Impfregister verhindert durch die "Heilige Kuh" Datenschutz?

Ein Kommentar in der lokalem Presse mit dem Titel “Heilige Kühe”" zum Thema “digitaler Impfnachweis” und wie man den bekommen kann schließt mit folgendem Satz: “Das Ganze wäre weitaus unkomplizierter, wenn es ein Impfregister gäbe. Doch verhindert die heilige Kuh namens Datenschutz, die in Deutschland munter weidet, dass darüber auch nur diskutiert wird - von Schritten hin zu einem sicheren Register ganz zu schweigen.”

Ich halte das für eine sehr pauschale Aussage. Vom Kommentator wird auch keine Begründung und keine Quellen mitgeliefert. Ich denke, dass das so nicht stimmt (die Verkehrsregeln verhindern ja auch nicht das Autofahren…).

Gerne würde ich auf diesen Kommentar einen Leserbrief schreiben. Kennt jemand eine gute, verständliche Quelle wie es um die Diskussion zum Thema Impfregister steht und was dieses u.U. aufhält?
Besten Dank

Ich könnte jetzt das Rad oder in dem Sinne die “Kuh” neu erfinden, aber das für die eigene Inkompetenz oft der Grund “Datenschutz steht im Weg” rausgekramt wird ist leider nicht neu und ich habe hier weder Mike noch Herrn Kelber etwas hinzuzufügen. Ich denke, du findest da passende Anregungen.

und Einspruch Podcast: Die Pandemie und der Datenschutz

Ich hab es schon mal gesagt, aber “Well, done @BfDI-Kelber, well done”. :+1:

1 Like

Vllt nicht 100% passend aber, da auch im verlinkten Artikel erwähnt, verwise ich gerne hier auf Nida-Rümelin.
Aus dem genannten Grund (hier allerdings in Bezug auf die Corona Warn App) hat er letzte Woche auch den BigBrotherAward gewonnen. In der Laudatio werden weitere Gründe genannt (auch mit Erwähnung von Herr Kelber)
Da ich hier keine Werbung oder so machen will teile ich den Link nicht. Er kann aber gerne per PN angfragt werden.

Bietet denn der Art. 9 Abs. 2 Bst. i EU-DSGVO keine “Generalermächtigung”? Danach ist die Verarbeitung besonderer Kategorien personenbezogener Daten auch erlaubt, wenn

“i) die Verarbeitung […] aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren […] erforderlich” ist.

Ist eine weltweite Pandemie keine “schwerwiegende grenzüberschreitende Gesundheitsgefahr”?

FW

Ich hätte damals die App auch auf diesen Paragraphen gestützt und hatte mich das letzte Jahr genau das selbe gefragt.

Leider habe ich bis heute keine Antwort auf diese Frage.

1 Like

Vielleicht kann sich Herr @BfDI-Kelber mal äußern?

FW

Welchen Art 6 (1) siehst Du in Kombination mit Art 9 ?

Hallo Herr Keller,
wurde den Art. 6 1c) Erfüllung des Infektionsschutzgesetz oder Art. 6 1d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
Zur Not Art. 61f) berechtigte Interesse., aber steckt viel Arbeit dahinter!

GDPR Art 6 (1) d) wird - glaube ich - üblicherweise eher verwendet für ohnmächtige Patienten, etc… - sprich Tod-oder-Leben Situationen …

1 Like

Bisher sehe ich Art. 6 und Art. 9 als eigene Rechtmäßigkeitsquellen an.

Art. 13 Abs. 2 Bst c und Art. 14 Abs. 2 Bst. d EU-DSGVO nennen sowohl die Einwilligung nach Art. 6 als auch die Einwilligung nach Art. 9 als mögliche Widerrufsgrundlage. Und die Einwilligung (im Fall des Art. 9 die ausdrückliche Einwilligung) ist zweimal erwähnt. Daraus schließe ich, dass beide Artikel auch einzeln Rechtsgrundlage sein können.

Aber darüber lässt sich sicher auch diskutieren.

Die Rechtsmäßigkeit wird in Artikel 6 geregelt (darum lautet er auch so), Art. 7 - 10 sind Einschränkungen dazu.

Stimmt, habe ich ganz vergessen

Bedeutet das, dass bei der Rechtmäßigkeit zuerst der Art. 6 und dann der Art. 9 geprüft werden muss, wenn es sich um eine Verarbeitung besonderer Kategorien personenbezogener Daten handelt? :thinking:

FW

Ich frag immer nach GDPR Art 6 (1) und dann zu den Ausnahmen (Art 7-10) - ggf. auch Art 85 - 91.
Immer schön wenn Art 9 (2) a, aber nicht Art 6 (1) a :slight_smile: [Consent ist ja nicht unbedingt immer passend].

Danke für die hilfreichen und interessanten links und Hinweise.

Der Kommentator aus dem von mir ursprünglich erwähnten Artikel zielt ja speziell auf ein Impfregister ab. Die Annahme ist, dass ein solches die Vergabe der digitalen Impfnachweise beschleunigen könnte, das Impfregister aber durch den Datenschutz verhindert würde …

Laut einem BR24-Artikel von 12/2020 hat das RKI vom Gesundheitsministerium den Auftrag bekommen, ein Impfregister zu entwickeln, siehe ==>

Dort gibt es auch eine Aussage von Herrn Kelber dazu. Im Dezember schien das Impfregister noch in der Designphase zu stecken. Also damals hing es offenbar nicht am Datenschutz :-). Kennt jemand den aktuellen Stand zum Impfregister und wo es mit der Implementierung hängt? Vermutlich klemmt es mal wieder beim D a t e n s c h u t z ! ( <= = ironisch)

Das Gesundheitsministerium schreibt, es wäre kein Impfregister geplant (Ctrl+F Impfregister):

Im DLF sprachen sie im März darüber:

Doch anscheinend heißt das Impfregister nun Impfsurveillance und ist bereits mit vielen Daten gefüllt. Ich hätte es Vaccinationregister genannt, das klingt lustiger als Surveillance… Für Corona heißt es übrigens Impfquotenmonitoring. Nur falls jemand die Illusion hat, es gäbe keine Register. Man nennt sie nur anders und offenbar hat jemand eine besondere Vorliebe für sinnfreie Anglizismen im Neusprech.
https://www.rki.de/DE/Content/Infekt/Impfen/Impfstatus/kv-impfsurveillance/kvis_node.html
https://www.rki.de/DE/Content/InfAZ/N/Neuartiges_Coronavirus/Daten/Impfquotenmonitoring.html
BT-Drucksache 19/10041, Seite 69: https://dserver.bundestag.de/btd/19/100/1910041.pdf

Schließlich gibt es eine Mitteilung der EU-Kommission mit der Forderung, “dass die elektronischen Immunisierungsinformationssysteme oder sonstige Impfregister auf dem aktuellen Stand sind und den Datenschutzbestimmungen in vollem Umfang entsprechen.”
BR-Drucksache 625/20: https://dserver.bundestag.de/brd/2020/0625-20.pdf

Also, Impfregister gibt es nicht und wird es ebenso wenig wie Uploadfiler geben. Elektronische Immunisierungsinformationssysteme…

2 Likes

Ich würde mich freuen wenn du das mal ein bisschen ausührlicher erläutern könntest. Ich sehe hier zwei verschiedene Begrifflichkeiten, “Impfregister” und “Impfsurveillance”. Unter einem Impfregister verstehe ich eine Datenbank, in der die kompletten personenbezogenen Daten (In meiner Welt: Name, Anschrift, Geburtsdatum, Datum der Impfung, Name des Arztes) zu einer Impfung gespeichert werden. Die Impfsurveillance verstehe ich als Datenbank, in die ausschließlich anonymisierte Daten übertragen werden, um den Anteil an geimpften Personen mit Altersbezug zu speichern. Das letztere halte ich persönlich für vertretbar und das sollte auch keine Datenschutzprobleme mit sich bringen da der Personenbezug nicht mehr vorhanden ist.

Das was ich ein bisschen probematisch sehe ist herauszufinden, welche personenbezogenen Daten der Impfarzt an welche Stellen sendet. Aber das ist in meiner Sichtweise ein generelles Problem, keins welches im Zusammenhang mit Impfregistern neu aufgetreten ist.

1 Like

Die Bezeichnung “Register” ist nicht von der Art der Daten abhängig. Neben Namens- oder Personenregistern gibt es Sachregister, Stichwortregister, Ortsregister usw.

Die Aussage, es würden für die Impfsurveillance anonymisierte Daten verarbeitet, ist schlichtweg falsch. Der Grund dafür findet sich in den zu übermittelnden Angaben gem. §13 Abs.5 IfSG:

  1. Patienten-Pseudonym,
  2. Geburtsmonat und -jahr,
  3. Geschlecht,
  4. fünfstellige Postleitzahl und Landkreis des Patienten,
  5. Landkreis des behandelnden Arztes oder des Impfzentrums,
  6. Fachrichtung des behandelnden Arztes,
  7. Datum der Schutzimpfung, der Vorsorgeuntersuchung, des Arzt-Patienten-Kontaktes und Quartal der Diagnose,
  8. antigenspezifische Dokumentationsnummer der Schutzimpfung, bei Vorsorgeuntersuchungen die Leistung nach dem einheitlichen Bewertungsmaßstab,
  9. Diagnosecode nach der Internationalen statistischen Klassifikation der Krankheiten und verwandter Gesundheitsprobleme (ICD), Diagnosesicherheit und Diagnosetyp im Sinne einer Akut- oder Dauerdiagnose,
  10. bei Schutzimpfungen gegen Severe-Acute-Respiratory-Syndrome-Coronavirus-2 (SARS-CoV-2) zusätzlich die impfstoffspezifische Dokumentationsnummer, die Chargennummer, die Indikation sowie den Beginn oder den Abschluss der Impfserie.

Allein die Übermittlung eines Pseudonyms schließt eine Anonymisierung aus und auch mit den restlichen Daten lässt sich durch entsprechendes Zusatzwissen jeder Geimpfte identifizieren. Dies soll für RKI und Paul-Ehrlich-Institut ausgeschlossen werden, wobei das RKI das Verfahren zur Bildung des Patienten-Pseudonyms bestimmt.

Wenn diese Daten notwendig sind, dann ist das so und man muss sich um eine datenschutzkonforme Umsetzung kümmern. Ich werde jedoch hellhörig, wenn

  • das Gesundheitsministerium per Verordnung walten kann,
  • mir erklärt wird, es gebe kein Register für Impfungen und
  • jemand bei der Verwendung von Pseudonymen von Anonymisierung spricht.
1 Like

super Recherche und Zusammenstellung. Besten Dank @anzolino !

Auch der dlf-Beitrag eröffnet leider mit “Im Jahr 2016 hat sich die Gesundheitsministerkonferenz der Länder dafür ausgesprochen, letztlich ist sie am Datenschutz, am Geld und am Föderalismus gescheitert”

Es wird einfach gerne der Datenschutz vorgeschoben. Im Beitrag selbst wird diese Aussage wenigstens relativiert.

Super Recherche!
Diese Floskel " …am Datenschutz, am Geld und am Föderalismus gescheitert" hört sich so an (oder soll sich so anhören?), als wären da DREI externe Kräft schuld gewesen. Das klingt so (bzw. wird von vielen so gelesen und aufgefasst), als hätte die externe “Institution Datenschutz” etwas dagegen gehabt. Dabei handelt es sich hier eher im die interne Unfähigkeit, das Grundrecht auf Datenschutz sicherzustellen. Statt “am Datenschutz” muss es “an der Einhaltung des Rechts auf Datenschutz” heißen, oder?

1 Like