In der vergangenen Woche (18.11.2020) wurde das „Dritte Bevölkerungsschutzgesetz“ von Bundestag und Bundesrat verabschiedet. Mit diesem sollen die bisher auf Grund des Infektionschutzgesetzes (IfSG) eingeführten Regelungen und Maßnahmen zum Schutz der Bevölkerung entsprechend ergänzt werden, um eine Fortentwicklung der gesetzlichen Grundlagen zu gewährleisten. Doch wie ist es in der coronabedingten Eile um den Datenschutz bestellt?
Der Inhalt im Überblick
Was ist neu?
Das „Dritte Gesetz zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite“ (auch: „Drittes Bevölkerungsschutzgesetz“) sieht u.a. folgende Neuerungen vor:
Beim Robert-Koch-Institut (RKI) werden neuartige Surveillance-Instrumente vorgesehen:
- So können Krankenhäuser oder Arztpraxen verpflichtet werden, dem RKI Angaben über die von ihnen untersuchten Proben in Bezug auf bestimmte Krankheitserreger oder Angaben über das gemeinsame Vorliegen von verschiedenen Krankheitserregern zu übermitteln.
- Auch soll dem RKI die Feststellung der Inanspruchnahme von Schutzimpfungen und von Impfeffekten (Impfsurveillance) ermöglicht werden.
- Zur Überwachung der Sicherheit von Impfstoffen (Pharmakovigilanz) sind personenbezogene Daten zudem nun auch dem Paul-Ehrlich-Institut zu übermitteln.
Die meldepflichtigen Labore werden verpflichtet, künftig eine SARS-CoV-2-Meldung über das Deutsche elektronische Melde- und Informationssystem für den Infektionsschutz (kurz: DEMIS) vorzunehmen. Auch in Bezug auf weitere Meldepflichten und Meldepflichtige wird eine solche Pflicht schrittweise bis Ende 2022 eingeführt.
Bei einer Meldung sind die nach § 9 IfSG zu übermittelnden Daten erweitert worden. So sind nun neben den Patienten- und Kontaktdaten auch die lebenslange Arztnummer (LANR) sowie die Betriebsstättennummer (BSNR) zu übermitteln. Daneben werden auch die bei zu übermittelnden Ortsangaben in § 11 IfSG detaillierter.
RKI als zentrale Sammelstelle personenbezogener Daten
Der Umfang der im Fall einer COVID-19-Meldung zu übermittelnden Daten wird somit vergrößert. Außerdem ist es nun für die meldepflichtigen Labore verpflichtend, das Deutsche elektronische Melde- und Informationssystem (DEMIS) zu verwenden, um eine SARS-CoV-2-Meldung vorzunehmen. Mit Hilfe dieses Systems können Laborergebnisse bei übertragbaren Krankheiten wie COVID-19 elektronisch an die zuständigen Behörden übermittelt werden. Für COVID-19 ist die zuständige Behörde das RKI. Zudem werden – auch auf Grund in Kürze möglich erscheinender Impfprogramme – erforderlich werdende Surveillance-Maßnahmen beim RKI angesiedelt. Ausgedehnt werden die Zugriffsmöglichkeiten zudem auf das Paul-Ehrlich-Institut, das deutsche Bundesinstitut für Impfstoffe und biomedizinische Arzneimittel.
Im Ergebnis ist also festzustellen, dass das RKI als staatliche Behörde durch die im Dritten Bevölkerungsschutzgesetz vorgesehenen Änderungen des IfSG zu einer immer größeren „Sammelstelle“ für personenbezogene Daten und zuständig für damit verbundene Surveillance-Maßnahmen (zu deutsch: Überwachungsmaßnahmen) wird. All die über DEMIS an das RKI übermittelten Daten stellen zudem auf Grund des Zwecks ihrer Erhebung als Gesundheitsdaten besonders geschützte personenbezogene Daten i.S.d. Art. 9 DSGVO dar. Allein aus diesem Grund ist diese Zentralisierung von Gesundheitsdaten beim RKI datenschutzrechtlich zu betrachten.
Stellungnahme des BfDI
Da es sich beim RKI um eine öffentliche Stelle des Bundes handelt, ist für die datenschutzrechtliche Überprüfung der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, zuständig. Dieser veröffentlichte am 09.11.2020 – also 9 Tage vor der Verabschiedung des Gesetzentwurfs – eine Stellungnahme.
Nach dieser wird dem Umstand, dass es sich vorliegend um besonders zu schützende personenbezogene Daten handelt, nicht ausreichend Rechnung getragen:
„Erneut werden mit dem Gesetz verschiedene Meldepflichten oder Übermittlungen personenbezogener Daten eingeführt oder erweitert, ohne zu berücksichtigen, dass die Verarbeitung von Gesundheitsdaten, also besonders geschützten personenbezogenen Daten, einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung darstellt und daher sorgfältig zu begründen und zu rechtfertigen ist und besondere flankierende Maßnahmen zum Schutz der sensiblen Daten vorzusehen sind.“
Dabei fehlen dem BfDI zum einen eine Auseinandersetzung mit seinen in der Vergangenheit bereits gemachten Vorschlägen und Bitten als auch zum Teil eine ausführliche Gesetzesbegründung, anhand derer überhaupt erst eine datenschutzrechtliche Erforderlichkeitsprüfung hätte erfolgen können.
Bereits im ersten Teil seiner Stellungnahme kritisiert der BfDI zudem das Zeitmanagement bei der Verabschiedung des Gesetzes:
„Am 14. Oktober 2020 legte das Bundesministerium für Gesundheit (BMG) abends einen ersten Entwurf der Formulierungshilfe für ein Drittes Pandemieschutzgesetz zur Ressortbeteiligung vor mit einer Frist zur Stellungnahme bis zum 16. Oktober 2020. Eine veränderte und teilweise ergänzte Version wurde am 23. Oktober 2020 morgens mit Frist zur Stellungnahme bis zum gleichen Tag, 18.00 Uhr übersandt. Diese extrem kurzen Fristen erschweren eine sachgerechte Bearbeitung erheblich und erscheinen zu einem Zeitpunkt, zu dem die Pandemie-Lage seit mehr als sieben Monaten besteht, nicht angemessen.“
Man könnte den BfDI also durchaus so verstehen, dass ihm schlicht zu wenig Zeit und Informationen gegeben wurden, um gesetzliche Änderungen bezüglich der Verarbeitung besonderer (und besonders schützenswerter) personenbezogener Daten in Zeiten von Corona ausreichend überprüfen zu können.
Datenschutz vs. Pandemieschutz?
Zeit für einen Perspektivwechsel, legen wir die datenschutzrechtliche Brille einmal beiseite.
Nun ist es schon so, dass vieles in der aktuellen Gesetzesänderung dabei ist, durch das wir als Bevölkerung in Zeiten von Corona als einer epidemischen Lage von nationaler Tragweite geschützt werden sollen. Der Titel des Gesetzes ist also Programm.
Eine zentrale Sammelstelle für Daten ergibt Sinn, um möglichst viele Informationen an einem Ort zu haben, um so möglichst schnell viele Erkenntnisse ziehen und dementsprechend schnell handeln zu können. Hier ist es auch gut, wenn dieser Stelle die dazu erforderlichen Befugnisse zum Tätigwerden eingeräumt werden. Aus den gleichen Gründen ist es natürlich ebenfalls sinnvoll, die Menge der zu erhebenden Daten zu vergrößern, um noch bessere Ergebnisse erzielen zu können. Auch ist es begrüßenswert, dass es in Zeiten der Digitalisierung ein elektronisches Melde- und Informationssystem gibt, das den zuständigen Behörden einen schnellen und unkomplizierten Datenaustausch ermöglicht. Aber: Wo ist die Grenze zu ziehen und was gilt es in dieser „brave new world“ zu beachten?
Die Grundsätze, die die DSGVO vorsieht – insbesondere das Transparenzgebot, die Datenminimierung aber auch die Informationspflichten – dienen ebenfalls dem Schutz der Bevölkerung, wenn auch nicht vor einer Pandemie, so doch vor nicht gerechtfertigten Eingriffen in unser Grundrecht der informellen Selbstbestimmung. Letztendlich bleibt es eine Frage der Abwägung, allerdings sollten bei einer solchen auch wirklich beide Seiten vollumfänglich berücksichtigt und nicht eine der beiden aus Zeitgründen vernachlässigt werden. Ansonsten stellt sich nicht nur die Frage, ob es sich hier um ein datenschutzrechtlich rechtmäßiges Vorgehen handelt, sondern auch die nach einem verfassungsgemäßen Vorgehen.
Die Unverhältnismäßigkeit wie die Regierung hier vorgeht, bestehende Gesetze (GG. DSGVO) einfach ignoriert, muss dazu führen, dass dieses neue Gesetzt vor dem Fassungsgericht landet und es eine entsprechenden Schelte gibt, bevor die Bundesregierung in einem ähnlichen Eilverfahrten das Verfassungsgericht aus „epdemischen Gründen“ abschafft.