COVID-19

Die Einführung einer allgemeinen Impfpflicht gegen COVID-19 in Österreich ist ein hochsensibles Thema. Aber gänzlich unabhängig der kontrovers geführten Debatte soll in diesem Blogpost der aktuelle Begutachtungsentwurf im Überblick dargestellt und vor allem etwaige Bedenken aus datenschutzrechtlicher Sicht erörtert werden.

Am 09.12.2021 wurde seitens des Gesundheitsministers der lange angekündigte Entwurf zum Impfpflichtgesetz11zur Begutachtung vorgelegt. Die Frist hierzu endet am heutigen Tag, dem 10.01.2022. Bereits im Vorfeld war epicenter.works im Zuge eines Expertengesprächs im Bundeskanzleramt in die Analyse eines früherer Gesetzesentwürfe eingebunden.

Wie wird die Impfpflicht eigentlich argumentiert?

Als Ziel des Gesetzes ist in den begleitenden Materialien des Entwurfs explizit die „Steigerung der Durchimpfungsrate in der Bevölkerung“ angeführt, um diese „weitestgehend gegen SARS-CoV-2 zu immunisier[en]“22zum Schutz der öffentlichen Gesundheit für alle Personen.

Eine verpflichtende Impfung stellt einen Eingriff in Art. 8 der Europäischen Menschenrechtskonvention („EMRK“) dar. Dessen Schutzzweck gewährleistet u.a. die Achtung des Privatlebens, worunter auch der Schutz der physischen und psychischen Integrität jedes Individuums fällt. Also auch die Entscheidung sich impfen zu lassen – oder eben nicht. Wie bei den meisten Menschenrechten, ist aber auch der Schutz des verfassungsgesetzlich gewährleisteten Rechts auf Achtung des Privatlebens nicht absolut. Einschränkungen sind möglich, so sie dem Schutz anderer (in Abs. 2 des genannten Artikel 8 angeführter) Rechtsgüter dienen, gesetzlich vorgesehen und in einer demokratischen Gesellschaft zur Erreichung des bestimmten Ziels notwendig ist, d.h. einem dringenden sozialen Bedürfnis entsprochen werden. Der Eingriff muss verhältnismäßig sein und es dürfen keine gelinderen Mittel zur Verfügung stehen, die den Zweck erfüllen können. Dass auch eine Impfpflicht gerechtfertigt sein kann, hat etwa unter bestimmten Voraussetzungen auch der Europäische Gerichtshof für Menschenrechte („EGMR“) bestätigt.

Die Notwendigkeit besteht für den Gesetzgeber zusammengefasst aufgrund der Schwere der Krankheit, der Infektiösität und der Gefahr für die Öffentlichkeit. Auch wurden bisher bestehende Angebote zur Impfung nicht in ausreichendem Ausmaß angenommen.33Durch den nun zu erwartenden Anstieg an immunisierten Personen rechnet die Bundesregierung mit einem deutlich geringeren Risiko eines schweren Krankheitsverlaufs sowie signifikant reduzierter Übertragungswahrscheinlichkeit und Sterblichkeit; einem erhöhten Kollektivschutz; einer Reduktion der Notwendigkeit sonstiger Schutzmaßnahmen und damit einhergehender negativer Auswirkungen auf die psychische Gesundheit der Bevölkerung; einer Minimierung der Belastung des Gesundheitssystems und eines Schutzes der Gesundheitsinfrastruktur. Eine Impfung wird „zu den wichtigsten und wirksamsten medizinischen Präventivmaßnahmen“ gezählt.44

Gibt es Ausnahmen von der Impfpflicht und ab wann soll sie kommen?

Das Gesetz soll am Tag nach der Veröffentlichung im Bundesgesetzblatt in Kraft und mit Ablauf des 31.01.2024 außer Kraft treten. Vorweg ist wichtig zu betonen, dass die verpflichtende Impfung nicht durch unmittelbare verwaltungsbehördliche Befehls- und Zwangsgewalt, etwa eine Beugehaft, durchgesetzt werden darf. Es können lediglich Verwaltungsstrafen verhängt werden, die aber auch im Falle der Uneinbringlichkeit ausdrücklich nicht in Ersatzfreiheitsstrafen umgewandelt werden dürfen.

Das Gesetz soll auf alle Personen anwendbar sein, die im Bundesgebiet einen Wohnsitz oder gewöhnlichen Aufenthalt haben, oder über eine Hauptwohnsitzbestätigung verfügen. Diese Regelung umfasst auch auch Wochenpendler*innen, 24-Stunden-Hilfen, sowie unterstandslose Personen. Auch sind Personen zwischen dem 14. und dem 18. Lebensjahr von der Impfpflicht umfasst, sofern die erforderliche Entscheidungsfähigkeit vorliegt. In der Regel wird diese vermutet; sollte sie nicht gegeben sein, muss dies ärztlich festgestellt werden.

Von der Impfpflicht ausgenommen sind folgende drei Kategorien:

- Schwangere, unabhängig des Stadiums;

- Personen, denen eine Impfung nicht ohne Gefährdung für Leben oder Gesundheit verabreicht werden kann und für die auch kein Ausweichen auf einen anderen Impfstoff möglich ist;

- Genesene, für die Dauer von 180 Tagen ab dem Tag der Probenahme.

Bestätigungen der ersten beiden Fälle der Ausnahmen sowie eine mangelnde Entscheidungsfähigkeit bei Jugendlichen zwischen dem 14. und 18. Lebensjahr werden durch ärztliche Bestätigung eines Vertragsarztes oder einer Vertrags-Gruppenpraxis im zentralen Impfregister eingetragen. Genesene werden bei positivem PCR-Test via EMS in das Register für anzeigepflichtige Krankheiten eingetragen.

Wie wird ermittelt, wer konkret der Impfpflicht unterliegt?

Um die Impfpflicht auch durchsetzen zu können, ist es für die Gesundheitsbehörden nötig zu wissen, wer ausreichend immunisiert ist und wer nicht.

Dieser Vorgang ist im Ministerialentwurf wie folgt geregelt:55

Zunächst haben einerseits die Meldebehörden im Wege des Innenministers als deren Auftragsverarbeiter und andererseits die ELGA GmbH jeweils Daten aus dem ZMR66 dem Gesundheitsminister zu übermitteln. Bei diesem ersten Schritt des Abgleichs sollen im Sinne des Datenminimierungsgrundsatzes nur Daten jener Personen übermittelt werden, die das 14. Lebensjahr bereits vollendet haben.

Im zweiten Schritt nimmt der Gesundheitsminister einen Abgleich der übermittelten Daten vor, um dabei zu ermitteln, welche Personen zum Stichtag der Impfpflicht nachgekommen sind und für welche eine der genannten Ausnahmen im zentralen Impfregister eingetragen ist. Unmittelbar nach dem Abgleich sollen deren Daten gelöscht werden, zumal diese nicht mehr benötigt werden.

In einem nächsten Schritt werden die Daten der verbleibenden Personen mit dem Register anzeigepflichtiger Krankheiten abgeglichen. Damit werden jene Personen ermittelt, für die zum Stichtag keine Impfpflicht besteht, weil sie eine bestätigte Infektion mit SARS-CoV-2 überstanden haben und diese Infektion anhand eines molekularbiologisch bestätigten Tests nachgewiesen wurde. Auch unmittelbar nach diesem Abgleich sollen die Daten der Personen in Übereinstimmung mit dem Datenminimierungsgrundsatz gelöscht werden.

Der Gesundheitsminister hat den Vorgang des Abgleichens der Daten jeweils zum Impfstichtag zu wiederholen. Dies ist erstmals der 15.03.2022, danach im Abstand von je drei Monaten. Dazu sind die Daten aus dem ZMR und dem zentralen Impfregister erneut zu übermitteln.

Wer nach diesem Abgleich weder eine Impfung noch das Bestehen einer Ausnahme nachweisen kann, dessen Daten sind vom Gesundheitsminister als datenschutzrechtlich Verantwortlicher „an die örtlich zuständigen Bezirksverwaltungsbehörden oder an den Landeshauptmann“ zu übermitteln, so dass diese das Verwaltungsstrafverfahren einleiten können. Hierzu ist einerseits positiv zu anzumerken, dass der Landeshauptmann – im Unterschied zu früheren Gesetzesentwürfen – nunmehr auch explizit in die Bestimmung über die Ermittlung der impfpflichtigen Personen und damit auch betreffend die datenschutzrechtlichen Bestimmungen genannt wird. Dies ist wichtig, weil er unter Umständen Verwaltungsstrafverfahren per Verordnung an sich ziehen kann, d.h. den Bezirksverwaltungsbehörden entziehen kann. Andererseits ist die aktuelle Formulierung im Sinne eines „entweder – oder“ unbestimmt: Der Mangel an definierten Kriterien, wann ein Fall der Zweckmäßigkeit, Einfachheit und Raschheit gegeben wäre, so dass ein Landeshauptmann dies machen könnte, führt zu Unvorhersehbarkeit und einer Unbestimmtheit betreffend den Empfänger der Daten.

Und wenn man nicht geimpft ist?

In Abständen von jeweils drei Monaten hat der Gesundheitsminister jene Personen, bei welchen nach vorstehendem Prozedere die Erfüllung der Impfpflicht nicht erhoben werden konnte, mit Erinnerungsschreiben zu informieren, dass die Impfung bis zum jeweiligen Stichtag nachzuholen ist.

In den Strafbestimmungen des Entwurfs ist vorgesehen, dass Personen, die der Verpflichtung sich der Impfung zu unterziehen zuwiderhandeln, verwaltungsbehördlich strafbar sind. Dabei kann eine Geldstrafe von bis zu € 3.600 erlassen werden, wobei die konkreten Einkommens- und Vermögensverhältnisse und allfällige Sorgepflichten berücksichtigt werden müssen. Eine Ersatzfreiheitsstrafe ist explizit ausgeschlossen. Als Nachweis des Erfüllens der Impfpflicht gelten entsprechende Einträge im zentralen Impfregister, die Vorlage des Impfpasses oder einer ärztlichen Bestätigung über die erfolgte Impfung. Bei nachträglicher Erfüllung der Impfpflicht wird das Strafverfahren eingestellt.

Die Bezirksverwaltungsbehörde kann nach erfolgtem Datenabgleich am Impfstichtag, also dem 15.03.2022, und danach in Abständen von drei Monaten in einem vereinfachten Verfahren durch automatisierte Strafverfügungen Geldstrafen bis zu € 600 festsetzen. Auch in diesem Fall findet keine Umwandlung der Geld- in eine Freiheitsstrafe statt.

Zur Vermeidung von falsch eingeleiteten Strafverfahren sind Nachtragungen von Personen mit Wohnsitz in Österreich vorgesehen, die im Ausland geimpft wurden (und daher nicht im zentralen Impfregister eingetragen sind). In gewissen Fällen der Unzumutbarkeit der nachträglichen Eintragung deren Impfung (etwa, weil im fernen Ausland oder immer nur am Wochenende am Wohnsitz in Österreich) kann die Eintragung im zentralen Impfregister durch die österreichische Vertretungsbehörde des jeweiligen Aufenthaltslandes veranlasst werden.

Für sämtliche Strafen nach diesem Gesetz ist eine Zweckwidmung an die Träger der Krankenanstalten vorgesehen. Um weiterhin ein Nachkommen der Impfpflicht zu ermöglichen, hat der müssen Impftage organisiert und durchgeführt werden, deren Kosten vom Bund zu tragen sind. Arbeitnehmer sind für den Zweck der Impfung vom Dienstgeber freizustellen.

Datensicherheitsmaßnahmen und Qualitätssicherung

Sämtliche Übermittlung der Daten gemäß „dem Stand der Technik“ soll vollständig verschlüsselt über den Portalverbund erfolgen. Dies ist eine bereits bestehende Infrastruktur im Behördenbereich, die von den Bundesländern schon genutzt wird.

Der Gesetzesentwurf sieht zudem explizite Garantien für den Schutz der Rechte der betroffenen Personen in Übereinstimmung mit § 1 Abs. 2 Datenschutzgesetz vor. Diese umfassen im Überblick:

  • ein umfangreiches Weiterverarbeitungsverbot;

  • die Verpflichtung des Gesundheitsministers zum Löschen der Daten binnen zwei Wochen nach Erinnerungsschreiben bzw. Übermittlung an die Bezirksverwaltungsbehörden zur Einleitung eines Verwaltungsstrafverfahrens;

  • individuelle Zugriffsberechtigungen für die einzelnen Bediensteten der Behörden, die ausdrücklich zu begrüßen sind (man denke an das erst kürzlich von uns aufgedeckte EMS-Daten-Leck), samt Dokumentationsverpflichtung und ihr Ausschluss, wo diese nicht mehr benötigt oder Daten nicht der Zweckbestimmung entsprechend verarbeitet werden;

  • organisatorische und technische Vorkehrungen gegen Zugriff und Einsicht Unbefugter;

  • Protokollierungspflicht der Zugriffe der ELGA GmbH sowie der Vertragsärzte und Vertrags-Gruppenpraxen auf das elektronische Impfregister.

Der Entwurf sieht weiters zum Zweck der Qualitätssicherung eine personenbezogene Auswertung der Protokolleinträge betreffend Letztgenannter durch den Gesundheitsminister vor. So dabei Unregelmäßigkeiten festgestellt werden, die den Anschein des Ausstellens ungerechtfertigter Ausnahmen von der Impfpflicht erwecken, ist dieser berechtigt, die Daten der örtlich zuständigen Bezirksverwaltungsbehörde oder dem örtliche zuständigen Landeshauptmann für die Durchführung notwendiger Ermittlungen zur Verfügung zu stellen. Im Falle des Ausstellens einer Ausnahmebestätigung entgegen dem Stand der medizinischen Wissenschaft kann dies als Verwaltungsübertretung mit einer Geldstrafe bis zu € 3.600 geahndet werden. Auch diese Maßnahme zur weiteren Absicherung der Güte der Daten im zentralen Impfregister wird ausdrücklich begrüßt.

Dringend notwendige Datenschutzfolgenabschätzung

Entgegen den uns bisher bekannten Gesetzesentwürfen ist im Ministerialentwurf keine Datenschutzfolgenabschätzung („DSFA“) vorgesehen. Noch in der Expertenrunde Anfang Dezember 2021 pochte epicenter.works auf eine Ausweitung der im damaligen Entwurf vorgesehenen diesbezüglichen Bestimmung. In den aktuellen Erläuterungen zum Entwurf wird argumentiert, dass eine DSFA bereits für den eImpfpass vorweggenommen worden sei und daher Vertragsärzte und Vertrags-Gruppenpraxen für die Speicherung der Ausnahmen und für Nachtragungen etwa von im Ausland verabreichten Impfungen im zentralen Impfregister keine weitere DSFA durchführen müssten, da dies eine ähnliche Verarbeitungstätigkeit wie die Speicherung von Impfungen darstelle.88

Dem ist – in Übereinstimmung mit der schriftlichen Stellungnahme des Datenschutzrates zum vorliegenden Gesetzesentwurf 99 - entgegenzuhalten, dass die zum eImpfass vorgesehene DSFA wesentliche Verarbeitungstätigkeiten nach vorliegendem Gesetzesentwurf nicht umfasst und diese auch nicht in einem direkten Zusammenhang mit der DSFA für den eImpfpass stehen. Damit gemeint sind insbesondere der zur Ermittlung der impfpflichtigen Personen vorgesehene Abgleich der Daten sowie die Weiterleitung der verbleibenden Datensätze an die Bezirksverwaltungsbehörde bzw. den Landeshauptmann zur Einleitung des Strafverfahrens. Die Aufnahme einer DSFA gemäß Art 35 DSGVO ist in Anbetracht der Sensibilität der zu verarbeitenden Daten, deren Menge und der mit dem Abgleich verbundenen möglichen Konsequenzen – nämlich die Einleitung eines Verwaltungsstrafverfahrens – jedenfalls geboten.

Auf die praktische Umsetzung kommt es an

Es ist dem Gesetzesentwurf und erläuternden Materialien ein explizites – und in Anbetracht der Eingriffstiefe dieses legistischen Vorhabens auch umso gebührenderes – Bemühen um datenschutzrechtliche Konformität zu entnehmen. Dies deckt sich auch mit dem Eindruck, den epicenter.works im Verlauf des Expertengesprächs Anfang Dezember 2021 gewinnen konnte. Umso bedauerlicher ist in diesem Zusammenhang jedoch, dass – wie vorstehend bereits ausgeführt – die Bestimmung zur vorgesehenen DSFA keinen Eingang in den aktuellen Entwurf gefunden hat. Es ist dies aus unserer Sicht dringend nachzuholen.

Mit zu erwartendem Beschluss des Gesetzes in den kommenden Wochen werden sich zudem wesentliche Fragen in der Praktikabilität der neu geschaffenen Normen stellen. Darin erwarten wir auch die eigentlichen Schwierigkeiten bei Umsetzung dieses Vorhabens, sind doch viele Fragen in der konkreten Ausgestaltung noch offen: Diese betreffen neben einem als eher unrealistisch erscheinenden Zeitplan vor allem auch die schiere Menge an abzugleichenden Daten. Ähnliche Bedenken werden auch von der ELGA GmbH selbst in ihrer Stellungnahmen zum aktuellen Gesetzesentwurf ins Treffen geführt.1010 Auch wird sich zeigen, ob und wie reibungslos die Nachtragung von im Ausland durchgeführten PCR-Tests und verabreichten Impfungen verläuft. Dass im zentralen Impfregister nur Personen mit österreichischer Sozialversicherungsnummer eingetragen werden, wohingegen aber alle Personen mit Wohnsitz in Österreich zum Abgleich herangezogen werden, dürfte ebenso zu Ungereimtheiten und Lücken führen. Es ist vor diesem Hintergrund jedenfalls auf die Wichtigkeit eines effektiven Rechtsschutzes in der Praxis und des Bedarfs an sauberen Lösungen für jene Personen hinzuweisen, die nach dem neuen Gesetz dann fälschlich gestraft werden.

Ebenso bleibt abzuwarten, ob und wie sich die Situation punkto Verhältnismäßigkeit des Grundrechtseingriffs vor dem Hintergrund von Virusvarianten mit deutlicher erhöhter Infektiösität und damit auch einer möglichen erhöhten Immunisierungsrate in der Bevölkerung sowie neuer Medikamente gegen das Virus verändern wird.

 

1 1 Bundesgesetz über die Impfpflicht gegen COVID-19.

2 2 Vorblatt und Wirkungsorientierte Folgenabschätzung, S 1, https://www.parlament.gv.at/PAKT/VHG/XXVII/ME/ME_00164/index.shtml.

3 3 Zum Zeitpunkt des Einbringens des Ministerialentwurfs zur Begutachtung hatten mit Stand November 2021 erst 68,6% der Gesamtbevölkerung mindestens eine Impfung erhalten. Siehe Vorblatt und Wirkungsorientierte Folgenabschätzung, S 4..

4 4 Vorblatt und Wirkungsorientierte Folgenabschätzung, S 3f..

5 5 § 5 des Gesetzesentwurfs..

6 6 Diese sind: das verschlüsselte bereichsspezifische Personenkennzeichen Gesundheit (vbPK-GH); Familienname(n) und Vorname(n); Geschlecht; Geburtsdatum; Gemeindecode; Adresse des Hauptwohnsitzes, respektive des weiteren Wohnsitzes oder der Kontaktstelle..

7 7 Diese sind: das bereichsspezifische Personenkennzeichen Gesundheit (bPK-GH), Familienname(n) und Vorname(n), Geschlecht, Geburtsdatum, Datum der Impfung und Bezeichnung des Impfstoffes für jede Impfung; Angaben zum speichernden Vertragsarzt oder Vertrags-Gruppenpraxis, Vorliegen eines Ausnahmegrundes oder Fehlen der erforderlichen Entscheidungsfähigkeit, Datum des Wegfalls des Ausnahmegrundes. Hinsichtlich des Impfregisters ist die ELGA GmbH die im aktuell laufenden Pilotbetrieb zuständige datenschutzrechtliche Verantwortliche für Betrieb, Wartung und technischer Weiterentwicklung des elektronischen Impfpasses..

8 8 Erläuterungen, Besonderer Teil, S 9 (zu § 5, letzter Absatz im Text)..

Da du hier bist!

… haben wir eine Bitte an dich. Du möchtest der Regierung auf die Finger schauen? Möchtest du immer auf dem neuesten Stand sein zu Überwachung, Datenschutz, Netzneutralität, und allen Themen, die unsere Grund- und Freiheitsrechte im Netz betreffen? Abonniere unseren Newsletter und wir informieren dich etwa einmal im Monat über das netzpolitische Geschehen in Österreich und Europa, unsere Aktionen, juristischen Analysen und Positionspapiere.

Gemeinsam verteidigen wir unsere Grund- und Freiheitsrechte im digitalen Zeitalter, denn Zivilgesellschaft wirkt! Bleib informiert!

Ähnliche Artikel:

In einer gemeinsamen Recherche decken ORF konkret und die Datenschutz NGO epicenter.works heute massive IT-Sicherheitslücken in der Website des Gesundheitsministerium zur Organisation von Covid-19 Tests auf. Dabei handelt es sich um die trivialste aller Sicherheitslücken, eine zugriffsberechtigte…

COVID-19

Heute veröffentlichen der Standard und epicenter.works Informationen über gravierende Sicherheitsmängel im Gesundheitsministerium. Über eine Lücke ist es Unbefugten möglich, allen Menschen in Österreich beliebige anzeigepflichtige Krankheiten, wie AIDS, Syphilis oder Covid-19 im Epidemiologischen…

COVID-19

Heute stimmt das Europäische Parlament über den interinstitutionellen Kompromisstext zu der/den Verordnung(en) über das Digitale COVID-Zertifikat der EU (EU DCC - oder auch 'Digitales Grünes Zertifikat' und 'Europäischer Grüner Pass') ab. Das vorgeschlagene Gesetz regelt den "Rahmen für die…

COVID-19 , Datenschutz und Privatsphäre

Lang hats gedauert, aber nun gab es endlich zum ersten Mal die Möglichkeit eine Stellungnahme zu einem Gesetzesvorschlag im Zusammenhang mit dem Grünen Pass, nämlich dem Ministerialentwurf, mit dem das Epidemiegesetz 1950 und das COVID-19-Maßnahmengesetz geändert wird, einzureichen. Zur Erinnerung:…

COVID-19 , Datenschutz und Privatsphäre

​epicenter.works bekam interne Dokumente zur geplanten Umsetzung des grünen Passes in Österreich zugespielt und warnt vor gravierenden Privatsphäreprobleme und Sicherheitslücken mit Gefährdung für Gesundheitsdaten. Die auf der Rückseite der e-Card angegebene Kartennummer soll als Schlüssel für den…

COVID-19

Am 28. April 2021 hat das Europaparlament seine Position zum  Covid-Pass (das "Digitale Grüne Zertifikat" oder "Grüner Pass") beschlossen. Mit dem Gesetzesvorstoß wird das Ziel verfolgt, Reisen innerhalb der EU wieder zu ermöglichen. Der Vorschlag soll den EU-Ländern einen gemeinsamen Rahmen…

COVID-19 , Datenschutz und Privatsphäre