Am 18.11.2020 haben Bundestag und Bundesrat das sogenannte Dritte Gesetz zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite (kurz auch: Drittes Bevölkerungsschutzgesetz oder Anti-Pandemiegesetz) verabschiedet. Datenschützer schlagen Alarm, da durch das Gesetz der Großen Koalition, Patientendaten aller Bürger bei einer Bundesbehörde zentralisiert werden sollen.
DEMIS – die neue bundesweite „Gesundheitsdaten-Cloud“
Die Bundesregierung hat beschlossen, dass es eine neue Sammelstelle beim Robert-Koch-Institut (RKI) geben soll, die u.a. Meldedaten zu Covid-19-Infektionen, Impfungen gegen das Coronavirus und Reisebewegungen dokumentiert. Dabei handelt es sich um eine neue Gesundheits-Cloud mit dem Namen „DEMIS“ (Deutsches elektronisches Melde- und Informationssystem für den Infektionsschutz). Das System wurde gemeinsam mit der Gesellschaft für Telematik entwickelt, die auch mit der Realisierung der elektronischen Patientenakte (ePA) betraut ist.
Mit dem neuen Gesetz werden alle meldepflichtigen Stellen veranlasst, ihre Daten an DEMIS zu übertragen. Das umfasst z.B. die üblichen Patienten- und Kontaktdaten, aber auch Informationen zum behandelnden Arzt und dessen Praxis. Darüber hinaus sollen auf Grundlage des Gesetzes die folgenden Daten an das RKI übermittelt werden:
- Patientendaten, die Impfungen gegen das SARS-CoV-2-Virus erhalten haben
- Daten über Personen, die aus Risikogebieten in die Bundesregierung einreisen
- stichprobenartige Daten von Bundesbürgern, die eine Bundesgrenze übertreten
Insbesondere im ersten Fall werden die (im Vorfeld pseudonymisierten) Daten sogar für die Überprüfung der Wirksamkeit der Impfstoffe gegen Covid-19 durch das Robert-Koch-Institut und das Paul-Ehrlich-Institut (PEI) ausgewertet. In Zukunft wird das Robert-Koch-Institut laut heise.de (Artikel „Drittes Bevölkerungsschutzgesetz: Massenhafte Datenspeicherung beim RKI“) die Gesundheitsdaten hunderttausender Bundesbürger erhalten und damit immer mehr zu einer neuen Bundesbehörde für die Erfassung und Speicherung von Patienten- und Gesundheitsdaten werden. Dies gilt insbesondere im Zusammenhang mit meldepflichtigen Krankheiten. Die Kontrolle der Maßnahmen des Dritten Pandemiegesetzes obliegt nach dem aktuellen Gesetzesentwurf allein dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), die Datenschutzbeauftragten auf Länderebene hingegen haben kein Kontrollrecht!
Bei diesem Vorhaben der Bundesregierung schrillen jedem Datenschützer alle Alarmglocken: Höchstsensibele Daten in einem Cloudsystem! Und dann auch noch von allen deutschen Staatsbürgern zentralisiert an einer Stelle!
Zum selben Schluss ist auch der Bundesdatenschutzbeauftragte Prof. Ulrich Kelber gekommen:
BfDI kritisiert das dritte Pandemiegesetz und das Vorgehen der Bundesregierung
Prof. Ulrich Kelber äußert sich in seiner „Stellungnahme an den Deutschen Bundestag zum dritten Pandemieschutzgesetz“ äußerst kritisch. Die vollumfängliche Ausführung des BfDI können Sie hier nachlesen.
Neben vielen inhaltlichen Punkten kritisiert Kelber insbesondere die Kürze, in der das Gesetz verfasst und dem Bundestag und Bundesrat zur Abstimmung vorgelegt wurde. Am Abend des 14. Oktober 2020 hat das Bundesministerium für Gesundheit (BMG) den ersten Entwurf der Formulierungshilfe für das Dritte Pandemieschutzgesetz vorgelegt. Die Frist zur Stellungsnahme war der 16. Oktober 2020 (1 Tag zur Prüfung lag dazwischen). Ebenso verhielt es sich am Morgen des 23. Oktober 2020, an dem eine veränderte und teilweise ergänzte Version des Gesetzes vorgelegt wurde. Auch hier wurde die Frist auffällig kurz bis 18:00 Uhr am selben Tag datiert. Der Bundesdatenschutzbeauftragte sagt dazu: „Diese extrem kurzen Fristen erschweren eine sachgerechte Bearbeitung erheblich und erscheinen zu einem Zeitpunkt, zu dem die Pandemie-Lage seit mehr als sieben Monaten besteht, nicht angemessen.“ Aufgrund der kurzen Fristen sei eine Prüfung auf datenschutzrechtliche Unbedenklichkeit nicht möglich.
Darüber hinaus wurden diverse Vorschläge des BfDI (z.B. Einschränkungen der Datensammlung, Präzession von Daten und Empfängern, etc.) von der Bundesregierung gänzlich unberücksichtigt gelassen. Insbesondere die Daten des Artikel 9 Absatz 1 DSGVO (Gesundheitsdaten) sind in der Datenschutzgrundverordnung besonders geschützt, da es sich um die persönlichsten Daten eines Menschen handelt. Eine Verarbeitung dieser Daten ist daher grundsätzlich untersagt und nur unter den besonderen Voraussetzungen des Artikel 9 Absatz 2 DSGVO zulässig. Kelber schreibt dazu in seiner Stellungsnahme: „Erneut werden mit dem Gesetz verschiedene Meldepflichten oder Übermittlungen personenbezogener Daten eingeführt oder erweitert, ohne zu berücksichtigen, dass die Verarbeitung von Gesundheitsdaten, also besonders geschützten personenbezogenen Daten, einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung darstellt und daher sorgfältig zu begründen und zu rechtfertigen ist“.
Zu den meldepflichtigen Daten (nach dem dritten Pandemiegesetz) gehören dabei u.a. eine Reihe von Gesundheitsdaten, Impfdokumente, Testergebnisse und Angaben zu Symptomen. In Deutschland sind u.a. private Beförderer (öffentlicher Personennahverkehr, die Deutsche Bahn und Fluggesellschaften) sowie die Bundespolizei und andere Polizeibehörden zur Weitergabe ihrer Daten verpflichtet. Zu dem vermehrten „staatlichen Zwang“ Daten zur Verfügung zu stellen, äußerst sich Kelber ebenfalls kritisch: „Allgemein sehe ich mit Besorgnis, dass die Gewinnung von Erkenntnissen zunehmend gesetzlich vorgesehen und bundesweit zwingend durch staatliche Stellen vorgesehen wird. Dies übergeht die in Deutschland durchaus vorhandenen Möglichkeiten klinischer und wissenschaftlicher Forschung, die einwilligungsbasiert erfahrungsgemäß zuverlässige Ergebnisse liefert.“
Trotz der offensichtlichen Bedenken und Einwände durch den Bundesdatenschutzbeauftragten wurde das Gesetz im Eilverfahren erlassen. Datenschutz? – In Hinblick auf die Pandemie derzeit wohl leider ein zu vernachlässigender Faktor.
Quellen
Quelle 1: Artikel „Drittes Bevölkerungsschutzgesetz: Massenhafte Datenspeicherung beim RKI„, abgerufen am 19.11.2020 unter https://www.heise.de/news/Drittes-Bevoelkerungsschutzgesetz-Massenhafte-Datenspeicherung-beim-RKI-4964944.html
Quelle 2: Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zum Entwurf des Dritten Gesetzes zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite (BT-Drs. 19/23944 vom 3. November 2020), abgerufen am 19.11.2020 unter https://www.bfdi.bund.de/DE/Infothek/Transparenz/Stellungnahmen/2020/StgN-Drittes-Pandemieschutzgesetz.pdf;jsessionid=A646CDC1E67717C44D77E1BD93EE4FAB.2_cid354?__blob=publicationFile&v=1
Quelle 3: Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zum Entwurf des Dritten Gesetzes zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite (BT-Drs. 19/23944 vom 3. November 2020), abgerufen am 19.11.2020 unter https://www.bfdi.bund.de/DE/Infothek/Transparenz/Stellungnahmen/2020/StgN-Drittes-Pandemieschutzgesetz.html?nn=12818400