Die Säulen des grünen Passes: Überwachbarkeit & ein exorbitanter Datenberg
Lang hats gedauert, aber nun gab es endlich zum ersten Mal die Möglichkeit eine Stellungnahme zu einem Gesetzesvorschlag im Zusammenhang mit dem Grünen Pass, nämlich dem Ministerialentwurf, mit dem das Epidemiegesetz 1950 und das COVID-19-Maßnahmengesetz geändert wird, einzureichen. Zur Erinnerung: Die Regierung hat schon vier Anläufe gestartet, die Weichen für die Verwendung des grünen Passes zu stellen, das allerdings immer ohne öffentliche Begutachtung. Expert*innen, Interessensgruppen und deren Vertretungen hatten somit keine Möglichkeit, sich abseits von Medien zu dem Gesetzesvorhaben zu positionieren und Verbesserungsvorschläge zu machen. Ein demokratischer Prozess braucht Zeit und Öffentlichkeit, das war bis jetzt nicht der Fall und stimmt uns sehr nachdenklich.
Den vorliegenden Entwurf haben wir in einer juristischen Stellungnahme analysiert. Im Großen und Ganzen geht es zumindest schon mal in die richtige Richtung. Wir sehen allerdings noch eine Menge an Datenschutzproblemen, die unbedingt noch aus dem Weg geräumt werden müssen, bevor dieses System auf die Bevölkerung losgelassen wird.
Die Sache mit dem Register für anzeigepflichtige Krankheiten
Unlängst hat der elektronische Impfpass das Licht der Welt erblickt. Dabei werden in der ELGA-Infrastruktur vorgenommene Impfungen vermerkt. Diese Daten sollen jetzt pauschal in ein anderes Register, das Epidemiologische Meldesystem (EMS), mit einer anderen Zweckmäßigkeit und niedrigeren Datenschutzstandards kopiert werden. Mit dieser Zweckumwidmung werden leider unsere damaligen Befürchtungen bestätigt.
Im Onlineportal von ELGA können jederzeit Zugriffe auf die eigene Gesundheitsakte eingesehen werden. So eine Protokollierung ist beim EMS auch vorgesehen, aber nur durch eine jährliche Datenschutzauskunft ist es auch tatsächlich möglich, diese einzusehen. Das ist ein ziemliches Downgrade von den Möglichkeiten, die das ELGA-System bietet. Zusätzlich vergrößert sich der Kreis der Zugriffsberechtigten und deren Zwecke massiv (Kontaktpersonennachverfolgung). Die Weiterleitung der Daten wird dazu führen, dass der Großteil der Zugriffe auf unsere sensiblen Gesundheitsdaten außerhalb des Zugriff- und Protokollmechanismus des e-Impfpasses passieren wird.
Im EMS sollen aber laut Entwurf nicht nur unsere Impfdaten zu finden sein. In dieser Datenbank werden Covid-19 Erkrankte mit geimpften Personen zusammengeführt, ergo wird dort bald beinahe die gesamte österreichische Bevölkerung abgebildet sein. Laut § 4 Absatz 8a sieht der Entwurf des neuen Epidemiegesetzes Erschreckendes vor: es soll eine Verbindung mit aktuellen und historischen Daten über das Erwerbsleben, das Einkommen, etwaige Arbeitslosigkeiten, den Bildungsweg, Reha-Aufenthalte und Krankenstände einer Person vollzogen werden. Fast alle unserer Lebensbereiche werden in dieser Datenbank durchleuchtet werden. Das kann nicht das Mittel für den Zweck der „Qualitätssicherung“ oder „des Monitorings der Wirksamkeit von Maßnahmen“ sein, wie es im Entwurf beschrieben ist. Zwar sollen die Daten pseudonymisiert werden, aber die Kombination der Daten zu Bildungsweg, Krankenständen, Erwerbshistorie und Genesungs- bzw. Impfstatus macht es möglich, Personen eindeutig in dieser Datenbank zu identifizieren. Als wäre das nicht schon bedenklich genug: Diese Daten sollen dann zusätzlich im Statistik-Register gespeichert werden, was natürlich wiederum den Kreis der Zugriffsberechtigen immens erweitert. Dadurch entsteht ein großes Missbrauchspotential und vergrößert die Gefahr eines Datenskandals im Einflussbereich des Gesundheitsministeriums. Diese Bestimmung ist aus Datenschutzsicht keineswegs tragbar und sollte komplett gestrichen werden.
Es regnet Verordnungsermächtigungen für den Gesundheitsminister
In der Novelle des Epidemiegesetzes finden sich zahlreiche Verordnungsermächtigungen für den Gesundheitsminister. Es macht Sinn, dass der Bundesminister solche Verordnungsermächtigungen erhält, wenn auf Neuerungen rasch reagiert werden muss. Zum Beispiel wenn aufgrund neuer wissenschaftlicher Erkenntnisse oder Festlegungen auf europäischer Ebene per Verordnung, die Gültigkeitsdauer von Testzertifikaten zu ändern wäre. In der Novelle finden sich aber zahlreiche Ermächtigungen, die zweifelsfrei über sie Stränge schlagen.
Nach einer Bestimmung kann der für das Gesundheitswesen zuständige Bundesminister weitere Register zur Zusammenführung mit den Daten des EMS bestimmen. Der bereits erhebliche Datenberg soll also noch weiter anwachsen können. Deswegen sollte diese Verordnungsermächtigung unbedingt gestrichen werden.
Auch die Bestimmung, die die Übertragung der Daten aus dem zentralen Impfregister ins EMS regelt, gibt dem Bundesminister Spielraum. Die ELGA GmbH wird berechtigt, auf Anforderung des Bundesministers die im zentralen Impfregister gespeicherten Daten über Covid-19-Impfungen einschließlich des bPK-GH an ihn zu übermitteln. Welche personenbezogenen Daten das aber genau sein sollen, bestimmt Gesundheitsminister Mückstein in seiner Anforderung selbst. Das sollte aus unserer Sicht nicht so sein, der Minister darf nicht einfach nach Belieben bestimmen welche Daten er gerne hätte und welche nicht. Die Gesetzgebung hat festzulegen, welche Daten zur Erreichung der Zwecke unbedingt erforderlich sind und diese Übermittlungsermächtigung muss gesetzlich formuliert sein.
Datenschutz-Folgenabschätzung ja, nein, vielleicht?
Wenn aus einer Datenschutz-Folgenabschätzung (DSFA) hervorgeht, dass eine Verarbeitung ein hohes Risiko zur Folge hätte, muss die verantwortliche Person noch vor der Verarbeitung die Datenschutzbehörde konsultieren. Wenn das Risiko von hochriskanten Verarbeitungen nicht durch Abhilfemaßnahmen gesenkt werden kann, sind sie von der Datenschutzbehörde anzuzeigen. Dadurch kann die Behörde die geplante Datenverarbeitung prüfen und Empfehlungen aussprechen oder auch die Datenverarbeitung einschränken bzw. ganz untersagen.
Das Ministerium kommt in seiner DSFA zu dem Schluss, dass mit der Verarbeitung nur geringe bzw. mittlere Risiken einhergehen. Dieses Ergebnis zweifeln wir stark an. Es geht hier um sensible Gesundheitsdaten nahezu der gesamten Bevölkerung, deren weites Bekanntwerden auch erhebliche langfristige Nachteile mit sich führen kann. Aufgrund der technischen Ausgestaltung der EU-konformen Zertifikate und deren Verwendung für private Eintritte zu Betriebsstätten, werden unsere Daten auch von einem besonders großen Kreis an Organisationen, potenziell europaweit, verarbeitet werden. Wie man hier von einem geringen oder mittleren Risiko sprechen kann, ist uns unerklärlich. Geht es um die sensiblen Gesundheitsdaten der österreichischen Bevölkerung, sollte die Datenschutzbehörde immer einbezogen werden.
Gemeinsame Verantwortlichkeit oder die „Jagd nach Passierschein A38“?
In der Bestimmung wird vorgesehen, dass Betroffene an den/die zuständige*n Verantwortliche*n zu verweisen sind, wenn sie gegenüber einem/einer unzuständige*n Verantwortliche*n ihre Betroffenenrechte wahrnehmen. Diese Regelung steht im direkten Konflikt mit der DSGVO, denn ungeachtet der vereinbarten Zuständigkeitsregelungen können Betroffene ihre Rechte gegenüber jedem/jeder gemeinsam Verantwortlichen ausüben. Diese Bestimmung steht im Widerspruch zum Unionsrecht und muss gänzlich fallen. Es muss Betroffenen niederschwellig möglich sein, ihre Rechte geltend zu machen. Dies darf nicht durch eine bürokratische Manier à la Passierschein A38 zu einer Farce werden.
Wenn‘s doppelt gemoppelt unerwünscht ist: Mehrfachspeicherung von Impfzertifikaten
Der Gesundheitsminister muss das Impfzertifikat der ELGA GmbH zur Speicherung im zentralen Impfregister übermitteln. Die ELGA speichert dann dieses Zertifikat im Impfregister und stellt allen Personen, die zum Zeitpunkt des Inkrafttretens der Bestimmung die Voraussetzungen erfüllen, eine gedruckte Fassung dieses Zertifikates aus. Es ist aber so, dass die Zertifikate im EPI-System erstellt werden und dort ebenfalls gespeichert werden sollen. Da wären wir wieder bei dem Problem mit der Datenminimierung, denn doppelte Datenhaltung bedeutet auch doppeltes Risiko und eine Erschwernis beim Geltendmachen von Betroffenenrechten. Die Impfzertifikate sollten dort erstellt werden, wo die Daten auch bereits aufliegen und das ist die ELGA GmbH.
Unbeobachtbarkeit der Zertifikatsprüfung vs. Big Brother
Was gut ist: Im Entwurf wird klargestellt, dass Überprüfende von Zertifikaten nicht authentifiziert werden sollen. Was weniger gut ist: diese Formulierung lässt auch zu, dass ein zentrales Zertifikatsüberprüfungssystem zur Anwendung kommen soll und könnte je nach Lesart sogar darauf hinauslaufen, wo sollen sich die Überprüfenden denn sonst anmelden. In diesem Entwurf fehlt also immer noch die so kritische Klarstellung, wie die Überprüfung der Zertifikate überhaupt erfolgen soll. Es muss klipp und klar festgelegt werden, wie das ablaufen wird und es ist elementar, dass kein zentrales System auf uns zukommt und stattdessen die Überprüfung dezentral offline durchgeführt wird.
Sollte die Regierung den Weg der Online-Verifikation (zentrales System) verfolgen, wäre schon alleine durch die IP-Adresse der Überprüfenden eine Zuordnung möglich, also zum Beispiel wann ich genau im Gasthaus oder im Frisiersalon war. Klingt gruselig? Ist es auch! Sollte das System so kommen, wäre es ein Leichtes, Bewegungsprofile von Menschen zu erstellen und sie an zentraler Stelle zu überwachen. Das schafft natürlich auch Begehrlichkeiten. So ein System hat in einem demokratischen Österreich absolut nichts verloren.
Wir predigen nun schon länger, dass die Regierung doch bitte Abstand von der zentralen Prüfung nehmen soll und verweisen immer wieder auf das Europäische Modell des Digital Green Certificate. In den aktuellen Verhandlungsdokumenten im Trilog ist dort nämlich eine Offline-Verifikation festgeschrieben, die wir sehr begrüßen.
Mit der Forderung nach einer unüberwachbaren Lösung sind wir nicht alleine, das fordert auch der Datenschutzrat, die Bioethikkommission, die Ärztekammer, die Fachabteilung der WKÖ UBIT, OG Telemed und der Fachverband der Elektroindustrie.
Dieselbe Unbeobachtbarkeit sollte übrigens auch die Voraussetzung für die technische Umsetzung des Widerrufs von fehlerhaften oder ungültigen Zertifikaten sein.
Auch Österreich traut sich (ein bisserl): Quelloffene Zertifikatsprüfung
Für die Überprüfung von Zertifikaten soll es eine quelloffene Referenzimplementierung geben. Die Verwendung von quelloffenem Code stärkt das Vertrauen der Bevölkerung in dieses System. Zu unserem Bedauern wird uns hier aber nur die Spitze des Eisbergs präsentiert, denn die abgeleiteten Anwendungen anderer Überprüfungsstellen und den gesamten Code des österreichischen Systems, inklusive der Erstellung der so wichtigen Zertifikate, können wir nicht einsehen. Da sollte sich die Regierung eine Scheibe von der Entwicklung des EU-Systems abschneiden, dort ist das nämlich der Fall.
Es poppen schon die ersten Anwendungen für die Registrierung von Kundenkontakten von privaten Anbieter*innen auf. Gerade mit einer Integration der Prüfung des grünen Passes mit der Gastroregistrierung ist zu rechnen. Diese Anbieter*innen sollten ebenfalls dazu verpflichtet werden ihren Quellcode offenzulegen, damit jede*r die Möglichkeit hat, einzusehen, ob mit den eigenen Daten auch kein Schindluder getrieben wird.
Wir hoffen, dass sich die Entscheidungsträger*innen unsere Lösungsvorschläge zu Herzen nehmen und noch ordentlich nachbessern. Sollte die zentrale Überprüfung mittels Online-Verifikation nicht fallen, dann ist Hopfen und Malz verloren, eine Lösung zu erzielen, die uns nicht überwacht und unsere Privatsphäre und Daten ausreichend schützt.
Zur juristischen Stellungnahme
Da du hier bist!
… haben wir eine Bitte an dich. Für Artikel wie diesen analysieren wir Gesetzestexte, bewerten Regierungsdokumente oder lesen Allgemeine Geschäftsbedingungen (wirklich!). Wir sorgen dafür, dass möglichst viele Menschen sich mit komplizierten juristischen und technischen Inhalten befassen und auch verstehen, dass sie große Auswirkungen auf unser Leben haben. Diese Arbeit machen wir aus der festen Überzeugung, dass wir gemeinsam stärker sind als alle Lobbyisten, Machthabende und Konzerne. Dafür brauchen wir deine Unterstützung. Hilf uns, eine starke Stimme für die Zivilgesellschaft zu sein!
Jetzt Fördermitglied werden