Schutz der personenbezogenen Daten

Die Identifizierung positiver Fälle und die Rückverfolgung von Personen mit hohem Infektionsrisiko ist eine Schlüsselaktivität bei der Bewältigung der Pandemie. Sie fällt in den Zuständigkeitsbereich der Gesundheitsbehörde, deren Aufgabe es ist, den Schutz der öffentlichen Gesundheit sowohl im Hinblick auf die Umwelthygiene als auch auf die Überwachung und Kontrolle übertragbarer Krankheiten zu gewährleisten, einschließlich der Ergreifung der zum Schutz der Gesundheit erforderlichen Notfallmaßnahmen.

Parallel dazu und um die Entwicklung der Pandemie zu kontrollieren, führte die luxemburgische Regierung gleich zu Beginn der Pandemie ein groß angelegtes Testprogramm durch. Mit der Ankunft der ersten COVID-19-Impfstoffe wurde dieses Programm durch ein ehrgeiziges Impfprogramm ergänzt. Im Rahmen dieser Programme werden eine Reihe von personenbezogenen Daten erhoben und verarbeitet.

Die Erfassung und Verarbeitung personenbezogener Daten ist ein wichtiger Aspekt der Bekämpfung der COVID-19-Pandemie und des Impfprogramms. Sie dienen dem allgemeinen Interesse der öffentlichen Gesundheit und ermöglichen den Entscheidungsträgern Maßnahmen in voller Kenntnis der Sachlage zu ergreifen. In der Tat wären eine wirksame Bekämpfung der Pandemie und die Versorgung der Bürger mit dem bestmöglichen Schutz vor dem SARS-CoV-2-Virus ohne die Verarbeitung personenbezogener Daten nicht möglich, sowohl im Hinblick auf die Überwachung der Ausbreitung und die Entwicklung der Pandemie, als auch im Hinblick auf die Impfung der Bevölkerung. Es muss möglich sein, diese Daten zu sammeln, um diese dann zu analysieren, untersuchen und auswerten zu können, um die Bevölkerung zu schützen und die beste Gesundheitspolitik zu definieren. 

Large Scale Testing

Um die Entwicklung der Pandemie zu überwachen, hat die luxemburgische Regierung eine neue Phase des groß angelegten Testprogramms (Large Scale Testing, LST) eingeleitet. Derzeit ist das LST der effektivste Weg, um die Infektionsketten zu durchbrechen, indem positive Fälle identifiziert und ihre Kontakte wirksam zurückverfolgt werden. In diesem Rahmen werden die personenbezogenen Daten der zur Teilnahme eingeladenen Einwohner und Grenzgänger sowie der Teilnehmer am Testprogramm von den folgenden vier für die Datenverarbeitung Verantwortlichen erhoben und verarbeitet (d.h. von der Instanz, die die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten festlegt):

  • Die Gesundheitsbehörde, weil sie die Strategie festlegt, das Projekt koordiniert und die persönlichen Daten der Teilnehmer analysiert, um das Verfahren zu überwachen und epidemiologische Entscheidungen sowie geeignete gesundheitspolitische Entscheidungen zu treffen
  • Die Laboratoires Réunis, die die Organisation der Proben, die Probenentnahme und die Durchführung der Tests, von der Terminbuchung bis zum Versand der Ergebnisse gewährleisten
  • Die Generalinspektion der Sozialen Sicherheit, weil sie die Kategorien von Personen festlegt, die im Rahmen des Testprogramms eingeladen werden
  • Das Nationale Gesundheitslabor (Laboratoire national de santé), das die Analysen im Rahmen der serologischen Tests durchführen wird

Diese Instanzen verarbeiten personenbezogene Daten in Übereinstimmung mit der Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, nachstehend die "Verordnung"). Die personenbezogene Datenverarbeitung wird durchgeführt, um (i) Bewohner und Grenzarbeiter aus repräsentativen Stichproben der Bevölkerung einzuladen, (ii) den Teilnehmern die Durchführung des Tests zu ermöglichen, (iii) den Teilnehmern die Ergebnisse zur Verfügung zu stellen und (iv) die Entwicklung der COVID-19-Infektion in der Bevölkerung zu überwachen, um die Infektionsrate durch geeignete Entscheidungen des öffentlichen Gesundheitswesens auf dem möglich niedrigem Niveau zu halten und zu kontrollieren.

Die Kategorien personenbezogener Daten, die von den verschiedenen Akteuren im Rahmen der groß angelegten Teststrategie verarbeitet werden, lauten wie folgt; sie hängen von der Beteiligung von Einzelpersonen ab:

  • Personenbezogene Daten zur Identifizierung (z.B. Name, Anschrift, Telefonnummern, E-Mail-Adresse)
  • Persönliche Daten (z.B. Geschlecht, Geburtsdatum)
  • Soziodemographische Daten für die Stichprobenziehung (z.B. Beruf, Haushalt)
  • Von öffentlichen Diensten ausgestellte Identifikationsdaten (z.B. Sozialversicherungsnummer)
  • Daten, die sich auf den Termin beziehen (z.B. Datum, Uhrzeit, Teststation)
  • Gesundheitsdaten (z. B. aus dem Test gewonnene Informationen, Informationen über die COVID-19-Infektion)

Die rechtliche Grundlage für diese Verarbeitung findet sich:

  • Beschluss des Regierungsrates vom 8. Juli 2020
  • Das abgeänderte Gesetz vom 17. Juli 2020 über Maßnahmen zur Bekämpfung der COVID-19-Pandemie
  • Gesetz vom 24. Juli 2020 zur Ermächtigung des Staates, sich an der Finanzierung der zweiten Phase des groß angelegten Testprogramms im Zusammenhang mit der COVID-19- Pandemie zu beteiligen

Personenbezogene Daten können von den verschiedenen Datenschutzbeauftragten an die folgenden Kategorien von Empfängern übermittelt werden:

  • Das Zentrum für Informationstechnologien des Staates (CTIE), das für den Versand von Einladungen und die Bereitstellung der Plattform für Terminvereinbarungen zuständig ist
  • LDL CONNECT SA, zuständig für die Bereitstellung einer Hotline für alle Fragen im Zusammenhang mit dem LST
  • Die Generalinspektion der Sozialen Sicherheit, die die Daten pseudonymisiert, um sie öffentlichen Forschungseinrichtungen zur Verfügung zu stellen, damit diese Prognosen zur Beobachtung der Entwicklung der Pandemie und zur Erstellung von Überwachungstabellen erstellen können (zum Beispiel: Überwachung der Positivitätsrate nach Gemeinde, Altersgruppe oder Berufszweig)
  • Die eSanté-Agentur, die für die Sicherstellung des technischen Transfers von Testergebnissen an die Abteilung Gesundheitsinspektion der Gesundheitsbehörde verantwortlich ist
  • Die Gesundheitsinspektion-Abteilung der Gesundheitsbehörde, die die Testergebnisse erhält, um nicht nur die Rückverfolgung, sondern auch die epidemiologische Weiterverfolgung der Pandemie sicherzustellen
  • Das Nationale Gesundheitslabor, das als Referenzlabor die positiven Proben entgegennehmen kann, um die genetische Sequenzierung des Virus durchzuführen und so die Variante zu bestimmen

Persönliche Daten werden von jedem Teilnehmer für einen Zeitraum aufbewahrt, der nicht über den Zeitraum hinausgeht, der für die verfolgten Zwecke erforderlich ist, in Übereinstimmung mit seinen jeweiligen rechtlichen Verpflichtungen. Beispielsweise bewahrt das Gesundheitsministerium personenbezogene Daten auf der Grundlage der Bestimmungen des geänderten Gesetzes vom 17. Juli 2020 über Maßnahmen zur Bekämpfung der COVID-19-Pandemie auf.

Jede Person, deren Daten verarbeitet werden, hat das Recht, Zugang zu ihren persönlichen Daten zu beantragen und eine Kopie davon zu erhalten und, falls die persönlichen Daten unvollständig oder fehlerhaft sind, sie berichtigen zu lassen. Sie hat auch das Recht, die Verarbeitung ihrer persönlichen Daten einzuschränken, das Recht, ihrer Verwendung zu widersprechen und das Recht, ihre Löschung zu erwirken, unter den Bedingungen und innerhalb der Beschränkungen, die in der Allgemeinen Datenschutzverordnung festgelegt sind.

Es ist möglich, die Ausübung der oben aufgeführten Rechte zu beantragen, indem Sie einen schriftlichen Antrag stellen, der unterschrieben und mit einem Identitätsnachweis versehen ist:

  • Für die Verarbeitung im Zusammenhang mit Stichproben, wenden Sie sich an die Generalinspektion der Sozialen Sicherheit: igss@igss.etat.lu — 26, rue Zithe, L-2763 Luxemburg
  • Für die Verarbeitung in Bezug auf die Einladungen, Terminplanung und Pandemieüberwachung, wenden Sie sich an die Gesundheitsbehörde: info_donnees@ms.etat.lu — 13a, rue de Bitbourg, L-1273 Luxemburg
  • Für die Behandlung im Zusammenhang mit PCR-Screeningtests, wenden Sie sich an Laboratoires Réunis: dpo@labo.lu — 38, rue Hiehl, Z.A.C. Laangwiss, L-6131 Junglinster
  • Für die Datenverarbeitung im Zusammenhang mit serologischen Tests, wenden Sie sich an das Laboratoire national de santé (Nationales Gesundheitslaboratorium): dpo@lns.etat.lu — 1, rue Louis Rech, L-3555 Dudelange
  • Es besteht auch die Möglichkeit, eine Beschwerde bei der Nationalen Kommission für den Datenschutz per Post an folgende Adresse einzureichen: 15, boulevard du Jazz, L - 4370 Belvaux oder durch Ausfüllen des Online-Formulars, das auf der Website der CNPD in der Rubrik "Privatpersonen" verfügbar ist.-> Ihre Rechte geltend machen.

Contact Tracing

Die Identifizierung positiver Fälle und die Rückverfolgung (Contact Tracing) von Personen mit hohem Infektionsrisiko ist eine Schlüsselaktivität bei der Bewältigung der COVID-19-Krise. Das Ziel ist es, (i) positive Fälle zu identifizieren, um sie in Isolation zu setzen; und (ii) ihre Kontaktpersonen mit hohem Infektionsrisiko aufzufordern, sich in Selbstquarantäne zu begeben, bis sie getestet werden können.

Die von der Abteilung Gesundheitsinspektion der Gesundheitsbehörde durchgeführten Rückverfolgungstätigkeiten umfassen die Sammlung und Verarbeitung personenbezogener Daten, sowohl von Personen, die positiv auf COVID-19 getestet wurden, als auch von Personen mit hohem Infektionsrisiko. Dies dient dazu, die Kontaktpersonen einer Person, die positiv auf COVID-19 getestet wurde, zu identifizieren und ihnen Dokumente zur Quarantäne und eine ärztliche Anordnung für den Test zukommen zu lassen.

Die Gesundheitsbehörde verwendet die gesammelten Daten auch zur Erstellung entsprechender Statistiken zur Bewertung, Überwachung und Bekämpfung der Pandemie, insbesondere anhand darauf basierenden Entscheidungen im Bereich der öffentlichen Gesundheit, welche an die Ausbreitung und Entwicklung der Pandemie angepasst sind.

Diese Aktivitäten werden durch das geänderte Gesetz vom 17. Juli 2020 zur Einführung einer Reihe von Maßnahmen zur Bekämpfung der COVID-19-Pandemie festgelegt.

Die Sie betreffenden persönlichen Daten, die erhoben und verarbeitet werden, sind die folgenden:

  • Persönliche Identifikationsdaten, einschließlich Kontaktdaten (Name, Vorname, Postanschrift, E-Mail-Adresse, Telefonnummer und Referenznummer)
  • Von den öffentlichen Diensten ausgestellte Identifikationsdaten (CNS-Sozialversicherungsnummer)
  • Datum des Kontakts mit der Person, die positiv auf COVID-19 getestet wurde
  • Nur bei positiven Personen: Geburtsdatum, Datum der ersten Symptome, Datum des Tests und Arbeitsplatz/Arbeitgeber

Je nach Ihrer Situation können Ihre persönlichen Daten von den folgenden Beteiligten eingesehen werden:

  • Die Generalinspektion der sozialen Sicherheit, die die Daten pseudonymisiert, um sie öffentlichen Forschungseinrichtungen zur Verfügung zu stellen, damit diese Prognosen zur Überwachung der Entwicklung der Pandemie erstellen können
  • Das Ministerium für Bildung, Kinder und Jugend, das die Gesundheitsbehörde bei den Tracing-Aktivitäten unterstützt, wenn es sich um eine Schule, Berufsbildungs- oder Aufnahmestruktur handelt, und das als Kontaktstelle der Einrichtung fungiert, um die Umsetzung der Richtlinien der Gesundheitsbehörde zu erleichtern

Diese Instanzen unterliegen den gesetzlichen Verpflichtungen in Bezug auf den Datenschutz, einschließlich des Berufsgeheimnisses oder der geltenden Geheimhaltungspflichten.

Ihre persönlichen Daten werden von der Abteilung Gesundheitsinspektion der Gesundheitsbehörde gemäß den im geänderten Gesetz vom 17. Juli 2020 zur Einführung einer Reihe von Maßnahmen zur Bekämpfung der COVID-19-Pandemie festgelegten Aufbewahrungsfristen aufbewahrt.

Unter Berücksichtigung der Grenzen und Bedingungen, die im geänderten Gesetz vom 17. Juli 2020 zur Einführung einer Reihe von Maßnahmen zur Bekämpfung der COVID-19-Pandemie und in den allgemeinen Datenschutzbestimmungen vorgesehen sind, haben Sie das Recht, Zugang zu Ihren persönlichen Daten zu beantragen und eine Kopie davon zu erhalten und, falls diese persönlichen Daten unvollständig oder fehlerhaft sind, ihre Berichtigung zu verlangen. Sie haben auch das Recht, die Verarbeitung Ihrer persönlichen Daten einzuschränken, das Recht, ihrer Verwendung zu widersprechen und das Recht, ihre Löschung zu erwirken.

Es ist möglich, die Ausübung der oben aufgeführten Rechte zu beantragen, indem Sie einen schriftlichen Antrag stellen, der unterschrieben und mit einem Identitätsnachweis versehen ist: Gesundheitsbehörde (Direction de la santé): info_donnees@ms.etat.lu — 13a, rue de Bitbourg, L-1273 Luxembourg

Es besteht auch die Möglichkeit, eine Beschwerde bei der Nationalen Kommission für den Datenschutz per Post an folgende Adresse einzureichen: 15, boulevard du Jazz, L - 4370 Belvaux oder durch Ausfüllen des Online-Formulars, das auf der Website der CNPD in der Rubrik "Privatpersonen" verfügbar ist.-> Ihre Rechte geltend machen.

Impfung

Die Impfkampagne beruht auf der Erhebung und Verarbeitung personenbezogener Daten.

Der Zugang zu einem sicheren und hochwertigen Impfstoff gegen COVID-19 ist ein entscheidender Bestandteil der nationalen Pandemiebekämpfung.

In Kombination mit den anderen Elementen der umfassenden Virusbekämpfungspolitik, nämlich Prävention, Diagnose und Screening (Tests), Isolation infizierter Personen, Rückverfolgung und Quarantäne von Kontaktpersonen, Behandlung von COVID-19-Patienten sowie Sensibilisierung und Information, wird die Impfung eine entscheidende Rolle bei der Rettung von Menschenleben, der Eindämmung der Pandemie, dem Schutz des Gesundheits- und Pflegesystems spielen und zur Erholung unserer Wirtschaft beitragen.

In diesem Rahmen werden die personenbezogenen Daten der zur Impfung eingeladenen Personen und der geimpften Personen von den Datenschutzbeauftragten erhoben und verarbeitet (d.h. von den Instanzen, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen):

  • Die Gesundheitsbehörde, weil sie für die Organisation und Verwaltung der Impfkampagne verantwortlich ist, aber auch für die Überwachung der Sicherheit und Qualität der Impfstoffe sowie der Impfstoffaufnahme (Anteil der Personen, die in einem bestimmten Zeitraum mit einer bestimmten Impfstoffdosis geimpft wurden) und der Durchimpfungsrate (Anteil der Bevölkerung, der durch die Impfung als geschützt gilt, am Ende eines bestimmten Zeitraums) im ganzen Land
  • Die Generalinspektion der Sozialen Sicherheit ("Inspection générale de la sécurité sociale"), da diese auf der Grundlage der Impfstrategie die Personen identifiziert, die zur Impfung eingeladen werden

Diese Instanzen verarbeiten personenbezogene Daten in Übereinstimmung mit der Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, nachstehend die "Verordnung").

Die Verarbeitung personenbezogener Daten im Rahmen der Impfkampagne erfolgt, um (I) Personen zur Impfung einladen zu können, (II) Personen, die sich impfen lassen möchten, die Möglichkeit zu geben, sich impfen zu lassen, (III) die Sicherheit des Impfstoffs/der Impfstoffe sowie seine/ihre Qualität zu überwachen, insbesondere durch Überwachung seiner/ihrer Wirksamkeit, und (IV) die Aufnahme und Abdeckung des/der Impfstoffe zu überwachen.

Die rechtliche Grundlage für diese Verarbeitung findet sich:

  • Im geänderten Gesetz vom 17. Juli 2020 zur Einführung einer Reihe von Maßnahmen zur Bekämpfung der COVID-19-Pandemie
  • Im Gesetz vom 24. November 2015 zur Änderung des geänderten Gesetzes vom 21. November 1980 über die Organisation der Gesundheitsbehörde und des geänderten Gesetzes vom 16. August 1968 über die Einrichtung eines "Centre de logopédie et de services audiométrique et orthophonique"
  • Im Gesetz vom 4. Juli 2000 über die Verantwortung des Staates in Sachen Impfungen
  • In der geänderten großherzoglichen Verordnung vom 15. Dezember 1992 über das Inverkehrbringen von Arzneimitteln

Die Kategorien der personenbezogenen Daten, die von den Datenschutzbeauftragten verarbeitet werden, sind wie folgt; sie hängen von der Teilnahme der Personen an der Impfkampagne ab:

  • Personenbezogene Daten zur Identifizierung (z.B. Name, Vorname(n), Geburtsdatum, Geschlecht)
  • Kontaktdaten (Telefonnummer und E-Mail-Adresse)
  • Nationale Identifikationsnummer
  • Impfstoff-Zuordnungskriterium, wie es durch die Impfstrategie definiert ist
  • Angaben, um das mögliche Vorhandensein von Kontraindikationen, das Vorhandensein von Gesundheitsproblemen oder anderen Risikofaktoren sowie das mögliche Auftreten von Nebenwirkungen zu ermitteln
  • Verabreichung des Impfstoffs (Wahl, Datum, Ort der Impfung)
  • Merkmale der Impfung (Injektionsstelle, Impfstoffproduktmarke, Seriennummer, Verabreichungsnummer und Verfallsdatum)

Personenbezogene Daten können durch die Datenschutzbeauftragten an die folgenden Empfänger übermittelt werden:

  • Das Zentrum für Informationstechnologien des Staates, das für den Versand der Einladungen, die Bereitstellung der Terminplattform und die Verwaltung des Informationssystems zuständig ist, über das personenbezogene Daten im Zusammenhang mit der Immunisierung verarbeitet werden
  • Die nationale Abteilung für Immunologie und Allergologie des CHL für eine dringende allergologische Beratung nach dem Besuch des Impfzentrums von Personen, die ein großes allergisches Risiko auf die Impfstoffinjektion aufweisen.
  • Wenn eine Pharmakovigilanz-Datei eröffnet wird, an das Regionale Pharmakovigilanz-Zentrum Lothringen. Es ist zu beachten, dass das Regionale Pharmakovigilanz-Zentrum Lothringen standardmäßig Zugang zu den Akten von schwangeren Frauen zum Zeitpunkt der Verabreichung des Impfstoffs hat, um sie bis zum Ende ihrer Schwangerschaft durch den Versand von zwei E-Mails verfolgen zu können
  • Die Generalinspektion der Sozialen Sicherheit, die die Daten erhält, um sie in pseudonymisierter Form verschiedenen öffentlichen Forschungseinrichtungen zu wissenschaftlichen Forschungszwecken zur Verfügung zu stellen

Persönliche Daten werden von jedem Teilnehmer für einen Zeitraum aufbewahrt, der nicht über den Zeitraum hinausgeht, der für die verfolgten Zwecke erforderlich ist, in Übereinstimmung mit seinen jeweiligen rechtlichen Verpflichtungen. Beispielsweise bewahrt die Gesundheitsbehörde personenbezogene Daten auf der Grundlage des abgeänderten Gesetzes vom 17. Juli 2020 über Maßnahmen zur Bekämpfung der COVID 19-Pandemie auf.

Jede Person, deren Daten verarbeitet werden, hat das Recht, Zugang zu ihren persönlichen Daten zu beantragen und eine Kopie davon zu erhalten und, falls die persönlichen Daten unvollständig oder fehlerhaft sind, sie berichtigen zu lassen. Sie hat auch das Recht, die Verarbeitung ihrer persönlichen Daten einzuschränken, das Recht, ihrer Verwendung zu widersprechen und das Recht, ihre Löschung zu erwirken, unter den Bedingungen und innerhalb der Beschränkungen, die in der Allgemeinen Datenschutzverordnung festgelegt sind.

Es ist möglich, die Ausübung der oben aufgeführten Rechte zu beantragen, indem Sie einen schriftlichen Antrag stellen, der mit einem Identitätsnachweis versehen ist.

  • Für die Verarbeitung im Zusammenhang mit der Organisation und Verwaltung der Impfkampagne und der Überwachung von Sicherheit, Qualität und Durchimpfungsrate, wenden Sie sich an die Gesundheitsbehörde: info_donnees@ms.etat.lu — 13a, rue de Bitbourg, L-1273 Luxembourg
  • Für Verarbeitungen im Zusammenhang mit den Einladungen zur Impfung, wenden Sie sich an die Generalinspektion der sozialen Sicherheit ("Inspection générale de la sécurité sociale"): igss@igss.etat.lu — 26, rue Zithe, L-2763 Luxemburg

Es besteht auch die Möglichkeit, eine Beschwerde bei der Nationalen Kommission für den Datenschutz per Post an folgende Adresse einzureichen: 15, boulevard du Jazz, L - 4370 Belvaux oder durch Ausfüllen des Online-Formulars, das auf der Website der CNPD in der Rubrik "Privatpersonen" verfügbar ist.-> Ihre Rechte geltend machen.

FAQ

Was sind die Ziele des vorhandenen Informationssystems?

Das eingesetzte Informationssystem soll folgenden Zwecken dienen:

  1. zur Erkennung, Evaluation, Überwachung und Bekämpfung der COVID-19-Pandemie
  2. Erwerb grundlegender Kenntnisse über die Verbreitung und Entwicklung der Pandemie (statistische Überwachung, Studien, Forschung)
  3. den Bürgern den Zugang zu Schutzmaßnahmen und angemessener Behandlung zu garantieren
  4. die Wirksamkeit und Sicherheit von Impfstoffen und den Gesundheitszustand der geimpften Personen laufend zu überwachen und zu bewerten
  5. Überwachung und Bewertung des groß angelegten Testprogramms und des Impfprogramms

Weiter gilt es ebenfalls Mitteilungspflichten und Informationsanfragen von europäischen oder internationalen Gesundheitsbehörden zu erfüllen, denen Luxemburg nachkommen muss. 

Wer ist für die Verarbeitung von personenbezogenen Daten verantwortlich?

Mehrere Stellen sind für die Verarbeitung von personenbezogenen Daten verantwortlich:

 

1. Die Gesundheitsbehörde, die im Rahmen ihrer Zuständigkeit die Entwicklung der aktuellen Pandemie überwacht und die epidemiologische Strategie festlegt sowie die eingeleiteten Maßnahmen koordiniert.

Die Gesundheitsbehörde ist auch für die Organisation und das Management der Impfkampagne sowie für deren Überwachung und Auswertung verantwortlich. Sie ist in erster Linie für die Sicherheit und Qualität der Impfstoffe verantwortlich.

Beide Programme erfordern die Erfassung und Verarbeitung einer Reihe von personenbezogenen Daten.

2. Die Generalinspektion der Sozialen Sicherheit, die ebenfalls an den groß angelegten Test- und Impfprogrammen beteiligt ist, wobei sie für die Festlegung der Personengruppen zuständig ist, die zu diesen Programmen eingeladen werden.

Im Hinblick auf die Durchführung des groß angelegten Testprogramms gehören auch die für die Tests im Rahmen dieses Programms zuständigen medizinischen Analyselabore und das Nationale Gesundheitslabor zu den Stellen, die zur Verarbeitung personenbezogener Daten verpflichtet sind. Erstere sind für die Organisation der Proben, die Entnahme der Proben, die Durchführung der Tests und die Übermittlung der Ergebnisse zuständig und letzteres führt die gleichen Analysen im Rahmen der serologischen Tests durch. 

Welche personenbezogenen Daten werden verarbeitet?

Die von infizierten Personen und Personen mit hohem Infektionsrisiko erhobenen Daten (Namen, Vornamen, Geburtsdatum, Adresse, Telefonnummer, Sozialversicherungsnummer, Kontaktdaten des behandelnden Arztes, Daten zur Feststellung ob eine Person infiziert ist, wie Testergebnis, Diagnose oder, bei Personen mit hohem Infektionsrisiko, das Datum des letzten Kontakts, das Vorhandensein und das Datum des Auftretens von Symptomen).

Daten zur Identifizierung von Personenkategorien, die zum groß angelegten Testprogramm und zum Impfprogramm eingeladen werden sollen (soziodemografische Daten, Daten zum Beruf, chronologischer Überblick der Tests und, im Rahmen des Impfprogramms, das Datum des Impftermins und der Verabreichung des Impfstoffs).

Es ist zu beachten, dass bei gefährdeten Personen der Arzt, auf Anfrage seines Patienten, welcher geimpft werden möchte, die personenbezogenen Daten an die Gesundheitsbehörde übermittelt. Sensible Daten, die sich auf die Pathologie des Patienten beziehen, werden jedoch nur vom Arzt verarbeitet und nicht an die Gesundheitsbehörde übermittelt, welche lediglich darüber informiert wird, dass der Patient aufgrund seines Gesundheitszustands eine vulnerabele Person ist.

Die im Rahmen des Impfprogramms gesammelten Daten (Standardinformationen zur Identifikation und zu den Kontaktdaten, aber auch Informationen über die Zuteilung des Impfstoffs, Daten zur Feststellung des Vorliegens möglicher Kontraindikationen oder gesundheitlicher Probleme oder anderer Risikofaktoren). Es werden auch Daten über die Entscheidung zur Verabreichung des Impfstoffs, über die Merkmale der Impfung (Impfstoffprodukt, Injektionsstelle, Chargennummer, Verabreichungsnummer, Verfallsdatum) oder über den Impfarzt erhoben. 

Wie werden die gesammelten Daten gespeichert?

In der Regel werden personenbezogene Daten zunächst pseudonymisiert, bevor sie anonymisiert werden. In einigen Fällen werden die erhobenen Daten sofort anonymisiert, ohne den Zwischenschritt der Pseudonymisierung. Dies gilt insbesondere für die erhobenen Daten im Zusammenhang mit der Impfaufforderung an gefährdete Personen, die spätestens drei Wochen nach Versendung der Impfaufforderung anonymisiert werden.

Die Pseudonymisierung ist eine Methode zur Verarbeitung personenbezogener Daten, die darin besteht, die besagten Daten so zu verarbeiten, dass es nicht möglich ist, die gesammelten Elemente einer bestimmten natürlichen Person zuzuordnen, ohne auf zusätzliche Informationen zurückgreifen zu müssen. Im Gegensatz zur Anonymisierung ist dieser Vorgang reversibel. Sie stellt eine Sicherheitsmaßnahme für die Personen dar, deren Daten erhoben wurden, und bietet ihnen ein gewisses Maß an Vertraulichkeit, während sie gleichzeitig die Verarbeitung der Daten im Rahmen einer bestimmten Gesundheitspolitik ermöglicht. Sie respektiert den Grundsatz der Verhältnismäßigkeit, der die Verarbeitung von personenbezogenen Daten leitet.

In der Praxis besteht ein solches Verfahren darin, direkt erkennbare Daten (Nachname, Vorname usw.) durch indirekt erkennbare Daten (Ordnungsnummer usw.) zu ersetzen, um deren Sensibilität zu verringern.

Die Daten werden anschließend anonymisiert. Die Anonymisierung besteht darin, den Inhalt oder die Struktur von personenbezogenen Daten so zu verändern, dass eine "Re-Identifizierung" der betroffenen Personen sehr schwierig oder unmöglich wird. In der Regel ist die Zeitspanne, nach der Daten anonymisiert werden, länger als bei der Pseudonymisierung. 

Wie lange werden die Daten aufbewahrt?

Zur Wahrung des Verhältnismäßigkeitsprinzips und in Abhängigkeit vom Zweck der durchgeführten Verarbeitungen sind mehrere Aufbewahrungsfristen vorgesehen.

(i) betreffend personenbezogene Daten, die zum Zweck der Pandemiebekämpfung erhoben und verarbeitet werden

Diese Daten werden spätestens sechs Monate nach der Erhebung für die Dauer von drei Jahren pseudonymisiert, danach werden sie anonymisiert.

Diese Zeiträume spiegeln das Bestreben wider, die Auswirkungen der Epidemie auf der Grundlage der kürzlich erworbenen Kenntnisse über das SARS-CoV-2-Virus und insbesondere über die Immunität der infizierten Personen zu überwachen. Demnach hat eine Person, die sich mit COVID-19 angesteckt hat, im Allgemeinen eine Immunität, die durchschnittlich sechs Monate anhält. Hinzu kommt, dass im Falle einer erneuten Infektion, diese bei saisonalen Coronaviren typischerweise innerhalb einer relativ kurzen Zeitspanne, meist weniger als zwölf Monate, erfolgt.

Aus Sicht des öffentlichen Gesundheitswesens ist es unerlässlich, erneute Infektionen zu überwachen, um festzustellen, ob diese auf das Vorhandensein einer neuen, ansteckenderen Variante des Virus zurückzuführen sind oder nicht, und die Gesundheitspolitik entsprechend auszurichten. Daher ist es wichtig, personenbezogene

Daten zu einer Erstinfektion aufzubewahren, um eine erneute Infektion erkennen zu können. Die Identifizierung einer möglichen Neuinfektion sollte jedoch so schnell wie möglich erfolgen, um die notwendigen Schritte zur Durchführung geeigneter Gesundheitsmaßnahmen einzuleiten. Es ist daher nicht notwendig, übermäßig lange Zeiträume vorzusehen.

Die Aufbewahrung der Daten in pseudonymisierter Form für einen Zeitraum von drei Jahren entspricht der vollen Dauer einer Pandemie, die oft mehrere aufeinanderfolgende Wellen aufweist. Diese Dauer ermöglicht eine vollständige Überwachung.

(ii) bezüglich der im Rahmen des Impfprogramms erhobenen und verarbeiteten Daten 

Erhobene personenbezogene Daten

  • über den Impfarzt sind spätestens zwei Jahre nach der Erhebung zu anonymisieren.
  • über die geimpfte Person sind spätestens 20 Jahre nach der Erhebung zu anonymisieren, mit Ausnahme bestimmter Daten, d. h. Identifikationsdaten und Kontaktdaten, die spätestens nach zwei Jahren nach der Erhebung zu anonymisieren sind, da sie möglichen Änderungen unterliegen. Daneben sind solche Daten, die es ermöglichen, das Vorhandensein möglicher Kontraindikationen oder anderer Risikofaktoren festzustellen, nach 10 Jahren zu anonymisieren.
    Die Aufbewahrungsfrist von 20 Jahren ist im Hinblick auf die Arzneimittelüberwachung gerechtfertigt, die darin besteht, unerwünschte Nebenwirkungen nach der Verabreichung von Arzneimitteln, in diesem Fall von Impfstoffen, zu erfassen und auszuwerten. Es ist im Interesse der Patienten, dass Daten über einen langen Zeitraum aufbewahrt werden. In der Tat ist es nicht ungewöhnlich ist, dass Nebenwirkungen von Medikamenten oder Impfstoffen erst nach mehreren Jahren oder sogar nach mehr als 10 Jahren auftreten. Es ist daher wichtig, die Verabreichung eines bestimmten Medikaments oder Impfstoffs mit Nebenwirkungen in Verbindung bringen zu können. Eine lange Aufbewahrung bestimmter Daten ermöglicht eine solche Verknüpfung.
  • ​Im Falle einer Impfverweigerung seitens des Impfers, werden die personenbezogenen Daten, soweit sie erhoben wurden, spätestens 2 Jahre nach ihrer Erhebung anonymisiert. Im Falle des Widerrufs der Einwilligung der betroffenen Person zur Impfung werden die Daten nach 3 Monaten anonymisiert. 

Wer hat Zugriff auf die Daten von infizierten Personen oder Personen mit hohem Infektionsrisiko?

Lediglich Ärzte und medizinisches Fachpersonal sowie Beamte oder Angestellte, die vom Minister für Gesundheit zur Verfügung gestellt werden, oder andere Personen, die vom Gesundheitsdirektor namentlich benannt werden und somit den nationalen Behörden zugeordnet sind, haben Zugang zu den Daten infizierter Personen oder Personen mit hohem Infektionsrisiko.

Darüber hinaus dürfen diese Personen nur auf gesundheitsbezogene Daten zugreifen, insofern der Zugriff für die Erfüllung der ihnen im Rahmen der Pandemiebekämpfung anvertrauten gesetzlichen oder konventionellen Aufgaben erforderlich ist. Diese Personen unterliegen auch dem Berufsgeheimnis, dessen Verletzung nach §458 Strafgesetzbuch strafbar ist.

Es ist jedoch zu beachten, dass die Daten von den verschiedenen für die Datenverarbeitung verantwortlichen Stellen übermittelt werden können. Zu den Empfängern, an die Daten übermittelt werden können, gehören u. a. die folgenden:

  • das Zentrum für Informationstechnologien des Staates (CTIE) als IT-Unterauftragnehmer der Gesundheitsbehörde;
  • die eSanté-Agentur als Verantwortliche für die technische Übermittlung von PCR- und serologischen Testergebnissen an die Gesundheitsinspektion, die der Gesundheitsbehörde angehört;
  • die Generalinspektion der Sozialen Sicherheit, welche die im Zusammenhang mit der Pandemie erhobenen und verarbeiteten personenbezogenen Daten pseudonymisiert, um sie, gemäß ihrer Missionen, öffentlichen Forschungseinrichtungen zur Verfügung zu stellen;
  • der für die Hotline zuständige Dienstleister, der auf Anfrage Test- und Impftermine für Personen vereinbaren kann, die keine Möglichkeit haben, auf die speziell hierfür vorgesehene Online-Plattform zuzugreifen. 

Können die Daten zu wissenschaftlichen, historischen oder statistischen Forschungszwecken verarbeitet werden?

Ja, die Daten dürfen zu diesen Zwecken unter den Bedingungen der allgemeinen europäischen Datenschutzverordnung und des Gesetzes vom 1. August 2018 über die Organisation der nationalen Datenschutzkommission und die allgemeine Datenschutzregelung verarbeitet werden, sofern sie pseudonymisiert werden, d.h. so verarbeitet werden, dass die Daten nicht ohne zusätzliche Informationen einer bestimmten natürlichen Person zugeordnet werden können. 

Ist es möglich, Widerspruch gegen die Verarbeitung der Daten einzulegen?

Infizierte Personen oder Personen mit hohem Infektionsrisiko können der Verarbeitung ihrer Daten im Informationssystem, dessen Hauptzweck die Bekämpfung der Pandemie ist, nicht widersprechen, solange sie kein negatives Test-Ergebnis geltend machen können. Aus Gründen der öffentlichen Gesundheit ist es zwingend erforderlich, die Daten von Personen aufzubewahren, deren Test-Ergebnis eindeutig eine Infektion mit dem SARS-CoV-2-Virus aufweist. 

Welches sind die Datenschutzrechte von natürlichen Personen?

Jede natürliche Person, deren Daten verarbeitet werden, hat das Recht, Zugang zu ihren personenbezogenen Daten zu verlangen und eine Kopie davon zu erhalten und, falls die persönlichen Daten unvollständig oder fehlerhaft sind, sie berichtigen zu lassen. Sie haben außerdem das Recht, die Verarbeitung personenbezogener Daten einzuschränken, ihrer Verwendung zu widersprechen und ihre Löschung zu erwirken, unter den Bedingungen und innerhalb der Beschränkungen, die im abgeänderten Gesetz vom 17. Juli 2020 über Maßnahmen zur Bekämpfung der COVID-19-Pandemie und in der allgemeinen Datenschutzverordnung der Europäischen Union (2016/679) vorgesehen sind.

Es ist möglich, die Ausübung dieser Rechte zu beantragen, indem Sie einen schriftlichen Antrag stellen der mit einem Identitätsnachweis versehen ist:

  • für die Datenverarbeitung im Zusammenhang mit der Überwachung der Pandemie und der Organisation und Verwaltung der Impfung, an die Direction de la santé (Gesundheitsbehörde) - info_donnees@ms.etat.lu - 13a, rue de Bitbourg, L-1273 Luxemburg
  • für die Datenverarbeitung im Zusammenhang mit der Identifizierung von Personenkategorien, die zu groß angelegten Test- und Impfprogrammen eingeladen werden, an die Inspection générale de la sécurité sociale (Generalinspektion der Sozialen Sicherheit) - igss@igss.etat.lu - 26, rue Zithe, L-2763 Luxemburg
  • für die Datenverarbeitung im Zusammenhang mit PCR-Tests, im Rahmen des groß angelegten Testprogramms durchgeführt werden, an die Laboratoires Réunis - dpo@labo.lu - 38, rue Hiehl, Z.A.C. Laangwiss, L-6131 Junglinster
  • für die Datenverarbeitung im Zusammenhang mit serologischen Tests, an das Laboratoire national de santé (Nationales Gesundheitslaboratorium) - dpo@lns.etat.lu - 1, rue Louis Rech, L-3555 Dudelange

Es besteht auch die Möglichkeit, eine Beschwerde bei der Nationalen Kommission für Datenschutz (Commission nationale pour la protection des données - CNPD) per Post an folgende Adresse einzureichen: 15, boulevard du Jazz, L - 4370 Belvaux oder durch Ausfüllen des Online-Formulars, das auf der Website der CNPD in der Rubrik "Privatpersonen- Ihre Rechte geltend machen" verfügbar ist.

Zum letzten Mal aktualisiert am