Mehr Freiheiten für Geimpfte, und das so unkompliziert wie möglich: So möchte die Regierung in Zukunft den Übergang aus der Pandemie in den Normalzustand handhaben. Dabei setzt sie auf einen Impfnachweis, der durch die Behörden zur Verfügung gestellt werden soll. User sollen mithilfe eines QR-Codes künftig vorlegen können, ob sie geimpft, getestet oder genesen sind. Das Bundesrechenzentrum (BRZ) versichert auf STANDARD-Anfrage, dass bei der Abfrage des Nachweises keine Gesundheitsdaten an die Prüfer gingen.

Würde also etwa ein Lokal künftig eine derartige Abfrage durchführen, erhalte dieses keine Details zu seinen Gästen. Auch könne nicht rückverfolgt werden, "durch wen, wo und zu welchem Zweck eine Validierung des QR-Codes erfolgte", heißt es. Nach einer erfolgreichen QR-Validierung erscheine das Prüfergebnis und der Gültigkeitsstatus des betreffenden Tests. "Eine Zuordnung des QR-Codes zur Person erfolgt mittels der Initialen aus Vor- und Nachnahme sowie des Geburtsjahrs, die im QR-Code stehen", sagt ein Sprecher des BRZ.

Die Weichen für die Pläne sollen Gesetzesanpassungen, die in der vergangenen Woche im Nationalrat beschlossen wurden, stellen. Doch die vorgesehene technische Umsetzung sorgte vorab für massive Kritik, Datenschützer befanden sie für problematisch. Die Elga GmbH, die für die Umsetzung der Elektronischen Gesundheitsakte (Elga) zuständig ist, warnte bereits vor der Verabschiedung in einer Stellungnahme vor den Plänen. Anstatt direkt auf die Informationen des E-Impfpasses, der in der Elga integriert ist, zuzugreifen, sollten die Daten aus dem System nach dem ursprünglichen Plan nämlich zweifach gespiegelt werden: zunächst ins Epidemiologische Melderegister (EMS), das vom Gesundheitsministerium verwaltet wird, und von dort dann weiter ins BRZ im Wirtschaftsministerium.

DSGVO-widrig

Derartige Nachweise – entweder zu Impfungen, Testungen oder Genesungen – sollen in Form einer zum Teil amtssignierten PDF-Datei erstellt werden. Die Vorgehensweise würde aus Sicht der Elga allerdings gegen die Datenschutzgrundverordnung (DSGVO) verstoßen. Diese sieht nämlich das Prinzip der Datenminimierung vor, also dass personenbezogene Daten nur in einem Ausmaß gespeichert werden dürfen, das für den Zweck der Verarbeitung notwendig und angemessen ist. Die Elga GmbH "dürfte in diesem Fall selbst bei gesetzlicher Regelung keine Daten übermitteln", warnte sie daher bereits vor Verabschiedung des Gesetzes.

Dazu käme, dass eine derartige mehrfache Datenhaltung auch gegen den Datenrichtigkeitsgrundsatz der DSGVO verstoße. Dieser schreibt vor, dass personenbezogene Daten auf dem aktuellsten Stand zu halten sind – durch die dreifache Speicherung werde dies aber unnötigerweise erschwert, da die Spiegelung laufend aktualisiert werden müsste.

Nach einem Aufschrei der Opposition und von Datenschützern nach einem Bericht des STANDARD wird dieses Vorgehen nun in einer gemeinsamen Arbeitsgruppe geprüft. Dem Vernehmen nach könnte der Zugriff künftig über das EMS erfolgen und erst dann, wenn die Information abgefragt wird. Eine Spiegelung soll also nicht stattfinden. Das Sozialministerium erklärt auf Anfrage, dass es "ja nur eine Quelle" gebe, weswegen die Richtigkeit gewährleistet sei. Weitere "Richtigstellungen der Elga werden berücksichtigt", heißt es.

Problematisch sei der Elga GmbH zufolge zudem die Auslegung der Gesetzesmaterie. Die Begrifflichkeiten seien zu unbestimmt, wodurch es zu Problemen kommen könnte. Daher sei eine Datenschutzfolgeabschätzung vorzunehmen. Diese sei aktuell am Laufen, heißt es auf Anfrage des STANDARD.

Unterschiedliche Nutzungszwecke

Weiterhin werden jene Daten verarbeitet, "die für die Ausstellung eines international gültigen und amtssignierten Impfzertifikats notwendig sein werden", heißt es aus dem Gesundheitsministerium. Ziel sei es, allen Bürgern "rasch die Möglichkeit zu geben sich wieder uneingeschränkt bewegen und reisen zu können".

Hierbei gilt es aber, zwischen einem Immunitätszertifikat und einem Impfnachweis zu unterscheiden. Ersteres würde zu medizinischen Zwecken mehr Informationen voraussetzen – beispielsweise der genutzte Impfstoff oder der impfende Arzt. Letzteres wäre hingegen, so zumindest die Überlegungen, ein Eintrittsticket zu mehr Freiheiten, somit wäre die Information über eine durchgeführte Impfung ausreichend. Im Fall des grünen Impfpasses soll Letzteres ermöglicht werden, die Formulierung des Gesundheitsministeriums deutet aber auf die Nutzung umfassenderer Datensätze hin.

Zusätzlich legt die Stellungnahme der Elga GmbH einen weiteren Umstand offen: So werden die Informationen im elektronischen Meldesystem zwar pseudonymisiert gespeichert, rückführbar sind sie aber trotzdem. Das macht insofern Sinn, als Contact-Tracer auch Informationen über Erkrankte und Kontaktpersonen erfassen müssen. Bei der Elga wird ein Zugriff durch klar protokolliert und kann von Nutzern jederzeit eingesehen werden. Im Fall eines Zugriffs auf das EMS wäre hingegen eine Auskunftsanfrage gemäß der DSGVO notwendig, heißt es aus dem Gesundheitsministerium. Die Frist liegt hier bei einem Monat.

Intransparent

Die Neos verortet einen massiven Eingriff in die Datensicherheit. "Ohne Begutachtung durch Experten und unter Umgehung des Datenschutzrates lässt die Regierung jetzt Gesundheitsdaten in verschiedene öffentliche Systeme kopieren", sagt Neos-Gesundheitssprecher Gerald Loacker. "Wäre der Minister nur beratungsresistent, würde er die Experten zumindest zu Wort kommen lassen. Weil er aber an Expertise völlig desinteressiert ist, kommt es zu so irrwitzigen Vorgängen." Das Datenschutzgesetz schreibe eine Anhörung des Datenschutzrates vor der Erlassung derartiger Gesetze vor. "Diese hat nicht stattgefunden. Das ist eiskalter Gesetzesbruch, den die Grünen verantworten", sagt er.

Auch bei Datenschützer sorgt das Vorgehen für Kritik. "Dass die Daten ins EMS transferiert werden, ist hochproblematisch", sagt Horst Kapfenberger von der NGO Noyb im Gespräch. Idealerweise müssten die Informationen direkt in den Systemen der Elga erfasst und verarbeitet werden. Aufgrund der Fülle an beteiligten Behörden und verteilten Datensätze sei für Bürger unklar, wer eigentlich welche Infrastruktur betreibt und auf welche Datensätze zugreift. Zudem erhöhe eine derartige Verteilung über mehrere Stellen immer die Gefahr, dass Fehler passieren. Schließlich müssten große Datensätze über mehrere Instanzen verwaltet werden.

"Die Antworten des Gesundheitsministeriums deuten darauf hin, dass die Architektur des Systems derzeit überdacht wird", sagt ein Sprecher der Datenschutz-NGO Epicenter Works. "Statt der stark kritisierten Mehrfachdatenhaltung der Impfdaten soll offenbar nur im Anlassfall – also zur Ausstellung des Impfzertifikats – auf den E-Impfpass zugegriffen werden." Dieser könne vom Elga-System protokolliert werden. "Die Aussage des BRZ, dass keine Protokollierung der Prüfer eines Impfnachweises erfolgen soll, ist positiv", allerdings sei sie auch das absolute Minimum, um keine zentrale Aufzeichnung der Aktivitäten der gesamten Bevölkerung anzulegen.

"Blind vertrauen"

Trotzdem müsse man "blind vertrauen", dass keine Protokollierung erfolgt – denn technisch ist sie weiterhin wohl möglich. Ein tatsächlich sicheres System wäre eines, bei dem die Zertifikatsüberprüfung auch offline möglich wäre. Insgesamt stünde den Behörden so ein massiver Berg an Daten zur Verfügung. "Das entspricht nicht Privacy-by-Design-Prinzipien und schafft Begehrlichkeiten", heißt es. Mehr Transparenz über die konkrete Vorgehensweise wird spätestens die Datenschutzerklärung der eingesetzten Plattformen liefern müssen. (Muzayen Al-Youssef, Jan Michael Marchart, 4.3.2021)