Das Gesundheitsministerium hat eine Novelle des Epidemie- und des Covid-Maßnahmengesetzes in Begutachtung geschickt, mit der der grüne Pass umgesetzt wird. Die Grundrechtsplattform Epicenter Works ortet darin ein großes Datenschutzproblem. Das Gesetz sieht nämlich eine Verknüpfung von aktuellen und historischen Daten über das Erwerbsleben, das Einkommensniveau, etwaige Arbeitslosigkeiten, den Bildungsweg und Krankenstände aller geimpften oder genesenen Personen vor.

NGO droht mit Verfassungsklage

Geplant ist, dass die in der Elga-Infrastruktur vorgenommenen Impfungen in ein anderes Register, das Epidemiologische Meldesystem (EMS), kopiert werden. In dieser Datenbank werden Covid-19-Erkrankte mit geimpften Personen zusammengeführt, womit dort fast die gesamte österreichische Bevölkerung abgebildet sein wird.

Dabei bleibt es aber nicht: In diesem Register soll eine Verbindung mit aktuellen und historischen Daten über das Erwerbsleben, das Einkommen, etwaige Arbeitslosigkeiten, den Bildungsweg, Reha-Aufenthalte und Krankenstände einer Person vollzogen werden. "Fast alle unserer Lebensbereiche werden in dieser Datenbank durchleuchtet werden", warnt Epicenter Works und droht mit einer Verfassungsklage, sollte dieses Gesetz beschlossen werden.

Datenbank über fast die gesamte Bevölkerung

Im Gesetz heißt es wörtlich, dass der Gesundheitsminister "zum Zweck der epidemiologischen Überwachung sowie des Monitorings der Wirksamkeit" der Corona-Maßnahmen Daten in Bezug auf gesundheits-, sozial-, erwerbs- und bildungsstatistische Merkmale verarbeiten darf und die ihm von der Elga GmbH übermittelten Daten mit dem Register verknüpfen kann und diese Daten zum "Zweck des Ausbruchs- und Krisenmanagements, wie etwa für die Ermittlung von Impfdurchbrüchen, von Ausbruchsclustern oder für die Kontaktpersonennachverfolgung" verarbeiten darf.

Diese Daten betreffen unter anderem Anzahl und durchschnittliche Dauer von Krankenständen, Rehabilitationsaufenthalte, die höchste abgeschlossene Ausbildung, Erwerbsverläufe, Arbeitsmarktstatus, Einkommen und Arbeitsort. Mit diesem Register entstehe praktisch eine Datenbank über annähernd die gesamte Bevölkerung, welche sensible Gesundheitsdaten mit "fast willkürlichen Lebensbereichen verknüpft", kritisieren die Datenschützer in ihrer Stellungnahme zum Begutachtungsentwurf.

Datenschützer kritisieren "gänzlich wirkungslose" Pseudonymisierung

Angesichts dieser Datenfülle sei die vorgesehene Pseudonymisierung "gänzlich wirkungslos, da Menschen anhand der Kombination der Merkmale in dieser Datenbank eindeutig identifizierbar werden". "Diese Datenverarbeitung ist weder durch den Zweck des Registers gedeckt, noch ist diese Verarbeitung verhältnismäßig. Sollte dies nicht korrigiert werden, überlegen wir, eine höchstgerichtliche Prüfung dieser Datenverarbeitung anzustreben."

"Als wäre das nicht schon bedenklich genug, sollen die Daten dann zusätzlich im Statistikregister gespeichert werden, was natürlich wiederum den Kreis der Zugriffsberechtigen immens erweitert. Dadurch entsteht ein großes Missbrauchspotenzial und vergrößert sich die Gefahr eines Datenskandals im Einflussbereich des Gesundheitsministeriums. Diese Bestimmung ist aus Datenschutzsicht keineswegs tragbar und sollte komplett gestrichen werden", fordern die Datenschützer.

Neue Ermächtigungen für den Minister

In der Novelle des Epidemiegesetzes finden sich zudem zahlreiche Verordnungsermächtigungen für den Gesundheitsminister. So kann der Minister per Verordnung weitere Register zur Zusammenführung mit den Daten des EMS bestimmen.

"Der bereits erhebliche Datenberg soll also noch weiter anwachsen können", so Epicenter Works. Ein weiteres großes Versäumnis ist nach Ansicht der Experten, dass es keine Festschreibung der Unbeobachtbarkeit des Überprüfungsvorgangs von Zertifikaten gibt.

Keine Opt-out-Möglichkeit

Bereits zuvor hatten sich Datenschützer kritisch zum grünen Pass geäußert. So wurde etwa eine ursprünglich geplante Integration einer E-Card-Nutzung kurzerhand wieder gekippt, nachdem hier zahlreiche Bedenken aufgekommen waren.

Die Regierung will die Erfassung der Impfungen als Strategie nutzen, um die Verteilung der Vakzine und somit auch die Durchimpfungsrate zu dokumentieren. Wer sich impfen lässt, der landet im Register – eine Opt-out-Möglichkeit gibt es nicht. Dies wird damit argumentiert, dass nur eine vollständige Dokumentation der Impfungen aussagekräftig genug sei, um gesundheitspolitische Maßnahmen treffen zu können. Epicenter Works hatte diesbezüglich schon zuvor die Kritik geäußert, dass ein derartiges zentrales Register Missbrauchspotenzial schaffe.

Vor allem, dass der E-Impfpass nicht nur temporär zum Einsatz kommen soll, fand Lohninger in einem Q&A mit dem STANDARD kritikwürdig: "Der elektronische Impfpass ist als permanentes System ausgelegt, das sich auf alle Impfungen erstreckt und nicht nur auf jene gegen gefährliche ansteckende Krankheiten." Demnach sei er mit Elga vergleichbar, wo es aber sehr wohl eine Opt-out-Möglichkeit gibt.

Opposition ortet "Datenschutz-Desaster"

Naturgemäß hagelt es auch aus der Opposition heftige Kritik an den Plänen rund um den Grünen Pass. "Das, was die Bundesregierung vorlegt, ist unausgegoren, nicht kompatibel mit den Plänen der EU und eine Datenschutzkatastrophe", heißt es etwa von Niki Scherak, Neos-Datenschutzssprecher, und Gerald Loacker, Neos-Gesundheitssprecher, in einer Aussendung: "Türkis-Grün muss auf die Reaktionen der Expertinnen und Experten reagieren und die Pläne komplett überarbeiten. Das ist das Resultat der rein auf Showeffekte ausgelegten ‚Austria-First‘-Politik der Regierung, die unbedingt ihre eigene Suppe kochen will."

Laut Scherak und Loacker ist es zudem "völlig unklar, welche Stellen welche persönlichen Daten auslesen dürfen". Im kommenden europäischen grünen Pass sollen die Kompetenzen und Berechtigungen jedoch klar definiert sein. Nun laufe man gar Gefahr, dass die österreichische Variante nicht EU-kompatibel sein werde. Einen "Affront" sehen die Neos-Politiker auch in der kurzen Begutachtungsfrist von einer Woche, inklusive eines Feiertages.

FPÖ-Bundesparteiobmann Norbert Hofer kritisiert indes, dass die vorgeschriebene "Pseudonymisierung" nicht verhindern könne, dass Menschen anhand der Kombination von Merkmalen einwandfrei identifiziert werden könnten: "Mit dem grünen Pass wäre der gläserne Bürger perfekt und dem Missbrauch von hochpersönlichen Daten Tür und Tor geöffnet", sagt er.

Wie das Ministerium das Datensammeln begründet

Am Vormittag äußerte sich das Gesundheitsministerium zu den Vorwürfen. Gegenüber der APA begründet man das Verknüpfen des Corona-Status mit Daten über das Erwerbsleben, das Einkommensniveau, etwaige Arbeitslosigkeiten, den Bildungsweg und Krankenstände mit der Schaffung eines "effektiven Pandemiemanagements".

Es gebe zunehmend Hinweise auf sogenannte "Impfdurchbrüche". Das sind neuerliche Infektionen bereits genesener oder geimpfter Personen überwiegend mit Varianten (Mutationen) des Covid-19-Erregers oder über "Ausbruchscluster", die mit den verfügbaren Daten nicht nachvollzogen bzw. aufgeklärt werden können. Um hier passende Maßnahmen zu setzten, sei eine Übermittlung von Daten aus dem zentralen Impfregister und deren Verschneidung mit den Daten des EMS-Registers (Epidemiologisches Meldesystem) unumgänglich, heißt es in der Gesetzesbegründung. Durch die Verknüpfung von Informationen aus anderen Registern könnten neue Erkenntnisse "von großem Wert in Bezug auf Covid-19 gewonnen werden".

So sollen die sozialstatistischen Merkmale einen Erkenntnisgewinn hinsichtlich der kurz- und langfristigen Zusammenhänge zwischen Covid-19-Erkrankungen und sozioökonomischen Umständen liefern. Dieser wiederum diene nicht nur dem Erkenntnisinteresse der Forschung, sondern sei eine Grundlage für die Entwicklung und Evaluierung von "evidenzbasierten Politikmaßnahmen und ein effektives Pandemiemanagement", so die Begründung für die Schaffung der riesigen Datenregister. (APA, red, 19.5.2021)