Datenschutzinformation zur Digitalen Impfverwaltung Bayern
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Datenschutzinformation zur Digitalen Impfverwaltung Bayern (Stand 14.10.2021)
Inhalt 1. W er stellt Ihnen diesen Dienst zur Verfügung und ist Verantwortlicher? 5 1.1 Wen können Sie bei datenschutzrechtlichen Fragen kontaktieren? 6 2. Was ist die Zielsetzung und der Zweck dieser Anwendung? 6 3. Was sind personenbezogene Daten? 7 4. W elche personenbezogenen Daten von Ihnen werden verarbeitet? 7 4.1 Bei der Registrierung und Anmeldung 7 4.1.1 Wenn Sie sich für die Impfung über das Webformular registrieren 7 4.1.2 W enn Sie sich telefonisch für die Impfung registrieren 7 4.1.3 Wenn Sie sich zur Impfung anmelden 8 4.1.4 Wenn Reihenimpfungen angelegt werden 8 4.2 Bei der Impfung und im Anschluss an die Impfung 9 4.3 Wenn Sie für das Impfzentrum arbeiten 9 4.4 Wenn Sie einen digitalen Impfnachweis wünschen 9 5. Auf welcher Rechtsgrundlage werden Ihre Daten von der Anwendung verarbeitet? 11 6. Geben wir Daten weiter? 11 6.1 Auftragsverarbeiter und externe Dienste 11 6.1.1 Betrieb und Wartung der Anwendung „BayIMCO“ (einschließlich Backend und Bereitstellung des digitalen Impfnachweises) 12 6.1.2 Versand von Mails und SMS 12 6.1.3 Bildung des Pseudonyms für die Weitergabe pseudonymisierter Daten an das Robert Koch-Institut 12 6.1.4 Archivierung der digitalen Impfverwaltung (Impfarchiv) für die Impfzentren bzw. mobilen Impfteams durch das Landesamt für Gesundheit und Lebensmittelsicherheit (LGL) 12 6.2 W eitergabe und Weiterverarbeitung von pseudonymisierten Daten sowie auf Wunsch des Impflings von nicht pseudonymisierten Daten 12 6.2.1 Robert Koch-Institut (RKI) 12 6.2.2 Landesamt für Gesundheit und Lebensmittelsicherheit (LGL) 13 6.2.3 Für Forschungszwecke 13 7. Wann löschen wir Ihre Daten? 13 7.1 A us der Anwendung „BayIMCO“ 13 7.2 Aus dem digitalen Impfarchiv 14 7.3 Aus den ärztlichen Akten 14 7.4 Aus dem Datenbestand für Kontaktaufnahme zu Forschungszwecken 14 8. Welche Rechte haben Sie? 14 8.1 Recht auf Auskunft 14 8.2 Recht auf Berichtigung 14 8.3 Recht auf Löschung 14 8.4 Recht auf Einschränkung der Verarbeitung 15 8.5 Datenübertragbarkeit 15 8.6 Recht auf Widerspruch 15 8.7 B estehen eines Beschwerderechts bei der Aufsichtsbehörde 15
1. W er stellt Ihnen diesen Dienst zur Verfügung und ist Verantwortlicher? Die Anwendung „BayIMCO“ (im weiteren Text nennen wir sie abgekürzt „Anwendung“) wird Ihnen vom Bayerischen Staatsministerium für Gesundheit und Pflege zur Verfügung gestellt: Bayerisches Staatsministerium für Gesundheit und Pflege Haidenauplatz 1 81667 München Telefon: +49 89 540233-0 Fax: +49 89 540233-90999 Gewerbemuseumsplatz 2 90403 Nürnberg Telefon: +49 911 21542-0 Fax: +49 911 21542-90999 E-Mail: poststelle@stmgp.bayern.de Die DSGVO (=Datenschutz-Grundverordnung) Immer, wenn Sie im weiteren Text „wir“ oder ist eine EU-Verordnung, die sicherstellt, dass „uns“ lesen, dann sind StMGP und das für Sie Ihre personenbezogenen Daten geschützt wer- zuständige Impfzentrum bzw. mobile Impfteam den. Nach der DSGVO ist das Bayerische Staats- gemeint. Welcher Betreiber des Impfzentrums ministerium für Gesundheit und Pflege (StMGP) bzw. mobile Impfteams für Sie zuständig ist, der Verantwortliche. Allerdings nicht allein. Denn hängt von Ihrer Wahl des Impfzentrums ab, bei die Impfungen werden im Auftrag des StMGP dem Sie die Impfung durchführen lassen. Sie von lokalen Impfzentren oder mobilen Impf- finden eine Auflistung aller Impfzentren in teams in den Landkreisen und kreisfreien Städ- Bayern unter https://www.stmgp.bayern.de/ ten Bayerns durchgeführt (vgl. § 3 Abs. 1 S. 1 Nr. coronavirus/impfung/. Dort können Sie auch den 2 CoronaImpfV i.d.F.v. 30.08.2021). Die Impfzen- verantwortlichen Betreiber und dessen An- tren und das StMGP sind nach DSGVO Art. 26 sprechpartner sowie die Kontaktdaten des „gemeinsame Verantwortliche“, wobei das Datenschutzbeauftragten einsehen. StMGP die Bereitstellung der Technik und die damit einhergehenden technischen und organi- Uns liegt sehr daran, Sie und Ihre Daten zu schüt- satorischen Maßnahmen zum Schutz Ihrer Da- zen. Daher bieten wir Ihnen mit dieser Anwen- ten und Privatsphäre sowie die bayernweite Da- dung die Möglichkeit, sich für Impfungen gegen tenmeldungen nach dem Bundesrecht (Robert das Covid-19 Virus anzumelden. Wir halten uns Koch-Institut und Paul-Ehrlich-Institut) sicher- dabei streng an die Vorgaben der DSGVO, des stellt und verantwortet. Die Betreiber der Impf- Bayerischen Datenschutzgesetzes, des Bundes- zentren und mobilen Impfteams dagegen arbei- datenschutzgesetzes, der bundesrechtlichen Co- ten tatsächlich mit Ihren Daten und verantworten ronavirus-Impfverordnung und der landesrechtli- diese Datenverarbeitung in den Impfzentren und che Coronavirus-Impf-Meldeverordnung. sind somit Ihr Ansprechpartner, wenn Sie Ihre Betroffenenrechte ausüben wollen (s. Kap 8). 5
In dieser Datenschutzinformation lassen wir Sie Dort finden Sie auch die Kontaktdaten des zu- wissen, welche personenbezogenen Daten wir ständigen Datenschutzbeauftragten. Den kon- von Ihnen zu welchem Zweck verarbeiten, auf kreten Namen und die Anschrift des Betreibers welchen Rechtsgrundlagen wir das machen und des gewählten Impfzentrums oder mobilen welche Rechte Sie als betroffene Person haben, Impfteams sowie die Kontaktdaten des Daten- wenn Sie diese Anwendung nutzen. schutzbeauftragten des Betreibers können Sie auch dem konkretisierten Aushang vor Ort ent- 1.1 Wen können Sie bei datenschutzrecht- nehmen. lichen Fragen kontaktieren? Verantwortlicher für die Datenverarbeitung Verantwortlicher für die Anwendung ist das Bay- vor Ort ist der Betreiber des von Ihnen gewähl- erische Staatsministerium für Gesundheit und ten Impfzentrums bzw. mobilen Impfteams, den Pflege, Haidenauplatz 1, 81667 München sowie Sie unter folgendem Link abrufen können: htt- Gewerbemuseumsplatz 2, 90403 Nürnberg. Den ps://www.stmgp.bayern.de/coronavirus/imp- Datenschutzbeauftragten erreichen Sie unter den fung/. genannten Adressdaten oder per E-Mail unter datenschutzbeauftragter@stmgp.bayern.de. 2. Was ist die Zielsetzung und der Zweck dieser Anwendung? Für die Unterstützung des Impfmanagements Impfchargen verarbeitet. Die Verarbeitung im di- der Bayerischen Covid-19-Impfzentren stellt das gitalen Impfarchiv des LGL findet erst nach der Bayerische Staatsministerium für Gesundheit ersten Impfung statt. Der Kontaktdatensatz bei und Pflege die Anwendung „BayIMCO“ für die Einwilligung der Kontaktierung zu Forschungs- Verwaltung von Anmeldungen und Abwicklung zwecken wird sofort nach der Zustimmung über- der Impfungen gegen Covid-19 zur Verfügung. tragen. Durch die zentrale Sicherstellung bayeri- Damit können personenbezogene Daten von scher Daten im digitalen Impfarchiv kann auch impfwilligen Bürgerinnen und Bürgern über ein nach Beendigung der Tätigkeiten der Impfzent- Webformular erfasst werden, um einen Termin ren bzw. mobilen Impfteams der Zugriff auf die für die Impfung vergeben und bestätigen zu kön- digitalen Daten gewährleistet werden. Außer- nen. Details über die Impfung werden damit ver- dem werden von den Impfzentren bzw. mobilen waltet und dem Impfpersonal für die Planung Impfteams pseudonymisierte Daten an das LGL und Durchführung zugänglich gemacht. Die in übermittelt, um hieraus ein Impfsurveillance ins- der Anwendung erfassten digitalen Daten wer- besondere im Hinblick auf Nebenwirkungen, Er- den dann pseudonymisiert durch das digitale krankungen trotz Impfungen zu ermöglichen Impfarchiv am Bayerischen Landesamt für Ge- (Bayerisches Impfmonitoring). Ein Zugriff auf sundheit und Lebensmittelsicherheit (LGL) im nicht pseudonymisierte Daten darf nur im be- Auftrag der bayerischen Impfzentren zum Zwe- gründeten Einzelfall erfolgen (siehe auch Kapitel cke der Nachverfolgung von Haftungsfragen, zur 5). Ausübung der Betroffenenrechte, zur digitalen Dokumentation und ggf. zur Nachverfolgung von 6
3. Was sind personenbezogene Daten? Unter personenbezogenen Daten sind alle Infor- Neben den „normalen“ personenbezogenen Da- mationen zu verstehen, die sich auf eine identifi- ten gibt es auch die umgangssprachlich „sensi- zierte oder identifizierbare natürliche Person be- bel“ genannten Daten. Nach der DSGVO heißen ziehen. Wir haben in der Entwicklung dieser diese „besondere Kategorien personenbezoge- Anwendung großen Wert daraufgelegt, so we- ner Daten“ (s. Art. 9 DSGVO). Gesundheitsdaten nig Daten wie möglich von Ihnen speichern zu sind z.B. solche sensiblen Daten. Diese müssen müssen. Denn: je weniger Personen Zugriff auf mit noch mehr Vorsicht behandelt werden. Ihre Daten haben, desto höher ist der Schutz Ih- rer Privatsphäre und desto geringer ist die Ge- In weiterer Folge informieren wir Sie nun darü- fahr einer Datenschutzverletzung. ber, welche Daten wir verarbeiten, wem wir die Daten übermitteln und was die Rechtsgrundlage dafür ist, dass wir das tun. 4. Welche personenbezogenen Daten von Ihnen werden verarbeitet? 4.1 Bei der Registrierung und Anmeldung Falls dies zutrifft, werden Sie bei der Kontaktauf- nahme gefragt, ob Sie der Zusammenführung 4.1.1 Wenn Sie sich für die Impfung über das von den Kontaktdaten und den medizinischen Webformular registrieren Daten zustimmen. Wenn Sie sich über das Web-Formular anmel- den wollen, müssen Sie erst einen Account an- Ihre bei der Registrierung angegebenen Ge- legen. Dazu müssen Sie einen Username und sundheitsdaten werden nicht im Rahmen der ein Passwort eingeben. Das Passwort legen wir Registrierung in der Anwendung „BayIMCO“ gehashed und somit nicht lesbar ab. Sie werden gespeichert. Durch die gänzliche Aufhebung der auch eine E-Mail-Adresse angeben müssen, da- Priorisierung erfolgt die Vergabe der Terminein- mit wir Ihnen ein Aktivierungslink für Ihren Ac- ladungen nunmehr einzig auf Basis des Regist- count schicken können. rierungsdatums des zu impfenden Bürgers. Zu Ihrem Account geben sie zunächst folgende 4.1.2 W enn Sie sich telefonisch für die Datenarten an: Impfung registrieren ● Identifikation (z.B. Name, Geburtsdatum, Wenn Sie die Registrierung zur Impfung nicht Geschlecht) über das Internet machen wollen, sondern lieber ● Wohnort (z.B. Straße, Postleitzahl, Ort) telefonisch, dann werden bis auf die Daten für ● Kontaktdaten (z.B. E-Mail, Telefonnummer) das Anlegen des Accounts (Username und Pass- ● Gesundheitsdaten (Kontraindikationen), die für wort) die gleichen Daten erhoben. Wie bei der die Impfung von Bedeutung sind. Online-Anmeldung werden Sie nach Ihrer Identi- fikation, Ihren Kontaktdaten, Ihrem Wohnort und Außerdem speichern wir das Datum Ihrer Regis- Ihrem Gesundheitszustand gefragt. Diese Daten trierung. Zudem nehmen wir auf, ob Sie die frei- werden mit Ausnahme der Kontraindikation in willige Einwilligung zur Kontaktierung für weiter- der Anwendung „BayIMCO“ erfasst und ge- gehende Forschungen in Zusammenhang mit speichert. Covid-19 erteilt haben. 7
4.1.3 Wenn Sie sich zur Impfung anmelden vulnerablen Gruppen sowie Personen mit einer Das von Ihnen gewählte Impfzentrum orientiert Immunschwäche oder Immunsuppression so- sich für die Reihenfolge der Einladung zur Imp- wie pflegebedürftige Menschen in ihrer eigenen fung nunmehr einzig an dem Datum der Regist- Häuslichkeit und Menschen ab 80 Jahren. Auch rierung der zu impfenden Person. Personen, die eine vollständige Impfserie mit ei- Wenn Sie sich registriert haben, dann werden nem Vektor-Impfstoff erhalten haben, wird im Sie je nach Wunsch per Mail, SMS oder Telefon Sinne einer gesundheitlichen Vorsorge eine wei- informiert, sobald ein Impftermin für Sie zur Ver- tere Impfung angeboten: Dies betrifft Personen, fügung steht. Für die Anmeldung zur Impfung die zwei Impfstoffdosen Vaxzevria® von Astra- werden in diesem Schritt folgende Kontraindika- Zeneca oder eine Impfstoffdosis COVID-19i Vac- tionen abgefragt: cine Janssen® von Janssen Cilag International/ ● Hatten Sie in den letzten 6 Monaten eine Johnson&Johnson oder die eine Impfstoffdosis labordiagnostizierte COVID 19 Erkrankung? eines Vektor-Impfstoffs nach einer nachgewie- ● Liegt eine Schwangerschaft vor? senen Infektion mit dem neuartigen Coronavirus erhalten haben. Diese Gesundheitsdaten werden allerdings im Rahmen der Registrierung nicht in unserer An- 4.1.4 Wenn Reihenimpfungen angelegt wendung „BayIMCO“ erfasst und gespeichert, werden sondern nur als Entscheidungsgrundlage ge- Wenn Sie im Rahmen einer Reihenimpfung für nutzt, ob eine Impfung zugelassen werden soll. Personal und Bewohnerinnen und Bewohner z.B. in vollstationären Einrichtungen der Pflege Für einen ausreichenden Erstimpfschutz muss geimpft werden möchten, melden Sie sich bei der Impfstoff zweimal (Ausnahme Impfstoff von Ihrer Einrichtung dazu an. Zuvor werden Sie von Johnson & Johnson sowie bei einer vorherigen der Einrichtung Informationsmaterial (Einwilli- Corona-Infektion: nur einmal) in einem von der gung, Aufklärungsmerkblatt, Datenschutzhin- Ständigen Impfkommission empfohlenen Ab- weis) erhalten. Durch die Meldung Ihrer Impfbe- stand verabreicht werden. Falls Sie sich zuvor reitschaft bei der Einrichtung willigen Sie noch nicht in der Anwendung registriert hatten, zugleich ein, dass die Einrichtung nachfolgende aber schon einen Impftermin hinter sich haben, Daten an das zuständige Impfzentrum bzw. mo- dann werden Sie gebeten, Informationen über bile Impfteam übersendet: die erste Impfung anzugeben. Diese werden zu- ● Vor- und Nachname sammen mit der Angabe ob und wie Sie gern ● Geschlecht kurz vor dem Impftermin erinnert werden wol- ● Geburtsdatum len (z.B. per Mail oder SMS) in der Datenbank ● und ggf. ob eine gesetzliche Betreuung erfasst. vorliegt. Auffrischungsimpfungen werden im Sinne ei- Dies ist notwendig, damit das mobile Impfteam ner gesundheitlichen Vorsorge für Personen an- die Impfung in der Einrichtung vor Ort veranlas- geboten, bei denen nach einer vollständigen sen kann. Sie können die Einwilligung in die Da- Impfung möglicherweise keine ausreichende tenübermittlung durch die Einrichtung bis zum oder eine schnell nachlassende Immunantwort Zeitpunkt der Übermittlung an das mobile Impf- vorliegt. team gegenüber der Einrichtung widerrufen. Die Einwilligung in die Übermittlung Ihrer Daten Zu diesen Personen gehören insbesondere Be- durch die Einrichtung an das mobile Impfteam wohnerinnen und Bewohner von Pflegeeinrich- ist unabhängig von Ihrer zivil- und strafrechtli- tungen, Einrichtungen für Menschen mit Behin- chen Einwilligung in die Impfung selbst. Die Da- derungen und weitere Einrichtungen mit tenverarbeitung bei der späteren Impfung erfolgt 8
dann auf der Grundlage der im Kapitel 5 aufge- nal wird eine Impfdokumentation in Papierform führten gesetzlichen Bestimmungen. aufbewahren. Dort werden auch die für die Impfdokumentation wesentlichen gesetzlichen Wenn Sie zur Impfung registriert werden, dann Angaben festgehalten. werden Ihre personenbezogenen Daten nicht in der Datenbank gespeichert. In der Datenbank Im Anschluss an die Impfung werden die digita- wird aber nur die Anzahl der pro Einrichtung zu len Daten im Auftrag der Impfzentren zentral für impfenden Personen gespeichert. die digitale Dokumentation sowie für die Nach- verfolgung von gesetzlichen Pflichten, insbeson- Wenn Sie die Person sind, die die Reihenimp- dere Haftungsfälle in eine separate digitale Da- fung anlegt, dann werden Ihre Identifikations- tenbank des digitalen Impfarchivs des LGL und Kontaktdaten für die Zwecke der Verwal- übertragen (Auftragsverarbeitung für die Impf- tung der Impfung in der Anwendung „BayIMCO“ zentren). Die Daten sind mit einem Schlüssel gespeichert. des Bayerischen Staatsministeriums für Ge- sundheit und Pflege verschlüsselt und können 4.2 Bei der Impfung und im Anschluss an somit nur vom digitalen Impfarchiv des LGL ge- die Impfung lesen werden. Die Daten werden nur in gesetz- Wenn Sie zur Impfung kommen, dann bringen lich vorgesehenen und zulässigen Fällen ent- Sie bitte unbedingt Ihren Personalausweis und schlüsselt. (sofern vorhanden) den gelben Impfpass oder andere Nachweise von vorherigen Covid-19 Imp- An wen Daten weitergegeben werden können fungen mit. Bei der Anmeldung im Impfzentrum finden Sie in Kapitel 6. werden neben den bestehenden Daten noch weitere Daten von Ihnen wie beispielsweise er- 4.3 Wenn Sie für das Impfzentrum arbeiten fasst: Wenn Sie für das Impfzentrum mit der Anwen- ● Impfdatum, Impfstoff und Impfdosis dung arbeiten, dann werden Ihre Identifikations- ● Besonderheiten bei Anamnese/ Medikation/ und Zugangsdaten gespeichert sowie Daten, die Untersuchung wir für die Protokollierung benötigen, um un- ● ob Sie eine ungewöhnliche Reaktion auf die sachgemäßen oder unrechtmäßigen Gebrauch Impfung haben/ hatten ermitteln zu können. Der Name der für die Imp- ● wie Sie die erste Impfung vertragen haben fung verantwortlichen Ärztin bzw. des Arztes (falls das Ihr zweiter Impftermin ist) wird in den Impfdaten erfasst. ● zudem wird bei der Auffrischungsimpfung auch noch der Grund der Impfung (Alter, 4.4 Wenn Sie einen digitalen Impfnachweis vorherige Impfung mit Vektorimpfstoff, siehe wünschen Ausführungen bei Kapitel 4.1.3) sowie Auffäl- ● In der Regel erhält die vollständig geimpfte ligkeiten bei der vorherigen Impfung verarbei- Person direkt im Anschluss an die Impfung im tet. Impfzentrum den digitalen Impfnachweis (auch Impfzertifikat genannt). Zudem wird Nach der Impfung wird für Sie bei der Erstimp- bereits ein Teilnachweise über die 1. Impfung fung ein Impfnachweis ausgedruckt. Diesen be- ausgestellt, wenn die 2. Impfung noch erfor- wahren Sie bitte wieder gut auf für den nächs- derlich ist und aussteht. Bei einer Auffri- ten Impftermin. Denn die Daten werden nach schungsimpfung wird ebenfalls der digitale der Impfung aus der Anwendung „BayIMCO“ Impfnachweis unmittelbar nach der Impfung entfernt, sofern sie nicht deren längerfristige ausgehändigt. Beim digitalen Impfnachweis Speicherung ausgewählt haben (vgl. dazu Aus- handelt es sich um einen QR-Code. Dieser führungen unter Kapitel 7.1). Das ärztliche Perso- wird Ihnen auf einem ausgedruckten Papier 9
ausgehändigt. Der digitale Impfnachweis nachweis erstellen lassen. (gilt auch für (QR-Code) wird z.B. über die CovPass App Auffrischungsimpfungen). Wenn Sie einen oder die Corona-Warn-App (CWA) digital oder digitalen Impfnachweis (QR-Code) erhalten alternativ durch den beim Impfen erhaltenen wollen, dann werden zur Erstellung dieses Ausdruck des QR-Codes genutzt. Der Impf- QR-Codes personenbezogene Daten (Name, nachweis enthält nur Informationen zum Vorname, Geburtsdatum), Daten zur Impfung Impfstatus, den Namen des Geimpften, das (Bezeichnung und Chargenbezeichnung des Geburtsdatum sowie Impfstoff, Impfdatum Impfstoffs, Datum der Erst- und Zweitimp- und Impfdosis. Für Dienstleister, die den fung sowie Vorschlag für Termin zur Folge-/ Impfstatus überprüfen möchten, gibt es eine Auffrischungsimpfung, Name und Anschrift Prüf-App. Damit kann der Impfstatus ähnlich der für die Durchführung der Schutzimpfung wie ein Barcode eines Flug- oder Bahntickets verantwortlichen Person) aus den manuell gescannt werden. Alternativ bleibt auch ein durch die Apotheke oder das Impfzentrum Nachweis mit dem gelben Impfpass in Papier- eingegeben Daten des gelben Impfpasses form möglich. Wenn Sie einen digitalen sowie des Personalausweises über eine Impfnachweis (QR-Code) erhalten wollen, technisch autorisierte Schnittstelle an den dann werden zur Erstellung dieses QR-Codes Server des RKI weitergeleitet (siehe hierzu personenbezogene Daten (Name, Vorname, Kapitel 6.2.1), damit hieraus ein fälschungssi- Geburtsdatum), Daten zur Impfung (Bezeich- cherer signierter QR-Code erstellt und ausge- nung und Chargenbezeichnung des Impf- druckt werden kann. Der signierte QR-Code stoffs, Datum der Erst- und Zweitimpfung kann in einer Impflings-App (CovPass App sowie Vorschlag für Termin zur Folge-/Auffri- oder die Corona-Warn-App) gespeichert und schungsimpfung, Name und Anschrift der für bei Bedarf angezeigt werden. Ein Dritter kann die Durchführung der Schutzimpfung verant- mithilfe einer Prüf-App (enthält den/die öffent- wortlichen Person) aus den digitalen Daten lichen Schlüssel) den QR-Code auf dem der Impfzentren bzw. des mobilen Impfteams Mobiltelefon des Geimpften (oder auf Papier) über eine technisch autorisierte Schnittstelle einscannen und die darin enthaltenen Daten an den Server des RKI weitergeleitet (siehe entschlüsseln. Die personenbezogenen Daten hierzu Kapitel 6.2.1), damit hieraus ein fäl- (Informationen zum Impfstatus, den Namen schungssicherer signierter QR-Code erstellt des Geimpften, das Geburtsdatum sowie und zurückgesandt werden kann. Bürgerinnen Impfstoff, Impfdatum und Impfdosis) sind nur und Bürger sollten die ausgehändigten QR- im QR-Code gespeichert und über diesen in Codes aufbewahren, um sie bei Bedarf einer Impflings-App dezentral auf dem Gerät erneut einscannen zu können (z.B. bei einem des Impflings verfügbar. Die digitalen Impf- Handywechsel). nachweise werden beim RKI nur temporär im ● Alternativ können Sie sich unter Vorlage Ihres Impfprotokollierungssystem erstellt und gelben Impfpasses und Ihres Personalauswei- anschließend gelöscht. Beim RKI erfolgt keine ses in teilnehmenden Apotheken oder im gesonderte zentrale Speicherung der Daten Impfzentrum manuell einen digitalen Impf- des Impfnachweises. 10
5. Auf welcher Rechtsgrundlage werden Ihre Daten von der Anwendung verarbeitet? Rechtsgrundlage für die Verarbeitung Ihrer Da- UAbs. 1 Buchst. a, Art. 9 Abs. 2 Buchst. a ten in der Digitalen Impfverwaltung, einschließ- DSGVO, lich der Anwendung „BayIMCO“ sind ● für die pseudonymisierte Datenübermittlung zu Forschungszwecken in begründeten ● für die Impfung sowie der gesamten darauf- Einzelfällen durch das LGL an Krankenhäuser folgenden Datenverarbeitung bis einschließ- in öffentlich-rechtlicher Trägerschaft im lich der Aufbewahrung bei einem öffentlichen Anwendungsbereich der DSGVO nach Art. 6 Betreiber des Impfzentrums bzw. mobilen Abs. 1 UAbs. 1 Buchst. e, Abs. 3 UAbs. 1 Impfteams Art. 6 Abs. 1 UAbs. 1 Buchst. e, Buchst. b, 9 Abs. 2 Buchst. j DSGVO i.V.m. Abs. 3 UAbs. 1 Buchst. b, Art. 9 Abs. 2 § 2 Abs. 2 Satz 3 Coronavirus-Impf-Melde Buchst. h, Abs. 3 DSGVO i.V.m. Art. 4 Abs. 1, verordnung, 8 Abs. 1 Satz 1 Nr. 3 BayDSG, ● für das Bayerische Impfmonitoring durch das ● für die Impfung sowie der gesamten darauf- LGL nach Art. 6 Abs. 1 UAbs. 1 Buchst. e, folgenden Datenverarbeitung bis einschließ- Abs. 3 UAbs. 1 Buchst. b, 9 Abs. 2 Buchst. i) lich der Aufbewahrung bei einem privaten DSGVO i.V.m. § 2 Abs. 1 Coronavirus-Impf- Betreiber des Impfzentrums bzw. mobilen Meldeverordnung. Impfteams Art. 6 Abs. 1 UAbs. 1 Buchst. e, ● für die Erstellung des digitalen Impfnachwei- Abs. 3 UAbs. 1 Buchst. b, 9 Absatz 2 Buchst. ses Art. 6 Abs. 1 UAbs. 1 Buchst. e, Abs. 3 h DSGVO i.V.m. § 22 Absatz 1 Nr. 1 Buchst. UAbs. 2 Buchst. b, Art. 9 Abs. 2 Buchst. h, b) und c) BDSG, Abs. 3 DSGVO i.V.m. § 22 Abs. 5 IfSG. ● für die Einwilligung zur Kontaktaufnahme für eine weitergehende Forschung Art. 6 Abs. 1 6. Geben wir Daten weiter? Eine Weitergabe Ihrer personenbezogenen Da- In folgenden Fällen kann es zu einer Übermitt- ten erfolgt neben den explizit in dieser Daten- lung Ihrer personenbezogenen Daten kommen: schutzinformation genannten Fällen nicht. Die Da- ten, die im Rahmen der Anwendung „BayIMCO“ 6.1 Auftragsverarbeiter und externe Dienste von Ihnen angegeben werden, werden vom Per- Wir sind für die Erbringung unseres Dienstes im sonal des Impfzentrums bzw. mobilen Impf- Rahmen der Anwendung auf externe Dienstleis- teams und den Personen, die Ihre Daten am Te- ter angewiesen, die nach der DSGVO als Auf- lefon entgegennehmen für die Koordination oder tragsverarbeiter bezeichnet werden. Eine Wei- Durchführung der Impfungen verarbeitet. Im An- tergabe der personenbezogenen Daten ist schluss an die Impfung werden die Daten aus dadurch gerechtfertigt, dass wir unsere exter- der Anwendung gelöscht (sofern Sie nicht aktiv nen Dienstleister im Rahmen von Art. 28 Abs. 1 deren weitere Speicherung auswählen (vgl. Ka- DSGVO als Auftragsverarbeiter sorgfältig ausge- pitel 7.1)) und in eine separate, nur dem digitalen wählt, regelmäßig überprüft und vertraglich ver- Impfarchiv des LGL zugänglichen Datenbank pflichtet haben, sämtliche personenbezogenen überführt. Daten ausschließlich entsprechend unserer Wei- sungen zu verarbeiten und sich an die DSGVO zu halten. 11
Folgende Dienste sind dies konkret: 6.1.4 Archivierung der digitalen Impfverwal- tung (Impfarchiv) für die Impfzentren bzw. 6.1.1 Betrieb und Wartung der Anwendung mobilen Impfteams durch das Landesamt „BayIMCO“ (einschließlich Backend und für Gesundheit und Lebensmittelsicherheit Bereitstellung des digitalen Impfnachwei- (LGL) ses) Bayerisches Landesamt für Gesundheit und Accenture GmbH Lebensmittelsicherheit Campus Kronberg 1 Digitales Impfarchiv der bayerischen 61476 Kronberg im Taunus Corona-Impfzentren Schweinauer Hauptstr. 80 Accenture besorgt unter Heranziehung des fol- 90441 Nürnberg genden weiteren Dienstleisters das Hosting und den technischen Betrieb der Anwendung „Bay- Kontakt: impfarchiv@lgl.bayern.de IMCO“ einschließlich der Bereitstellung des di- gitalen Impfnachweises. Von diesem werden 6.2 W eitergabe und Weiterverarbeitung von auch die Server sowie die Wartung im Störungs- pseudonymisierten Daten sowie auf fall und die technische Datensicherheit sicherge- Wunsch des Impflings von nicht pseud- stellt. Das von Accenture genutzte Rechenzent- onymisierten Daten rum für das Hosting der Anwendung „BayIMCO“ 6.2.1 Robert Koch-Institut (RKI) ist: Für den Zweck der Feststellung der Inanspruch- NTT Global Data Centers EMEA GmbH nahme von Schutzimpfungen und von Impfef- Voltastraße 15 fekten (Impfsurveillance) sind nach § 13 Abs. 5 DE-65795 Hattersheim des Infektionsschutzgesetzes und § 4 Abs. 1 CoronaImpfV (i.d.F.v. 30.08.2021) bestimmte 6.1.2 Versand von Mails und SMS Impfdaten in pseudonymisierter Form an das retarus GmbH Robert Koch-Institut zu übermitteln. Aschauerstaße 30 81549 München Darüber hinaus werden folgende (nicht pseudo- nymisierte) Daten an das RKI geleitet, damit da- Zur Kommunikation mit Ihnen, insbesondere für raus der QR-Code für den digitalen Impfnach- die Aufforderung zur Impfung, Impfterminerin- weis erstellt wird (siehe hierzu Kapitel 4.4): nerung oder -absage via Mail oder SMS, werden Datum der Erst- und Zweitimpfung, Bezeich- die Services von retarus genutzt. nung und Chargenbezeichnung des Impfstoffes, Name der Krankheit, gegen die geimpft wurde, 6.1.3 Bildung des Pseudonyms für die Name der geimpften Person, deren Geburtsda- Weitergabe pseudonymisierter Daten an tum und Name und Anschrift der für die Durch- das Robert Koch-Institut führung der Schutzimpfung verantwortlichen Bundesdruckerei GmbH Person sowie Bestätigung in Schriftform oder in Kommandantenstraße 18 elektronischer Form mit einer qualifizierten elek- 10969 Berlin tronischen Signatur oder einem qualifizierten elektronischen Siegel durch die für die Durch- führung der Schutzimpfung verantwortliche Per- son. Zudem ist eine ggf. vorliegende Information über notwendige Folge- und Auffrischungsimp- fung mit Terminvorschlägen zu übermitteln. 12
6.2.2 Landesamt für Gesundheit und fentliche Stellen) sowie § 75 SGB X für Sozialda- Lebensmittelsicherheit (LGL) ten verarbeitet werden. Für Zwecke der landesweiten Prophylaxe und Verhütung der übertragbaren Krankheit SARS- Eine Übermittlung von pseudonymisierten Da- CoV-2 sowie zur epidemiologischen Überwa- ten der epidemiologischen Überwachung durch chung werden bestimmte Impfdaten in pseudo- das LGL an Krankenhäuser in öffentlich-rechtli- nymisierter Form auf der Grundlage des § 1 Abs. cher Trägerschaft zum Zwecke der Forschung 1 Coronavirus-Impf-Meldeverordnung von den über Covid-19, insbesondere von Impfeffekten Impfzentren an das LGL (Bayerisches Impfmoni- und Impfdurchbrüchen erfolgt nur nach § 2 Abs. toring) übermittelt. 2 Satz 3 Coronavirus-Impf-Meldeverordnung. Dies ist ausschließlich in begründeten Einzelfäl- 6.2.3 Für Forschungszwecke len möglich und nur insoweit als die Kranken- Zu Forschungswecken können pseudonymisier- häuser in öffentlich-rechtlicher Trägerschaft dem te Daten nach Art. 9 Abs. 2 lit. j DSGVO i.V.m. Anwendungsbereich der DSGVO unterliegen. Art. 6 Abs. 2 Nr. 3 c BayDSG (öffentliche Stellen Ein Kontakt zu Ihnen wird nur aufgenommen, des Freistaats Bayern) bzw. § 27 BDSG (nichtöf- wenn Sie vorher hierzu eingewilligt haben. 7. Wann löschen wir Ihre Daten? Wir löschen Ihre Daten, sobald sie für die Zwe- Die Regellöschung personenbezogener Impfda- cke, für die wir sie erhoben haben, nicht mehr ten aus der Anwendung „BayIMCO“ erfolgt notwendig sind und es keine gesetzlichen Auf- nach Ablauf von 21 Tagen nach der zweiten Imp- bewahrungsfristen gibt. Sie haben die Möglich- fung (bzw. bei Johnson & Johnson oder Einzel keit Ihre Daten auf Wunsch in BayIMCO für eine impfung nach vorheriger Corona-Infektion be- etwaige Auffrischungsimpfung zu speichern, reits nach der ersten Impfung bzw. Auf- wodurch die Daten bis zur Auflösung des Sys- frischungsimpfung. Unmittelbar nach der voll- tems oder bis zu Ihrer manuellen Löschung der ständigen Impfung erfolgt eine Information über Daten in BaIMCO verarbeitet werden. Wie die die anstehende Löschung in 21 Tagen, damit manuelle Löschung einzelner Person in BayIM- ggf. noch die verlängerte Speicherung der Daten CO durchgeführt werden kann, ist in den Ant- in BayIMCO ausgewählt werden kann. worten zu häufigen Fragen (FAQ) zur Registrie- Hat eine Person die erste Impfung wahrgenom- rung und Terminvereinbarung in BayIMCO auf men, aber noch keinen zweiten Impftermin ver- der Startseite www.impfzentren.bayern erklärt. einbart, wird die Person nach 30 Tagen deakti- viert und deren Daten nach weiteren 21 Tagen 7.1 A us der Anwendung „BayIMCO“ aus der Anwendung gelöscht, sofern sie keine Seit 16. September können Online angemeldete verlängerte Speicherung ihrer Daten in BayIM- Bürger, die enthaltenen Personendaten dieses CO ausgewählt hat. Die Person wird nach 30 Kontos in BayIMCO beibehalten, wodurch die Tagen in der Anwendung deaktiviert und deren unten angeführten Löschregeln auf expliziten Daten nach weiteren 21 Tagen gelöscht, wenn Wunsch des Anwenders ausgesetzt werden. sie sich zwar registriert hat, aber nicht auf die Damit bleibt das Konto mit dieser Person bis zur Termineinladung reagiert hat und somit keine Systemauflösung oder der manuellen Löschung Impfung wahrgenommen hat und sie keine ver- (siehe Ausführungen in Kapitel 7.) durch den An- längerte Speicherung ihrer Daten in BayIMCO wender bestehen. ausgewählt hat. Im Falle der verlängerten Spei- 13
cherung werden die Daten mit Systemauflösung geschützt verschlüsselt sind, werden die Daten oder mit manueller Löschung durch den Bürger in der Regel 10 Jahre aufbewahrt; in Einzelfällen in der Onlineplattform gelöscht. Die personen- kann eine kürzere oder auch längere Aufbewah- bezogenen Daten einer Person werden gelöscht, rungsdauer erforderlich sein. wenn diese sich registriert hat, ihren Account aber nach einer Woche noch nicht aktiviert hat. 7.3 Aus den ärztlichen Akten Ärztliche Aufzeichnungen sind für die Dauer von Protokolldaten aus der Anwendung „BayIMCO“ zehn Jahren nach Abschluss der Behandlung löschen wir nach 90 Tagen. Zugangsdaten des aufzubewahren, soweit nicht nach gesetzlichen Impf- und Verwaltungspersonals werden bis zur Vorschriften eine längere Aufbewahrungspflicht Löschung des Accounts durch den Administra- besteht (vgl. § 10 Abs. 3 BO, § 630f Abs. 3 BGB tor gespeichert. Der Name der für die Impfung sowie für den vertragsärztlichen Bereich § 57 verantwortlichen Ärztin bzw. des Arztes wird Abs. 2 BMV-Ä). nach der Impfung an das digitale Impfarchiv des LGL übertragen und aus der Anwendung „Bay- 7.4 Aus dem Datenbestand für Kontakt- IMCO“ gelöscht. aufnahme zu Forschungszwecken Wenn Sie in der Anwendung „BayIMCO“ Ihre 7.2 Aus dem digitalen Impfarchiv Einwilligung erteilt haben, für Forschungszwe- Nachdem die Daten aus der Anwendung „Bay- cke im öffentlichen Interesse kontaktiert zu wer- IMCO“ an das digitale Impfarchiv übertragen den, dann werden Ihre Kontaktdaten für diesen wurden, werden sie aus der Anwendung ge- Zweck bis zum Widerruf Ihrer Einwilligung auf- löscht (s. Kap. 7.1). In der separaten Datenbank bewahrt. Wenn absehbar keine Forschungsvor- des digitalen Impfarchivs des LGL, in dem die haben mehr durchgeführt werden, sind auch Daten mit dem Schlüssel des Bayerischen diese Kontaktdaten zu löschen. Staatsministerium für Gesundheit und Pflege 8. Welche Rechte haben Sie? 8.1 Recht auf Auskunft das für Sie zuständige und ausgewählte Impf- Sie haben das Recht, von uns jederzeit auf An- zentrum bzw. mobile Impfteam. trag eine Auskunft über die von uns verarbeite- ten, Sie betreffenden personenbezogenen Da- 8.3 Recht auf Löschung ten im Umfang des Art. 15 DSGVO zu erhalten. Sie haben das Recht, unter den in Art. 17 DSG- Bitte richten Sie Ihren Auskunftsanspruch an VO beschriebenen Voraussetzungen von uns die das jeweilige Impfzentrum, das Ihre Daten verar- Löschung der Sie betreffenden personenbezo- beitet. Wenn Sie bereits vollständig geimpft genen Daten zu verlangen. Diese Voraussetzun- sind, können Sie sich alternativ auch an das digi- gen sehen insbesondere ein Löschungsrecht tale Impfarchiv (impfarchiv@lgl.bayern.de) wen- vor, wenn die personenbezogenen Daten für die den. Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwen- 8.2 Recht auf Berichtigung dig sind, sowie in Fällen der unrechtmäßigen Sie haben das Recht, von uns die unverzügliche Verarbeitung. Für die Löschung können Sie sich Berichtigung der Sie betreffenden personenbe- entweder an das für Sie zuständige und ausge- zogenen Daten zu verlangen, sofern diese un- wählte Impfzentrum bzw. mobile Impfteam richtig sein sollten. Bitte wenden Sie sich hier an wenden, oder in der geöffneten Impfanwen- 14
dung „Person löschen“ oder „Daten und Ac- dann zur Unterlassung der Verarbeitung, wenn count löschen“ auswählen. der Widerspruch durch besondere Gründe ge- Sie haben das Recht, Ihre Einwilligung für die Er- rechtfertigt ist. Wir verarbeiten die personenbe- fassung Ihrer Kontaktdaten für die weiterführen- zogenen Daten nicht mehr, es sei denn, wir kön- de Forschung jederzeit zu widerrufen. Darauffol- nen zwingende schutzwürdige Gründe für die gend haben Sie ebenfalls das Recht auf Verarbeitung nachweisen, die Ihre Interessen, Löschung. Rechte und Freiheiten überwiegen, oder die Ver- arbeitung dient der Geltendmachung, Ausübung 8.4 Recht auf Einschränkung der oder Verteidigung von Rechtsansprüchen. Verarbeitung Wenn Ihre Daten unrechtmäßig verarbeitet wur- 8.7 B estehen eines Beschwerderechts bei den, können Sie sie entweder löschen (lassen) der Aufsichtsbehörde oder auch die Einschränkung der Verarbeitung Sofern sich Ihre Beschwerde auf eine Datenver- fordern. arbeitung eines privaten Impfzentrums mit Sitz in Bayern bezieht, wenden Sie sich bitte an fol- Sie haben das Recht, von uns die Einschränkung gende Stelle: der Verarbeitung nach Art. 18 DSGVO zu verlan- gen. Dieses Recht besteht insbesondere, wenn Bayerisches Landesamt für Datenschutzaufsicht die Richtigkeit der personenbezogenen Daten Anschrift: Postfach 1349; 91504 Ansbach zwischen Ihnen und uns umstritten ist für die Dauer, welche die Überprüfung der Richtigkeit Sofern sich Ihre Beschwerde auf eine Datenver- erfordert. arbeitung durch eine öffentliche Stelle mit Sitz in Bayern bezieht (z.B. BRK, Uniklinik, Kreisverwal- Sie können auch anstelle des Rechts auf Lö- tungsbehörde, kreisfreie Stadt oder StMGP) schung die Einschränkung der Verarbeitung ver- wenden Sie sich bitte an folgende Stelle: langen, wenn die Daten für die von uns verfolg- ten Zwecke nicht länger erforderlich sind, und Bayerischer Landesbeauftragter für den Daten- Sie sie jedoch zur Geltendmachung, Ausübung schutz oder Verteidigung von Rechtsansprüchen benö- Anschrift: Postfach 22 12 19, 80502 München tigen. Sofern sich Ihre Beschwerde auf eine Datenver- 8.5 Datenübertragbarkeit arbeitung eines privaten Impfzentrums mit Sitz Sie haben das Recht, die Daten die Sie uns be- in Baden-Württemberg bezieht (z.B. Huber reitgestellt haben auf der Grundlage eines Ver- Group), wenden Sie sich bitte an folgende Stelle: trags oder Einwilligung, in einem strukturierten, gängigen, maschinenlesbaren Format nach Der Landesbeauftragte für den Datenschutz und Maßgabe des Art. 20 DSGVO zu erhalten. die Informationsfreiheit Baden-Württemberg Anschrift: Postfach 10 29 32, 70025 Stuttgart, 8.6 Recht auf Widerspruch Königstraße 10a, 70173 Stuttgart Bei allen Verarbeitungen, die wir auf Grundlage von Art. 6 Abs. 1 lit. e DSGVO durchführen, steht Sofern sich Ihre Beschwerde auf eine Datenver- Ihnen ein Recht auf Widerspruch gemäß Art. 21 arbeitung eines Impfzentrums mit Sitz oder Nie- Abs. 1 DSGVO zu. Das bedeutet Sie können der derlassung in Nordrhein-Westfalen bezieht (z. B. Datenverarbeitung aus Gründen, die sich aus ih- Ecolog Deutschland GmbH), wenden Sie sich rer besonderen Situation ergeben, jederzeit wi- bitte an folgende Stelle: dersprechen. Ein Widerspruch führt jedoch nur 15
Landesbeauftragte für Datenschutz und Informa Herr Rechtsanwalt Dieter Fuchs tionsfreiheit Nordrhein-Westfalen Anschrift: Wittelsbacherring 9, 53115 Bonn, Anschrift: Postfach 20 04 44, 40102 Düsseldorf E-Mail: fuchs@orden.de Sofern sich Ihre Beschwerde auf eine Datenver- Information zur Bereitstellung der personenbe- arbeitung durch eine Stelle der Evangelischen zogenen Daten: Kirche bezieht (z.B. Johanniter-Unfall-Hilfe e.V.) wenden Sie sich bitte an folgende Stelle: Nachdem Sie sich entschieden haben, an der Schutzimpfung teilzunehmen, erfolgt die Date- Der Beauftragte für den Datenschutz der Evan- nerfassung Ihrer personenbezogenen Daten auf gelischen Kirche in Deutschland den unter Ziffer 5 und 6 genannten Rechtsgrund- Anschrift: Außenstelle Berlin, Invalidenstraße lagen. Die Bereitstellung unterliegt damit ge- 29, 10115 Berlin setzlichen Vorgaben, ohne die die Datenverar- beitung bei der Impfung nicht durchgeführt Sofern sich Ihre Beschwerde auf eine Datenver- werden kann. arbeitung eines Impfzentrums des Malteser Hilfsdienstes bezieht, wenden Sie sich bitte an Datum der letzten Aktualisierung dieser Daten- folgende Stelle: schutzinformation: 14.10.2021 16
BAYERN | DIREKT ist Ihr direkter Draht zur Bayerischen Staatsregierung. Unter Telefon 089 12 22 20 oder per E-Mail unter direkt@bayern.de erhalten Sie Informationsmaterial und Broschüren, Auskunft zu aktu ellen Themen und Internetquellen sowie Hinweise zu Behörden, zuständigen Stellen und Ansprechpartnern bei der Bayerischen Staatsregierung. IMPRESSUM Herausgeber: Bayerisches Staatsministerium für Gesundheit und Pflege Haidenauplatz 1 Gewerbemuseumsplatz 2 81667 München 90403 Nürnberg Telefon: +49 89 540 233-0 Telefon: +49 911 215 42-0 Fax: +49 89 540 233-90 999 Fax: +49 911 215 42-90 999 Gestaltung: CMS – Cross Media Solutions GmbH, Würzburg Druck: Ortmaier Druck GmbH Stand: Oktober 2021 Artikelnummer: stmgp_gesund_136 HINWEIS iese Druckschrift wird kostenlos im Rahmen der Öffentlichkeitsarbeit der Bayerischen Staatsregierung D herausgegeben. Sie darf weder von den Parteien noch von Wahlwerbern oder Wahlhelfern im Zeitraum von fünf Monaten vor einer Wahl zum Zweck der Wahlwerbung verwendet werden. Dies gilt für Landtags-, Bundestags-, Kommunal- und Europawahlen. Missbräuchlich ist während dieser Zeit insbesondere die Verteilung auf Wahlveranstaltungen, an Informationsständen der Parteien sowie das Einlegen, Aufdrucken und Aufkleben parteipolitischer Informationen oder Werbemittel. Untersagt ist gleichfalls die Weitergabe an Dritte zum Zweck der Wahlwerbung. Auch ohne zeitlichen Bezug zu einer bevorstehenden Wahl darf die Druckschrift nicht in einer Weise verwendet werden, die als Parteinahme der Staatsregierung zugunsten einzelner politischer Gruppen verstanden werden könnte. Den Parteien ist es gestattet, die Druckschrift zur Unterrichtung ihrer eigenen Mitglieder zu verwenden. Bei publizistischer Verwertung – auch von Teilen – Angabe der Quelle und Übersendung eines Belegexemplars erbeten. as Werk ist urheberrechtlich geschützt. Alle Rechte sind vorbehalten. Die Broschüre wird kostenlos D abgegeben, jede entgeltliche Weitergabe ist untersagt. Diese Broschüre wurde mit großer Sorgfalt zusammengestellt. Eine Gewähr für die Richtigkeit und Vollständigkeit kann dennoch nicht übernommen werden. Für die Inhalte fremder Internetangebote sind wir nicht verantwortlich.
Sie können auch lesen