Dieser Text ist nur als erste Information über Ihre möglichen Rechte und Pflichten gedacht – bitte bedenken Sie, dass einzelne Bestimmungen (siehe die verlinkten Texte) auch Ausnahmen und Sonderregeln enthalten. Ob und welche dieser Regeln auf Ihre Situation anwendbar sein könnten, kann nur im jeweiligen Einzelfall festgestellt werden, an dieser Stelle kann nicht auf alle Details eingegangen werden.
Es kann auch vorkommen, dass Rechtsvorschriften, auf die verlinkt ist, geändert werden (Novellierungen). Ob und ab wann eine solche Änderung auf Ihre Situation anwendbar sein könnte, kann ebenfalls nur im jeweiligen Einzelfall festgestellt werden.
Im Datenschutzrecht sind unter anderem zwei Begriffe sehr wichtig:
- Verantwortlicher: Das ist die Stelle (Mensch oder juristische Person), die für eine Datenverarbeitung zuständig (verantwortlich) ist (früher Auftraggeber genannt). An diese Stelle sind auch Auskunftswünsche (Art. 15 DSGVO [S. 43]) zu richten.
- Auftragsverarbeiter: Das ist die Stelle (Mensch oder juristische Person), die personenbezogene Daten für einen anderen, den Verantwortlichen, verarbeitet (früher Dienstleister genannt, hauptsächlich Rechenzentren, wo im Mittelpunkt des Tätigkeit der Datenverarbeitungs-Einsatz steht). Ein Vertragspartner der Sozialversicherung im medizinischen Bereich (Arzt, Apotheker usw.) ist daher deswegen noch kein Auftragsverarbeiter des jeweiligen Sozialversicherungsträgers, sondern seine Tätigkeit ist freiberuflich/selbstständig und richtet sich nach dem jeweiligen Vertrag mit der Sozialversicherung.
Organisation
Jeder Sozialversicherungsträger ist rechtlich selbstständig (juristische Person, Körperschaft öffentlichen Rechts). Er ist damit auch Verantwortlicher nach dem Datenschutzrecht (siehe die Definition in Art. 4 Z 7 DSGVO S. 33]).
Angaben über Sozialversicherungsdaten sind daher bei dem Sozialversicherungsträger zu erhalten, bei dem jemand versichert ist. Das hängt von der jeweiligen Erwerbstätigkeit ab (z. B. Gebietskrankenkasse, SVA der gewerblichen Wirtschaft, SVA der Bauern, BVA, etc.).
Für Auskünfte aus Sozialversicherungsdaten ist ebenfalls der Sozialversicherungsträger zuständig, bei dem Sie versichert sind.
Ihre eigenen Daten können Sie aber auch unter"meine SV" abfragen (Handysignatur bzw. Bürgerkarte aus Sicherheitsgründen notwendig). Einen Überblick über Ihre Sozialversicherungsdaten (Versicherungsdatenauszug) können Sie bei jedem Sozialversicherungsträger anfordern (elektronische Zustellung über Zustelldienste möglich, ansonsten per Post aus Sicherheitsgründen per eigenhändiger Zustellung oder Abholung mit Lichtbildausweis).
Die österreichischen Sozialversicherungsträger gehören zu drei Versicherungszweigen: Krankenversicherung, Unfallversicherung, Pensionsversicherung. Die Beiträge für alle drei Zweige werden im Regelfall durch die Krankenversicherungsträger eingehoben.
Die 15 Krankenfürsorgeanstalten (KFA) für Bedienstete einiger Länder und Gemeinden sind anders organisiert (keine Sozialversicherungsträger nach den Sozialversicherungsgesetzen).
Ein Arbeitsamt (Geschäftsstelle des Arbeitsmarktservice) ist ebenfalls kein Sozialversicherungsträger, sondern im Rahmen der Arbeitsmarktverwaltung eingerichtet.
Sozialversicherungsträger verarbeiten Daten über
- Versicherte und Angehörige (Leistungsbezieher können versichert sein),
- Beitragszahler (auch der Dienstnehmer-Beitragsanteil wird über den Dienstgeber abgerechnet) und
- Leistungsbezieher.
Gesetzliche Zusammenarbeitsverpflichtungen bestehen für die Sozialversicherungsträger untereinander (z. B. nach § 321 ASVG) und auch gegenüber anderen staatlichen Stellen (Amtshilfe, Rechtshilfe für Verwaltungsbehörden und Gerichte, Art. 22 B-VG).
Das e-card-System gehört zur Sozialversicherung. Dazu gehört, dass die Widerspruchstelle (WIST), das Serviceportal und die Serviceline für ELGA (elektronische Gesundheitsakte) vom Hauptverband der österreichischen Sozialversicherungsträger geführt wird (§31d ASVG). Für andere Fragen zu ELGA wenden Sie sich bitten an die ELGA-Ombudsstellen.
Informationen nach der Datenschutz-Grundverordnung – Betroffenenrechte
Die Datenverarbeitungen der österreichischen Sozialversicherung beruhen auf den einschlägigen Gesetzen (siehe die Rechtmäßigkeitsbestimmungen in Art. 6 DSGVO [S. 36]). Bitte berücksichtigen Sie, dass für die Einhaltung gesetzlicher Rechte und Pflichten und zum Schutz öffentlicher Interessen (z. B. des Gesundheitswesens) Sonderregeln bestehen können. Ob diese Regeln auf Sie anwendbar sind, kann nur im Einzelfall behandelt werden.
Folgende Ihnen zustehende Rechte können Sie hinsichtlich der Datenverarbeitung geltend machen. Voraussetzung dafür ist, dass Sie Ihre Identität nachweisen und, falls Sie für jemand anderen auftreten, auch die Vertretungsberechtigung (Kinder sind für Leistungsangelegenheiten im Sozialversicherungsrecht ab Vollendung des 14. Lebensjahres berechtigt, selbst zu handeln):
Recht auf Auskunft (Art. 15 DSGVO [S. 43]), ob und in welchem Ausmaß personenbezogene Daten über Sie verarbeitet werden.
Recht auf Berichtigung (Art. 16 DSGVO [S. 43]): Sie können die Berichtigung unrichtig verarbeiteter Daten verlangen.
Recht auf Löschung (Art. 17 DSGVO [S. 43], „Recht auf Vergessenwerden“): Sie können eine Löschung Ihrer personenbezogenen Daten verlangen, sofern der Zweck, für die sie erhoben worden sind, weggefallen ist, eine unrechtmäßige Verarbeitung vorliegt, die Verarbeitung unverhältnismäßig in Ihre berechtigten Schutzinteressen eingreift oder sich die Datenverarbeitung auf Ihre Einwilligung stützt und Sie diese widerrufen haben. Zu beachten ist hierbei, dass es andere Gründe geben kann, die einer sofortigen Löschung Ihrer Daten entgegenstehen können, z. B. gesetzlich geregelte Aufbewahrungspflichten, anhängige Verfahren, Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, Führung von Archiven, etc.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO [S. 44]): Sie haben das Recht, eine Einschränkung der Verarbeitung Ihrer Daten zu verlangen, wenn Sie die Richtigkeit Ihrer Daten bestreiten, und zwar für eine Dauer, die es uns ermöglicht, die Richtigkeit der Daten zu überprüfen, ob die Verarbeitung Ihrer Daten unrechtmäßig ist, Sie aber eine Löschung ablehnen und stattdessen eine Einschränkung der Datennutzung verlangen, wir die Daten für den vorgesehenen Zweck nicht mehr benötigen, Sie diese Daten aber noch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen brauchen, oder Sie Widerspruch gegen die Verarbeitung der Daten eingelegt haben.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO [S. 45]): Sie können verlangen, dass Ihre personenbezogenen Daten, die Sie einem Sozialversicherungsträger bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellen, sofern dies nicht nach Art. 20 Abs. 3 DSGVO eingeschränkt ist und die Verarbeitung mithilfe automatisierter Verfahren erfolgt und die anderen Voraussetzungen dieser Bestimmung zutreffen.
Recht auf Widerspruch (Art. 21 DSGVO [S. 45]): Dieses Recht besteht für den Fall, dass eine Datenverarbeitung nicht zu den gesetzlich zwingenden Aufgaben eines Sozialversicherungsträgers gehört. Bitte bedenken Sie, dass gesetzliche Aufgaben nicht durch Widerspruch verändert werden können.
Recht auf Beschwerde
Zuständig für Beschwerden ist die Datenschutzbehörde:
1080 Wien, Wickenburggasse 8, Telefon: +43 1 52 152-0, dsb@dsb.gv.at
Bevor Sie ein formelles Beschwerdeverfahren eröffnen, bitten wir Sie um direkte Kontaktaufnahme mit dem Datenschutzbeauftragten des jeweiligen Sozialversicherungsträgers. Oft lassen sich Missverständnisse und Unrichtigkeiten rasch und einfach auf dieses Weise erledigen.
Datenschutzbeauftragte
Datenschutzbeauftragter des Hauptverbandes ist Herr Dr. Josef Souhrada, seine Kontaktdaten und die Angaben zu den Datenschutzbeauftragten der Sozialversicherungsträger finden Sie unter "Datenschutzbeauftragte".
Rechtsgrundlagen
Grundlage der Datenverarbeitungen sind folgende Regelwerke:
Für das Grundrecht auf Datenschutz, Privat- und Familienleben:
- Art. 8 der Europäischen Menschenrechtskonvention
- Art. 8 der Charta der Grundrechte der Europäischen Union
- die Konvention des Europarates Nr. 108 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten.
Auf diesen Grundlagen beruhen:
- Die Datenschutz-Grundverordnung der EU (DSGVO)
- Das österreichische Datenschutzgesetz (DSG)
- Die Datenschutzverordnung für die Sozialversicherung (SV-DSV)
- Bestimmungen in den einzelnen Sozialversicherungsgesetzen, so z. B.
- Verschwiegenheitspflicht (§ 460a ASVG, § 231 GSVG, § 219 BSVG)
- Berechtigung zur Datenverarbeitung (§ 460e ASVG; § 231a GSVG, § 219a BSVG)
- Hauptverband der österreichischen Sozialversicherungsträger
- für die Vergabe der Sozialversicherungsnummern (§ 31 Abs. 4 Z 1 ASVG) und
- als Auftragsverarbeiter für die Sozialversicherungsträger (§ 31 Abs. 4 Z 3 und Abs. 11 ASVG)
- als Verbindungs- und Zugangsstelle gegenüber ausländischen Sozialversicherungsträgern (§§ 4 und 5 SV-EG).
Zu Ausnahmen von der Datenschutz-Folgeabschätzung siehe die Verordnung vom 25. Mai 2018, BGBl. II Nr. 108/2018.
Zur Datensicherheit siehe die Sicherheitsrichtlinie für die gesetzliche Sozialversicherung (SV-Sicherheitsrichtlinie 2019 – SV-SR 2019).
Zur Organisation der Datenverarbeitung siehe die Richtlinien über die Zusammenarbeit der Sozialversicherungsträger und des Hauptverbandes in der elektronischen Datenverarbeitung 2006 (REDV 2006).
Die hier zitierten österreichischen Rechtsvorschriften finden Sie im Rechtsinformationssystem des Bundes (RIS, für die Sozialversicherung unter „Sonstige Kundmachungen, Erlässe“ bzw. "Amtliche Verlautbarungen der Sozialversicherung". Die aktuellen Fassungen der Richtlinien, Erläuterungen dazu und maßgebende Entscheidungen sind unter www.sozdok.at zugänglich (beide Zugänge sind kostenlos).