DATENSCHUTZERKLÄRUNG VON NOVATIUM GMBH

Die Verarbeitung personenbezogener Daten im Einklang mit den höchsten Datenschutzvorgaben ist uns ein zentrales Anliegen.
Mit dieser Erklärung informieren wir Sie gem. Art. 13 DSGVO über alle Datenverarbeitungen, die im Zusammenhang mit PCR-Tests erfolgen, die wir unter anderem im Auftrag des Landes Tirol durchführen.
Wenn Sie Fragen haben, stehen wir Ihnen unter den angeführten Kontaktdaten sehr gerne zur Verfügung.

Artikel 13 DSGVO: Verantwortlicher
Novatium GmbH
FN 55269v, LG Innsbruck
Kalkofenweg 24
A-6020 Innsbruck
E-Mail: info@novatium.at
M: +43 6766617515

Artikel 13 DSGVO: Datenschutzbeauftragter
Mag. Dr. Kemal Cakar, LL.M.
Kalkofenweg 24
A-6020 Innsbruck
E-Mail: info@novatium.at
M: +43 6766617515

Artikel 13 DSGVO: Zwecke der Verarbeitung und deren Rechtsgrundlage
Zweck: Erstellung eines Kundenkontos

Um unsere Dienste in Anspruch nehmen zu können, ist die Erstellung eines Kundenkontos notwendig. Zur Erstellung müssen Sie
• Vorname
• Nachname
• E-Mail-Adresse
auf unserer Website my.novatium.at angeben.
Rechtsgrundlage: Wir benötigen diese Informationen, um Ihnen die Entgegennahme von Testkits zu ermöglichen und Ihnen das Testergebnis anschließend im Kundenbereich zukommen zu lassen.
Zur Erstellung des Kontos senden wir Ihnen eine E-Mail zur Bestätigung und Festlegung eines Passworts zu.
Mit Ihrer E-Mail-Adresse und Ihrem Passwort können Sie sich dann auf unserer Website in den Kundenbereich einloggen.
Die Erstellung des Kundenkontos ist zur Erfüllung des Vertrags über die Abwicklung der Testung erforderlich und stützt sich auf Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und -erfüllung).
Darüber hinaus beugt die Registrierung die missbräuchliche Inanspruchnahme von Testkits vor und liegt daher in unserem berechtigten Interesse gem. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Zweck: Erstellung von Benutzern
Wenn Sie eingeloggt sind, können Sie mehrere Benutzer anlegen, die dasselbe Kundenkonto nutzen können.
Dies dient vor allem dazu, Personen, die über kein Smartphone verfügen, Zugang zu unseren Services zu ermöglichen.
Für die Erstellung eines Benutzers sind die folgenden Angaben erforderlich:
Geschlecht
Vorname
Nachname
Geburtstag
Sozialversicherungsnummer
Reisedokumentnummer
E-Mail-Adresse
Telefonnummer
Adresse
Rechtsgrundlage: Die Daten sind notwendig, um Ihnen kostenlose Testkits zur Verfügung stellen zu können und Ihnen das Testergebnis anschließend zuordnen und zustellen zu können.
Die Sozialversicherungsnummer ist erforderlich, um zu prüfen, ob Sie aufgrund einer aufrechten Krankenversicherung Anspruch auf kostenlose Testkits haben und um Missbrauch zu verhindern.
Die Adresse ist erforderlich, um festzustellen, ob Sie Ihren Wohnsitz oder Aufenthalt in Tirol haben, zumal das Angebot ausschließlich auf Personen mit Wohnsitz oder Aufenthalt in Tirol beschränkt ist.
E-Mail-Adresse und Telefonnummer sind notwendig, um Sie über das Vorliegen des Testergebnisses zu informieren.
Die Rechtsgrundlagen sind die Erfüllung des Vertrags gem. Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung und -erfüllung), unsere berechtigten Interessen an der Verhinderung von Missbrauch gem. Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen), öffentliche Interessen gem. Art. 6 Abs. 1 lit. e DSGVO an der Verhinderung von Missbrauch (öffentliche Interessen).
Die Erhebung dieser Daten ist teilweise auch erforderlich, um unserer gesetzlichen Meldeverpflichtung nach dem Epidemiegesetz nachzukommen.
Insoweit liegt der Rechtsfertigungstatbestand des Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Verpflichtung) vor.
Zweck: Anmeldung und Durchführung des Tests
Mit der Nummer des QR-Codes oder Barcodes auf dem Testkit oder durch Scannen des QR-Codes mit Ihrer Kamera können Sie einen durchgeführten Test in unserem System anmelden und diesen in einer der Rückgabestationen abgeben.
Auf diese Art und Weise erfolgt eine Verknüpfung zwischen dem Benutzer des Kundenkontos, der den Test durchgeführt hat, und der konkreten Probe.
In unserem System werden die folgenden weiteren Datenkategorien nach Anmeldung des Tests erzeugt, verknüpft und gespeichert:
Event-Nummer
Event-ID
Barcode
QR-Code der Probe
(nach der Auswertung des Tests) der Befund, dh das Ergebnis der medizinischen Diagnostik
Rechtsgrundlage: Wir stützen uns für diese Verarbeitung, insbesondere für die Erstellung des Befunds, auf die Gründe der medizinischen Diagnostik zum Zwecke der Gesundheitsvorsorge und auf das Vorliegen eines öffentlichen Interesses im Bereich der öffentlichen Gesundheit gem. Art. 9 Abs. 2 lit. h und i DSGVO. Wir verfügen unter anderem über die Qualifikation eines naturwissenschaftliches Labors, welches gem. § 28c Epidemiegesetz COVID-19 Testungen durchführen darf.
Darüber hinaus ist die Erstellung des Befunds und das daraus abgeleitete Testergebnis unsere vertragliche Kernleistung, sodass diese Verarbeitung gem. Art. 6 Abs. 1 lit. b (Vertragserfüllung) und Art. 6 Abs. 1 lit. f (berechtigtes Interesse) gerechtfertigt ist.
Es wird darauf hingewiesen, dass wir aufgrund gesetzlicher Verpflichtung nach § 2 Abs. 1 und § 3 Abs. 1 Z 1a Epidemiegesetz verpflichtet sind, bestimmte personenbezogene Daten im Falle eines positiven Testergebnisses an die zuständige Bezirksverwaltungsbehörde (Gesundheitsamt) zu übermitteln.
Diese Ergebnisse werden von uns aufgrund gesetzlicher Verpflichtung in das Epidemiologische Meldesystem (EMS) gem. § 4 Epidemiegesetz und der Verordnung über elektronische Labormeldungen in das Register anzeigepflichtiger Krankheiten (BGBl II 2013/184) eingemeldet.
Zweck: Zustellung des Testergebnisses
Nach Auswertung der Probe übermitteln wir auf Grundlage des erstellten Befunds Ihr Testergebnis durch Übersendung eines Links zum Download des Dokuments per E-Mail und/oder via SMS.
Auf dem Testergebnis werden folgende Daten erfasst:
Vorname
Nachname
Geburtsdatum
Zeitpunkt der Erstellung des Befunds und ob das Testergebnis positiv oder negativ ist („nachgewiesen“ oder „nicht nachgewiesen“)
Rechtsgrundlage: Rechtsgrundlage für die Zustellung des Testergebnisses ist die Erfüllung unserer vertraglichen Verpflichtung gem. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Bei dem Testergebnis handelt es sich zudem um ein Gesundheitsdatum und damit um ein sensibles personenbezogenes Datum nach Art. 9 Abs. 1 DSGVO.
Die Verarbeitung ist nur zulässig, wenn einer der Gründe nach Art. 9 Abs. 2 DSGVO vorliegt.
Wir stützen uns zur Durchführung der Verarbeitung auf die Gründe der medizinischen Diagnostik zum Zwecke der Gesundheitsvorsorge und auf das Vorliegen eines öffentlichen Interesses im Bereich der öffentlichen Gesundheit gem. Art. 9 Abs. 2 lit. h und i DSGVO. Nationale Rechtsgrundlage ist unter anderem § 28c und §4c Abs. 2 letzter Satz Epidemiegesetz sowie die einschlägige COVID-19 Gesetzgebung.
Im Übrigen verweisen wir auf die Ausführungen im oben angeführten Punkt.
Zweck: Allgemeines zur Website
Wir verwenden keine Cookies und verarbeiten über die oben angeführten Verarbeitungsvorgänge hinaus keine personenbezogenen Daten auf unserer Website.
Zweck: Allgemeines zur iOS und Android App
Die App-Funktionalität besteht darin, den Benutzer der App zu authentifizieren, Funktionen zu aktivieren, Missbrauch zu unterbinden und Sicherheitsmaßnahmen zu implementieren, sowie die Serververfügbarkeit sicherzustellen und App-Abstürze zu minimieren bei gleichzeitiger Skalierbarkeit und Leistungsverbesserung, sowie eine effiziente Kundenbetreuung vorzunehmen.
Die Kernfunktion der App ist
der Nachweis, dass Sie zur Abholung von Testkits berechtigt sind;
eingesendete Testproben mit Ihnen zu verknüpfen sowie
Ihnen das Testergebnis elektronisch zuzustellen.
Die Nutzung unseres Services ist ebenfalls durch die Novatium App für iOS und Android Geräte möglich. Zur Nutzung der App müssen Sie diese aus dem App Store/Play Store herunterladen und installieren. Die folgenden erhobenen Daten werden mit der Identität des Benutzers auf unseren Servern verknüpft:
E-Mail-Adresse
Geschlecht
Vorname
Nachname
Geburtstag
SV-Nummer/Reisepassnummer
Telefonnummer
Straße und Hausnummer
Ort, PLZ
Land
Die folgenden erhobenen Daten werden nicht mit der Identität des Benutzers verknüpft:
Kamera
Genauer Standort
Ungefährer Standort
Nach unserem Kenntnisstand wird die Tatsache, dass Sie die App installiert haben, mit Ihrer Apple-ID bzw Ihrem Google Account verknüpft. Die Datenschutzrichtlinie von Apple finden Sie hier, die Datenschutzrichtlinie von Google finden Sie hier.
Um die Funktionalität der App zu gewährleisten, werden grundsätzlich dieselben Daten wie auf der Novatium-Website verarbeitet. Zur Rechtsgrundlage wird daher auf die anderen Abschnitt dieser Datenschutzerklärung verwiesen.

Artikel 13 DSGVO: Empfänger der personenbezogenen Daten
Bezirksverwaltungsbehörden
Aufgrund gesetzlicher Verpflichtung nach § 2 Abs. 1 und § 3 Abs. 1 Z 1a Epidemiegesetz sind wir im Falle eines positiven Testergebnisses verpflichtet, diese Daten an den genannten Empfänger zu übermitteln.
Rechtsgrundlage: gesetzliche Verpflichtung gem. Art. 6 Abs. 1 lit. c DSGVO und öffentliches Interesse an der Gesundheit nach Art. 9 Abs. 2 lit. i DSGVO in Verbindung mit § 10 Abs. 2 DSG.
Medizinische Universität Innsbruck
Christoph-Probst-Platz 1
Innrain 52 A
Fritz-Pregl-Straße 3
A-6020 Innsbruck
für die Zwecke der Qualitätskontrolle und zur Sequenzierung von positiven Testergebnissen um allfällige Mutanten des COVID-19 Virus feststellen zu können.
Rechtsgrundlage: Öffentliches Interesse an der Verhinderung und Eindämmung der Pandemie gem. Art. 6 Abs. 1 lit. e DSGVO, berechtigtes Interesse an der Verbesserung der Qualität unserer Leistungen gem. Art. 6 Abs. 1 lit. f DSGVO und öffentliches Interesse an der Gesundheit nach Art. 9 Abs. 2 lit. i DSGVO in Verbindung mit § 10 Abs. 2 DSG.

Land Tirol
Eduard-Wallnöfer-Platz 3
A-6020 Innsbruck
übernimmt die zentrale Koordination und Steuerung der Kontaktnachverfolgung im Falle positiver Testergebnisse in Tirol, dies in Kooperation mit den Bezirksverwaltungsbehörden.
Zu diesem Zweck werden folgende Daten übermittelt: Vorname, Nachname, Geschlecht, Geburtsdatum, Sozialversicherungsnummer, Telefonnummer, Adresse und Nummer der Testung.
Rechtsgrundlage: Öffentliches Interesse an der Verhinderung und Eindämmung der Pandemie gem. Art. 6 Abs. 1 lit. e DSGVO und öffentliches Interesse an der Gesundheit nach Art. 9 Abs. 2 lit. i DSGVO in Verbindung mit § 10 Abs. 2 DSG.

Brennercom Tirol GmbH
Eduard-Bodem-Gasse 8
A-6020 Innsbruck
zur Bereitstellung der IT-Infrastruktur (Hosting)

KBM Software GmbH
Kleesiedlung 6/1
A-8077 Gössendorf
als Auftragsverarbeiter für unsere IT-Infrastruktur

Cloudflare, Inc.
101 Townsend St
San Francisco
CA 94107, USA
stellt für uns Dienste bereit, die sicherstellen, dass unsere Website stets verfügbar und erreichbar ist.
In diesem Zuge werden keine personenbezogenen Daten an diesen Auftragsverarbeiter übermittelt.

Twilio Ireland Limited
25-28 North Wall Quay
Dublin 1, Ireland
als Dienstleister zur Erstellung und übermittlung der E-Mail-Nachrichten.

OpenCage GmbH
Schnittstelle zur Abfrage einer GEO Lokation zu einer angegebenen Adresse, wobei ausschließlich die Wohnadresse zur Übersichtdarstellung auf Karten verwendet wird.

Sonstige Empfänger
Aufgrund der schnell wechselnden Rechtslage müssen wir uns an dieser Stelle vorbehalten, die Daten auch an andere Empfänger zu übermitteln, sofern ein entsprechender Rechtsfertigungstatbestand nach Art. 6 und 9 DSGVO vorliegt oder neue Auftragsverarbeiter hinzugezogen werden.

Wir bemühen uns dessen ungeachtet, diese Erklärung zu jedem Zeitpunkt aktuell zu halten.

Artikel 13 DSGVO: Übermittlung in Drittländer sowie allenfalls Ausführungen im Falle internationaler Datentransfers
Wir übermitteln Ihre Daten nicht an Drittländer oder an internationale Organisationen.

Artikel 13 DSGVO: Speicherdauer
Steuerrechtliche Aufbewahrungspflicht
nach § 132 Abs. 1 BAO: 7 Jahre (Darüber hinausgehend, solange sie für die Abgabenbehörde in einem anhängigen Verfahren von Bedeutung sind)

Unternehmensrechtliche Aufbewahrungspflicht
nach §§ 190, 212 UGB: 7 Jahre

Umsatzsteuerrechtliche Aufbewahrungspflicht
für Rechnungen nach § 11 Abs. 2 3. Unterabsatz UStG: 7 Jahre

Umsatzsteuerrechtliche Aufbewahrungspflichten
für Ausfuhrbelege nach § 7 Abs. 7 UStG: 7 Jahre

Gewährleistung
nach § 933 ABGB: 2 Jahre

Kaufpreisforderung bei beweglichen Sachen
nach § 1062 iVm § 1486 ABGB: 3 Jahre

Forderungen von Miet- und Pachtzinsen
nach § 1486 ABGB: 3 Jahre, Fristbeginn: ab Fälligkeit

Ansprüche aus einem Werkvertrag
nach § 1486 ABGB (wenn die Leistung im Rahmen eines gewerblichen oder sonstigen geschäftlichen Betriebs erbracht wurde): 3 Jahre

Allgemeiner Schadenersatz
nach § 1489 ABGB (Entschädigungsklagen): 3 Jahre (wenn Schaden und Schädiger bekannt) /ansonsten 30 Jahre

Haftungsansprüche
nach § 13 PHG: 10 Jahre

Negative und ungültige Testergebnisse
werden für die Dauer von zwei Wochen gespeichert und danach vollständig anonymisiert.

Positive Testergebnisse
werden zu Dokumentationszwecken für eine Dauer von sechs Monaten aufbewahrt, außer es gibt im konkreten Einzelfall den Bedarf, das Ergebnis länger aufzubewahren.

Die Daten, die bei der Erstellung des Accounts und einzelner Benutzer erstellt wurden, werden solange gespeichert, bis der Account oder die Benutzer über Ihre Anfrage gelöscht werden.

Artikel 13 DSGVO: Rechtsbelehrung
Sie haben das Recht eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden; ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese personenbezogenen Daten.
Erfasst sind folgende Informationen:
die Verarbeitungszwecke;
die Kategorien personenbezogener Daten;
die Empfänger oder Kategorien von Empfängern;
falls möglich, die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
das Bestehen eines Rechts auf Berichtigung oder Löschung der betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
alle verfügbaren Informationen über die Herkunft der Daten;
das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling.
Sie haben das Recht, von dem Verantwortlichen die Berichtigung unrichtiger sowie die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.
Sie haben das Recht, von dem Verantwortlichen zu verlangen, dass personenbezogene Daten unverzüglich gelöscht werden, sofern einer der folgenden Gründe zutrifft:
Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig.
Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gemäß stützte und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
Sie legen Widerspruch gegen die Verarbeitung (Art. 21 Abs. 1 DSGVO) ein und es liegen keine berechtigten Gründe für die Verarbeitung vor oder Sie legen gemäß Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.
Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Artikel 8 Absatz 1 erhoben.
Das Recht auf Löschung besteht nicht, soweit die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist;
zur Erfüllung einer rechtlichen Verpflichtung, zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt;
aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit;
für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Sie haben das Recht die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
die Richtigkeit der personenbezogenen Daten wird bestritten und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen;
der Verantwortliche die personenbezogenen Daten nicht länger benötigt, Sie sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen;
Sie Widerspruch gegen die Verarbeitung gemäß Artikel 21 Absatz 1 eingelegt haben, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen überwiegen.
Wurde die Verarbeitung eingeschränkt, so dürfen diese personenbezogenen Daten — von ihrer Speicherung abgesehen — nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses verarbeitet werden.
Sie haben das Recht, die personenbezogenen Daten, die Sie einem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und Sie haben das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern die Verarbeitung auf einer Einwilligung oder auf einem Vertrag beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
Bei der Ausübung des Rechts auf Datenübertragbarkeit haben Sie das Recht zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen;
dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.
Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten von Ihnen überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung personenbezogener Daten zum Zwecke derartiger Werbung einzulegen;
dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.

Artikel 13 DSGVO: Widerrufbarkeit der Einwilligung
Sie haben das Recht, eine gemäß Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a beruhende Einwilligung jederzeit zu widerrufen, ohne dass die Rechtsmäßigkeit der Verarbeitung bis zum Widerruf berührt wird.

Artikel 13 DSGVO: Beschwerderecht bei einer Aufsichtsbehörde
Sie haben das Recht auf Beschwerde bei der
Österreichischen Datenschutzbehörde
Barichgasse 40-42
1030 Wien
T.: 00431521522569
E-Mail: dsb@gsb.gv.at
wenn Sie der Auffassung sind, dass die Verarbeitung gegen das geltende Datenschutzrecht verstößt.

Artikel 13 DSGVO: Bereitstellung der personenbezogenen Daten und mögliche Folgen der Nichtbereitstellung
Wir weisen Sie darauf hin, dass die Zurverfügungstellung der Daten teilweise gesetzlich vorgeschrieben ist oder zur Vertragserfüllung erforderlich ist. Wenn Sie die Daten nicht bereitstellen, können wir unsere Dienstleistung nicht für Sie erbringen.

Artikel 13 DSGVO: Automatisierte Entscheidungsfindung einschließlich Profiling
Es besteht keine automatisierte Entscheidungsfindung einschließlich Profiling.