Fragen & Antworten: Datenschutz (DSG, EU DSGVO) |#6 Zentrales Impfregister und die DSGVO
Steht ein zentrales Impfregister über dem Grundrecht auf informationelle Selbstbestimmung?
In Österreich hat der Nationalrat in einer Novelle zum Gesundheitstelematikgesetz im September 2020 den Elektronischen Impfpass (E-Impfpass) beschlossen. Damit sollen sämtliche Impfungen personenbezogen in einem zentralen Impfregister, das bei der ELGA GmbH eingerichtet werden soll, gespeichert und verarbeitet werden. Ziel sei es, so valide Daten zur Durchimpfungsrate zu gewinnen und die Impfversorgung der Bevölkerung optimieren zu können.1 — (Siehe dazu Beitrag Elektronischer Impfpass und Datenschutz
in diesem Blog).
Laut ersten Informationen sollen die personenbezogenen Impfdaten über die E-Card an das zentrale Impfregister bei der ELGA GmbH weitergeleitet werden. Laut Pressemitteilung der Parlamentsdirektion betrifft die Verpflichtung zur Speicherung […] die KassenvertragsärztInnen, die WahlärztInnen, ÄrztInnen mit Vertragsverhältnissen betreffend Vorsorgeuntersuchungen, stationäre Pflegeeinrichtungen sowie Hebammen.
Es stellen sich nun folgende Fragen:
- Erstreckt sich der Widerspruch zur Teilnahme an der elektronischen Gesundheitsakte ELGA auch auf das elektronische Impfregister und damit auf den eImpfpass?
- Wird es eine Möglichkeit geben, der Erfassung und Verarbeitung der personenbezogenen Impfdaten im zentralen Impfregister und der Ausstellung eines eImpfpasses zu widersprechen?
- Kann die Verarbeitung ohne ausdrückliche Einwilligung der Betroffenen erfolgen?
- Auf welcher rechtlichen Grundlage erfolgt eine zwangsweise Teilnahmeverpflichtung am eImpfpass und ist diese Rechtsgrundlage EU rechtskonform?
- Ad 1 — Widerspruch ELGA
- Der Widerspruch zur Teilnahme an ELGA erstreckt sich nicht auf das elektronische Impfregister
- Ad 2 — Widerspruch eImpfregister und eImpfpass
- Die Teilnahme am elektronischen Impfregister und eImpfpass ist zwangsläufig. Ein Widerspruchsrecht zur Teilnahme ist nicht vorgesehen. Die in der DSGVO vorgesehenen Betroffenenrechte werden stark eingeschränkt, beziehungsweise ausgesetzt.
- Ad 3 — Einwilligung eImpfregister und eImpfpass
- Der Gesetzgeber geht zudem davon aus, dass keine gesonderte Einwilligung erforderlich ist.
- Ad 4 — Gesetzliche Grundlagen
- Der Gesetzgeber bezieht sich gemäß Erläuterungen zur Novelle des Gesundheitstelematkgesetzes (GeTelG 2012) auf folgende, in der DSGVO vorgesehene Ausnahmen:
Laut § 20 Abs. 6 GTelG 2012 wird „erhebliches öffentliches Interesse” gemäß Artikel 9 Abs. 2 lit g bis j DSGVO geltend gemacht
Da zum Zweck der Evaluierung personenbezogene Daten verarbeitet werden müssen, enthält die vorgeschlagene Bestimmung eine entsprechende Datenverarbeitungsermächtigung zum Zwecke der Qualitätssicherung von ELGA aus Gründen eines erheblichen öffentlichen Interesses gemäß Art. 9 Abs. 2 lit. g bis j DSGVO (vgl. § 13 Abs. 1)
1Auch bezüglich „Einwilligung” wird „erhebliches öffentliches Interesse” gemäß Artikel 9 Abs. 2 lit g bis j DSGVO geltend gemacht:
Eine Einwilligung der Bürger/innen gemäß Art. 9 Abs. 2 lit. a DSGVO zu einem solchen Erinnerungssystem ist aufgrund des erheblichen öffentlichen Interesses am eImpfpass und dessen Funktionalitäten gemäß Art. 9 Abs. 2 lit. g bis j DSGVO nicht erforderlich (siehe die Erläuterungen zu § 24b).
1Bezüglich des Rechts auf Auskunft zu den eigenen personenbezogenen Einträgen im Impfregister nimmt der Gesetzgeber nicht auf Artikel 15 DSGVO Bezug, sondern schafft „andere angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Personen”.
Gegen den eImpfpass besteht also kein Widerspruchsrecht der Bürger/innen, sondern vielmehr andere angemessene und spezifischen Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Personen. Dazu zählen neben organisatorischen und technischen Datensicherheitsmaßnahmen insbesondere die Rechte der Bürger/innen gemäß § 24e Abs. 1 Z 1 auf Auskunft über die sie betreffenden, im zentralen Impfregister gespeicherten Daten und Protokolldaten.
Es gibt begründete Zweifel, dass die bezüglich elektronischem Impfregister und elektronischem Impfpass vorgesehenen Einschränkungen der Betroffenenrechte nach DSGVO und der Verpflichtung zur Einwilligung EU rechtskonform sind.
Die Erläuterungen dazu liefern ein rechtliches Legitimierungskonstrukt, das möglicherweise innerhalb der österreichischen Rechtsprechung als schlüssig beurteilt werden könnte. Allerdings sind diese Konstrukte nicht zwingend schlüssig bezogen auf EU Recht (DSGVO) und auf eine EU rechtskonforme Judikatur der DSGVO.
Hinweis: Eine detaillierte rechtliche Kritik ist nur für registrierte und angemeldete Mitglieder sichtbar.
Das unterstellte „erhebliche öffentliche Interesse”
Der Gesetzgeber versucht die massiven Einschränkungen der Betroffenenrechte mit „erheblichem öffentlichem Interesse” zu begründen. Sowohl im Gesetz als auch in den Erläuterung bleibt der Gesetzgeber allerdings eine überzeugende Begründung dafür schuldig. Im Wesentlichen geht er offenbar davon aus, dass das Gesundheitswesen und damit Gesundheitsdaten grundsätzlich von erheblichem öffentlichen Interesse seien. Davon allerdings geht die DSGVO nicht zwangsläufig aus.
Einschränkung der Betroffenenrechte
In den Erläuterungen wird mit Bezug auf die Einschränkung der Betroffenenrechte laut Artikel 15, 16, 18 und 21 DSGVO Bezug genommen auf den Artikel 89 Abs 1 und 2 DSGVO.
Im Wortlaut:
Die Möglichkeit, Ausnahmen von den Betroffenenrechten gemäß Art. 15, 16, 18 und 21 DSGVO vorsehen zu dürfen, ist notwendig, weil die Impfdaten nicht nur zur klassischen Berechnung von Durchimpfungsraten sondern auch für andere statistische Auswertungen verarbeitet werden dürfen und deren künftige Ausgestaltung aufgrund des rasanten technischen Fortschritts, insbesondere im Hinblick auf „Künstliche Intelligenz“ und „Big Data“, ebenso wenig absehbar ist wie deren Vereinbarkeit mit einer unbeschränkten Ausübung von Betroffenenrechten. Das konkrete Vorliegen der – über die mit dem vorliegenden Entwurf geschaffene Rechtsgrundlage einschließlich der darin vorgesehenen Bedingungen und Garantien hinausgehenden – Voraussetzungen des Art. 89 Abs. 2 DSGVO, unter denen Ausnahmen von den genannten Betroffenenrechten zulässig sind, ist abhängig von den mit der jeweiligen statistischen Erhebung verfolgten spezifischen Zwecken und daher von dem dafür jeweils Verantwortlichen zu beurteilen. Jedenfalls zu erfüllen sind die Bedingungen und Garantien gemäß Art. 89 Abs. 1 DSGVO (Abs. 3).
Hier wird behauptet, dass die „unbeschränkte Ausübung von Beroffenenrechten” unvereinbar wäre mit dem „rasanten technischen Fortschritt, insbesondere in Hinblick auf ‚Künstliche Intelligenz’und ‚Big Data’.” Diese nicht inhaltlich belegte Behauptung, wohl nach Plausibilitätserwägungen der Verfasser des Gesetzesentwurfs, stellt mE keine ausreichende Begründung dafür dar, das Grundrecht auf informationelle Selbstbestimmung und den Datenschutz nach DSGVO einzuschränken.
Artikel 89 Absatz 1 im Wortlaut:
Die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken unterliegt geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person gemäß dieser Verordnung. Mit diesen Garantien wird sichergestellt, dass technische und organisatorische Maßnahmen bestehen, mit denen insbesondere die Achtung des Grundsatzes der Datenminimierung gewährleistet wird. Zu diesen Maßnahmen kann die Pseudonymisierung gehören, sofern es möglich ist, diese Zwecke auf diese Weise zu erfüllen. 4In allen Fällen, in denen diese Zwecke durch die Weiterverarbeitung, bei der die Identifizierung von betroffenen Personen nicht oder nicht mehr möglich ist, erfüllt werden können, werden diese Zwecke auf diese Weise erfüllt.
Artikel 89 DSGVO bezieht sich ausdrücklich auf Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen und historischen Forschungszwecken und zu statistischen Zwecken.
Und dies unterliegt spezifischen geeigneten Garantien für die Rechte und Freiheiten der betroffenen Person gemäß dieser [DSG-] Verordnung
.
Die Garantien für Datenschutz und Datensicherheit der ELGA (2012) sind allerdings nicht für das elektronische Impfregister und den elektronischen Impfpass anwendbar, da wesentliche dort ausgewiesene Garantien hier eben nicht vorgesehen sind, wie beispielsweise das Widerspruchsrecht nach §15 Abs. 2 GTelG 2012, die Verhinderung der Speicherung in ELGA im Einzelfall nach §16 Abs. 2 Z 2 GTelG 2012 und andere (Siehe dazu: ELGA Garantien für Datenschutz und Datensicherheit)
Zudem gibt keine Garantien, dass die Daten nicht für andere, als im Artikel 89 vorgesehenen Zwecke verwendet werden, vielmehr gibt es begründete Bedenken, dass darüber hinaus politische Interessen bedient werden könnten.
Pseudonymisierung statt Anonymisierung statistischer Daten
Die Erläuterung zu §24g GTelG 2012 führt aus, dass über die zu statistischen Zwecken pseudonymisierten Daten, die für Verarbeitende keine legale Möglichkeit der Personalisierung ermöglichen soll, Angaben zu Geschlecht, Geburtsjahr und -monat, Geburtsort (Gemeindecode) lesbar bleiben. Das aber bedeutet vor allem für ländliche Gebiete, dass eine Rückführbarkeit der pseudonymisierten Daten selbst für Laien möglich ist.
Als durchaus problematisch muss folgende Formulierung in den Erläuterungen (S. 37) gewertet werden:
Da es in Österreich keine Impfpflicht gibt, liegt es im öffentlichen Interesse im Bereich der öffentlichen Gesundheit, durch gezielte, möglichst lokale Maßnahmen die Erhöhung der Durchimpfungsraten zu erreichen.
Es scheint, als würde mit dem elektronischen Impfregister und dem elektronischen Impfpass ein Bypass (Workaround, Umgehung) zu einer politisch eher nicht durchsetzbaren Impfpflicht eingerichtet werden.
Die Quellenangaben sind nur für Kunden und Mitglieder von fokus.genba einsehbar
The visibility level of the content block "#659 quellen-658" is not sufficient.
Die Anfrage wurde gestellt an:
| # | Adressat | Aktion | Datum | Reaktion / Notizen |
|---|---|---|---|---|
| 1 | ELGA GmbH, Datenschutz |
Nachfrage ob: wenn nicht wenn nicht |
5.10.2020 / prompte telefonische Antwort vom selben Tag |
Ad 1) Der Widerspruch gegen die Teilnahme an ELGA erstreckt sich nicht auf das elektronische Impfregister und damit den elektronischen Impfpass Ad 2) Es gibt keine Möglichkeit der Teilnahme an elektronischen Impfregister zu widersprechen. Die Teilnahme ist zwingend. Ad 3) Rechtsgrundlage dafür ist Abschnitt 5 § 24 c GTelG 2012 (Gesundheitstelematikgesetz) |
Dr. Conrad Lienhardt
Hinweis:
Die Inhalte unserer Internetseiten werden mit größter Sorgfalt recherchiert. Dennoch kann der Anbieter keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen übernehmen. Auf dieser Website werden allgemeine Informationen angeboten die keine Rechtsberatung darstellen und auch keine ersetzen können. Wir übernehmen keine Haftung für unmittelbare oder mittelbare Schäden, gleich aus welchem Rechtsgrund, die im Zuge der Nutzung dieser Website entstehen könnten. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte unbedingt einen Rechtsanwalt.
Editionsgeschichte:
Eingetragen von Dr. Conrad Lienhardt am 11.10.2020 – Last touched: 25.11.2020 – Contents updated: 11.10.2020Hinweis: Ältere Beiträge werden in der Regel nicht aktualisiert, sofern es dazu keinen konkreten Anlass gibt (z.B. Aufforderung zu Richtigstellung, Ergänzung etc.). Dennoch können Beiträge ein aktuelleres Datum einer Überarbeitung zeigen. Zumeist handelt es sich dabei nicht um inhaltliche Änderungen, sondern um technisch veranlasste Änderungen, Korrekturen der Rechtschreibung, Glättung des Stils etc. Daher werden alle LeserInnen darauf hingewiesen, die Beiträge mit Blick auf das Erstellungsdatum zu lesen und ggf. zu überprüfen, ob die Inhalte noch aktuell und gültig sind. Wir können keine Haftung übernehmen, die sich aus einer Nichtbeachtung ergeben könnten.