Ein Kommentar in der lokalem Presse mit dem Titel “Heilige Kühe”" zum Thema “digitaler Impfnachweis” und wie man den bekommen kann schließt mit folgendem Satz: “Das Ganze wäre weitaus unkomplizierter, wenn es ein Impfregister gäbe. Doch verhindert die heilige Kuh namens Datenschutz, die in Deutschland munter weidet, dass darüber auch nur diskutiert wird - von Schritten hin zu einem sicheren Register ganz zu schweigen.”
Ich halte das für eine sehr pauschale Aussage. Vom Kommentator wird auch keine Begründung und keine Quellen mitgeliefert. Ich denke, dass das so nicht stimmt (die Verkehrsregeln verhindern ja auch nicht das Autofahren…).
Gerne würde ich auf diesen Kommentar einen Leserbrief schreiben. Kennt jemand eine gute, verständliche Quelle wie es um die Diskussion zum Thema Impfregister steht und was dieses u.U. aufhält?
Besten Dank
Vllt nicht 100% passend aber, da auch im verlinkten Artikel erwähnt, verwise ich gerne hier auf Nida-Rümelin.
Aus dem genannten Grund (hier allerdings in Bezug auf die Corona Warn App) hat er letzte Woche auch den BigBrotherAward gewonnen. In der Laudatio werden weitere Gründe genannt (auch mit Erwähnung von Herr Kelber)
Da ich hier keine Werbung oder so machen will teile ich den Link nicht. Er kann aber gerne per PN angfragt werden.
Bietet denn der Art. 9 Abs. 2 Bst. i EU-DSGVO keine “Generalermächtigung”? Danach ist die Verarbeitung besonderer Kategorien personenbezogener Daten auch erlaubt, wenn
“i) die Verarbeitung […] aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren […] erforderlich” ist.
Ist eine weltweite Pandemie keine “schwerwiegende grenzüberschreitende Gesundheitsgefahr”?
Hallo Herr Keller,
wurde den Art. 6 1c) Erfüllung des Infektionsschutzgesetz oder Art. 6 1d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
Zur Not Art. 61f) berechtigte Interesse., aber steckt viel Arbeit dahinter!
Bisher sehe ich Art. 6 und Art. 9 als eigene Rechtmäßigkeitsquellen an.
Art. 13 Abs. 2 Bst c und Art. 14 Abs. 2 Bst. d EU-DSGVO nennen sowohl die Einwilligung nach Art. 6 als auch die Einwilligung nach Art. 9 als mögliche Widerrufsgrundlage. Und die Einwilligung (im Fall des Art. 9 die ausdrückliche Einwilligung) ist zweimal erwähnt. Daraus schließe ich, dass beide Artikel auch einzeln Rechtsgrundlage sein können.
Bedeutet das, dass bei der Rechtmäßigkeit zuerst der Art. 6 und dann der Art. 9 geprüft werden muss, wenn es sich um eine Verarbeitung besonderer Kategorien personenbezogener Daten handelt?
Ich frag immer nach GDPR Art 6 (1) und dann zu den Ausnahmen (Art 7-10) - ggf. auch Art 85 - 91.
Immer schön wenn Art 9 (2) a, aber nicht Art 6 (1) a [Consent ist ja nicht unbedingt immer passend].
Danke für die hilfreichen und interessanten links und Hinweise.
Der Kommentator aus dem von mir ursprünglich erwähnten Artikel zielt ja speziell auf ein Impfregister ab. Die Annahme ist, dass ein solches die Vergabe der digitalen Impfnachweise beschleunigen könnte, das Impfregister aber durch den Datenschutz verhindert würde …
Laut einem BR24-Artikel von 12/2020 hat das RKI vom Gesundheitsministerium den Auftrag bekommen, ein Impfregister zu entwickeln, siehe ==>
Dort gibt es auch eine Aussage von Herrn Kelber dazu. Im Dezember schien das Impfregister noch in der Designphase zu stecken. Also damals hing es offenbar nicht am Datenschutz :-). Kennt jemand den aktuellen Stand zum Impfregister und wo es mit der Implementierung hängt? Vermutlich klemmt es mal wieder beim D a t e n s c h u t z ! ( <= = ironisch)
Schließlich gibt es eine Mitteilung der EU-Kommission mit der Forderung, “dass die elektronischen Immunisierungsinformationssysteme oder sonstige Impfregister auf dem aktuellen Stand sind und den Datenschutzbestimmungen in vollem Umfang entsprechen.”
BR-Drucksache 625/20: https://dserver.bundestag.de/brd/2020/0625-20.pdf
Also, Impfregister gibt es nicht und wird es ebenso wenig wie Uploadfiler geben. Elektronische Immunisierungsinformationssysteme…
Ich würde mich freuen wenn du das mal ein bisschen ausührlicher erläutern könntest. Ich sehe hier zwei verschiedene Begrifflichkeiten, “Impfregister” und “Impfsurveillance”. Unter einem Impfregister verstehe ich eine Datenbank, in der die kompletten personenbezogenen Daten (In meiner Welt: Name, Anschrift, Geburtsdatum, Datum der Impfung, Name des Arztes) zu einer Impfung gespeichert werden. Die Impfsurveillance verstehe ich als Datenbank, in die ausschließlich anonymisierte Daten übertragen werden, um den Anteil an geimpften Personen mit Altersbezug zu speichern. Das letztere halte ich persönlich für vertretbar und das sollte auch keine Datenschutzprobleme mit sich bringen da der Personenbezug nicht mehr vorhanden ist.
Das was ich ein bisschen probematisch sehe ist herauszufinden, welche personenbezogenen Daten der Impfarzt an welche Stellen sendet. Aber das ist in meiner Sichtweise ein generelles Problem, keins welches im Zusammenhang mit Impfregistern neu aufgetreten ist.
Die Bezeichnung “Register” ist nicht von der Art der Daten abhängig. Neben Namens- oder Personenregistern gibt es Sachregister, Stichwortregister, Ortsregister usw.
Die Aussage, es würden für die Impfsurveillance anonymisierte Daten verarbeitet, ist schlichtweg falsch. Der Grund dafür findet sich in den zu übermittelnden Angaben gem. §13 Abs.5 IfSG:
Patienten-Pseudonym,
Geburtsmonat und -jahr,
Geschlecht,
fünfstellige Postleitzahl und Landkreis des Patienten,
Landkreis des behandelnden Arztes oder des Impfzentrums,
Fachrichtung des behandelnden Arztes,
Datum der Schutzimpfung, der Vorsorgeuntersuchung, des Arzt-Patienten-Kontaktes und Quartal der Diagnose,
antigenspezifische Dokumentationsnummer der Schutzimpfung, bei Vorsorgeuntersuchungen die Leistung nach dem einheitlichen Bewertungsmaßstab,
Diagnosecode nach der Internationalen statistischen Klassifikation der Krankheiten und verwandter Gesundheitsprobleme (ICD), Diagnosesicherheit und Diagnosetyp im Sinne einer Akut- oder Dauerdiagnose,
bei Schutzimpfungen gegen Severe-Acute-Respiratory-Syndrome-Coronavirus-2 (SARS-CoV-2) zusätzlich die impfstoffspezifische Dokumentationsnummer, die Chargennummer, die Indikation sowie den Beginn oder den Abschluss der Impfserie.
Allein die Übermittlung eines Pseudonyms schließt eine Anonymisierung aus und auch mit den restlichen Daten lässt sich durch entsprechendes Zusatzwissen jeder Geimpfte identifizieren. Dies soll für RKI und Paul-Ehrlich-Institut ausgeschlossen werden, wobei das RKI das Verfahren zur Bildung des Patienten-Pseudonyms bestimmt.
Wenn diese Daten notwendig sind, dann ist das so und man muss sich um eine datenschutzkonforme Umsetzung kümmern. Ich werde jedoch hellhörig, wenn
das Gesundheitsministerium per Verordnung walten kann,
mir erklärt wird, es gebe kein Register für Impfungen und
jemand bei der Verwendung von Pseudonymen von Anonymisierung spricht.
super Recherche und Zusammenstellung. Besten Dank @anzolino !
Auch der dlf-Beitrag eröffnet leider mit “Im Jahr 2016 hat sich die Gesundheitsministerkonferenz der Länder dafür ausgesprochen, letztlich ist sie am Datenschutz, am Geld und am Föderalismus gescheitert” …
Es wird einfach gerne der Datenschutz vorgeschoben. Im Beitrag selbst wird diese Aussage wenigstens relativiert.
Super Recherche!
Diese Floskel " …am Datenschutz, am Geld und am Föderalismus gescheitert" hört sich so an (oder soll sich so anhören?), als wären da DREI externe Kräft schuld gewesen. Das klingt so (bzw. wird von vielen so gelesen und aufgefasst), als hätte die externe “Institution Datenschutz” etwas dagegen gehabt. Dabei handelt es sich hier eher im die interne Unfähigkeit, das Grundrecht auf Datenschutz sicherzustellen. Statt “am Datenschutz” muss es “an der Einhaltung des Rechts auf Datenschutz” heißen, oder?
[Consent ist ja nicht unbedingt immer passend].