Gemeinsam für die Verarbeitung Verantwortliche
§ 5. (1) Datenverarbeitungen, bei denen Verantwortliche gemeinsam die Zwecke und die Mittel zur Verarbeitung festlegen, sind Verarbeitungen nach Art. 26 DSGVO, wenn folgende Kriterien gemeinsam erfüllt sind:
| | | | | | | | | | |
1. | Gemeinsame Festlegung von Zwecken und Mitteln durch Sozialversicherungsträger. Diese liegt dann vor, wenn |
a) | die Datenverarbeitung nur von Sozialversicherungsträgern oder von Sozialversicherungsträgern mit Tochtergesellschaften, an denen eine Beteiligung des Sozialversicherungsträgers besteht, oder mit juristischen Personen, die einem Sozialversicherungsträger gleichzuhalten sind (Versorgungsanstalt des österreichischen Notariats, Krankenfürsorgeanstalt, betrieblicher Gesundheitsfonds nach den §§ 5a f. ASVG), geführt wird, |
b) | nur Sozialversicherungsträger auf die Gestaltung dieser Datenverarbeitung, insbesondere auf die Einbeziehung anderer Stellen (z. B. Krankenfürsorgeanstalten, § 2 Abs. 1 Z 2 B-KUVG) entweder |
aa) | alleinigen Einfluss haben oder |
bb) | durch amtlich kundgemachte Rechtsvorschriften ein Einfluss anderer Stellen (z. B. Weisungsbindung im Rahmen eines übertragenen Wirkungsbereiches im Pflegegeld-Informationssystem, § 30c Abs. 1 Z 2 lit. a ASVG, § 5 SV-EG) vorgesehen ist. |
c) | die beteiligten Sozialversicherungsträger einen Zuständigen aus ihrem Kreis bestellt haben, welchem die Koordination allfälliger administrativer Abläufe beim Betrieb der gemeinsamen Datenverarbeitung (z. B. nach § 13 Abs. 6) übertragen ist. Bei Datenverarbeitungen, die im Anhang der REDV 2006 genannt sind, ist dies der dort genannte Sozialversicherungsträger, bei mehreren genannten übernimmt, falls keine anderen Festlegungen getroffen sind, diese Aufgabe der Dachverband bzw. dann, wenn dieser nicht genannt ist, der in der Liste nach § 4 Abs. 1 MKO erstgenannte Sozialversicherungsträger. |
2. | Der Zweck der Datenverarbeitung ist die Vollziehung der österreichischen Sozialversicherungsgesetze oder anderer amtlich kundgemachter Rechtsvorschriften, in denen ausdrücklich eine Mitarbeit von Sozialversicherungsträgern vorgesehen ist. |
3. | Die Mittel der Datenverarbeitung werden zumindest zum Teil von Sozialversicherungsträgern aufgebracht oder es handelt sich um Mittel, deren Heranziehung im Entscheidungsbereich der Sozialversicherungsträger liegt oder die durch amtlich kundgemachte Rechtsvorschriften dafür bereitzustellen sind (z. B. Kostenersätze nach § 6 Abs. 4 SV-EG). |
(2) Die SV-DSV ist eine nach Art. 26 Abs. 1 DSGVO vorgesehene Rechtsvorschrift des Mitgliedstaates Österreich. Sie ersetzt die nach Art. 26 DSGVO ansonsten vorgesehenen Vereinbarungen. Es werden folgende Regeln getroffen:
| | | | | | | | | | |
1. | Die Verpflichtungen nach der DSGVO, insbesondere die Informationspflichten nach Art. 13 und 14 DSGVO sowie die Erfüllung der Auskunftsverpflichtung nach Art. 15 DSGVO, sind (jeweils für die selbst verarbeiteten Daten) von jenen Sozialversicherungsträgern zu erfüllen, bei denen die betroffenen Personen versichert sind oder von denen sie (z. B. im Ruhestand) Leistungen erhalten, bei mehreren Sozialversicherungsträgern ist im Zweifel jener Sozialversicherungsträger als Anlaufstelle zuständig, an den die Meldung (§ 33 ff. ASVG usw.) zu richten war. |
2. | Liegt keine Versicherung vor, so ist jener Sozialversicherungsträger als Anlaufstelle zuständig, bei dem das letzte Versicherungsverhältnis bestand, im Zweifel jener Sozialversicherungsträger, an den die Meldung (§§ 33 ff. ASVG usw.) zu richten war. |
3. | Liegt auch keine frühere Versicherung vor, ist jener Sozialversicherungsträger als Anlaufstelle zuständig, der zuletzt für die betroffene Person eine e-card ausgestellt hat. |
4. | Wurde auch keine e-card nach Z 3 ausgestellt, ist dann, wenn von der betroffenen Person nachgewiesen wird, dass personenbezogene Daten von einem Sozialversicherungsträger in Österreich verarbeitet wurden, jener Sozialversicherungsträger als Anlaufstelle zuständig, der für die betroffene Person nach internationalem Sozialversicherungsrecht zuständig wäre (§ 7 SV-EG). |
5. | Anfragen, die sich auf die Informations- und/oder Auskunftsrechte nach der DSGVO stützen, aber bei einem unzuständigen Sozialversicherungsträger einlangen (Art. 26 Abs. 3 DSGVO), dürfen nicht zurückgewiesen werden, sondern sind an einen jeweils als zuständig ermittelten Verantwortlichen weiterzuleiten (§ 321 ASVG, § 183 GSVG, § 171 BSVG, § 119 B-KUVG, § 102 NVG 2020 usw.). Zu diesem Zweck dürfen personenbezogene Daten auch von einem unzuständigen Sozialversicherungsträger verarbeitet werden. |
6. | Allgemeine Auskünfte darüber, welche Sozialversicherungsträger als Anlaufstelle zur Wahrnehmung der Informationsrechte nach Art. 13 bis 15 DSGVO in Betracht kommen, sind von jedem Sozialversicherungsträger ungeachtet seiner Zuständigkeit, z. B. durch Übermittlung eines Versicherungsdatenauszuges, zu geben. |
(3) Der Dachverband hat der betroffenen Person auf Anfrage im Regelfall binnen eines Monats (Art. 12 DSGVO) Auskunft darüber zu geben, wer nach den bei ihm vorhandenen Daten dieser Person (§ 30c Abs. 1 Z 2 lit. a ASVG) für die Verarbeitung von Daten der betroffenen Person als möglicher Verantwortlicher in Betracht kommt oder mitzuteilen, dass kein möglicher Verantwortlicher betreffend der Daten der betroffenen Person gefunden werden konnte (Negativauskunft). Die Auskunft ist auf Grundlage der in der Anfrage genannten Daten (insb. Namens- und Geburtsdatumsschreibweisen) zu geben. Der Dachverband hat für Anfragen im Internet eine allgemeine Auskunftsmöglichkeit (z. B. über „meineSV“ – Kontaktformular, Abfragemöglichkeit des Versicherungsdatenauszuges) anzubieten. Dafür sind zur Identitätsprüfung die Regeln des E-Government zu verwenden (Bürgerkarte, E-ID, §§ 4 ff. E-GovG).
(4) Die Vorgangsweise bei der Datenverarbeitung hat sich im Rahmen der durch diese Verordnung, die REDV 2006 und die Sicherheits-Richtlinien SV-SR gegebenen Regeln zu halten.
(5) Im Verzeichnis der Verarbeitungstätigkeiten ist von jedem Sozialversicherungsträger eine Liste jener Datenverarbeitungen zu veröffentlichen, in denen er Daten gemeinsam im Sinn des Art. 26 DSGVO verarbeitet und welche die Kriterien nach Abs. 1 erfüllen. Für Datenverarbeitungen, welche die Kriterien des Abs. 1 nicht erfüllen, ist jeder Sozialversicherungsträger alleiniger Verantwortlicher und damit auch alleinige Ansprechstelle für die Wahrnehmung der Informations- und Auskunftsrechte betreffend die darin verarbeiteten Daten.