Schutz der personenbezogenen Daten

Die Identifizierung positiver Fälle und die Rückverfolgung von Personen mit hohem Infektionsrisiko ist eine Schlüsselaktivität bei der Bewältigung der Pandemie. Sie fällt in den Zuständigkeitsbereich der Gesundheitsbehörde, deren Aufgabe es ist, den Schutz der öffentlichen Gesundheit sowohl im Hinblick auf die Umwelthygiene als auch auf die Überwachung und Kontrolle übertragbarer Krankheiten zu gewährleisten, einschließlich der Ergreifung der zum Schutz der Gesundheit erforderlichen Notfallmaßnahmen.

Parallel dazu und um die Entwicklung der Pandemie zu kontrollieren, führte die luxemburgische Regierung gleich zu Beginn der Pandemie ein groß angelegtes Testprogramm durch. Mit der Ankunft der ersten COVID-19-Impfstoffe wurde dieses Programm durch ein ehrgeiziges Impfprogramm ergänzt. Im Rahmen dieser Programme werden eine Reihe von personenbezogenen Daten erhoben und verarbeitet.

Die Erfassung und Verarbeitung personenbezogener Daten ist ein wichtiger Aspekt der Bekämpfung der COVID-19-Pandemie und des Impfprogramms. Sie dienen dem allgemeinen Interesse der öffentlichen Gesundheit und ermöglichen den Entscheidungsträgern Maßnahmen in voller Kenntnis der Sachlage zu ergreifen. In der Tat wären eine wirksame Bekämpfung der Pandemie und die Versorgung der Bürger mit dem bestmöglichen Schutz vor dem SARS-CoV-2-Virus ohne die Verarbeitung personenbezogener Daten nicht möglich, sowohl im Hinblick auf die Überwachung der Ausbreitung und die Entwicklung der Pandemie, als auch im Hinblick auf die Impfung der Bevölkerung. Es muss möglich sein, diese Daten zu sammeln, um diese dann zu analysieren, untersuchen und auswerten zu können, um die Bevölkerung zu schützen und die beste Gesundheitspolitik zu definieren. 

Contact Tracing

Die Identifizierung positiver Fälle und die Rückverfolgung von Personen mit hohem Infektionsrisiko ist eine Schlüsselaktivität bei der Bewältigung der COVID-19-Pandemie. Das Ziel ist es, (i) positive Fälle zu identifizieren, um sie in Isolation zu setzen und sicherzustellen, dass sie die notwendige medizinische Betreuung erhalten und über das Übertragungsrisiko informiert werden; und (ii) ihre Kontaktpersonen mit hohem Infektionsrisiko zu identifizieren, um sich selbst zu überwachen und Vorsichtsmaßnahmen zu ergreifen, wie das Tragen von Masken, das Einschränken von Kontakten und die Durchführung von Selbsttests.

Die von der Abteilung Gesundheitsinspektion der Gesundheitsbehörde durchgeführten Rückverfolgungstätigkeiten umfassen die Sammlung und Verarbeitung personenbezogener Daten, sowohl von Personen, die positiv auf COVID-19 getestet wurden, als auch von Personen mit hohem Infektionsrisiko. Dies dient dazu, die Kontaktpersonen einer Person, die positiv getestet wurde, zu identifizieren, sie darüber zu informieren, dass sie einen Risikokontakt hatten und ihnen Dokumente zu den Maßnahmen, die nach einer solchen Exposition empfohlen werden, um das Risiko einer weiteren Übertragung zu verringern, zukommen zu lassen.

Die Gesundheitsbehörde verwendet die gesammelten Daten auch zur Erstellung entsprechender anonymer Statistiken zur Bewertung, Überwachung und Bekämpfung der Pandemie, insbesondere anhand darauf basierenden Entscheidungen im Bereich der öffentlichen Gesundheit, welche an die Ausbreitung und Entwicklung der Pandemie angepasst sind.

Diese Aktivitäten werden durch das geänderte Gesetz vom 17. Juli 2020 zur Einführung einer Reihe von Maßnahmen zur Bekämpfung der COVID-19-Pandemie festlegt.

Die Sie betreffenden persönlichen Daten, die insbesondere anhand der beiden Tracing-Formulare erhoben und verarbeitet werden, sind die folgenden:

  • persönliche Identifikationsdaten, einschließlich Kontaktdaten (Name, Vorname, Postanschrift, E-Mail-Adresse, Telefonnummer und Referenznummer);
  • von den öffentlichen Diensten ausgestellte Identifikationsdaten (CNS-Sozialversicherungsnummer);
  • Daten über den Impfstatus;
  • Datum des Kontakts mit der Person, die positiv auf COVID-19 getestet wurde;
  • Bei Anwesenheit am Arbeitsplatz oder in der Schule: Arbeitsplatz/Schule, Name des Arbeitgebers/der Schule und Beruf;
    • nur bei positiv getesteten Personen: Geburtsdatum
    • gewünschte Sprache für die Kommunikation mit der Verwaltung
    • Genehmigung, dass seine Identität den Kontaktfällen mitgeteilt wird
    • Gesundheitsdaten: Vorhandensein schwerer Symptome, Datum der ersten Symptome, falls zutreffend, Bedarf an medizinischer Versorgung und Zugang zu medizinischer Versorgung, Datum des Tests
    • Datum des Beginns der Selbstisolation
    • Angabe von Hochrisikokontakten, die in den letzten 48 Stunden stattgefunden haben
  • Informationen über Reisen, die in den 14 Tagen vor dem Auftreten der Symptome / dem positiven Test unternommen wurden,
    • Antrag auf Kontaktaufnahme durch Contact Tracing als Ergänzung zur Selbstdeklaration, falls zutreffend.

Ihre persönlichen Daten werden an folgenden Empfänger weitergeleitet:

  • Die Generalinspektion der sozialen Sicherheit, die die Daten pseudonymisiert, um sie öffentlichen Forschungseinrichtungen zur Verfügung zu stellen, damit diese Prognosen zur Überwachung der Entwicklung der Pandemie, sowie umfassende Analysen zum Verständnis der Übertragung, der Risikofaktoren und der Folgen der Infektion erstellen können.
  • Das Laboratoire National de Santé (LNS) beteiligt sich an der Seite der Gesundheitsdirektion an der Bekämpfung der COVID-19-Pandemie, indem es Proben des viralen Genoms analysiert und so einen Überblick über die in Luxemburg zirkulierenden Varianten verschafft.

Diese Instanz unterliegt den gesetzlichen Verpflichtungen in Bezug auf den Datenschutz, einschließlich des Berufsgeheimnisses oder der geltenden Geheimhaltungspflichten.

Ihre persönlichen Daten werden von der Abteilung Gesundheitsinspektion der Gesundheitsbehörde gemäß den im geänderten Gesetz vom 17. Juli 2020 zur Einführung einer Reihe von Maßnahmen zur Bekämpfung der COVID-19-Pandemie festgelegten Aufbewahrungsfristen aufbewahrt.

Unter Berücksichtigung der Grenzen und Bedingungen, die im geänderten Gesetz vom 17. Juli 2020 zur Einführung einer Reihe von Maßnahmen zur Bekämpfung der COVID-19-Pandemie und in den allgemeinen Datenschutzbestimmungen vorgesehen sind, haben Sie das Recht, Zugang zu Ihren persönlichen Daten zu beantragen und eine Kopie davon zu erhalten und, falls diese persönlichen Daten unvollständig oder fehlerhaft sind, ihre Berichtigung zu verlangen. Sie haben auch das Recht, die Verarbeitung Ihrer persönlichen Daten einzuschränken, das Recht, ihrer Verwendung zu widersprechen und das Recht, ihre Löschung zu erwirken.

Es ist möglich, die Ausübung der oben aufgeführten Rechte zu beantragen, indem Sie einen schriftlichen Antrag stellen, der unterschrieben und mit einem Identitätsnachweis versehen ist: Gesundheitsbehörde (Direction de la santé): info_donnees@ms.etat.lu — 13a, rue de Bitbourg, L-1273 Luxembourg

Es besteht auch die Möglichkeit, eine Beschwerde bei der Nationalen Kommission für den Datenschutz per Post an folgende Adresse einzureichen: 15, boulevard du Jazz, L - 4370 Belvaux oder durch Ausfüllen des Online-Formulars, das auf der Website der CNPD in der Rubrik "Privatpersonen" verfügbar ist. -> Ihre Rechte geltend machen.

Impfung

Die Impfkampagne beruht auf der Erhebung und Verarbeitung personenbezogener Daten.

Der Zugang zu einem sicheren und hochwertigen Impfstoff gegen COVID-19 ist ein entscheidender Bestandteil der nationalen Pandemiebekämpfung.

In Kombination mit den anderen Elementen der umfassenden Virusbekämpfungspolitik, nämlich Prävention, Diagnose und Screening (Tests), Isolation infizierter Personen, Rückverfolgung und Quarantäne von Kontaktpersonen, Behandlung von COVID-19-Patienten sowie Sensibilisierung und Information, wird die Impfung eine entscheidende Rolle bei der Rettung von Menschenleben, der Eindämmung der Pandemie, dem Schutz des Gesundheits- und Pflegesystems spielen und zur Erholung unserer Wirtschaft beitragen.

In diesem Rahmen werden die personenbezogenen Daten der zur Impfung eingeladenen Personen und der geimpften Personen von den Datenschutzbeauftragten erhoben und verarbeitet (d.h. von den Instanzen, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen):

  • Die Gesundheitsbehörde, weil sie für die Organisation und Verwaltung der Impfkampagne verantwortlich ist, aber auch für die Überwachung der Sicherheit und Qualität der Impfstoffe sowie der Impfstoffaufnahme (Anteil der Personen, die in einem bestimmten Zeitraum mit einer bestimmten Impfstoffdosis geimpft wurden) und der Durchimpfungsrate (Anteil der Bevölkerung, der durch die Impfung als geschützt gilt, am Ende eines bestimmten Zeitraums) im ganzen Land
  • Die Generalinspektion der Sozialen Sicherheit ("Inspection générale de la sécurité sociale"), da diese auf der Grundlage der Impfstrategie die Personen identifiziert, die zur Impfung eingeladen werden

Diese Instanzen verarbeiten personenbezogene Daten in Übereinstimmung mit der Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, nachstehend die "Verordnung").

Die Verarbeitung personenbezogener Daten im Rahmen der Impfkampagne erfolgt, um (I) Personen zur Impfung einladen zu können, (II) Personen, die sich impfen lassen möchten, die Möglichkeit zu geben, sich impfen zu lassen, (III) die Sicherheit des Impfstoffs/der Impfstoffe sowie seine/ihre Qualität zu überwachen, insbesondere durch Überwachung seiner/ihrer Wirksamkeit, und (IV) die Aufnahme und Abdeckung des/der Impfstoffe zu überwachen.

Die rechtliche Grundlage für diese Verarbeitung findet sich:

  • Im geänderten Gesetz vom 17. Juli 2020 zur Einführung einer Reihe von Maßnahmen zur Bekämpfung der COVID-19-Pandemie
  • Im Gesetz vom 24. November 2015 zur Änderung des geänderten Gesetzes vom 21. November 1980 über die Organisation der Gesundheitsbehörde und des geänderten Gesetzes vom 16. August 1968 über die Einrichtung eines "Centre de logopédie et de services audiométrique et orthophonique"
  • Im Gesetz vom 4. Juli 2000 über die Verantwortung des Staates in Sachen Impfungen
  • In der geänderten großherzoglichen Verordnung vom 15. Dezember 1992 über das Inverkehrbringen von Arzneimitteln

Die Kategorien der personenbezogenen Daten, die von den Datenschutzbeauftragten verarbeitet werden, sind wie folgt; sie hängen von der Teilnahme der Personen an der Impfkampagne ab:

  • Personenbezogene Daten zur Identifizierung (z.B. Name, Vorname(n), Geburtsdatum, Geschlecht)
  • Kontaktdaten (Telefonnummer und E-Mail-Adresse)
  • Nationale Identifikationsnummer
  • Impfstoff-Zuordnungskriterium, wie es durch die Impfstrategie definiert ist
  • Angaben, um das mögliche Vorhandensein von Kontraindikationen, das Vorhandensein von Gesundheitsproblemen oder anderen Risikofaktoren sowie das mögliche Auftreten von Nebenwirkungen zu ermitteln
  • Verabreichung des Impfstoffs (Wahl, Datum, Ort der Impfung)
  • Merkmale der Impfung (Injektionsstelle, Impfstoffproduktmarke, Seriennummer, Verabreichungsnummer und Verfallsdatum)

Personenbezogene Daten können durch die Datenschutzbeauftragten an die folgenden Empfänger übermittelt werden:

  • Das Zentrum für Informationstechnologien des Staates, das für den Versand der Einladungen, die Bereitstellung der Terminplattform und die Verwaltung des Informationssystems zuständig ist, über das personenbezogene Daten im Zusammenhang mit der Immunisierung verarbeitet werden
  • Die nationale Abteilung für Immunologie und Allergologie des CHL für eine dringende allergologische Beratung nach dem Besuch des Impfzentrums von Personen, die ein großes allergisches Risiko auf die Impfstoffinjektion aufweisen.
  • Wenn eine Pharmakovigilanz-Datei eröffnet wird, an das Regionale Pharmakovigilanz-Zentrum Lothringen und eventuell an die Europäische Arzneimittel-Agentur, die mit der Gesundheitsbehörde zusammenarbeiten, um die Registrierung dieser Pharmakovigilanzmeldungen in der europäischen Datenbank EudraVigilance zu ermöglichen. Es ist zu beachten, dass das Regionale Pharmakovigilanz-Zentrum Lothringen standardmäßig Zugang zu den Akten von schwangeren Frauen zum Zeitpunkt der Verabreichung des Impfstoffs hat, um sie bis zum Ende ihrer Schwangerschaft durch den Versand von zwei E-Mails verfolgen zu können
  • Die Generalinspektion der Sozialen Sicherheit, die die Daten erhält, um sie in pseudonymisierter Form verschiedenen öffentlichen Forschungseinrichtungen zu wissenschaftlichen Forschungszwecken zur Verfügung zu stellen

Persönliche Daten werden von jedem Teilnehmer für einen Zeitraum aufbewahrt, der nicht über den Zeitraum hinausgeht, der für die verfolgten Zwecke erforderlich ist, in Übereinstimmung mit seinen jeweiligen rechtlichen Verpflichtungen. Beispielsweise bewahrt die Gesundheitsbehörde personenbezogene Daten auf der Grundlage des abgeänderten Gesetzes vom 17. Juli 2020 über Maßnahmen zur Bekämpfung der COVID 19-Pandemie auf.

Jede Person, deren Daten verarbeitet werden, hat das Recht, Zugang zu ihren persönlichen Daten zu beantragen und eine Kopie davon zu erhalten und, falls die persönlichen Daten unvollständig oder fehlerhaft sind, sie berichtigen zu lassen. Sie hat auch das Recht, die Verarbeitung ihrer persönlichen Daten einzuschränken, das Recht, ihrer Verwendung zu widersprechen und das Recht, ihre Löschung zu erwirken, unter den Bedingungen und innerhalb der Beschränkungen, die in der Allgemeinen Datenschutzverordnung festgelegt sind.

Es ist möglich, die Ausübung der oben aufgeführten Rechte zu beantragen, indem Sie einen schriftlichen Antrag stellen, der mit einem Identitätsnachweis versehen ist.

  • Für die Verarbeitung im Zusammenhang mit der Organisation und Verwaltung der Impfkampagne und der Überwachung von Sicherheit, Qualität und Durchimpfungsrate, wenden Sie sich an die Gesundheitsbehörde: info_donnees@ms.etat.lu — 13a, rue de Bitbourg, L-1273 Luxembourg
  • Für Verarbeitungen im Zusammenhang mit den Einladungen zur Impfung, wenden Sie sich an die Generalinspektion der sozialen Sicherheit ("Inspection générale de la sécurité sociale"): igss@igss.etat.lu — 26, rue Zithe, L-2763 Luxemburg

Es besteht auch die Möglichkeit, eine Beschwerde bei der Nationalen Kommission für den Datenschutz per Post an folgende Adresse einzureichen: 15, boulevard du Jazz, L - 4370 Belvaux oder durch Ausfüllen des Online-Formulars, das auf der Website der CNPD in der Rubrik "Privatpersonen" verfügbar ist.-> Ihre Rechte geltend machen.

FAQ

Was sind die Ziele des vorhandenen Informationssystems?

Das eingesetzte Informationssystem soll folgenden Zwecken dienen:

  1. zur Erkennung, Evaluation, Überwachung und Bekämpfung der COVID-19-Pandemie
  2. Erwerb grundlegender Kenntnisse über die Verbreitung und Entwicklung der Pandemie (statistische Überwachung, Studien, Forschung)
  3. den Bürgern den Zugang zu Schutzmaßnahmen und angemessener Behandlung zu garantieren
  4. die Wirksamkeit und Sicherheit von Impfstoffen und den Gesundheitszustand der geimpften Personen laufend zu überwachen und zu bewerten
  5. Überwachung und Bewertung des groß angelegten Testprogramms und des Impfprogramms

Weiter gilt es ebenfalls Mitteilungspflichten und Informationsanfragen von europäischen oder internationalen Gesundheitsbehörden zu erfüllen, denen Luxemburg nachkommen muss. 

Wer ist für die Verarbeitung von personenbezogenen Daten verantwortlich?

Mehrere Stellen sind für die Verarbeitung von personenbezogenen Daten verantwortlich:

 

1. Die Gesundheitsbehörde, die im Rahmen ihrer Zuständigkeit die Entwicklung der aktuellen Pandemie überwacht und die epidemiologische Strategie festlegt sowie die eingeleiteten Maßnahmen koordiniert.

Die Gesundheitsbehörde ist auch für die Organisation und das Management der Impfkampagne sowie für deren Überwachung und Auswertung verantwortlich. Sie ist in erster Linie für die Sicherheit und Qualität der Impfstoffe verantwortlich.

Beide Programme erfordern die Erfassung und Verarbeitung einer Reihe von personenbezogenen Daten.

2. Die Generalinspektion der Sozialen Sicherheit, die ebenfalls an den groß angelegten Test- und Impfprogrammen beteiligt ist, wobei sie für die Festlegung der Personengruppen zuständig ist, die zu diesen Programmen eingeladen werden.

Im Hinblick auf die Durchführung des groß angelegten Testprogramms gehören auch die für die Tests im Rahmen dieses Programms zuständigen medizinischen Analyselabore und das Nationale Gesundheitslabor zu den Stellen, die zur Verarbeitung personenbezogener Daten verpflichtet sind. Erstere sind für die Organisation der Proben, die Entnahme der Proben, die Durchführung der Tests und die Übermittlung der Ergebnisse zuständig und letzteres führt die gleichen Analysen im Rahmen der serologischen Tests durch. 

Welche personenbezogenen Daten werden verarbeitet?

Die von infizierten Personen und Personen mit hohem Infektionsrisiko erhobenen Daten (Namen, Vornamen, Geburtsdatum, Adresse, Telefonnummer, Sozialversicherungsnummer, Kontaktdaten des behandelnden Arztes, Daten zur Feststellung ob eine Person infiziert ist, wie Testergebnis, Diagnose oder, bei Personen mit hohem Infektionsrisiko, das Datum des letzten Kontakts, das Vorhandensein und das Datum des Auftretens von Symptomen).

Daten zur Identifizierung von Personenkategorien, die zum groß angelegten Testprogramm und zum Impfprogramm eingeladen werden sollen (soziodemografische Daten, Daten zum Beruf, chronologischer Überblick der Tests und, im Rahmen des Impfprogramms, das Datum des Impftermins und der Verabreichung des Impfstoffs).

Es ist zu beachten, dass bei gefährdeten Personen der Arzt, auf Anfrage seines Patienten, welcher geimpft werden möchte, die personenbezogenen Daten an die Gesundheitsbehörde übermittelt. Sensible Daten, die sich auf die Pathologie des Patienten beziehen, werden jedoch nur vom Arzt verarbeitet und nicht an die Gesundheitsbehörde übermittelt, welche lediglich darüber informiert wird, dass der Patient aufgrund seines Gesundheitszustands eine vulnerabele Person ist.

Die im Rahmen des Impfprogramms gesammelten Daten (Standardinformationen zur Identifikation und zu den Kontaktdaten, aber auch Informationen über die Zuteilung des Impfstoffs, Daten zur Feststellung des Vorliegens möglicher Kontraindikationen oder gesundheitlicher Probleme oder anderer Risikofaktoren). Es werden auch Daten über die Entscheidung zur Verabreichung des Impfstoffs, über die Merkmale der Impfung (Impfstoffprodukt, Injektionsstelle, Chargennummer, Verabreichungsnummer, Verfallsdatum) oder über den Impfarzt erhoben. 

Wie werden die gesammelten Daten gespeichert?

In der Regel werden personenbezogene Daten zunächst pseudonymisiert, bevor sie anonymisiert werden. In einigen Fällen werden die erhobenen Daten sofort anonymisiert, ohne den Zwischenschritt der Pseudonymisierung. Dies gilt insbesondere für die erhobenen Daten im Zusammenhang mit der Impfaufforderung an gefährdete Personen, die spätestens drei Wochen nach Versendung der Impfaufforderung anonymisiert werden.

Die Pseudonymisierung ist eine Methode zur Verarbeitung personenbezogener Daten, die darin besteht, die besagten Daten so zu verarbeiten, dass es nicht möglich ist, die gesammelten Elemente einer bestimmten natürlichen Person zuzuordnen, ohne auf zusätzliche Informationen zurückgreifen zu müssen. Im Gegensatz zur Anonymisierung ist dieser Vorgang reversibel. Sie stellt eine Sicherheitsmaßnahme für die Personen dar, deren Daten erhoben wurden, und bietet ihnen ein gewisses Maß an Vertraulichkeit, während sie gleichzeitig die Verarbeitung der Daten im Rahmen einer bestimmten Gesundheitspolitik ermöglicht. Sie respektiert den Grundsatz der Verhältnismäßigkeit, der die Verarbeitung von personenbezogenen Daten leitet.

In der Praxis besteht ein solches Verfahren darin, direkt erkennbare Daten (Nachname, Vorname usw.) durch indirekt erkennbare Daten (Ordnungsnummer usw.) zu ersetzen, um deren Sensibilität zu verringern.

Die Daten werden anschließend anonymisiert. Die Anonymisierung besteht darin, den Inhalt oder die Struktur von personenbezogenen Daten so zu verändern, dass eine "Re-Identifizierung" der betroffenen Personen sehr schwierig oder unmöglich wird. In der Regel ist die Zeitspanne, nach der Daten anonymisiert werden, länger als bei der Pseudonymisierung. 

Wie lange werden die Daten aufbewahrt?

Zur Wahrung des Verhältnismäßigkeitsprinzips und in Abhängigkeit vom Zweck der durchgeführten Verarbeitungen sind mehrere Aufbewahrungsfristen vorgesehen.

(i) betreffend personenbezogene Daten, die zum Zweck der Pandemiebekämpfung erhoben und verarbeitet werden

Diese Daten werden spätestens sechs Monate nach der Erhebung für die Dauer von drei Jahren pseudonymisiert, danach werden sie anonymisiert.

Diese Zeiträume spiegeln das Bestreben wider, die Auswirkungen der Epidemie auf der Grundlage der kürzlich erworbenen Kenntnisse über das SARS-CoV-2-Virus und insbesondere über die Immunität der infizierten Personen zu überwachen. Demnach hat eine Person, die sich mit COVID-19 angesteckt hat, im Allgemeinen eine Immunität, die durchschnittlich sechs Monate anhält. Hinzu kommt, dass im Falle einer erneuten Infektion, diese bei saisonalen Coronaviren typischerweise innerhalb einer relativ kurzen Zeitspanne, meist weniger als zwölf Monate, erfolgt.

Aus Sicht des öffentlichen Gesundheitswesens ist es unerlässlich, erneute Infektionen zu überwachen, um festzustellen, ob diese auf das Vorhandensein einer neuen, ansteckenderen Variante des Virus zurückzuführen sind oder nicht, und die Gesundheitspolitik entsprechend auszurichten. Daher ist es wichtig, personenbezogene

Daten zu einer Erstinfektion aufzubewahren, um eine erneute Infektion erkennen zu können. Die Identifizierung einer möglichen Neuinfektion sollte jedoch so schnell wie möglich erfolgen, um die notwendigen Schritte zur Durchführung geeigneter Gesundheitsmaßnahmen einzuleiten. Es ist daher nicht notwendig, übermäßig lange Zeiträume vorzusehen.

Die Aufbewahrung der Daten in pseudonymisierter Form für einen Zeitraum von drei Jahren entspricht der vollen Dauer einer Pandemie, die oft mehrere aufeinanderfolgende Wellen aufweist. Diese Dauer ermöglicht eine vollständige Überwachung.

(ii) bezüglich der im Rahmen des Impfprogramms erhobenen und verarbeiteten Daten 

Erhobene personenbezogene Daten

  • über den Impfarzt sind spätestens zwei Jahre nach der Erhebung zu anonymisieren.
  • über die geimpfte Person sind spätestens 20 Jahre nach der Erhebung zu anonymisieren, mit Ausnahme bestimmter Daten, d. h. Identifikationsdaten und Kontaktdaten, die spätestens nach zwei Jahren nach der Erhebung zu anonymisieren sind, da sie möglichen Änderungen unterliegen. Daneben sind solche Daten, die es ermöglichen, das Vorhandensein möglicher Kontraindikationen oder anderer Risikofaktoren festzustellen, nach 10 Jahren zu anonymisieren.
    Die Aufbewahrungsfrist von 20 Jahren ist im Hinblick auf die Arzneimittelüberwachung gerechtfertigt, die darin besteht, unerwünschte Nebenwirkungen nach der Verabreichung von Arzneimitteln, in diesem Fall von Impfstoffen, zu erfassen und auszuwerten. Es ist im Interesse der Patienten, dass Daten über einen langen Zeitraum aufbewahrt werden. In der Tat ist es nicht ungewöhnlich ist, dass Nebenwirkungen von Medikamenten oder Impfstoffen erst nach mehreren Jahren oder sogar nach mehr als 10 Jahren auftreten. Es ist daher wichtig, die Verabreichung eines bestimmten Medikaments oder Impfstoffs mit Nebenwirkungen in Verbindung bringen zu können. Eine lange Aufbewahrung bestimmter Daten ermöglicht eine solche Verknüpfung.
  • ​Im Falle einer Impfverweigerung seitens des Impfers, werden die personenbezogenen Daten, soweit sie erhoben wurden, spätestens 2 Jahre nach ihrer Erhebung anonymisiert. Im Falle des Widerrufs der Einwilligung der betroffenen Person zur Impfung werden die Daten nach 3 Monaten anonymisiert. 

Wer hat Zugriff auf die Daten von infizierten Personen oder Personen mit hohem Infektionsrisiko?

Lediglich Ärzte und medizinisches Fachpersonal sowie Beamte oder Angestellte, die vom Minister für Gesundheit zur Verfügung gestellt werden, oder andere Personen, die vom Gesundheitsdirektor namentlich benannt werden und somit den nationalen Behörden zugeordnet sind, haben Zugang zu den Daten infizierter Personen oder Personen mit hohem Infektionsrisiko.

Darüber hinaus dürfen diese Personen nur auf gesundheitsbezogene Daten zugreifen, insofern der Zugriff für die Erfüllung der ihnen im Rahmen der Pandemiebekämpfung anvertrauten gesetzlichen oder konventionellen Aufgaben erforderlich ist. Diese Personen unterliegen auch dem Berufsgeheimnis, dessen Verletzung nach §458 Strafgesetzbuch strafbar ist.

Es ist jedoch zu beachten, dass die Daten von den verschiedenen für die Datenverarbeitung verantwortlichen Stellen übermittelt werden können. Zu den Empfängern, an die Daten übermittelt werden können, gehören u. a. die folgenden:

  • das Zentrum für Informationstechnologien des Staates (CTIE) als IT-Unterauftragnehmer der Gesundheitsbehörde;
  • die eSanté-Agentur als Verantwortliche für die technische Übermittlung von PCR- und serologischen Testergebnissen an die Gesundheitsinspektion, die der Gesundheitsbehörde angehört;
  • die Generalinspektion der Sozialen Sicherheit, welche die im Zusammenhang mit der Pandemie erhobenen und verarbeiteten personenbezogenen Daten pseudonymisiert, um sie, gemäß ihrer Missionen, öffentlichen Forschungseinrichtungen zur Verfügung zu stellen;
  • der für die Hotline zuständige Dienstleister, der auf Anfrage Test- und Impftermine für Personen vereinbaren kann, die keine Möglichkeit haben, auf die speziell hierfür vorgesehene Online-Plattform zuzugreifen. 

Können die Daten zu wissenschaftlichen, historischen oder statistischen Forschungszwecken verarbeitet werden?

Ja, die Daten dürfen zu diesen Zwecken unter den Bedingungen der allgemeinen europäischen Datenschutzverordnung und des Gesetzes vom 1. August 2018 über die Organisation der nationalen Datenschutzkommission und die allgemeine Datenschutzregelung verarbeitet werden, sofern sie pseudonymisiert werden, d.h. so verarbeitet werden, dass die Daten nicht ohne zusätzliche Informationen einer bestimmten natürlichen Person zugeordnet werden können. 

Ist es möglich, Widerspruch gegen die Verarbeitung der Daten einzulegen?

Infizierte Personen oder Personen mit hohem Infektionsrisiko können der Verarbeitung ihrer Daten im Informationssystem, dessen Hauptzweck die Bekämpfung der Pandemie ist, nicht widersprechen, solange sie kein negatives Test-Ergebnis geltend machen können. Aus Gründen der öffentlichen Gesundheit ist es zwingend erforderlich, die Daten von Personen aufzubewahren, deren Test-Ergebnis eindeutig eine Infektion mit dem SARS-CoV-2-Virus aufweist. 

Welches sind die Datenschutzrechte von natürlichen Personen?

Jede natürliche Person, deren Daten verarbeitet werden, hat das Recht, Zugang zu ihren personenbezogenen Daten zu verlangen und eine Kopie davon zu erhalten und, falls die persönlichen Daten unvollständig oder fehlerhaft sind, sie berichtigen zu lassen. Sie haben außerdem das Recht, die Verarbeitung personenbezogener Daten einzuschränken, ihrer Verwendung zu widersprechen und ihre Löschung zu erwirken, unter den Bedingungen und innerhalb der Beschränkungen, die im abgeänderten Gesetz vom 17. Juli 2020 über Maßnahmen zur Bekämpfung der COVID-19-Pandemie und in der allgemeinen Datenschutzverordnung der Europäischen Union (2016/679) vorgesehen sind.

Es ist möglich, die Ausübung dieser Rechte zu beantragen, indem Sie einen schriftlichen Antrag stellen der mit einem Identitätsnachweis versehen ist:

  • für die Datenverarbeitung im Zusammenhang mit der Überwachung der Pandemie und der Organisation und Verwaltung der Impfung, an die Direction de la santé (Gesundheitsbehörde) - info_donnees@ms.etat.lu - 13a, rue de Bitbourg, L-1273 Luxemburg
  • für die Datenverarbeitung im Zusammenhang mit der Identifizierung von Personenkategorien, die zu groß angelegten Test- und Impfprogrammen eingeladen werden, an die Inspection générale de la sécurité sociale (Generalinspektion der Sozialen Sicherheit) - igss@igss.etat.lu - 26, rue Zithe, L-2763 Luxemburg
  • für die Datenverarbeitung im Zusammenhang mit PCR-Tests, im Rahmen des groß angelegten Testprogramms durchgeführt werden, an die Laboratoires Réunis - dpo@labo.lu - 38, rue Hiehl, Z.A.C. Laangwiss, L-6131 Junglinster
  • für die Datenverarbeitung im Zusammenhang mit serologischen Tests, an das Laboratoire national de santé (Nationales Gesundheitslaboratorium) - dpo@lns.etat.lu - 1, rue Louis Rech, L-3555 Dudelange

Es besteht auch die Möglichkeit, eine Beschwerde bei der Nationalen Kommission für Datenschutz (Commission nationale pour la protection des données - CNPD) per Post an folgende Adresse einzureichen: 15, boulevard du Jazz, L - 4370 Belvaux oder durch Ausfüllen des Online-Formulars, das auf der Website der CNPD in der Rubrik "Privatpersonen- Ihre Rechte geltend machen" verfügbar ist.

Zum letzten Mal aktualisiert am