Der elektronische Impfpass und seine Schwachstellen

Die Schwachstellen der geplanten Änderung des Gesundheitstelematikgesetzes

Der folgende Blogpost wurde noch vor der Covid-19 Krise geschrieben und diskutiert eine Ende 2019 in den Nationalrat eingebrachte, aber noch nicht beschlossene, Gesetzesänderung, mit der ein elektronischer Impfpass eingeführt werden soll. Zuerst dachten wir, dass dieses Thema in der aktuellen Debatte keinen Platz hat. Inzwischen gibt es jedoch einige Bestrebungen einen elektronischen Immunitätsnachweis für die Krankheit einzuführen und mit dem alten Gesetz zu verbinden. Obwohl die WHO explizit vor der Einführung von Immunitätsnachweisen warnt, wird uns diese Debatte nicht erspart bleiben. Angesichts der vielen Einschränkungen in Privat- und Berufsleben, werden die Begehrlichkeiten für so einen elektronischen Immunitätsnachweis wachsen. 

Wir stehen erst am Anfang dieser Debatte, trotzdem wollen wir einige Punkte vorausschicken.

  • Die wissenschaftliche Basis für einen Immunitätsnachweis ist nicht gegeben. Es fehlt sowohl eine Impfung wie auch belastbare Zahlen über die Dauer einer Immunität nach einer ausgestandnenen Infektion. Ein solches Vorhaben ist viel zu verfrüht und kann mehr Schaden anrichten, als es hilft.
  • Für viele legitime Anwendungsfälle (Reisen, Jobs mit Risikogruppen) gibt es bereits heute eine gute Handhabe und ein zusätzliches technisches System würde das eher erschweren.
  • Je einfacher ein Immunitätsnachweis (technisch) sichtbar gemacht werden kann, umso mehr werden wir Diskriminierungen in diesem Bereich sehen. Vom Wirtschaftsleben bis zu Dating Apps sind viele besorgniserreende Szenarien denkbar.
  • Mit wem man seinen Immunitätsstatus teilt, muss immer unter der eigenen Kontrolle liegen. Eine Verpflichtung diese Information zu teilen, darf es nicht geben.

Die vorgeschlagene rechtliche Basis dafür wird im folgenden Artikel erklärt. 

Bis dato kennt man den Impfpass in seiner klassischen Form – aus Papier. Im Gesundheitsbereich ist die Digitalisierung schon weit fortgeschritten. Die elektronische Gesundheitsakte (ELGA) beispielsweise wurde bereits 2013 eingeführt. Damit werden Gesundheitsdaten miteinander vernetzt und elektronisch dokumentiert. Ein ähnliches System soll jetzt auch bei Impfungen eingeführt werden. Ab 2023 soll der elektronische Impfpass österreichweit lückenlos verwendet werden. Die Argumente dafür sind teils ähnlich wie bei Einführung der ELGA: Vermeidung von Doppelimpfungen und jederzeitige Abrufbarkeit von Impfdaten auf Knopfdruck, besseres Service im Gesundheitsbereich, patient*innenfreundlicher, niederschwelliger Zugang sowie im Fall von Pandemien eine schnellere Erkennbarkeit, wo es Bedarf an Impfungen gibt. Nicht zuletzt soll durch den elektronischen Impfpass eine Verbesserung von Durchimpfungsraten erfolgen. Dies ist ein wichtiger Schritt für die Gesundheitsversorgung, da aber Gesundheitsdaten besonders sensibel sind, sollte ein solches System nicht eingeführt werden, ohne die Daten der Bürger*innen zu schützen.

Wir haben die geplante Gesetzesänderung kritisch gelesen und finden ein paar Aspekte datenschutzrechtlich bedenklich:

Nicht nur Gesundheitsdiensteanbieter*innen, also Ärzt*innen und Gesundheitspersonal, sollen Zugriff auf die Infrastruktur des elektronischen Impfpasses haben, sondern auch der*die Bundesminister*in für Gesundheit, der*die Landeshauptfrau*mann und die Bezirksverwaltungsbehörden. Auch an der elektronischen Gesundheitsakte sind Bedenken zu äußern, aber eines muss man ihr lassen: Auf die ELGA haben großteils nur Gesundheitsdiensteanbieter*innen Zugriff. Eine Einschränkung, die bei der Verarbeitung von Gesundheitsdaten eigentlich selbstverständlich sein sollte.

Kein Opt-out

Zudem gibt es kein Widerspruchsrecht aus der lückenlosen, elektronischen Impfdokumentation. Wer nicht in ELGA erfasst werden möchte, hat eine Möglichkeit des Opt-Outs, beim elektronischen Impfpass besteht diese nicht. Somit ist jede*r gezwungen, seine Impfungen im elektronischen Impfpass dokumentieren zu lassen. Das ist für bestimmte Impfungen wohl eine notwendige Maßnahme – die verpflichtende Registrierung gilt jedoch unterschiedslos für alle Impfungen, obwohl diese vor grundverschiedenen Krankheiten schützen. Bei FSME beispielsweise trägt allein die Person, die sich nicht impfen lassen möchte, das Risiko für ihre eigene Gesundheit. Auch wer sich nicht gegen Tetanus impfen lassen möchte, gefährdet dadurch nur sich selbst. Wer sich aber nicht gegen Masern impfen lässt, nimmt hingegen den Tod von unbeteiligten Dritten, die sich nicht impfen lassen können (z.B. Neugeborene) in Kauf. Masern haben ein höheres Ansteckungsrisiko als etwa Gelbfieber oder Hepatitis. All diese Abwägungen und Abstufungen zwischen Erkrankungen unterschiedlicher Schweregrade wurden hier nicht berücksichtigt. Ein Opt-out für die Informationspflicht über erfolgte Impfungen besteht nicht.

Zusätzlich ist das Gesetz nicht konsistent: bei Personen, die im Ausland geimpft wurden, ist die Nachtragung von Impfungen nicht verpflichtend. Auch dies wäre aber notwendig, möchte man den Durchimpfungsgrad feststellen. Die erläuternden Bemerkungen geben keinen Aufschluss darüber, wieso diese Ausnahme der lückenlosen Erfassung von Impfungen bestehen kann.

Erhebliches öffentliches Interesse

Juristisch ist vor allem folgendes relevant: Art. 9 Abs. 1 der Datenschutzgrundverordnung (DSGVO) normiert, dass die Verarbeitung von sensiblen Daten, zu denen auch Gesundheitsdaten zählen, untersagt ist. Dieses Verbot der Verarbeitung besteht aber nicht absolut. Die Verarbeitung darf aus bestimmten Gründen erfolgen. Um jedoch zu prüfen, ob es für einen Zweck notwendig ist, Gesundheitsdaten zu verarbeiten, muss man den genauen Zweck erkennen können. Diese Zwecke sind in Art. 9 Abs. 2 DSGVO aufgelistet. Der Gesetzgeber scheint bei der geplanten Novellierung zwar bedacht zu haben, dass er sich auf Art. 9 Abs. 2 DSGVO beziehen muss, weshalb in § 24b GesundheitstelematikG dazu die Aussage getroffen wird, die Verwendung des Elektronischen Impfpasses erfülle ein erhebliches öffentliches Interesse gemäß Art. 9 Abs. 2 lit. g bis j DSGVO. Der Verweis auf gleich 5 literae des Art. 9 Abs. 2 DSGVO ist jedoch weit gegriffen. Die Gründe reichen von im öffentlichen Interesse liegenden Archivzwecken bis hin zu Gesundheitsvorsorge und ähnlich gelagerte Fälle im medizinischen Bereich. Es bleibt unklar, für welche Bestimmung betreffend den elektronischen Impfpass welcher Grund des Art. 9 Abs. 2 lit g bis j gelten soll. 

Es kann also weder mit Blick auf den Gesetzestext, noch bei Durchsicht der erläuternden Bemerkungen nachvollzogen werden, welche litera auf welche Bestimmung des elektronischen Impfpasses im einzelnen angewendet werden soll, was eine dahingehende juristische Analyse unmöglich macht, womit die Bezugnahme auf Art. 9 Abs. 2 DSGVO rein pro forma erfolgt.

Die Verwendung sensibler Daten ist also nicht ausreichend begründet. Auch wenn Impfungen ein wichtiger Bestandteil der Gesundheitsvorsorge sind, rechtfertigt dies den leichtfertigen Umgang mit sensiblen Daten nicht. Wir hoffen somit, dass die datenschutzrechtlichen Aspekte dieses Entwurfs noch repariert werden. Der Umgang mit sensiblen Gesundheitsdaten der Bevölkerung darf nicht auf die leichte Schulter genommen werden!

Blogpost von Teresa Schwaninger, mit einem Vorwort von Thomas Lohinger

Da du hier bist

… haben wir eine Bitte an dich. Für Artikel wie diesen analysieren wir Gesetzestexte, bewerten Regierungsdokumente oder lesen Allgemeine Geschäftsbedingungen (wirklich!). Wir sorgen dafür, dass möglichst viele Menschen sich mit komplizierten juristischen und technischen Inhalten befassen und auch verstehen, dass sie große Auswirkungen auf unser Leben haben. Diese Arbeit machen wir aus der festen Überzeugung, dass wir gemeinsam stärker sind als alle Lobbyisten, Machthabende und Konzerne. Dafür brauchen wir deine Unterstützung. Hilf uns, eine starke Stimme für die Zivilgesellschaft zu sein!

Jetzt Fördermitglied werden