Erläuterungen
Allgemeiner Teil
Hauptgesichtspunkte des Entwurfes:
Als wesentliche Verbesserung für Pflegegeldbezieher und zur Unterstützung der Angehörigenpflege wurde im Rahmen der letzten Pflegereform der Angehörigenbonus eingeführt.
Erfahrungen aus der Praxis und der Vollziehung haben gezeigt, dass es einiger legistischer Klarstellungen bedarf.
Weiters soll die Tätigkeit des Kompetenzzentrums der Sozialversicherungsanstalt der Selbständigen im Vollzug der Maßnahmen des § 33a Abs. 1 und 2 BPGG legistisch verankert werden.
Der gegenständliche Novellenentwurf enthält weiters eine Ermächtigung zur Datenübermittlung aus der Pflegegeldinformationsdatenbank, welche durch den Dachverband der Sozialversicherungsträger geführt wird, an die Gesundheit Österreich GmbH und an die Bundeministerin für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz sowie redaktionelle Anpassungen.
Kompetenzgrundlage:
In kompetenzrechtlicher Hinsicht stützen sich die Änderungen auf Art. 10 Abs. 1 Z 11 und Art. 102 Abs. 2 B-VG („Pflegegeldwesen“).
Datenschutz-Folgenabschätzung gem. Art. 35 EU-Datenschutz-Grundverordnung
Systematische Beschreibung der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen.
Mit gegenständlichem Gesetzentwurf wird eine Rechtsgrundlage für die Übermittlung von Daten von Pflegegeldbeziehern aus der Anwendung Pflegegeldinformation – PFIF des Dachverbands der Sozialversicherungsträger an die Gesundheit Österreich GmbH und an die Bundeministerin für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz festgelegt.
Für die Datenübermittlung auf Grundlage des § 33 Abs. 6a Bundespflegegeldgesetz (BPGG) wird im Folgenden eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 Abs. 10 DSGVO durchgeführt.
Die Beurteilung der Erforderlichkeit der DSFA ist auf Grundlage folgender Bestimmungen erfolgt:
– Art. 35 DSGVO iVm
– der Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (DSFA-V) BGBl. II Nr. 278/2018 iVm
– Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 (Datenschutz-Grundverordnung) „wahrscheinlich ein hohes Risiko mit sich bringt“ der Datenschutzgruppe nach Art. 29 (WP 248 Rev. 01)
Demnach ist eine DSFA durchzuführen, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (Art. 35 Abs. 1 DSGVO). Dies ist gemäß Art. 35 Abs. 3 lit. b DSGVO insbesondere der Fall, wenn eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO erfolgen soll.
Gemäß § 2 Abs. 3 Z 1 und 4, der auf Grundlage des Art. 35 Abs. 4 DSGVO iVm § 21 Abs. 2 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 24/2018 erlassenen „Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (DSFA-V) BGBl. II Nr. 278/2018“, ist eine DSFA durchzuführen, wenn eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO sowie eine Verarbeitung von Daten schutzbedürftiger Personen, wie bspw. Menschen mit psychischen Erkrankungen oder Patienten, vorgesehen ist.
Gemäß den Empfehlungen der WP 29 (WP 248 der Art-29-Datenschutzgruppe) iVm dem Erwägungsgrund 91 der DSGVO sollen folgende Faktoren zur Beurteilung des Umfangs der Datenverarbeitung herangezogen werden:
- Zahl der Betroffenen, entweder als konkrete Anzahl oder als Anteil der entsprechenden Bevölkerungsgruppe;
- verarbeitete Datenmenge bzw. Bandbreite der unterschiedlichen verarbeiteten Datenelemente;
- Dauer oder Dauerhaftigkeit der Datenverarbeitung;
- geografisches Ausmaß der Datenverarbeitung.
Auf Grundlage des vorliegenden § 33 Abs. 6a BPGG können personenbezogene Daten von Pflegegeldbeziehern in pseudonymisierter Form unter Verwendung des bereichsspezifischen Personenkennzeichens Gesundheit (bPK-GH) an die Gesundheit Österreich GmbH und an die Bundesministerin für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz übermittelt werden.
Bei den gegenständlichen Daten handelt es sich um besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO, da aus den Informationen über den Bezug von Pflegegeld Rückschlüsse auf den Gesundheitszustand der betroffenen Personen gezogen werden können. Die Verarbeitung der Daten ist als umfangreich einzustufen, da laut aktuellen Zahlen rund 490 000 Personen (Jahresdurchschnitt 2024) Pflegegeld beziehen. Darüber hinaus erstreckt sich der Kreis der betroffenen Personen auf Pflegegeldbezieher im gesamten Bundesgebiet, womit ein flächendeckendes geografisches Ausmaß gegeben ist. Vor diesem Hintergrund liegen die Voraussetzungen für eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten vor, weshalb die Durchführung einer DSFA erforderlich ist.
Art der Verarbeitung (EG 90 DSGVO)
Es werden folgende Daten von Pflegegeldbeziehern aus der Anwendung Pflegegeldinformation – PFIF des Dachverbands der Sozialversicherungsträger pseudonymisiert an die Gesundheit- Österreich GmbH und die Bundesministerin für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz übermittelt:
- bereichsspezifisches Personenkennzeichen Gesundheit (bPK-GH),
- Pflegegeldstufe,
- Anzahl der Ruhenstage pro Monat sowie der Grund für das Ruhen (§ 12 BPGG),
- Erschwerniszuschlag,
- Geburtsjahr,
- Geschlecht,
- Bundesland,
- Übergang des Pflegegeldanspruchs nach § 13 BPGG sowie der Grund für den Übergang nach § 13 BPGG,
- Information, dass die Person verstorben ist,
- ICD 10 Code
Umfang der Verarbeitung (EG 90 DSGVO)
Bei den genannten Daten handelt es sich um Gesundheitsdaten iSd Art. 4 Z 15 DSGVO. Die Verarbeitung unterliegt daher den Vorgaben des Art. 9 DSGVO über besondere Kategorien personenbezogener Daten, da aus den Pflegegelddaten Rückschlüsse auf den Gesundheitszustand der betroffenen Personen gezogen werden können.
Im Jahresdurchschnitt 2024 gab es rund 490 000 Pflegegeldbezieher.
Ihre Daten werden in der Anwendung Pflegegeldinformation – PFIF des Dachverbands verarbeitet. Somit können mindestens rund 490 000 Personen (Zahlen jährlich steigend) von der Datenverarbeitung betroffen sein.
Gemäß § 33 Abs. 6a Z 1 bis 9 BPGG ist die Übermittlung folgender Daten umfasst:
1. Pflegegeldstufe,
2. Anzahl der Ruhenstage pro Monat sowie der Grund für das Ruhen (§ 12 BPGG),
3. Erschwerniszuschlag,
4. Geburtsjahr,
5. Geschlecht,
6. Bundesland,
7. Übergang des Pflegegeldanspruchs nach § 13 BPGG sowie der Grund für den Übergang nach § 13 BPGG,
8. Information, dass die Person verstorben ist,
9. ICD 10 Code
Kontext der Verarbeitung (Art. 29-Datenschutzgruppe, WP 248, 21)
Beim Dachverband der Sozialversicherungsträger wird die Anwendung Pflegegeldinformation – PFIF betrieben, in der sämtliche für den Vollzug des Pflegegeldes relevanten personenbezogenen Daten verarbeitet werden, geführt. Mit dem vorliegendem Entwurf des § 33 Abs. 6a BPGG wird die bereits bestehende Rechtsgrundlage für die Übermittlung dieser Daten an die Gesundheit Österreich GmbH angepasst. Die Adaptierung umfasst sowohl eine Präzisierung der Zwecke der Verarbeitung als auch eine Erweiterung der zu übermittelnden Datenkategorien. Darüber hinaus wird der Kreis der Empfänger dahingehend erweitert, dass die personenbezogenen Daten künftig auch an die zuständige Bundesministerin für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz übermittelt werden dürfen.
Zweck der Verarbeitung (Art. 35 Abs. 7 Buchstabe a DSGVO)
Die Übermittlung der Daten an die GÖG erfolgt zu folgenden Zwecken (§ 33 Abs. 6a BPGG):
- der Planung, Qualitätssicherung und Qualitätsberichtserstattung im österreichischen Gesundheits- und Sozialwesen zur Erfüllung der Aufgaben der Gesellschaft gemäß § 4 des Bundesgesetzes über die Gesundheit Österreich GmbH, BGBl. I Nr. 132/2006.
Die Übermittlung der Daten an die Bundesministerin für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz erfolgt zu folgenden Zwecken (§ 33 Abs. 6a BPGG):
- Zwecke der Statistik als Grundlage zur Planung und Steuerung des österreichischen Gesundheitswesens, zur Qualitätssicherung für wissenschaftliche Zwecke sowie zur Umsetzung von Public-Health-Maßnahmen.
Empfänger (Art-29-Datenschutzgruppe, WP 248, 21)
Die Daten werden gem. § 33 Abs. 6a ausschließlich an folgende Empfängerinnen übermittelt:
- Gesundheit Österreich GmbH und
- Bundesministerin für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz
Speicherdauer (Art-29-Datenschutzgruppe, WP 248, 21)
Die übermittelten personenbezogenen Daten sind von der Gesundheit Österreich GmbH und der Bundesministerin für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz zu löschen, sobald sie für die in diesem Absatz festgelegten Zwecke nicht mehr erforderlich sind, jedoch spätestens nach 15 Jahren.
Funktionelle Beschreibung der Verarbeitung (Art. 35 Abs. 7 Buchstabe a DSGVO)
Der Dachverband der Sozialversicherungsträger führt die Anwendung Pfleggeldinformation – PFIF, in welcher unter anderen die in § 33 Abs. 6a BPGG aufgezählten Daten verarbeitet werden:
1. Pflegegeldstufe,
2. Anzahl der Ruhenstage pro Monat sowie der Grund für das Ruhen (§ 12 BPGG),
3. Erschwerniszuschlag,
4. Geburtsjahr,
5. Geschlecht,
6. Bundesland,
7. Übergang des Pflegegeldanspruchs nach § 13 BPGG sowie der Grund für den Übergang nach § 13 BPGG,
8. Information, dass die Person verstorben ist,
9. ICD 10 Code.
Diese Daten sollen einmal jährlich der Gesundheit Österreich GmbH und der Bundesministerin für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz übermittelt werden.
Beschreibung der Anlagen (Hard- und Software bzw. sonstige Infrastruktur) (Art-29-Datenschutzgruppe, WP 248, 21)
Beschreibung der eingesetzten Anlagen (Hard- und Software sowie sonstige Infrastruktur)
Die im Rahmen der gegenständlichen Verarbeitung eingesetzten technischen Anlagen im Sinne der Leitlinien der Artikel-29-Datenschutzgruppe (WP248, Punkt 21) umfassen Hard- und Softwarekomponenten sowie sonstige technische und organisatorische Infrastruktur, die zur Erhebung, Verarbeitung, Speicherung und Übermittlung personenbezogener Daten eingesetzt wird.
Die konkret verwendeten Anlagen sind zum Zeitpunkt der Erstellung dieser Datenschutz-Folgenabschätzung noch nicht abschließend festgelegt.
Unabhängig davon wird sichergestellt, dass sämtliche eingesetzten Anlagen den datenschutzrechtlichen Anforderungen der Datenschutz-Grundverordnung entsprechen. Insbesondere werden geeignete technische und organisatorische Maßnahmen gemäß Art. 24 und Art. 32 DSGVO implementiert, um ein dem Risiko angemessenes Schutzniveau für die personenbezogenen Daten zu gewährleisten.
Bewertung der Notwendigkeit und Verhältnismäßigkeit
Festgelegter Zweck (Art. 5 Abs. 1 lit. b DSGVO)
Die Zwecke sind im § 33 Abs. 6a BPGG festgelegt.
Die Übermittlung der Daten an die GÖG darf nur zu folgenden Zwecken erfolgen:
- Zweck der Planung, Qualitätssicherung und Qualitätsberichtserstattung im österreichischen Gesundheits- und Sozialwesen
Die Übermittlung der Daten an die Bundesministerin für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz darf nur zu folgenden Zwecken erfolgen:
- für Zwecke der Statistik als Grundlage zur Planung und Steuerung des österreichischen Gesundheitswesens, zur Qualitätssicherung für wissenschaftliche Zwecke sowie zur Umsetzung von Public-Health-Maßnahmen
Die Verarbeitung der Daten zu den in § 33 Abs. 6a BPGG festgelegten Zwecken erfolgt zur Erfüllung der jeweiligen Aufgaben (siehe § 4 GÖGG und Bundesministeriengesetz 1986) und verstößt nicht gegen geltende Rechtsnormen.
Rechtmäßigkeit der Verarbeitung (Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 6 DSGVO)
Die Übermittlung der Daten erfolgt auf folgender Grundlage:
- Art. 6 Abs. 1 lit. e DSGVO: Die Verarbeitung ist zur Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse (hier: öffentliche Gesundheit) liegt iVm
- Art. 9 Abs. 2 lit. i DSGVO: die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung erforderlich iVm
- § 33 Abs. 6a BPGG: die laut DSGVO erforderliche nationale Rechtsgrundlage für die Verarbeitung der Daten, die unter Wahrung der in § 1 Abs. 2 DSG iVm Art. 8 Abs. 2 EMRK festgelegten Voraussetzungen und Bedingungen die Zulässigkeit der Beschränkung des Grundrechts auf Datenschutz normiert.
Angemessenheit der Verarbeitung (Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)
Die übermittelten Daten sind als Gesundheitsdaten besonders schutzwürdig. Die Verarbeitung (Übermittlung) der Daten erfolgt zum Zweck der Planung, Qualitätssicherung und Qualitätsberichtserstattung im österreichischen Gesundheits- und Sozialwesen in Erfüllung der Aufgaben der GÖG gemäß § 4 GÖGG (Übermittlung an die GÖG) sowie für Zwecke der Statistik als Grundlage zur Planung und Steuerung des österreichischen Gesundheitswesens, zur Qualitätssicherung für wissenschaftliche Zwecke sowie zur Umsetzung von Public-Health-Maßnahmen (Übermittlung an die Bundesministerin für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz) und damit zur Wahrung wichtiger öffentlicher Interessen. Die Beschränkung der Zwecke der Verarbeitung durch § 33 Abs. 6a BPGG, die Pseudonymisierung der Daten mittels bereichsspezifischen Personenkennzeichens sowie die Bestimmungen zur Datenverarbeitung durch die GÖG gemäß § 15 GÖGG stellen angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen (Verbot der Reidentifizierung, Verschwiegenheitsverpflichtung) dar. Die Übermittlung der Daten aus der Anwendung Pflegegeldinformation – PFIF in pseudonymisierter Form stellt überdies die gelindeste Form des Eingriffs dar.
Erheblichkeit der Verarbeitung (Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)
Die Datenverarbeitung ist dann erheblich, wenn ohne Datenverarbeitung der Zweck nicht erreicht werden könnte.
Durch die regelmäßige Übermittlung der Daten entsteht die Möglichkeit, Gesundheits- und Pflegeroutinedaten datenschutzkonform zu verknüpfen. Diese Verknüpfung ist wesentlich, um sektorübergreifende Versorgungspfade nachzuvollziehen, Ergebnisqualität messbar zu machen und gesundheitspolitische Maßnahmen zielgerichtet zu steuern.
Beschränktheit der Verarbeitung auf das notwendige Maß (Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe c DSGVO)
Die Datenmenge ist durch die Festlegung der zu übermittelnden Datenarten in § 33 Abs. 6a BPGG beschränkt. Demnach dürfen nur folgende Daten übermittelt werden:
1. Pflegegeldstufe,
2. Anzahl der Ruhenstage pro Monat sowie der Grund für das Ruhen (§ 12 BPGG),
3. Erschwerniszuschlag,
4. Geburtsjahr,
5. Geschlecht,
6. Bundesland,
7. Übergang des Pflegegeldanspruchs nach § 13 BPGG sowie der Grund für den Übergang nach § 13 BPGG,
8. Information, dass die Person verstorben ist,
9. ICD 10 Code
Die Übermittlung der Daten erfolgt weiters mittels bereichspezifischen Personenkennzeichens. Die übermittelten Daten sind alle zu den im § 33 Abs. 6 BPGG festgelegten Zwecken erforderlich.
Speicherbegrenzung (Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 5 Abs. 1 Buchstabe e DSGVO)
Die übermittelten personenbezogenen Daten sind von der Gesundheit Österreich GmbH und der Bundesministerin für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz zu löschen, sobald sie für die im § 33 Abs. 6a BPGG festgelegten Zwecke nicht mehr erforderlich sind, jedoch spätesten nach 15 Jahren.
Generelle Information der betroffenen Personen (Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 12 DSGVO)
Von der gegenständlichen Verarbeitung betroffen sind sämtliche Personen, die Pflegegeld nach dem BPGG beziehen.
Eine spezifische Datenschutzinformation für die gegenständliche Verarbeitung liegt derzeit noch nicht vor und ist im weiteren Verlauf zu erstellen. Die Umsetzung der Informationspflichten gem. Art. 12 DSGVO wird als realisierbar eingeschätzt, da die betroffenen Personen organisatorisch erreichbar sind und die erforderlichen Informationen über die Datenverarbeitung auf geeigneten Wegen (z. B. schriftlich, elektronisch oder über ein Online-Portal) übermittelt werden kann.
Information der betroffenen Personen bei Erhebung (Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 13 DSGVO)
Die Umsetzung der Informationspflichten der betroffenen Personen bei der Erhebung gem. Art. 12 DSGVO wird als erfüllbar angesehen, da die betroffenen Personen organisatorisch erreichbar sind und die erforderlichen Informationen über die Datenverarbeitung auf geeigneten Wegen (z. B. schriftlich, elektronisch oder über ein Online-Portal) übermittelt werden kann.
Eine spezifische Datenschutzinformation liegt für die gegenständliche Verarbeitung derzeit noch nicht vor und ist im weiteren Verlauf zu erstellen.
Information der betroffenen Personen, wenn die Daten nicht bei ihnen erhoben werden (Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 14 DSGVO)
Siehe oben: Eine Datenschutzinformation liegt für die gegenständliche Verarbeitung noch nicht vor und muss noch erstellt werden.
Die Umsetzung der Informationspflichten der betroffenen Personen bei der Erhebung gem. Art. 12 DSGVO wird als erfüllbar angesehen, da die betroffenen Personen organisatorisch erreichbar sind und die erforderlichen Informationen über die Datenverarbeitung auf geeigneten Wegen (z. B. schriftlich, elektronisch oder über ein Online-Portal) übermittelt werden kann.
Eine spezifische Datenschutzinformation liegt für die gegenständliche Verarbeitung derzeit noch nicht vor und ist im weiteren Verlauf zu erstellen.
Auskunftsrecht der betroffenen Personen (Art-29-Datenschutzgruppe, WP 248, 21 iVm Art. 15 DSGVO)
Den betroffenen Personen steht das Recht auf Auskunft gemäß Art. 15 DSGVO zu. Dieses Recht kann gegenüber dem Verantwortlichen wahrgenommen werden.
– Die Auskunft umfasst insbesondere:
– die zu ihrer Person verarbeiteten Daten,
– die Zwecke der Verarbeitung,
– die Empfänger oder Kategorien von Empfängern der Daten,
– die geplante Speicherdauer bzw. die Kriterien für die Festlegung der Speicherdauer,
– das Bestehen eines Rechts auf Berichtigung, Löschung oder Einschränkung der Verarbeitung,
– das Bestehen eines Widerspruchsrechts gegen die Verarbeitung,
– das Recht auf Beschwerde bei einer Aufsichtsbehörde.
Die Auskunft kann auf elektronischem oder schriftlichem Wege erfolgen. Die Umsetzung des Auskunftsrechts wird als realisierbar bewertet, da organisatorisch sichergestellt ist, dass Anfragen von betroffenen Personen zeitgerecht und vollständig beantwortet werden können.
Recht auf Löschung (Art. 17 DSGVO)
Das Recht auf Löschung gemäß Art. 17 DSGVO steht den betroffenen Personen in Bezug auf die vorliegende Verarbeitung nicht zu.
Gemäß Art. 17 Abs. 3 lit. c DSGVO ist eine Löschung ausgeschlossen, da die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit erforderlich ist, insbesondere im Sinne von Art. 9 Abs. 2 lit. i DSGVO.
Die Verarbeitung erfolgt somit auf Grundlage einer rechtlich vorgesehenen Ausnahme, die das öffentliche Interesse an der Verarbeitung über das individuelle Löschungsrecht stellt.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Das Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO steht den betroffenen Personen in Bezug auf die vorliegende Verarbeitung nicht zu.
Gemäß Art. 20 Abs. 1 DSGVO setzt dieses Recht voraus, dass die Verarbeitung auf einer Einwilligung der betroffenen Person oder auf der Erfüllung eines Vertrags beruht. Da die vorliegende Verarbeitung weder auf einer Einwilligung noch auf einem Vertragsverhältnis basiert, kann das Recht auf Datenübertragbarkeit nicht ausgeübt werden.
Auftragsverarbeiter (Art. 28 DSGVO)
Schutzmaßnahmen bei der Übermittlung in Drittländer (Kapitel V DSGVO)
Es ist keine Übermittlung an Drittländer vorgesehen.
Vorherige Konsultation (Art. 36 und EG 96 DSGVO)
Im Rahmen des Begutachtungsverfahrens hat die Datenschutzbehörde eine Stellungnahme zum gegenständlichen Gesetzentwurf für die Datenübermittlung abgegeben. Die Empfehlungen der Datenschutzbehörde wurden berücksichtigt und der Gesetzentwurf entsprechend angepasst.
RISIKEN
Die Risiken der Verarbeitung personenbezogener Daten werden nach ihrer Ursache, Art, Besonderheit, Schwere und Eintrittswahrscheinlichkeit bewertet(Erwägungsgründe 76, 77, 84 und 90 DSGVO). Folgende Risiken sind zu berücksichtigen:
Physische, materielle oder immaterielle Schäden (EG 90 iVm 85 DSGVO)
Ursache:
Unbefugte Zugriffe, Datenlecks oder fehlerhafte Verarbeitung.
Art:
• Materielle Schäden: Können entstehen, wenn Pflegegelddaten Dritten (z. B. Versicherungsunternehmen, Arbeitgeber) bekannt werden, was zu höheren Prämien oder Nachteilen im Arbeitsverhältnis führen könnte.
• Immaterielle Schäden: Diskriminierung, Stigmatisierung oder soziale Ausgrenzung bei Offenlegung der Daten.
Besonderheit:
Pflegegelddaten sind besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO und unterliegen daher erhöhten Schutzanforderungen.
Schwere:
Materielle und immaterielle Schäden werden als hoch eingestuft, da sie die finanzielle Sicherheit, soziale Teilhabe und persönliche Lebensführung erheblich beeinträchtigen können.
Eintrittswahrscheinlichkeit:
Durch die getroffenen Abhilfemaßnahmen ist die Eintrittswahrscheinlichkeit als gering einzustufen. Zu den einzelnen Abhilfemaßnahmen siehe unten unter „Abhilfemaßnahmen“.
Aufgrund der implementierten Abhilfemaßnahmen wird die Eintrittswahrscheinlichkeit als gering eingeschätzt.
Abhilfemaßnahmen:
- Pseudonymisierung der Daten vor Übermittlung.
- Strikte Zugriffsbeschränkungen und Berechtigungsmanagement.
- Verschlüsselung bei Übertragung und Speicherung.
- Protokollierung und regelmäßige Auditierung der Verarbeitungsvorgänge.
- Organisatorische Maßnahmen und Sensibilisierung der Mitarbeitenden für Datenschutz.
Bewertung:
Durch die genannten Maßnahmen werden die Risiken für die Rechte und Freiheiten der betroffenen Personen als beherrschbar eingeschätzt.
Verlust der Kontrolle über personenbezogene Daten (EG 90 iVm 85 DSGVO)
Ursache:
Der Verlust der Kontrolle über personenbezogene Daten kann grundsätzlich bei jeder Art der Verarbeitung auftreten. Bei gesetzlich vorgeschriebenen Verarbeitungen – wie in diesem Fall der Übermittlung von Pflegegelddaten – ist das Risiko häufig höher als bei auf Einwilligung basierenden Verarbeitungen, da die Mitwirkung der betroffenen Personen bei den gesetzlichen Vorgaben oft nicht erforderlich oder vorgesehen ist.
Art:
Die betroffenen Personen haben keine direkte Kontrolle über die Verarbeitung ihrer personenbezogenen Daten.
Besonderheit:
Pflegegelddaten sind besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO und unterliegen daher erhöhten Schutzanforderungen.
Schwere:
Der Verlust der Kontrolle über die Daten ist hinsichtlich der möglichen Auswirkungen mit Risiken vergleichbar, die auch bei anderen gesetzlich vorgeschriebenen Verarbeitungen auftreten können.
Eintrittswahrscheinlichkeit:
Durch die implementierten Abhilfemaßnahmen wird die Eintrittswahrscheinlichkeit des Risikos als gering eingeschätzt.
Bewertung:
Durch die genannten Maßnahmen wird das Risiko des Verlusts der Kontrolle über personenbezogene Daten als beherrschbar eingeschätzt.
Diskriminierung (EG 90 iVm 85 DSGVO)
Ursache:
Pflegegelddaten ermöglichen Rückschlüsse auf den Gesundheitszustand der betroffenen Personen. Durch die Verarbeitung und die Übermittlung dieser Informationen besteht theoretisch die Möglichkeit, dass Betroffene diskriminiert werden.
Art:
Eine Diskriminierung durch die Verarbeitung und die Übermittlung der Daten wird als sehr unwahrscheinlich angesehen. Die Verarbeitung erfolgt ausschließlich zu Zwecken der Planung, Qualitätssicherung und Qualitätsberichterstattung im österreichischen Gesundheitswesen, wodurch keine unmittelbaren Handlungen gegenüber einzelnen Personen ableitbar sind.
Zudem bestehen zahlreiche verfassungsrechtliche, einfachgesetzliche und unionsrechtliche Vorschriften (bspw. Art. 7 Abs. 1 B-VG, § 17 Gleichbehandlungsgesetz, § 4 Bundes-Behindertengleichstellungsgesetz), die Diskriminierung sowohl im öffentlichen als auch im privaten Bereich ausdrücklich untersagen. Eine Diskriminierung durch rechtswidrige Offenlegung der Daten ist theoretisch möglich, wird aber durch die Abhilfemaßnahmen stark eingeschränkt.
Besonderheit:
Pflegegelddaten sind besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO und unterliegen damit erhöhten Schutzanforderungen.
Schwere:
Eine Diskriminierung aufgrund des Gesundheitszustandes kann für die betroffenen Personen erhebliche materielle oder immaterielle Folgen haben.
Eintrittswahrscheinlichkeit:
Die Eintrittswahrscheinlichkeit von Diskriminierung wird als gering eingeschätzt, da
- die Verarbeitung ausschließlich statistische und planerische Zwecke verfolgt,
- keine individuellen Maßnahmen oder Entscheidungen auf Basis einzelner Daten erfolgen und
- der Dachverband der Sozialversicherungsträger sowie die Empfänger der Daten gesetzlich an Diskriminierungsverbote gebunden sind.
Bewertung:
Durch die genannten Maßnahmen wird das Risiko einer Diskriminierung als beherrschbar eingeschätzt.
Identitätsdiebstahl oder -betrug (EG 90 iVm 85 DSGVO)
Ursache:
Identitätsdiebstahl und -betrug können nur infolge rechtswidriger Handlungen Dritter entstehen, etwa durch unbefugten Zugriff auf personenbezogene Daten oder mangelhafte Datenschutzmaßnahmen.
Art:
Ein solcher Identitätsdiebstahl oder -betrug kann zu finanziellen Schäden für die betroffenen Personen führen.
Besonderheit:
Die übermittelten Daten aus der Anwendung Pflegegeldinformation – PFIF gehören zu den besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO. Es werden keine Passwörter, Nutzerkennungen, Kreditkarteninformationen oder sonstige typischerweise für Identitätsdiebstahl besonders relevante Daten verarbeitet.
Schwere:
Sollten ein Identitätsdiebstahl oder -betrug eintreten, können finanzielle Nachteile für die betroffenen Personen entstehen.
Eintrittswahrscheinlichkeit:
Obwohl Datenschutzverletzungen nie vollständig ausgeschlossen werden können, wird die Eintrittswahrscheinlichkeit durch die implementierten Abhilfemaßnahmen als gering eingeschätzt.
Bewertung:
Dank der genannten technischen und organisatorischen Maßnahmen wird das Risiko von Identitätstiebstahl oder-betrug als beherrschbar eingeschätzt.
Finanzielle Verluste (EG 90 iVm 85 DSGVO)
Ursache:
Finanzielle Verluste könnten grundsätzlich durch unbefugten Zugriff auf personenbezogene Daten, fehlerhafte Verarbeitung oder Datenlecks entstehen.
Art:
Die Verarbeitung der Pflegegelddaten kann bei unrechtmäßiger Offenlegung theoretisch zu finanziellen Nachteilen für die betroffenen Personen führen, etwa durch fehlerhafte Einstufungen oder Nachteile bei Versicherungsunternehmen oder Arbeitgeber.
Besonderheit:
Pflegegelddaten sind besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO und unterliegen daher erhöhten Schutzanforderungen. Es werden jedoch keine Passwörter, Kreditkarteninformationen oder andere besonders sensible Finanzdaten verarbeitet.
Schwere:
Die möglichen finanziellen Nachteile werden als moderat bis hoch eingeschätzt, da sie die wirtschaftliche Situation der betroffenen Personen beeinträchtigen können.
Eintrittswahrscheinlichkeit:
Durch die implementierten Abhilfemaßnahmen wird die Eintrittswahrscheinlichkeit als gering eingestuft.
Bewertung:
Dank der genannten technischen und organisatorischen Maßnahmen wird das Risiko finanzieller Verluste für die betroffenen Personen als beherrschbar eingeschätzt.
Unbefugte Aufhebung der Pseudonymisierung (EG 90 iVm 85 DSGVO)
Ursache:
Eine unbefugte Aufhebung der Pseudonymisierung kann auftreten, wenn beispielsweise keine ausreichende Trennung zwischen pseudonymisierten Daten und Schlüsseln besteht, die Speicherung unsicher erfolgt (z. B. unverschlüsselte Dateien auf gemeinsam genutzten Servern) oder Rollen- und Zugriffsrechte nicht eindeutig getrennt sind.
Art:
Im Falle einer unbefugten Aufhebung der Pseudonymisierung könnten berechtigte oder unberechtigte Personen die betroffenen Personen direkt identifizieren.
Besonderheit:
Pflegegelddaten sind besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO. Die unbefugte Aufhebung der Pseudonymisierung würde die besonderen Schutzgarantien umgehen und eine direkte Identifizierbarkeit der Betroffenen ermöglichen.
Schwere:
Die Folgen einer unbefugten Aufhebung sind als hoch einzustufen, da dadurch die Vertraulichkeit besonders sensibler Daten unmittelbar gefährdet wäre.
Eintrittswahrscheinlichkeit:
Durch die implementierten technischen und organisatorischen Maßnahmen wird die Eintrittswahrscheinlichkeit als gering eingeschätzt.
Bewertung:
Durch die genannten Maßnahmen wird das Risiko einer unbefugten Aufhebung der Pseudonymisierung als beherrschbar eingeschätzt.
Rufschädigung (EG 90 iVm 85 DSGVO)
Im Rahmen der vorliegenden Verarbeitung personenbezogener Daten besteht ein potenzielles Risiko für die betroffenen Personen, dass Informationen über ihren Pflegegeldbezug öffentlich oder unbefugt zugänglich werden und dadurch eine Rufschädigung oder gesellschaftliche Stigmatisierung entsteht.
Dieses Risiko ist insbesondere aufgrund der sensiblen Natur der Gesundheitsdaten zu bewerten. Durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen (z. B. Pseudonymisierung, Zugriffsbeschränkungen, Verschlüsselung bei Übertragung und Speicherung) wird das Risiko für die Rechte und Freiheiten der betroffenen Personen, einschließlich einer möglichen Rufschädigung, auf ein beherrschbares Maß reduziert.
Verlust der Vertraulichkeit bei Berufsgeheimnissen (EG 90 iVm 85 DSGVO)
Im Rahmen der gegenständlichen Verarbeitung werden Pflegegelddaten pseudonymisiert an die Gesundheit Österreich GmbH und an die Bundesministerin für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz übermittelt. Die übermittelten Daten enthalten keine direkten medizinischen Befunde oder sonstige Informationen, die unter das Berufsgeheimnis fallen.
Erhebliche wirtschaftliche oder gesellschaftliche Nachteile (EG 90 iVm 85 DSGVO)
Bei unbefugter Offenlegung oder fehlerhafter Verarbeitung der Pflegegelddaten könnten betroffene Personen wirtschaftliche Nachteile (z. B. Beeinträchtigung von Ansprüchen oder Leistungen) oder gesellschaftliche Nachteile (z. B. Stigmatisierung, Reputationsverlust) erleiden.
Die Umsetzung von Pseudonymisierung, Zugriffsbeschränkungen, Verschlüsselung und organisatorischen Maßnahmen minimiert dieses Risiko, das daher als beherrschbar einzuschätzen ist.
ABHILFEMASSNAHMEN
Als Maßnahmen, Garantien und Verfahren zur Eindämmung von Risiken werden insbesondere in den Erwägungsgründen 28, 78 und 83 DSGVO genannt:
Minimierung der Verarbeitung personenbezogener Daten (EG 78 DSGVO)
§ 33 Abs. 6a Z 1 bis 9 BPGG Bundespflegegeldgesetz definiert ausdrücklich die personenbezogenen Daten, die vom Dachverband der Sozialversicherungsträger an die Gesundheit Österreich GmbH (GÖG) und an die zuständige Bundesministerin für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz übermittelt werden dürfen. Eine darüber hinausgehende Übermittlung personenbezogener Daten ist nicht zulässig.
Die im § 33 Abs. 6a Z 1 bis 9 BPGG festgelegten Datenkategorien sind auf die zur Erfüllung der vorgesehenen Zwecke erforderlichen Daten beschränkt. Diese Zwecke umfassen insbesondere:
- die Planung und Steuerung von Leistungen im österreichischen Gesundheits- und Sozialwesen,
- die Qualitätssicherung und Erstellung von Qualitätsberichten,
- die Nachvollziehbarkeit sektorübergreifender Versorgungspfade,
- die Messbarkeit von Ergebnisqualität sowie
- die zielgerichtete Steuerung gesundheitspolitischer Maßnahmen.
Durch die Begrenzung auf diese Datenkategorien wird der Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c DSGVO eingehalten, da nur diejenigen personenbezogenen Daten verarbeitet werden, die für die genannten Zwecke erforderlich sind.
Schnellstmögliche Pseudonymisierung personenbezogener Daten (EG 28 und 78 DSGVO)
Die personenbezogenen Daten werden vom Dachverband der Sozialversicherungsträger in pseudonymisierter Form unter Verwendung des bereichsspezifischen Personenkennzeichens Gesundheit (bPK-GH) übermittelt. Die Übermittlung erfolgt an die Gesundheit Österreich GmbH (GÖG) sowie an die zuständige Bundesministerin.
Durch die Pseudonymisierung wird sichergestellt, dass keine unmittelbare Identifizierung der betroffenen Personen ohne zusätzliche Informationen möglich ist, wodurch das Risiko für die Rechte und Freiheiten der Betroffenen wesentlich reduziert wird.
Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten (EG 78 DSGVO)
§ 33 Abs. 6a BPGG regelt die Übermittlung/Verarbeitung der Daten und wird mittels Bundesgesetzblattes veröffentlicht. Weiters wird eine Datenschutzerklärung/Datenschutzinformation im Internet zur Verfügung gestellt. Dadurch ist die Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten erfüllt.
Die Transparenz der Verarbeitung wird durch mehrere Maßnahmen sichergestellt:
Rechtsgrundlage und Veröffentlichung: § 33 Bundespflegegeldgesetz regelt die Übermittlung und Verarbeitung der personenbezogenen Daten und wird im Bundesgesetzblatt veröffentlicht, wodurch die gesetzliche Grundlage öffentlich zugänglich ist.
Information der Betroffenen: Zusätzlich wird eine spezifische Datenschutzinformation in geeigneter Form, insbesondere im Internet bspw. auf der „Website“ des Dachverbands und der Gesundheit Österreich GmbH, bereitgestellt.
Durch diese Maßnahmen ist gewährleistet, dass die betroffenen Personen über die Funktionen der Verarbeitung und die damit verbundenen Datenverarbeitungsvorgänge informiert werden, sodass die Anforderungen an Transparenz gemäß Art. 5 Abs. 1 lit. a DSGVO und Art. 12 DSGVO erfüllt sind.
Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen (EG 78 DSGVO)
Auf Grundlage der Datenschutz-Grundverordnung steht den betroffenen Personen das Recht auf Auskunft gemäß Art. 15 DSGVO zu. Dieses Recht ermöglicht es den Betroffenen, die Verarbeitung ihrer personenbezogenen Daten durch den Verantwortlichen zu überwachen und zu kontrollieren.
Die Betroffenen können insbesondere Auskunft über die zu ihrer Person verarbeiteten Daten, die Zwecke der Verarbeitung, die Empfänger der Daten, die Speicherdauer sowie über ihre weiteren Rechte gemäß DSGVO erhalten.
Die Umsetzung des Auskunftsrechts wird durch organisatorische Maßnahmen sichergestellt, sodass Anfragen von betroffenen Personen zeitgerecht und vollständig beantwortet werden können.
Datensicherheitsmaßnahmen (EG 78 und 83 DSGVO)
Zur Absicherung der Verarbeitung werden geeignete technische und organisatorische Maßnahmen iSd Art. 25 und Art. 32 DSGVO umgesetzt.
Berücksichtigung von Datenschutzinteressen
Gemäß Art. 35 Abs. 2 und 9 sowie Art. 36 Abs. 4 DSGVO ist – wenn möglich – der Rat des Datenschutzbeauftragten einzuholen und sind die betroffenen Personen anzuhören:
Stellungnahme der Datenschutzbehörde(Art. 36 Abs. 4 DSGVO)
Im Rahmen des Begutachtungsverfahrens hat die Datenschutzbehörde eine Stellungnahme zum gegenständlichen Gesetzentwurf für die Datenübermittlung abgegeben. Die Empfehlungen der Datenschutzbehörde wurden berücksichtigt und der Gesetzentwurf entsprechend angepasst.
Stellungnahme des:der Datenschutzbeauftragten der erlassenden Stelle (Art. 35 Abs. 2 DSGVO)
Eine Stellungnahme der Datenschutzbeauftragten wurde eingeholt.
Stellungnahme betroffener Personen (Art. 35 Abs. 9 DSGVO)
Im Rahmen des Begutachtungsverfahrens des gegenständlichen Gesetzentwurfs stand es allen Personen offen, Stellungnahmen abzugeben. Von dieser Möglichkeit haben verschiedene Stellen, bspw. auch Interessenvertretungen, Gebrauch gemacht (Stellungnahme: Anwältin für Gleichbehandlungsfragen für Menschen mit Behinderungen und KOBV – Österreich der Behindertenverband)
Zusammenfassende Stellungnahme:
Das gegenständliche Vorhaben erfüllt alle aus datenschutzrechtlicher Sicht erforderlichen Vorgaben.
Besonderer Teil
Zu Z 1, 2, 3, 4, 12, 13, 14, 15 und 18(§ 3 Abs. 1 Z 1 lit. h, § 12 Abs. 1 Z 4, § 18a Abs. 1, § 21g Abs. 2, § 22 Abs. 1 Z 1, § 32, § 33 Abs. 1, § 33 Abs. 2 Z 17 und Z 18 und § 33 Abs. 8):
Redaktionelle Anpassungen.
Zu Z 5, 6, 10 und 11(§ 21g Abs. 3a und Abs. 8 und § 21h Abs. 9, 9a und 10):
Mit der gesetzlichen Änderung soll klargestellt werden, dass der Anspruch auf den Angehörigenbonus mit dem Monatsletzten jenes Monats endet, in dem die Voraussetzungen für den Angehörigenbonus wegfallen. Dies betrifft beispielsweise den Monatsletzten, an dem die Selbstversicherung gemäß § 18a oder § 18b ASVG oder die Weiterversicherung gemäß § 77 Abs. 6 ASVG, § 28 Abs. 6 BSVG oder § 33 Abs. 9 GSVG für die Pflege der pflegebedürftigen Person endet, die pflegebedürftige Person verstirbt oder festgestellt wird, dass die Einkommensgrenze gemäß § 21h Abs. 2 Z 2 überschritten wird.
Zu Z 7 (§ 21h Abs. 3):
Zur Gleichstellung der anspruchsberechtigen Personen gemäß § 21h und der Personengruppe gemäß § 21g soll die Auszahlung des Angehörigenbonus bei verspäteter Antragstellung höchstens ein Jahr rückwirkend gemäß § 21h möglich sein.
Z 8 bis 9 (§ 21h Abs. 6 Z 1 lit. e, Z 2 lit. i und j)
Erfahrungen aus der Praxis haben gezeigt, dass für die Feststellung des Angehörigenbonus in bestimmten Konstellationen verschiedene Erhebungen notwendig sind. Mit diesen Änderungen sollen weitere datenschutzrechtliche Ermächtigungen normiert werden, die für die Vollziehung notwendig sind.
Zu Z 16 (§ 33 Abs. 6a):
Die Gesundheit Österreich GmbH (GÖG) ist auf Grundlage des Bundesgesetz über die Gesundheit Österreich GmbH (GÖGG) mit Aufgaben der Planung, Qualitätssicherung und Qualitätsberichterstattung im österreichischen Gesundheitswesen betraut und fungiert als Kompetenzzentrum für Bevölkerungsgesundheit, Gesundheitsförderung, Prävention, Gesundheits- und Pflegeversorgung sowie Qualität im Gesundheitswesen. Alleingesellschafter der Gesundheit Österreich GmbH ist der Bund. Aufgrund der ihr gesetzlich übertragenen Aufgaben ist sie dem staatlichen Tätigkeitsbereich Gesundheit eindeutig zuzuordnen. Zur Erfüllung der Aufgaben der Gesundheit Österreich GmbH gemäß § 4 GÖGG ist die Verarbeitung personenbezogener Daten erforderlich. Zu diesen Daten zählen auch die Pflegegelddaten.
Der Dachverband der Sozialversicherungsträger führt und verarbeitet im übertragenen Wirkungsbereich mit der Anwendung Pflegegeldinformation – PFIF die entsprechenden Daten. Daten aus der Pflegegeldinformation (PFIF) enthalten zentrale Informationen, die Aufschluss über Pflegeepidemiologie und die Pflegeversorgung im Bereich der Langzeitpflege sowie an der Schnittstelle zur Akutversorgung/Rehabilitation geben können. Besonders in Verbindung mit Versorgungsdaten aus dem intramuralen Bereich können wertvolle Einsichten als Grundlage für eine bedarfsgerechte Versorgungsplanung und Pflege-Personalausstattung gewonnen werden. Eine kontinuierliche Beobachtung des Pflegeverlaufs sowie ein Abgleich der Versorgungsdaten aus dem intramuralen Bereich ist mit anonymisierten Daten nicht möglich. Zur Erfüllung der Zwecke ist die Verarbeitung anonymisierter Daten nicht ausreichend, weshalb durch die Aufnahme eines neuen Absatzes 6a in § 33 eine datenschutzrechtliche Grundlage für die Übermittlung der Daten in pseudonymisierter Form durch den Dachverband der Sozialversicherungsträger an die Gesundheit Österreich GmbH, insbesondere für das Projekt Pflegereporting, geschaffen werden soll.
Mit § 33 Abs. 6a wird die bereits zuvor in § 33 Abs. 7 bestehende Rechtsgrundlage für die Übermittlung der Daten vom Dachverband der Sozialversicherungsträger an die Gesundheit Österreich GmbH konkretisiert sowie um die Übermittlung an die Bundesministerin für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz erweitert. Der Dachverband ist demnach verpflichtet die Daten einmal jährlich zu übermitteln.
Die Verarbeitung erfolgt zum Zweck der Planung, Qualitätssicherung und Qualitätsberichterstattung im österreichischen Gesundheitswesen in Erfüllung der Aufgaben der Gesundheit Österreich GmbH gemäß § 4 GÖGG (Übermittlung an die GÖG) sowie für Zwecke der Statistik als Grundlage zur Planung und Steuerung des österreichischen Gesundheitswesens, zur Qualitätssicherung für wissenschaftliche Zwecke sowie zur Umsetzung von Public-Health-Maßnahmen (Übermittlung an die Bundesministerin für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz).
Im Rahmen der Anwendung Pflegegeldinformation PFIF werden unter anderen Daten zur
– Pflegegeldstufe,
– Anzahl der Ruhenstage pro Monat sowie der Grund für das Ruhen (§ 12 BPGG),
– Erschwerniszuschlag,
– Geburtsjahr,
– Geschlecht,
– Bundesland,
– Übergang des Pflegegeldanspruchs nach § 13 BPGG sowie der Grund für den Übergang nach § 13 BPGG (bspw. Aufenthalt in einem Pflegeheim),
– Information, dass die Person verstorben ist,
– ICD 10 Code
verarbeitet.
Die Verarbeitung erfolgt auf Grundlage von:
- Art. 6 Abs. 1 lit. e DSGVO: Die Verarbeitung ist zur Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt.
Da mit den übermittelten Daten auch Gesundheitsdaten und somit besondere Kategorien personenbezogener Daten zum Zweck der Planung, Qualitätssicherung und Qualitätsberichterstattung im österreichischen Gesundheitswesen in Erfüllung der Aufgaben der Gesundheit Österreich GmbH gemäß § 4 GÖGG (Übermittlung an die GÖG) sowie für Zwecke der Statistik als Grundlage zur Planung und Steuerung des österreichischen Gesundheitswesens, zur Qualitätssicherung für wissenschaftliche Zwecke sowie zur Umsetzung von Public-Health-Maßnahmen (Übermittlung an die Bundesministerin für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz) übermittelt werden, erfolgt die Verarbeitung zusätzlich auf folgender Grundlage:
- Art. 9 Abs. 2 lit. i DSGVO: die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung erforderlich.
Die Verarbeitung der Daten auf Grundlage des Art. 6 Abs. 1 lit. e iVm Art. 9 Abs. 2 lit. i DSGVO erfordert zusätzlich eine Rechtsgrundlage im nationalen Recht. Diese Rechtsgrundlage stellt § 33 Abs. 6a BPGG dar.
Gemäß Art. 9 Abs. 2 lit. i DSGVO muss die nationale Rechtsvorschrift angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsehen. Mit diesen Garantien wird sichergestellt, dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet wird. Es werden nur jene Daten aus der Anwendung Pflegegeldinformation PFIF übermittelt, die benötigt werden, um die in diesem Absatz festgelegten Zwecke zu erfüllen. Weiters erfolgt eine Pseudonymisierung der Daten mittels des bereichspezifischen Personenkennzeichens Gesundheit (bPK-GH). Bereichsspefische Personenkennzeichen sind personenbezogene Daten. Durch die Festlegung, dass die Herstellung des Personenbezugs untersagt ist, soweit es nicht für die Erfüllung der vorgesehenen Aufgaben erforderlich ist, wird keine Rechtsgrundlage für die Aufhebung dieser Pseudonymisierung geschaffen, sondern nochmals zum Ausdruck gebracht, dass die Verwendung des bPK-GH, nur für die in diesem Absatz umschriebenen Zwecke zulässig ist.
Gemäß § 1 Abs. 2 (Datenschutzgesetz – DSG), kann der Anspruch auf Geheimhaltung personenbezogener Daten eingeschränkt werden, sofern die Verwendung der Daten zur Wahrung überwiegender berechtigter Interessen eines anderen erforderlich ist. Soweit die Verwendung von personenbezogenen Daten nicht im lebenswichtigen Interesse der betroffenen Person oder mit ihrer Zustimmung erfolgt – ist sie nur zur Wahrung überwiegender berechtigter Interessen eines anderen zulässig, und zwar bei Eingriffen einer staatlichen Behörde nur auf Grund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind. Derartige Gesetze dürfen die Verwendung von Daten, die ihrer Art nach besonders schutzwürdig sind, nur zur Wahrung wichtiger öffentlicher Interessen vorsehen und müssen gleichzeitig angemessene Garantien für den Schutz der Geheimhaltungsinteressen der Betroffenen festlegen. Auch im Falle zulässiger Beschränkungen darf der Eingriff in das Grundrecht auf Datenschutz jeweils nur in der gelindesten, zum Ziel führenden Art vorgenommen werden.
Der vorliegende Absatz stellt eine Rechtsgrundlage, die unter Wahrung der in § 1 Abs. 2 DSG iVm Art. 8 Abs. 2 EMRK festgelegten Voraussetzungen und Bedingungen die Zulässigkeit der Beschränkung des Grundrechts auf Datenschutz normiert, dar.
Die übermittelten Daten sind als Gesundheitsdaten besonders schutzwürdig. Die Verarbeitung (Übermittlung) der Daten erfolgt zum Zweck der Planung, Qualitätssicherung und Qualitätsberichtserstattung im österreichischen Gesundheits- und Sozialwesen in Erfüllung der Aufgaben der GÖG gemäß § 4 GÖGG (Übermittlung an die GÖG) sowie für Zwecke der Statistik als Grundlage zur Planung und Steuerung des österreichischen Gesundheitswesens, zur Qualitätssicherung für wissenschaftliche Zwecke sowie zur Umsetzung von Public-Health-Maßnahmen (Übermittlung an die Bundesministerin für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz) und damit zur Wahrung wichtiger öffentlicher Interessen. Die Beschränkung der Zwecke der Verarbeitung durch den vorliegenden Absatz, die Pseudonymisierung der Daten mittels bereichsspezifischer Personenkennzeichen sowie die Bestimmungen zur Datenverarbeitung durch die GÖG gemäß § 15 GÖGG stellen angemessene Garantien für den Schutz der Geheinhaltungsinteressen der Betroffenen (Verbot der Reidentifizierung, Verschwiegenheitsverpflichtung) dar. Die Übermittlung der Daten aus der Anwendung Pflegegeldinformation – PFIF in pseudonymisierter Form stellt überdies die gelindeste Form des Eingriffs dar. Die Übermittlung der Daten an die GÖG soll insbesondere für das Projekt Pflegereporting erfolgen.
Projekt Pflegereporting:
Der zunehmende Bedarf an Pflege- und Betreuungspersonen aufgrund demografischer und gesellschaftlicher Entwicklungen ist eine der Herausforderungen im Pflegevorsorgesystem Österreichs. Aufgrund des aktuellen sowie prognostizierten Personalmangels ist es unerlässlich, Informationen über die Pflege- und Betreuungspersonen zeitnah, übersichtlich sowie vergleich- und verarbeitbar bereitzustellen und somit ein kontinuierliches Monitoring der Personalsituation zu gewährleisten.
Um diesem Bedarf gerecht zu werden, wurde 2021 das Projekt Pflegereporting initiiert. Es hat das Ziel, die diversen bestehenden Datenquellen im Bereich Pflege und Betreuung zusammenzuführen. Dadurch wird der Zustand der Pflege- und Betreuungssituation in Österreich abgebildet und die daraus resultierenden Auswirkungen auf die Qualität und Sicherheit sowohl für die Bevölkerung als auch für das Personal aufgezeigt. Die Ergebnisse sind auf der Internetseite www.pflegereporting.at abrufbar.
Einblicke in die Entwicklung des Pflegebedarfs und der Pflegegeldstufen sowie dem Ort des Bezugs von Versorgungsleistungen (zu Hause, stationär, teilstationär, im Krankenhaus nach Pflegegeldstufen, Alter, Geschlecht, Bundesland) stellen eine zentrale Basisinformation dar, die zur Einordung der Pflegepersonalstandsindikatoren sowie der Verteilung der Pflegepersonalressourcen über die Settings hinweg erforderlich ist. Sie bilden eine notwendige Grundlage für das Identifizieren von Handlungsfeldern und das Planen von Maßnahmen. Zudem können Indikatoren wie „Krankenhausaufnahmen“ von Personen mit Langzeitpflegebedarf ein Indikator für die Kontinuität der Langzeitpflegeversorgung oder Passgenauigkeit der Versorgungsangebote oder Personalausstattung sein und Einsichten in das notwendige Ineinandergreifen von Akut- und Langzeitpflegeversorgung geben. Derzeit verfolgt das Pflegereporting einen schrittweisen Auf- und Ausbau der Informationen und Indikatoren.
Der Gesundheit Österreich GmbH ist die Herstellung eines Personenbezugs bei der Verarbeitung der in diesem Absatz genannten Daten untersagt, soweit es nicht für die Erfüllung der in diesem Gesetz vorgesehenen Aufgaben erforderlich ist. Dies bedeutet, dass eine Verarbeitung der Daten nur im Rahmen und nur zu den Zwecken des § 33 Abs. 6a BPGG iVm § 4 GÖGG zulässig ist. Die GÖG ist gesetzlich verpflichtet die Daten, die sie zur Erfüllung ihrer gesetzlichen Aufgaben zu erhalten hat, nach höchsten Qualitäts- und Sicherheitsstandards zu verarbeiten. Die GÖG unterliegt nach § 15 GÖGG weitreichenden Verpflichtungen zu Datenschutz und Verschwiegenheit, wie unter anderem dem Verbot, verarbeitete Daten auf betroffene Personen rückzuführen. Auch für mit bPK-GH angereicherten Daten gilt, dass keine Re-Identifizierung erfolgt, da sie aufgrund der aktuellen rechtlichen Bestimmungen nicht gestattet ist.
Die Erhebung aller in diesem Absatz angeführten Datenkategorien ist zur Erfüllung der festgelegten Zwecke erforderlich. Das Geschlecht stellt eine zentrale Determinante der Gesundheit dar und ist daher zur Erfüllung der festgelegten Zwecke in Erfüllung der gesetzlichen Aufgaben der GÖG zur Erstellung entsprechender Analysen unabdingbar.
Übermittlung der Daten an die Bundesministerin für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz:
Das Bundesministerium für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz (BMASGPK) ist im Rahmen seiner gesetzlichen Aufgaben mit der Steuerung und Planung des Gesundheitswesens, der Evaluierung von gesundheitspolitischen und Public-Health-Aktivitäten, der Qualitätssicherung sowie dem Management außergewöhnlicher Ereignisse, wie etwa Epidemien und Pandemien, betraut. Eine zeitgemäße Steuerung des Gesundheits- und Pflegesystems setzt voraus, dass gesundheitliche und pflegerische Entwicklungen gemeinsam betrachtet werden können. Mit dem im Bundesgesetz über die Dokumentation im Gesundheitswesen seit 01.01.2024 verfügbaren bereichsspezifischen Personenkennzeichen Gesundheit (bPK-GH) steht dem BMASGPK erstmals eine bundesweit konsistente Datenbasis zur Verknüpfung und Auswertung von Diagnosen, Behandlungsverläufen und funktionellen Einschränkungen zur Verfügung.
Durch die regelmäßige Übermittlung der Daten entsteht die Möglichkeit, Gesundheits- und Pflegeroutinedaten datenschutzkonform zu verknüpfen. Diese Verknüpfung ist wesentlich, um sektorübergreifende Versorgungspfade nachzuvollziehen, Ergebnisqualität messbar zu machen und gesundheitspolitische Maßnahmen zielgerichtet zu steuern.
Zu Z 17 (§ 33 Abs. 7):
Durch die Hausbesuche soll neben der erforderlichen Information und der Beratung auch überprüft werden, ob eine den Bedürfnissen der pflegebedürftigen Person entsprechende Pflege gegeben ist. Sollte sich bei einem Hausbesuch herausstellen, dass die Pflege nicht den Bedürfnissen der pflegebedürftigen Person entspricht und eine Unterversorgung droht, so soll durch die Übermittlung der Daten an den zuständigen Entscheidungsträger dazu beigetragen werden, dass der pflegebedürftigen Personen soweit wie möglich die notwendige Betreuung und Hilfe zukommt.
Zu Z 19 und 20 (§ 33a Abs. 3a und 4):
Im Rahmen der Hausbesuche bei pflegebedürftigen Personen ist die Verarbeitung personenbezogener Daten der pflegebedürftigen Person erforderlich. Zusätzlich können bei den Hausbesuchen bei pflegbedürftigen Personen auch die Daten der Hauptbetreuungsperson erhoben werden. Die Daten der Hauptbetreuungsperson werden zum einen erhoben, um die Situation der pflegenden Angehörigen abzubilden und zum anderen, um ihnen Unterstützungsgespräche iSd § 33a Abs. 2 anzubieten. Die Verarbeitung der Sozialversicherungsnummer der Hauptbetreuungsperson ist notwendig, um diese eindeutig zu identifizieren und ihr ein Angehörigengespräch anbieten zu können.
Mit dem Absatz wird die datenschutzrechtliche Grundlage für die Datenverarbeitung im Rahmen der Hausbesuche bei pflegebedürftigen Personen festgelegt.
Die Sozialversicherungsanstalt der Selbständigen ist Verantwortliche iSd Art. 4 Z 7 DSGVO.
Die Hausbesuche bei pflegebedürftigen Personen gemäß § 33a Abs. 1 und die Unterstützungsgespräche gemäß § 33a Abs. 2 stellen unterschiedliche Maßnahmen dar.
Zu Z 21 (§ 33a Abs. 5):
Der Qualitätssicherung in der häuslichen Pflege kommt in der Pflegevorsorge eine bedeutende Rolle zu. Die Feststellung der Pflegesituation ist daher in diesem Zusammenhang besonders wichtig. Diesem Umstand wurde durch die Implementierung der Qualitätssicherung in das Bundespflegegeldgesetz mit BGBl. I Nr. 69/2001 Rechnung getragen.
Im Rahmen des Angehörigengesprächs wird auch die jeweilige Situation der pflegenden Angehörigen in einer Region durch persönliche Kontaktnahme erhoben. Pflegende Angehörige sind auf Grund der oft jahrelangen häuslichen Pflegesituation besonderen Belastungen ausgesetzt. Als unterstützende Maßnahme wird zur Aufarbeitung und Bewältigung von psychischen Belastungen sowie zur Erhaltung und Förderung der Gesundheit das Angehörigengespräch angeboten mit dem Ziel, die Lebensqualität der pflegenden Angehörigen zu erhöhen.
Zu Z 22 (§ 49 Abs. 40):
Die vorgeschlagenen Änderungen sollen mit Ablauf des Tages ihrer Kundmachung in Kraft treten.