Datenschutz in der SVS

Im Datenschutzrecht sind unter anderem zwei Begriffe sehr wichtig:

1. Verantwortlicher

Das ist die Stelle (Mensch oder juristische Person), die für eine Datenverarbeitung zuständig (verantwortlich) ist (früher Auftraggeber genannt). An diese Stelle sind auch Auskunftswünsche (Art. 15 DSGVO) zu richten.

2. Auftragsverarbeiter

Das ist die Stelle (Mensch oder juristische Person), die personenbezogene Daten für einen anderen, den Verantwortlichen, verarbeitet (früher Dienstleister genannt, hauptsächlich Rechenzentren, wo im Mittelpunkt der Tätigkeit der Datenverarbeitungs-Einsatz steht).

Ein Vertragspartner der Sozialversicherung im medizinischen Bereich (Arzt, Apotheker usw.) ist daher deswegen noch kein Auftragsverarbeiter des jeweiligen Sozialversicherungsträgers, sondern seine Tätigkeit ist freiberuflich/selbstständig und richtet sich nach dem jeweiligen Vertrag mit der Sozialversicherung.

Organisation

Die SVS ist als Sozialversicherungsträger rechtlich selbstständig (juristische Person, Körperschaft öffentlichen Rechts (§ 4 SVSG). Sie ist damit auch Verantwortliche nach dem Datenschutzrecht (siehe die Definition in Art. 4 Z 7 DSGVO).

Sozialversicherungsträger verarbeiten Daten über

• Versicherte und Angehörige sowie
• Leistungsbezieher.
  

Gesetzliche Zusammenarbeitsverpflichtungen bestehen für die Sozialversicherungsträger untereinander (z. B. nach § 13 SVSG) und auch gegenüber anderen staatlichen Stellen (Amtshilfe, Rechtshilfe für Verwaltungsbehörden und Gerichte, Art. 22 B-VG).

Informationen nach der Datenschutz-Grundverordnung – Betroffenenrechte

Die Datenverarbeitungen der österreichischen Sozialversicherung beruhen auf den einschlägigen Gesetzen (siehe die Rechtmäßigkeitsbestimmungen in Art. 6 DSGVO). Bitte berücksichtigen Sie, dass für die Einhaltung gesetzlicher Rechte und Pflichten und zum Schutz öffentlicher Interessen (z. B. des Gesundheitswesens) Sonderregeln bestehen können. Ob diese Regeln auf Sie anwendbar sind, kann nur im Einzelfall behandelt werden.

Folgende Ihnen zustehende Rechte können Sie hinsichtlich der Datenverarbeitung geltend machen. Voraussetzung dafür ist, dass Sie Ihre Identität nachweisen und, falls Sie für jemand anderen auftreten, auch die Vertretungsberechtigung (Kinder sind für Leistungsangelegenheiten im Sozialversicherungsrecht ab Vollendung des 14. Lebensjahres berechtigt, selbst zu handeln):

Recht auf Auskunft (Art. 15 DSGVO)

Die SVS verarbeitet verschiedene Daten aufgrund ihrer gesetzlich übertragener Aufgaben im öffentlichen Interesse. Sie haben das Recht auf Auskunft, ob und in welchem Ausmaß personenbezogene Daten über Sie verarbeitet werden.

Recht auf Berichtigung (Art. 16 DSGVO)

Sie können die Berichtigung unrichtig verarbeiteter Daten verlangen.

Recht auf Löschung (Art. 17 DSGVO, „Recht auf Vergessenwerden“)

Sie können eine Löschung Ihrer personenbezogenen Daten verlangen, sofern der Zweck, für die sie erhoben worden sind, weggefallen ist, eine unrechtmäßige Verarbeitung vorliegt, die Verarbeitung unverhältnismäßig in Ihre berechtigten Schutzinteressen eingreift oder sich die Datenverarbeitung auf Ihre Einwilligung stützt und Sie diese widerrufen haben. Zu beachten ist hierbei, dass es andere Gründe geben kann, die einer sofortigen Löschung Ihrer Daten entgegenstehen können, z. B. gesetzlich geregelte Aufbewahrungspflichten, anhängige Verfahren, Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, Führung von Archiven etc.

Recht auf Einschränkung der Datenverarbeitung (Art. 18 DSGVO) 

Sie haben das Recht, für die Dauer von Prüfungen oder Wahrung von Rechtsansprüchen, eine Einschränkung der Verarbeitung Ihrer Daten zu verlangen, wenn Sie die Richtigkeit Ihrer Daten bestreiten. Ohne diese Daten zu löschen, müssen diese Daten von der Verarbeitung ausgeschlossen werden.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie können verlangen, dass Ihre personenbezogenen Daten, die Sie einem Sozialversicherungsträger bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellen, sofern dies nicht nach Art. 20 Abs. 3 DSGVO eingeschränkt ist und die Verarbeitung mithilfe automatisierter Verfahren erfolgt und die anderen Voraussetzungen dieser Bestimmung zutreffen.

Recht auf Widerspruch (Art. 21 DSGVO)

Dieses Recht besteht für den Fall, dass eine Datenverarbeitung nicht zu den gesetzlich zwingenden Aufgaben eines Sozialversicherungsträgers gehört. Bitte bedenken Sie, dass gesetzliche Aufgaben nicht durch Widerspruch verändert werden können.

Recht auf Beschwerde 

Sind Sie der Meinung, dass die Verarbeitung Ihrer Daten gegen gesetzliche Bestimmungen verstößt oder Ihre datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, so können Sie Beschwerde bei der Datenschutzbehörde erheben (§ 24 DSG).

Österreichische Datenschutzbehörde

Barichgasse 40-42
1030 Wien
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
www.dsb.gv.at 

Bevor Sie ein formelles Beschwerdeverfahren eröffnen, bitten wir Sie um direkte Kontaktaufnahme mit dem Datenschutzbeauftragten der SVS. Oft lassen sich Missverständnisse und Unrichtigkeiten rasch und einfach auf diese Weise erledigen.

Rechtsgrundlagen

Grundlage der Datenverarbeitungen sind folgende Regelwerke: Für das Grundrecht auf Datenschutz, Privat- und Familienleben:

1. Art. 8 der Europäischen Menschenrechtskonvention
2. Art. 8 der Charta der Grundrechte der Europäischen Union
3. die Konvention des Europarates Nr. 108 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten.

Auf diesen Grundlagen beruhen:

1. Die Datenschutz-Grundverordnung der EU (DSGVO)
2. Das österreichische Datenschutzgesetz (DSG)
3. Die Datenschutzverordnung für die Sozialversicherung (SV-DSV)
4. Bestimmungen in den einzelnen Sozialversicherungsgesetzen, so z. B.

• Verschwiegenheitspflicht (§ 46 SVSG)
• Berechtigung zur Datenverarbeitung (§ 9 SVSG)

Zur Datensicherheit siehe die Sicherheitsrichtlinie für die gesetzliche Sozialversicherung (SV-Sicherheitsrichtlinie 2017 – SV-SR 2017). Zur Organisation der Datenverarbeitung siehe die Richtlinien über die Zusammenarbeit der Sozialversicherungsträger und des Hauptverbandes in der elektronischen Datenverarbeitung 2006 (REDV 2006).

Die hier zitierten österreichischen Rechtsvorschriften finden Sie im Rechtsinformationssystem des Bundes (RIS, für die Sozialversicherung unter „Sonstige Kundmachungen, Erlässe“ bzw. „Amtliche Verlautbarungen der Sozialversicherung“. Die aktuellen Fassungen der Richtlinien, Erläuterungen dazu und maßgebende Entscheidungen sind im SozDokzugänglich (beide Zugänge sind kostenlos).

Eine Übersicht der verarbeiteten Daten und unserer Auftragsverarbeiter kann dem Verzeichnis von Verarbeitungstätigkeiten der SVS entnommen werden. 

Verzeichnis von Verarbeitungstätigkeiten (PDF, 368 KB)

Zur Identifikation von Personen im Rahmen eines E-Government-Prozesses werden bereichsspezifische Personenkennzeichen (bPK) verwendet. Die Stammzahlenbehörde erstellt und verwaltet verschlüsselte bPK für die Datenanwendungen von Behörden und öffentlichen Auftraggebern.

Nähere Informationen dazu finden Sie auf der Homepage des Bundesministeriums für Digitalisierung und Wirtschaftsstandort .

Das bPK in der Sozialversicherung wird als hoch sensibel angesehen und somit nicht bei normalen Auskunftsbegehren mitgeteilt. Auf gesonderten Wunsch ist eine Mitteilung möglich, jedoch bestehen besondere Sicherheitsmaßnahmen, um einen Missbrauch durch Unbefugte zu verhindern. Sie erhalten das bPK mittels Einschreiben und werden gebeten, dieses Schreiben nach Kenntnisnahme aus Sicherheitsgründen zu vernichten.

(VVT, Art. 30 Abs. 1 DSGVO)

Aktueller Stand: Jänner 2020

Verzeichnis von Verarbeitungstätigkeiten der Sozialversicherungsanstalt der Selbständigen als Verantwortlicher (VVT, Art. 30 Abs. 1 DSGVO) (PDF, 368 KB)

Betroffenenrechte

In Bezug auf die bei der SVS verarbeiteten personenbezogenen Daten haben Sie als betroffene Person grundsätzlich das Recht auf:

• Auskunft,
• Berechtigung,
• Löschung,
• Einschränkung sowie
• Widerspruch.

Bitte beachten Sie, dass die SVS als Körperschaft des öffentlichen Rechts (§ 4 SVSG) Ihre personenbezogenen Daten aufgrund gesetzlich übertragener Aufgaben im öffentlichen Interesse verarbeitet.

Das Recht auf Berichtigung und das Recht auf Löschung von personenbezogenen Daten besteht daher nur insoweit, als nicht andere gesetzliche Vorschriften dem entgegenstehen. Löschungen vor Ablauf der in § 16 SV-DSV bezeichneten Aufbewahrungsfristen sind unzulässig. Das Recht auf Widerspruch und das Recht auf Einschränkung der Verarbeitung besteht nicht, soweit an der Verarbeitung ein zwingendes öffentliches Interesse, das die Interessen der betroffenen Person überwiegt, oder eine gesetzliche Verpflichtung (inklusive deren Durchführungsregeln, wie Satzung und Krankenordnung, etc.) zur Verarbeitung besteht (Art 18 Abs. 2 DSGVO, § 25 SV-DSV).

Webanalyse und Cookies

Für die Optimierung unserer Webseiten verwenden wir die Analyse-Software Piwik. Mit dieser Software können wir das Online-Verhalten in Bezug auf Zeit, geografische Lage, Art und Betriebssystem des verwendeten Gerätes (Handy, Tablet, PC), verwendeter Browser und Nutzung dieser Webseiten analysieren. Die Analyse soll uns helfen, das Informationsangebot für die Benutzer besser zu gestalten und für die Anzeige auf verschiedenen Geräten (Handy, Tablet, PC etc.) und Browsern zu optimieren.

Diese Information wird über Web Beacons und/oder Cookies gesammelt. Die erhaltenen Informationen der Web Beacons und/oder Cookies sind anonym und werden nicht mit personenbezogenen Daten verbunden. Die verwendeten Cookies beinhalten keine Viren oder sonstige Schadsoftware.

Nachfolgende Cookies der Piwik PRO Analytics Suite werden derzeit verwendet:

Name des Cookies: _pk_ses.*

Typ: Persistent – läuft nach 30 Minuten ab

Über das Cookie: Dieses Cookie wird genutzt, um das Verhalten der Besucher*innen auf der Website festzuhalten. Es wird genutzt, um Statistiken über die Websitenutzung zu sammeln  wie zum Beispiel den Zeitpunkt des letzten Besuchs auf der Website. Das Cookie enthält keine personenbezogenen Daten und wird einzig für die Websiteanalyse eingesetzt.

Durch die Benutzung dieser Website erklärt sich der Besucher mit der Verarbeitung seiner bzw. ihrer Daten zu den oben beschriebenen Zwecken einverstanden. Sie können der Sammlung Ihrer Daten durch Piwik widersprechen, indem Sie bei der Cookie Meldung auf den Link "Nein, individuelle Einstellungen treffen" klicken. Danach ist standardmäßig die Einstellung bei Analytics auf "Nein" gesetzt. Mit der Abspeicherung Ihrer individuellen Entscheidung, wird das Tracking deaktiviert. 

Folgende funktionelle Cookies stellen die Leistung der Website sicher: 

Name des Cookies: ppms_privacy

Typ: Persistent – läuft nach 12 Monaten ab

Über das Cookie: Dieses Cookie wird genutzt, um die Auswahl des Consent Dialogs (Cookie-Banner) zu speichern.

Name des Cookies: JSESSIONID

Typ: Persistent –  Gültig bis zum Ende der Sitzung

Über das Cookie: Dieses Cookie wird bei Anwendungen verwendet, um mehrere zusammengehörige Anfragen einer Benutzer*in zu erkennen und einer Sitzung zuzuordnen. Dies stellt die Funktionalität der Anwendungen auf der Website sicher.

Name des Cookies: little, littlelegacy

Typ: Persistent –  Gültig bis zum Ende der Sitzung

Über das Cookie: Dieses Cookie speichert Informationen in verschlüsselter Form über welchen Rechenzentrumsstandort (Webserver) der Request der Benutzer*in beantwortet wurde.

Diese Informationen werden nicht mit Dritten zur selbständigen Verwendung geteilt.

Cookie-Einstellung ändern

Sie können hier Ihre gespeicherte Cookie-Einstellung jederzeit zurücksetzen:  Cookie-Einstellung ändern