Sitzung vom 3. Juni 2021
Entwurf eines Dekrets zur Billigung des Zusammenarbeitsabkommens vom 31. Mai 2021 zwischen dem Föderalstaat, der Flämischen Gemeinschaft, der Deutschsprachigen Gemeinschaft, der Wallonischen Region und der Gemeinsamen Gemeinschaftskommission über besondere Verarbeitungen personenbezogener Daten zur Rückverfolgung und Untersuchung von Clustern und Personengemeinschaften, zur Durchsetzung der Quarantäne- und Testpflicht sowie zur Überwachung der Einhaltung von Maßnahmen zur Verhinderung der Ausbreitung des Coronavirus COVID-19 am Arbeitsplatz durch die zuständigen Sozialinspektoren
1. Beschlussfassung:
Die Regierung genehmigt das Zusammenarbeitsabkommen vom 31. Mai 2021 zwischen dem Föderalstaat, der Flämischen Gemeinschaft, der Deutschsprachigen Gemeinschaft, der Wallonischen Region und der Gemeinsamen Gemeinschaftskommission über besondere Verarbeitungen personenbezogener Daten zur Rückverfolgung und Untersuchung von Clustern und Personengemeinschaften, zur Durchsetzung der Quarantäne- und Testpflicht sowie zur Überwachung der Einhaltung von Maßnahmen zur Verhinderung der Ausbreitung des Coronavirus COVID-19 am Arbeitsplatz durch die zuständigen Sozialinspektoren.
Die Regierung verabschiedet in zweiter und letzter Lesung den Entwurf des Dekrets zur Billigung des Zusammenarbeitsabkommens vom 31. Mai 2021 zwischen dem Föderalstaat, der Flämischen Gemeinschaft, der Deutschsprachigen Gemeinschaft, der Wallonischen Region und der Gemeinsamen Gemeinschaftskommission über besondere Verarbeitungen personenbezogener Daten zur Rückverfolgung und Untersuchung von Clustern und Personengemeinschaften, zur Durchsetzung der Quarantäne- und Testpflicht sowie zur Überwachung der Einhaltung von Maßnahmen zur Verhinderung der Ausbreitung des Coronavirus COVID-19 am Arbeitsplatz durch die zuständigen Sozialinspektoren.
Der Minister für Gesundheit und Soziales, Raumordnung und Wohnungswesen wird beauftragt, den Entwurf im Parlament zu hinterlegen.
2. Erläuterungen:
Dieses Zusammenarbeitsabkommen zielt darauf ab, eine solide Rechtsgrundlage für drei genau definierte Arten besonderer Verarbeitungen personenbezogener Daten zu schaffen, die für die Bekämpfung der Verbreitung des Coronavirus COVID-19 wichtig sind, indem die wesentlichen Elemente dieser Verarbeitungen festgelegt werden.
Die erste Art der Verarbeitung betrifft die Anreicherung von drei personenbezogenen Daten infizierter Personen aus der Datenbank I (die NISS-Nummer, das Datum des COVID-19-Tests, die Postleitzahl) durch das Landesamt für Soziale Sicherheit (LSS) in seiner Eigenschaft als Auftragsverarbeiter für die zuständigen Teilstaaten, von denen jeder für seinen Zuständigkeitsbereich als für die Datenverarbeitung Verantwortlicher fungiert, mit dem Ziel, Cluster und Personengemeinschaften zu erkennen und zu untersuchen. Darüber hinaus liefern diese Verarbeitungen auch anonyme Statistiken für politische Entscheidungsträger und Forscher.
Die zweite Art der unterstützenden Verarbeitung betrifft die Anreicherung einer Auswahl von PLF-Daten in Bezug auf Arbeitnehmer und Selbstständige, die in Belgien wohnen und/oder im Ausland arbeiten, durch das LSS in seiner Eigenschaft als Auftragsverarbeiter für die zuständigen Teilstaaten, die jeweils als Datenverantwortliche handeln. Diese Verarbeitung ermöglicht es den zuständigen Teilstaaten, Infektionsquellen am Arbeitsplatz effektiver zu erkennen und gegebenenfalls schneller einzugreifen, und erleichtert die Durchsetzung der Quarantäne- und Testpflicht.
Die dritte Art der Verarbeitung betrifft die Anreicherung einer Auswahl von PLF-Daten durch das LSS (Verantwortlicher) zur Unterstützung der Überwachung der Einhaltung der COVID-19-Maßnahmen am Arbeitsplatz durch die zuständigen Sozialinspektoren. Personen, die sich in Quarantäne befinden, müssen grundsätzlich telearbeiten, wenn ihre Funktion telearbeitsfähig ist, und sollten nicht am Arbeitsplatz anwesend sein, es sei denn, es gilt eine Ausnahme. Diese Verarbeitungen liefern Hinweise, die immer vor Ort von den Sozialinspektoren überprüft werden, wobei die betroffenen Personen die Möglichkeit haben, ihren Standpunkt zu rechtfertigen.
Artikel 1 enthält eine Reihe von Begriffsbestimmungen.
Artikel 2 legt die wesentlichen Elemente der unterstützenden Verarbeitung bestimmter personenbezogener Daten infizierter Personen aus der Datenbank I durch das LSS in seiner Eigenschaft als Auftragsverarbeiter für die zuständigen Teilstaaten fest, von denen jeder im Rahmen seiner Zuständigkeit als für die Datenverarbeitung Verantwortlicher handelt, um Cluster und Personengemeinschaften zu erkennen.
In Artikel 3 werden die wesentlichen Elemente der unterstützenden Verarbeitungen bestimmter Daten aus der PLF-Datenbank durch das LSS in seiner Eigenschaft als Auftragsverarbeiter für die zuständigen Teilstaaten festgelegt, die jeweils in ihrer Eigenschaft als für die Verarbeitung Verantwortliche handeln.
Artikel 4 definiert die wesentlichen Elemente der Weiterverarbeitung bestimmter Daten aus der PLF-Datenbank durch das LSS in seiner Eigenschaft als für die Verarbeitung Verantwortlicher, um die Überwachung der Einhaltung der COVID-19-Maßnahmen am Arbeitsplatz durch die zuständigen Sozialinspektoren zu unterstützen.
Artikel 5 regelt die Beilegung von Streitigkeiten zwischen den Parteien durch ein Zusammenarbeitsgericht.
Artikel 6 weist die Interministeriellen Konferenz „Volksgesundheit“ an, die Umsetzung und Einhaltung der Bestimmungen des Zusammenarbeitsabkommens zu überwachen und Anpassungen vorzuschlagen.
Artikel 7 regelt das Inkrafttreten des Zusammenarbeitsabkommens und sieht seine Überarbeitung oder Kündigung vor.
3. Finanzielle Auswirkungen:
Es entstehen keine Kosten für die Deutschsprachige Gemeinschaft.
4. Gutachten:
Das Gutachten des Finanzinspektors liegt vor.
Gutachten der Datenschutzbehörde
Die Datenschutzbehörde stellte ihr Gutachten 66/2021 am 6. Mai 2021 aus.
Was den Artikel 2 betrifft, äußerte Die Datenschutzbehörde folgende Vorschläge:
1. die in Artikel 2 §1 vorgesehene Zweckbestimmung müsse noch um die Verhinderung der Ausbreitung des Coronavirus (COVID-19) vervollständigt werden (Bemerkung 15). Dies wurde hinzugefügt.
2. aus dem Text muss hervorgehen, woher Daten gekommen, womit sie verknüpft werden und wer die Daten liefert (Bemerkungen 13 und 18). Folglich wurde in Artikel 1 ein Artikel eingefügt, der diese Elemente darlegt. Weitere Erklärungen sind dem Kommentar zu Artikel 1 zu entnehmen.
3. die Datenschutzbehörde schlägt vor, die Wörter Identifikations-, Kontakt-, Beschäftigungs-, und Aufenthaltsdaten zu streichen (Bemerkung 19). Die Aufenthaltsdaten wurden daher gestrichen. Die Adressdaten, die (ausnahmsweise) zur korrekten Identifizierung der betroffenen Person verwendet werden, fallen unter die (neue) Definition von „Identifikationsdaten“ (Art. 1 Nummer 10). Kontaktdaten, bei denen es sich nur um die Kontaktdaten der Ansprechpartner auf der Baustelle/Arbeitsstelle handelt, wenn eine Anwesenheitspflicht besteht, wurden in die breite Beschreibung der Beschäftigungsdaten integriert. Zudem wurden die Beschäftigungsdaten ebenfalls der neuen Definition in Artikel 1 hinzugefügt. Identifikationsdaten wurden nicht gestrichen, weil sie für eine Verknüpfung mit der richtigen Person notwendig/unverzichtbar sind. Für weitere Erklärungen wird auf den Kommentar zu Artikel 2 verwiesen.
4. die zuständigen Teilstaaten als Verarbeitungsverantwortliche sollen klar definiert werden (Bemerkung 22). Im Kommentar zu Artikel 2 wurde eine entsprechende Passage eingefügt.
5. Artikel 2 §3 Absatz müsse angepasst werden, sodass deutliche daraus hervorgehe, dass alle Daten, die das LASS für den Zweck der Verknüpfung erhält, sowie der erstellte Datensatz durch die Aufbewahrungsfrist gedeckt werden. Darüber hinaus müsse erklärt werden, warum eine Aufbewahrungsfrist von 14 Tagen notwendig sei (Bemerkung 26). Der Artikel wurde folglich angepasst. Absatz 1, der die Daten aus der Datenbank I betrifft, sieht vor, dass Daten während 14 Arbeitstagen nach Erhalt der Daten von Sciensano, die für die Kontaktuntersuchung erforderlich sind, aufbewahren darf, um ein Bild der Infektionen am selben Arbeitsplatz während eines Zeitraums von 14 Tagen zu erhalten. Es wurde ein neuer Absatz 2 eingefügt, der vorsieht, dass die Identifikations- und Beschäftigungsdaten unmittelbar nach dem Datum der Verarbeitung gelöscht werden. Ein neuer Absatz 3 sieht vor, dass die Ergebnisdaten nach Anonymisierung (für statistische Zwecke und wissenschaftliche Forschung) nach höchstens 3 Arbeitstage nach Übermittlung der Ergebnisdaten an die Teilstaaten gelöscht werden.
6. die Datenschutzbehörde wünscht sich mehr Klarheit in Bezug auf die Aufbewahrungsfrist (Bemerkung 28). Im neuen Artikel 2 §3 Absatz 4 wird eine Frist von 90 Kalendertagen vorgesehen. Diese Frist ist notwendig für die Kontaktrückverfolgung, da Infektionen innerhalb von 90 tagen nicht als neue Infektionen registriert werden.
Hinsichtlich Artikel 3 wurden ähnliche Bemerkungen laut:
1. der Artikel müsse vorsehen, woher Daten gekommen, womit sie verknüpft werden und wer die Daten liefert (Bemerkungen 13 und 33). Hier kann auf Nummer2 der Replik zu Artikel 2 verwiesen werden.
2. das gleiche gilt für die Empfehlung der Behörde, die Identifikations- und Kontaktdaten zu streichen (Bemerkungen 34-36). Hier wird auf Nummer 3 der Replik zu Artikel 2 verwiesen.
3. die Datenschutzbehörde bittet darum, zu präzisieren, was mit Beschäftigungsdaten gemeint ist (Bemerkung 37). Eine Begriffsbestimmung wurde in Artikel 1 eingefügt.
4. für alle übrigen Bemerkungen der Datenschutzbehörde mit Bezug auf Artikel 3, die im Wesentlichen mit den Bemerkungen zu Artikel 2 übereinstimmen (Bemerkungen 38, 42, 43, 45-47), kann auf die Repliken zu Artikel 2 verwiesen werden.
Dasselbe gilt für die Bemerkungen zu Artikel 4.
Gutachten des Staatsrats
Der Staatsrat stellte sein Gutachten 69.331/VR zum vorliegenden Abkommen am 17. Mai 2021 aus.
Der Staatsrat schlägt vor, den Text mit einer Begriffsbestimmung der Identifikations-, Kontakt-, Beschäftigungs-, und Aufenthaltsdaten zu vervollständigen (Bemerkung 8.3.1). Artikel 1 wurde demnach mit einer Reihe von Begriffsbestimmungen angereichert.
Es bestehe nach Ansicht des Staatsrats eine Rechtslücke, da kein Rechtstext erschöpfend vorsehe, welche personenbezogenen Daten über das PLF verarbeitet werden (Bemerkung 8.3.2). Die Autoren nehmen hiervon Kenntnis und verweisen darauf, dass derzeit ein Gesetz in Arbeit ist, das diese Lücke schließen soll.
Der Staatsrat wünscht, dass die für das LASS und die Teilstaaten geltenden Aufbewahrungsfristen verdeutlicht werden (Bemerkungen 8.4.1 und 8.4.2). Hier wird auf die Repliken Nummern 5 und 6 auf das Gutachten der Datenschutzbehörde zu Artikel 2 verwiesen.
Weiterhin schlägt der Staatsrat vor, im verfügenden Teil festzulegen, dass die Durchführung wissenschaftlicher oder statistischer Untersuchungen auf der Grundlage anonymisierter Daten erfolgt und die damit betrauten Einrichtungen zu benennen (Bemerkung 11.2). In Artikel 2 §3 Absatz 3 wird daher klargestellt, dass die Anonymisierung von Daten im Hinblick auf die Weiterverarbeitung für die wissenschaftliche und statistische Forschung und die Unterstützung erfolgt. Die namentliche Benennung der Stellen, die mit einer solchen Aufgabe betraut werden, wurde jedoch nicht vorgenommen.
Schlussendlich verlangte der Staatsrat noch einige Einschränkungen hinsichtlich des rückwirkenden Inkrafttretens (Bemerkung 13). Dies wurde so angepasst, wie vom Staatsrat vorgeschlagen.
5. Rechtsgrundlage:
- Artikel 5 §1 I Nummer 8 und Artikel 92bis §1 des Sondergesetzes vom 8. August 1980 zur Reform der Institutionen.
- Artikel 4 §2 und 55bis des Gesetzes vom 31. Dezember 1983 über institutionelle Reformen für die Deutschsprachige Gemeinschaft.