Das Gesundheitsministerium hat eine Novelle des Epidemie- und des Covid-Maßnahmengesetzes in Begutachtung geschickt, mit der der “grüne Pass” umgesetzt werden soll. Darin finden sich aber auch Bestimmungen, die nicht unmittelbar mit dem “grünen Pass” zu tun haben und aus unserer Sicht problematisch sind.

Zum Zweck der epidemiologischen Überwachung sowie des Monitorings der Wirksamkeit der Maßnahmen, wie es im Gesetzesvorschlag heißt, soll es dem Gesundheitsminister erlaubt werden, diverseste sensible personenbezogenen Daten zu kombinieren und auszuwerten. Damit würde eine Datenbank geschaffen werden, in der alle Österreicherinnen und Österreicher, die entweder geimpft wurden oder eine COVID Erkrankung überstanden haben, gespeichert würden. Diese Daten würden mit Daten über Bildung, Krankenstände, Reha-Aufenthalte, Arbeitslosigkeit, Beschäftigungsstand, Einkommensniveau, Arbeitsort etc. angereichert. Die in dieser Datenbank gespeicherten Daten werden zwar pseudonymisiert, sodass die Namen der Personen nicht direkt aufscheinen. Aber aufgrund der großen Fülle und teilweise hohen Spezifität der Daten wird es möglich sein, aufgrund einzelner Merkmale wie Arbeitsort, Arbeitsstätte und Alter Rückschlüsse auf bestimmte Personen zu ziehen.

Beispiel: Man nehme eine kleine Ortschaft, in der es nur einen großen Konzern gibt. Sucht man aus der Datenbank jene Person heraus, die in diesem Ort arbeitet und das höchste Einkommen hat, so hat man mit ziemlich hoher Wahrscheinlichkeit die Führungsperson dieses Unternehmens herausgefiltert und weiß jetzt eine ganze Menge an spezifischen gesundheitsbezogenen Daten.

Die Pseudonymisierung bringt hier also recht wenig. Die Datenschutz-Grundverordnung (DSGVO) definiert als personenbezogene Daten auch solche, die eindeutig einer Person zuordenbar sind, auch wenn diese Daten keinen Namen oder ähnliche direkte Merkmale mehr enthalten. Dazu kommt, dass Daten mit Gesundheitsinformationen richtigerweise als besonders sensible Daten eingestuft sind.

Die DSGVO geht auch vom Prinzip der Datensparsamkeit aus. Es muss also sehr gute Gründe geben, warum bestimmte personenbezogene Daten gespeichert werden. Uns erschließt sich derzeit nicht warum Daten über Arbeitslosigkeiten, Einkommensniveau etc. benötigt werden, um medizinische Auswertungen erstellen zu können, die für sich genommen für die Pandemie-Bekämpfung durchaus wichtig sein können. Ja, es ist wichtig, die Auswirkungen von Vorerkrankungen und die Langzeitfolgen von Covid-Infektionen zu analysieren, Stichwort “Long Covid”.  Nicht direkt relevante Daten über Arbeitslosigkeit und Einkommen haben unserer Meinung nach in solchen Analysen jedoch keinen Wert und müssen dem Prinzip der Datensparsamkeit folgend draußen bleiben.

Die Kollegen von epicenter.works haben bereits angekündigt, eine Verfassungsklage einzubringen, sollte das Gesetz in der derzeitigen Form umgesetzt werden.

Der derzeitige Gesetzesentwurf hat eine Begutachtungszeit von nur einer Woche – davon ist ein Tag ein Feiertag. Die empfohlene Begutachtungsdauer beträgt 6 Wochen, was sogar das Bundeskanzleramt in seiner Stellungnahme kritisiert. Bei so einer sensiblen Materie kann die Begutachtungsfrist nur als Chuzpe betrachtet werden. Wir werden uns trotzdem bemühen in der gegebenen Kürze den Gesetzesentwurf detailliert zu analysieren und eine entsprechende Gesetzesstellungnahme einzubringen.