem Grund kann auch eine Verlängerung der Aufbewahrungszeit im Einzelfall über die 10 Jahre hinaus begründet sein. Dies gilt insbesondere nach vorübergehenden Nicht-Eignungs-Beurteilungen bis zum Erreichen der Normalwerte und aufgrund der Tatsache der zunehmenden Beschäftigung bei wechselnden Arbeitgeber/innen. Auch in Zusammenhang mit der Feststellung von Berufskrankheiten sind als wesentliche Beurteilungsgrundlage länger zurückliegende Befunde und Verlaufsbeobachtungen erforderlich.
Nach Ablauf der 10 Jahre bzw. der verlängerten Frist sind die Daten zu löschen.
Die Bundesministerin oder der Bundesminister für Arbeit, Soziales, Gesundheit und Konsumentenschutz bzw. die Bundesregierung sind jeweils ermächtigt, durch Verordnung die näheren Bestimmungen betreffend die Verfahren zur Einbringung der Daten sowie Datensicherheitsmaßnahmen festzulegen. Diesbezüglich darf insbesondere auf § 6 Verordnung über die Gesundheitsüberwachung am Arbeitsplatz 2017 – VGÜ 2017, BGBl. II Nr. 27/1997, sowie die Anwendbarkeit der Bestimmungen der VGÜ 2017 für den Bundesdienst gemäß der Verordnung der Bundesregierung über die Gesundheitsüberwachung am Arbeitsplatz – B-VGÜ, BGBl. II Nr. 15/2000, hingewiesen werden.
– „schnellstmögliche Pseudonymisierung personenbezogener Daten“ (siehe auch Erwägungsgrund 28 DSGVO):
Eine Pseudonymisierung der personenbezogenen Daten oder besonderer Kategorien personenbezogener Daten selbst ist nicht möglich, weil im Sinne des jeweiligen Rechtsverhältnisses eine zweifelsfreie Zuordnung sowohl in der analogen, als auch in der digitalen Welt möglich bleiben muss. So ist etwa bei Verlaufsbeobachtungen (Vergleich des aktuellen Untersuchungsergebnisses mit Vorbefunden) auch über mehrere Jahre (insbesondere bei krebserzeugenden Arbeitsstoffen mit langer Latenzzeit) eine entsprechende Zuordnung notwendig und bildet die arbeitsmedizinische Grundlage für die Entscheidung, ob einzelne Beschäftigte weiter ihre Tätigkeit ausführen können und dürfen oder den Arbeitsplatz wechseln müssen.
– „Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten“ und „Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen“:
Durch die explizite gesetzliche Regelung der Datenverarbeitung sowie deren Zwecke wird den Anforderungen der Transparenz bereits durch die Kundmachung in hohem Maße Rechnung getragen. Gleiches gilt für die sich unmittelbar aus dem Grundsatz der Rechenschaftspflicht ergebende Protokollierung sowie Dokumentation. Durch die Benennung einer oder eines jeweils zuständigen Datenschutzbeauftragten oder nötigenfalls auch mehrerer Datenschutzbeauftragter gemäß Art. 37 bis 39 DSGVO wird eine direkte Ansprechperson deklariert, der betroffene Personen unter Wahrung der Geheimhaltung und der Vertraulichkeit zu allen Angelegenheiten, die mit der Verarbeitung ihrer personenbezogener Daten und besonderer Kategorien personenbezogener Daten oder mit der Wahrnehmung ihrer Rechte im Zusammenhang stehen, Fragen stellen können.
Außerdem wird durch das gemäß Art. 30 DSGVO zu führende Verzeichnis von Verarbeitungstätigkeiten, das der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen ist, dargestellt, welche Verarbeitungstätigkeiten jeweils vorgenommen werden und der jeweiligen Zuständigkeit unterliegen.
– „Datensicherheitsmaßnahmen“ (Erwägungsgrund 83 DSGVO):
Die Vertraulichkeit der Übermittlung von Befund und Beurteilung ist durch dem Stand der Technik entsprechende verschlüsselte Übermittlungsverfahren zu gewährleisten. Die Bundesministerin oder der Bundesminister für Arbeit, Soziales, Gesundheit und Konsumentenschutz bzw. die Bundesregierung sind jeweils ermächtigt, durch Verordnung die näheren Bestimmungen betreffend die Verfahren zur Einbringung der Daten sowie Datensicherheitsmaßnahmen festzulegen. Diesbezüglich darf insbesondere auf § 6 VGÜ 2017 sowie die Anwendbarkeit der Bestimmungen der VGÜ 2017 für den Bundesdienst gemäß der B-VGÜ hingewiesen werden.
Durch entsprechende technische und personelle Maßnahmen wird so im Einzelfall sichergestellt, dass personenbezogene Daten oder besondere Kategorien personenbezogener Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der Daten gewährleistet und einen entsprechenden Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung bietet. Damit wird auch dem Grundsatz der Integrität und Vertraulichkeit entsprochen.
Datensicherheitsmaßnahmen werden etwa durch bereits jetzt umgesetzte Rollenkonzepte und die damit eindeutige Identifikation der Verarbeiterin oder des Verarbeiters getroffen. Weiters trägt auch die Benennung einer oder eines jeweils zuständigen Datenschutzbeauftragten maßgeblich zur Datensicherheit bei. Hinzu kommen beispielsweise entsprechende Schulungen, Handbücher, das Datensicherheitskonzept der Arbeitsinspektion oder gegebenenfalls Weisungen, die auf den jeweiligen Einzelfall abstellen. Außerdem bestehen Verarbeitungs- oder Übermittlungsmöglichkeiten stets nur für Personen, die sich in ihrem jeweiligen Rechtsverhältnis entsprechend bewährt und als verlässlich erwiesen haben. Durch die gesetzten Maßnahmen kommt es damit zu einer Erhöhung der Datensicherheit.