Digitaler Impfpass: Schlagen wir einen gefährlichen Weg ein?

News

Hat das gelbe Impfheftchen bald ausgedient? Seit heute können sich Geimpfte bei Apotheken ein Zertifikat ausstellen lassen. Zusammen mit der dazugehörigen CovPass-App oder der Corona-Warn-App entsteht der digitale Impfpass. Hurra!? Im Gegenteil: Das ist kein Grund zum Feiern. Ein Kommentar.

Ist der Impfpass nur noch Altpapier?

Politiker können einem schon ein bisschen leidtun. Da wird man ins Parlament gewählt, man kann endlich mal den ganzen Tag lang quatschen – und dann kommt da so ein Virus und verlangt doch ausgerechnet nach einem Plan. Schade, denn mit Ausnahme von Blamagen und einer Aneinanderreihung von Lockdowns hat die Politik hierzulande nicht viel vorzuweisen. Wir sind noch immer mittendrin im Impfchaos, das Termin-Geschacher erinnert an den Ablasshandel. Während Millionen auf ihre Impfung warten, dürfen sich bereits Geimpfte auf ein weiteres Durcheinander freuen: Der digitale Impfpass macht ab heute die Runde.

Wer den klassischen Impfausweis in einer ausgewählten Apotheke (Suche unter mein-apothekenmanager.de) vorzeigt, erhält ein Zertifikat in Papierform mit QR-Code. Dieses kann er unabhängig nutzen, in Verbindung mit der vom Robert-Koch-Institut und IBM entwickelten CovPass-App oder der um eine neue Funktion erweiterten Corona-Warn-App ergibt sich jedoch die moderne Version eines Impfpasses. Der jahrzehntealte gelbe Papierfetzen bleibt weiterhin gültig und kann ebenso benutzt werden. Der digitale Impfausweis zeigt auch negative Tests und die Eigenschaft als Genesener an. Krank, gesund, infiziert? Die Antwort ist nur einen Klick entfernt.

Jetzt will ich es aber allgemein wissen

Noch bis zum 30. Juni 2021 haben die EU-Mitgliedsstaaten Zeit, um eigene nationale Apps zu entwickeln, die in der Lage sind, die Zertifikate zu prüfen und sicher abzulegen. Ab dem 01. Juli geht dann die elektronische Plattform für die europaweite Überprüfung von Impfzertifikaten an den Start. Diese hat die Europäische Kommission per Verordnung vom 20. Mai 2021 geregelt.

Nur noch wenige Tage, dann können mithilfe des digitalen Impfpasses Einreiseverbote und Quarantänepflichten bei Reisen innerhalb des Schengenraums umgangen werden. Der Grenzbeamte scannt den QR-Code einfach mit seiner Validier-App und schon kann es losgehen. Der Kontrolleur erfasst folgende personenbezogenen Daten:

  • Name
  • Geburtsdatum
  • Datum der Impfungen
  • Welcher Impfstoff (inkl. Chargennummer) bzw. Datum und Art des Tests bzw. Genesenenstatus
  • Der Aussteller des Zertifikats

Für Datenschutz sorgt die Public-Key-Infrastruktur, einem auf den ersten Blick wilden, aber doch durchdachten Zusammenspiel von öffentlichen und privaten Schlüsseln.

Es ist nicht alles Gold, was digital glänzt

Also ich persönlich bin ja eher der skeptische Typ. Egal, was kommt – ich glaube erst mal nichts, mache mir lieber selbst ein Bild davon.

Wenn ich sehe und höre, wie sich Nachrichten und Politik gegenseitig für den neuesten Einfall lobend auf die Schulter klopfen, klingeln bei mir die Alarmglocken. Ich hänge keine Verschwörungstheorien nach. Ich spreche aus Erfahrung. Wenn digitale Lösungen in aller Eile aus dem Boden gestampft werden, ist irgendwo irgendwas nicht ganz koscher. Klar, denn wo gehobelt wird, fallen Späne. Nein danke, ein Spahn reicht mir.

Den Datenschatz schützen

Ob jemand gegen Corona geimpft ist, ist ein besonders sensibles Gesundheitsdatum gemäß Art. 9 Abs. 1 DSGVO. Nicht jeder darf Impfdaten anderer einsehen, erst recht nicht ohne Rechtsgrundlage. Würde irgendwo zentral erfasst, wer geimpft ist und wer nicht, wäre dieser Datensatz heiß begehrt: Versicherungen könnten ihre Beiträge erhöhen, Arbeitgeber von einer Beschäftigung absehen, Kritiker könnten angegriffen, gar mundtot gemacht werden.

Gute Gründe, um den Datenschutz miteinzubinden, oder? Zumindest der Europäische Datenschutzausschuss hat sich bereits im Frühjahr zum Vorhaben geäußert. Für die nationale App (CovPass, Einbindung in Corona-Warn-App) hätte man den Bundesdatenschutzbeauftragten, Herrn Ulrich Kelber, auch konsultieren müssen – das hat man sich allerdings bis zum Schluss aufgehoben. Klar, denn so kann man etwaige Verzögerungen auf den Datenschutz schieben.

Aus datenschutzrechtlicher Sicht positiv ist, dass die Gesundheitsdaten nicht in einer zentralen Datenbank, sondern ausschließlich lokal gespeichert sein sollen. Dank der individuellen Kennung im Zertifikat (Unique Identifier) sei aber letztlich jeder identifizierbar. Da die Verifikation zwischen Kontroll-App und Server mit den hinterlegten öffentlichen Schlüsseln offline stattfinde, könnten keine Bewegungsprofile erstellt werden. Zudem erfolge der Abgleich regelmäßig über das EU-Gateway, das die Europäische Kommission betreibe (und nicht die Entwickler SAP und Telekom). So weit, so gut? Herr Kelber ist optimistisch:

„Ein gut gemachter digitaler Impfnachweis ist auch aus Datenschutzsicht besser als jeder analoge Nachweis.“

Da in einen Papier-Impfausweis noch sämtliche anderen Impfungen erfasst werden, ist die digitale auf Corona beschränkte Version durchaus datensparsamer. Trotzdem: Herrn Kelbers Optimismus teile ich nicht. Das hat weniger mit meinem üblichen Dauer-Pessimismus zu tun, als mit vernünftigen (nicht-datenschutzrechtlichen) Sorgen.

Digitale Infrastruktur fußt auf Apple und Google

Krank oder nicht krank? Sagt dir vielleicht bald eine App. Sehr schön, denn dann kann man sich den Schritt, seine Symptome zu Googlen, gleich sparen und muss keine Angst vor dem unweigerlichen Tod/Krebs haben, den die gefundenen Suchergebnisse prophezeien. Spaß beiseite: Wollen wir unser Gesundheitssystem tatsächlich langsam auf Apps umstellen, bis es kein Zurück mehr gibt und Google (Android) und Apple (iOS) bestimmen, wo es langgeht?

Die elektronische Patientenakte ist ja schon länger ein Thema. Der digitale Impfpass könnte nur der Anfang sein, (private) Gesundheits-Apps erobern mittlerweile App und Play Store. Was hat es für Folgen, wenn klassische Strukturen künftig ggf. komplett auf Apps umgelegt werden? Meine Bedenken teilt auch Dr. Seda Gürses, die Mitentwicklerin des Protokolls DP3T, das auch hinter der Corona-Warn-App steckt:

„Sollten wir unsere öffentlichen Gesundheitseinrichtungen von unseren Mobiltelefonen abhängig machen, einer Infrastruktur, die von Google und Apple dominiert wird?“

Für Ralf Bendrath (Fraktionsreferent der Grünen/EFA im Europäischen Parlament für den Ausschuss „Bürgerliche Freiheiten, Justiz und Inneres“) besteht dagegen kein Grund zur Sorge. Eine neue dauerhafte digitale Infrastruktur drohe nicht, da die EU-Verordnung nach einem Jahr automatisch ende. Wer sagt Herrn Bendrath nun, dass in einem Jahr neue Verordnungen mit ähnlichem Inhalt geschlossen werden könnten? Staatliche digitale Infrastrukturen sind hierzulande nicht unbekannt: Microsoft Windows findet sich in jeder Behörde. Würde dieses nun abgeschaltet oder verboten, ist das Chaos vorprogrammiert. Bhutans staatliche Infrastruktur basiert heute schon auf Google Workplace. Microsoft, Google, Apple – die neuen Götter auf dem Digital-Olymp.

Unnötiges Chaos

In der Corona- und Impfpolitik geht es drunter und drüber. Kein Wunder: Mit Ausnahme von Steuerregelungen scheint unsere Regierung vieles nicht so wirklich hinzubekommen. Der digitale Impfpass wird sich daher früher oder später in das peinliche Krisenmanagement einreihen.

So steht der Vorwurf im Raum, der digitale Impfausweis komme viel zu spät, mittlerweile gebe es einen Flickenteppich anderer Lösungen (z.B. seit Mitte Mai durch die Kassenärztliche Vereinigung Thüringen oder auch bereits seit Januar in der bayerischen Gemeinde Altötting). Zudem erreiche das Zertifikat vermutlich erst dann eine große Verbreitung, wenn ein Großteil bereits geimpft sei – wenn dann keine Ansteckungsgefahr mehr besteht, wieso muss man sich dann ausweisen? Wie lange ist so ein Zertifikat überhaupt gültig? Nach den Empfehlungen des RKI wohl nur sechs Monate.

Es kommt noch dicker: All die schon und bald Geimpften müssen erst noch an ihr Zertifikat kommen. Wer sich in einem Impfzentrum impfen hat lassen, bekommt wohl demnächst Post. Vorausgesetzt natürlich, das Impfzentrum hat die Geimpften korrekt erfasst (was nicht immer der Fall war) und ist noch nicht aufgelöst worden (ab Ende Juni ist das bei einigen der Fall). Nun werden Apotheken und Hausärzte eingespannt. Der Bundesvorsitzende des Deutschen Hausärzteverbandes, Ulrich Weigeldt, ist davon wenig begeistert:

„Jeglicher zusätzliche Aufwand ist definitiv zu viel. Daher kann man unseren Praxen auch nicht zumuten, dass wir zusätzlich noch die nachträgliche Erfassung der Impfungen übernehmen. Wir sind Hausärzte und nicht das Passamt.“

Im Übrigen lässt sich das Zertifikat nicht einfach so herzaubern. Vielmehr bräuchten die Ärzte und Impfzentren Zugang zu einer Software, in der ein kryptografischer Schlüssel hinterlegt ist. Mithilfe dieses Schlüssels ist dann das Zertifikat zu signieren. Kein Unbefugter darf Zugriff auf den privaten Schlüssel haben – diesen müssen die ausstellenden Institutionen sicher aufbewahren. Angesichts der Skandale um öffentlich gewordene Schnelltestdaten dürften die Daten nicht überall sicher sein.

Gar nicht mal so fälschungssicher

Ein Hauptargument für die Dringlichkeit des digitalen Impfpasses ist die Fälschungssicherheit. Ganz ehrlich, hat auch nur irgendeiner der Verantwortlichen jemals was von Screenshots gehört? Mag sein, dass beim Grenzübertritt genauer drauf geguckt wird. Sollte das System aber beim Restaurant nebenan oder dem Kleinstadt-Kino eingesetzt werden, dürfte es häufig nur beim kurzen Blick auf den QR-Code bleiben. Und von diesem kann man sich irgendwo einen Screenshot ziehen.

Außerdem ist der normale Impfausweis weiterhin gültig – wer betrügen möchte, verwendet dann halt einfach den. Auch wenn ich Apothekerinnen und Apotheker für geschult im Umgang mit der Rezeptprüfung halte, dürfte dem ein oder anderen bei der Zertifikatsausstellung eine gut gemachte Fälschung des gelben Impfheftchens durch die Lappen gehen.

Wenn Grundrechte keine GRUNDrechte mehr sind

Wer darf den QR-Code denn überhaupt prüfen? Darüber scheint man sich noch nicht so recht im Klaren zu sein. Polizei, Grenzschutz, bei Reisen, okay. Aber was ist mit Gastronomie, Theater, bei Demos oder dem Arbeitgeber? Muss man sich als Ungeimpfter Sorgen machen, seine Grundrechte gar nicht mehr wahrnehmen zu dürfen?

Laut Herrn Bendrath müsse man sich davor nicht fürchten:

„Es gibt dafür keine Rechtsgrundlage, und nach Art. 9 der Datenschutz-Grundverordnung dürfen sensible Daten wie diese nicht einfach so verarbeitet werden.“

Ach ja, wer kennt das nicht. Alles was in der DSGVO steht, wird immer und von jedem hundertprozentig eingehalten. Aktuell ist es wohl so, dass aus technischer Sicht nur Transportunternehmen auf die Daten zugreifen können. Doch das lässt sich bestimmt schnell ändern, wenn man möchte (spätestens dann, wenn die nächste Welle kommt und Panik verbreitet). Die Schweiz plant bereits, das Zertifikat auch in Clubs, Diskotheken und bei großen Events zur Einlasskontrolle einzusetzen. Die Schweiz ist sicher kein Datenschutz-Grundrechts-Unrechtsstaat. Wenn das dort möglich ist, dann irgendwann auch mal bei uns.

Apropos Einlasskontrolle bei Events: Der Ticketdienstleister CTS-Eventim forderte im Februar, dass es möglich sein solle, die Buchung von Konzert- und Veranstaltungstickets nur noch Geimpften zu erlauben. Und jetzt raten Sie mal, wer für die Impf-Terminvergabe in Schleswig-Holstein zuständig ist. Solange manche Unternehmen von der Corona-Angst profitieren, wird es welche geben, die in Sachen Corona-/Impf-Überwachung voranschreiten.

Schöne neue Welt

All die seit Jahrhunderten betriebene Aufklärung und Bildung haben nichts geändert: Wir Menschen funktionieren nach denselben steinzeitlichen Mustern, wir sind Marionetten. Macht man uns Angst, reagieren wir vorhersehbar. Wir ordnen uns dem Leviathan unter, der uns vor Krankheit, vor Leid und Tod beschützen soll. Und wenn dieser Leviathan im Gegenzug für Impfung und Schutz die Etablierung von Überwachungsstrukturen verlangt, dann nehmen wir das Angebot panisch an.

Schon jetzt gewöhnen wir uns an die Einschränkungen: Während zu Beginn der Pandemie noch über Kontaktlisten diskutiert wurde, kräht da heute kein Hahn mehr danach. Stück für Stück wird Überwachung zur Normalität. Lauterbauch, Drosten, Wieler und Merkel: Sprecht – wir folgen.

Laut Marcel Salathé, Professor für Epidemiologie an der EPFL Lausanne und Leiter des dortigen Digital Epidemiology Lab, sei darauf zu achten, wo eine Tür für potenziell dystopische Systeme geöffnet werde. Einmal eingeführt, entwickeln viele Strukturen ein Eigenleben. Vieles wird gar nicht zurückgenommen, manches nur zum Teil. Dass die befristete EU-Verordnung nur vorübergehend für Überwachung sorgt, ist in etwa so glaubhaft, wie der zweiwöchige Wellenbrecher-Lockdown.


Dieser Beitrag ist ein Kommentar und spiegelt daher die persönliche Meinung der Autorin / des Autors wieder. Diese muss nicht mit der Meinung des Herausgebers oder seiner Mitarbeitenden übereinstimmen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz im Gesundheitswesen

14 Kommentare zu diesem Beitrag

  1. Liebe Frau Pettinger,
    wieder einmal den Finger genau darauf gelegt, wo’s weh tut. Dieser schleichende Prozess wird von vielen gar nicht mehr wahrgenommen….danke!

  2. vieles von dem was Anfang 2020 noch als Verschwörungstheorie abgetan wurde ist inzwischen Realität. Da kann einem manchmal Angst und Bange werden, was wohl noch alles auf uns zukommt.
    Btw. der QR Code aus der Apotheke soll wohl 18€ kosten!! – Apothekenpreis halt :-)

  3. Polemik statt Sachkunde. Nur so kann man diesen grotesken Kommentar zusammenfassen. Schade für diesen sonst sachorientierten Blog. Ich bin schwer enttäuscht!

    Denn das eigentliche Risiko des digitalen Zertifikates wird gar nicht beleuchtet: das massenhafte elektronische Verarbeiten von Gesundheitsdaten. Das Datenschutz-Argument, dass weniger Daten im digitalen Zertifikat stehen als im WHO Impfausweis ist nur scheinbar richtig. Denn der Vergleich hinkt gewaltig. Der WHO Ausweis hat keine massenhafte Datenverarbeitung zur Folge, weil er nicht digital verarbeitet werden kann. Er ist damit dem Zertifikat datenschutztechnisch überlegen.
    Und die vermeintliche Fälschungssicherheit bietet keinen Vorteil, wenn gefälschte WHO Pässe und Signaturschlüssel bei Hinz und Kunz (Apotheker, Ärtzte, Impfzentren, …) im Umlauf sind.

    Ich bleibe da lieber analog und lasse mich auch nicht von grotesker Polemik leiten, sondern von Fakten!

    • Nun, aus meiner Sicht wird sehr wohl deutlich, dass die zunehmende Verarbeitung von Gesundheitsdaten aus Grundrechtssicht höchst kritisch zu bewerten ist. Allerdings wird in diesem Kommentar das Grundproblem lediglich impliziert: Die Sichtweise, dass Gesundheitsdaten (auch) als Wirtschaftsgut betracht werden (nicht notwendigerweise meine Meinung). Dies ist das eigentliche Spannungsfeld, um das es geht.

    • Es ist schade, dass Sie das so sehen. Bereits zu Beginn des Artikels wird darauf hingewiesen, dass es sich um einen Kommentar handelt. Kommentare geben die Meinung des Autors bzw. der Autorin wieder. Ein sachlicher Artikel war daher sowieso nicht bezweckt (und nicht versprochen worden).

      Wenn Sie sich meine weiteren Artikel durchlesen, wird Ihnen auffallen, dass ich immer so schreibe. Das ist meine Art, das macht mir Spaß. Natürlich polarisiert diese Schreibweise. Aber das ist gut so: Nichts ist schlimmer als Eintönigkeit. Auf diesem Blog begrüßen wir verschiedene Meinungen, genauso wie wir verschiedene Schreibstile akzeptieren. Wie Sie anhand anderer Kommentare sehen können, gibt es auch Fans dieses Schreibstils. Was grotesk ist, liegt damit im Auge des Betrachters bzw. Lesers.

      Nun zu Ihren Argumenten:

      Dass massenhaft Gesundheitsdaten verarbeitet werden, wird im Artikel nicht mehr extra erwähnt, weil das klar sein dürfte, denn:
      – Ich habe erwähnt, dass es sich um Gesundheitsdaten handelt.
      – Und ich habe ausgeführt, dass man ggf. bald überall seinen digitalen Impfausweis vorzeigen muss (Restaurant, Kino, beim Einkaufen etc.).

      Je mehr man Gesundheitsdaten zur Verarbeitung preisgeben muss, desto häufiger findet die Verarbeitung statt, mitunter wird sie massenhaft. Das heißt, eine gesonderte Erwähnung war nicht nötig. Unter Juristen heißt es: Ein Blick in das Gesetz erleichtert die Rechtsfindung. Analog würde also hier gelten: Ein Blick in den Artikel beseitigt Fragezeichen.

      Sie geben zudem an, der Datenschutz bei dem Papier-Impfausweis sei datenschutzrechtlich besser, weil keine massenhafte Datenverarbeitung entstünde mangels digitaler Verarbeitung.
      Ich verstehe den Hintergedanken, der Gedankengang ist aber trotzdem nicht ganz richtig:
      Wenn man den Papier-Impfausweis überall vorzeigen muss, ggf. noch darin geblättert wird, dann findet hier auch eine massenhafte Datenverarbeitung statt, und zwar nicht nur von Covid19-Impfungen, sondern auch zu anderen Impfungen.
      Die Digitalisierung des Impfausweises führt nicht automatisch zu einer massenhafteren Verarbeitung. Wie wägt man ab, was massenhafter ist? Mir erscheint beides wie Sodom und Gomorra, wenn der Datenschutz nicht eingehalten wird.

      Im Übrigen verweise ich auf das Interview mit Herrn Kelber im Handelsblatt. Auch Herr Kelber sieht grds. eine größere Datensparsamkeit:

      „Übrigens ist eine digitale Lösung mit nur den notwendigen Daten datenschutzfreundlicher als ein Papier-Impfpass, in dem noch viele andere Daten drinstehen.“

      Bezüglich der (fehlenden) Fälschungssicherheit gebe ich Ihnen recht. Wie Sie meinem Artikel entnehmen können, bezweifele ich die Fälschungssicherheit.

      Schön, dass Sie analog bleiben. Ich stufe den digitalen Nachweis ebenfalls nicht als das Gelbe vom Ei ein. Ich denke, das wird aus dem Artikel mehr als deutlich.

      Die Fakten habe ich geschildert und verlinkt. Dass ich diese nicht staubtrocken präsentiere, hängt damit zusammen, dass ich das 1. selbst nicht lesen würde wollen und 2. damit, dass nicht jeder, der unseren Blog liest, Jurist/DSB ist. Sie stimmen mir sicherlich zu, dass mehr Menschen über die Gefahren des digitalen Impfnachweises informiert werden müssen – wie funktioniert das wohl am besten? Mit meganeutralen, wissenschaftlichen Fachartikeln oder mit einem hin und wieder überspitzt und humorvoll formulierten Kommentar?

  4. Ich mag Ihre Art des Schreibens, liest es sich doch viel flüssiger! Ob Daten auf meinem Smartphone oder Tablet sich befinden oder im gelben Impfpass, beides kann verloren gehen und dann? Ich finde es unmöglich, dass ich überall nachweisen soll, ob ich geimpft bin oder einen negativen Corona-Test habe. Wen geht das eigentlich etwas an? Musst ich auch nachweisen, ob ich HIV-Positiv bin oder Masern habe? Wo sind wir nur hingeraten, dass überall Nachweise vorgelegt werden müssen. Wie kann es nur sein, dass so viele Menschen in Angst versetzt werden und Grundrechte verletzt werden?
    Warum geht man nicht ernsthaft nach dem Verursacherprinzip um daraus zu lernen?
    Bis heute weiß niemand, woher das Virus gekommen ist! Selbst Herr Drosten, man soll es nicht glauben, weiß es auch nicht. Er vermutet, dass es eine Übertragung von den Tieren gibt. „Oft sind das Nutztiere, die in großen Beständen zusammen­gepfercht sind, in denen das Virus hochkochen kann. Mit diesen Tieren interagiert der Mensch anders als mit entfernten Wild­tieren wie Fledermäusen. Nehmen Sie Felltiere. Marder­hunden und Schleich­katzen wird lebendig das Fell über die Ohren gezogen. Die stoßen Todes­schreie aus und brüllen, und dabei kommen Aerosole zustande. Dabei kann sich dann der Mensch mit dem Virus anstecken. Diese Tiere waren bei Sars-1 eindeutig die Quelle. Das ist wissenschaftlich belegt. Für mich war das eine abgeschlossene Geschichte. Ich dachte, dass diese Art von Tier­handel unterbunden worden sei und dass das nie wieder kommen würde. Und jetzt ist Sars zurückgekommen.“ de.euronews.com/2021/06/06/drosten-zu-ursprung-von-sars-cov-2-pelztierzucht-am-plausibelsten

    Würden wir uns doch viel mehr darüber aufregen, wie mit den Tieren umgegangen wird. Wird das eigentliche Übel nicht beseitigt, wird es niemals ein Ende geben. Aber kümmert es uns? So erfassen wir einfach weiter Daten von Menschen, verstoßen gegen Grundrechte, vermummen uns. Das Übel aber bleibt. Und die Gesundheitswirtschaft boomt.

    • Vielen Dank, es freut mich, dass Ihnen meine Art zu Schreiben gefällt. Ihre Gedanken kann ich gut nachvollziehen. Wir nehmen gerade einen Wandel wahr: Wir müssen mittlerweile nachweisen, dass wir gesund/geimpft sind, um bestimmte Rechte ausüben zu können. Solange dies notwendig und verhältnismäßig ist, ok. Aber wenn sich das mehr und mehr etabliert, wird es früher oder später kein Zurück mehr geben, dann sind das feste Strukturen. So wie wir heute noch Schaumweinsteuer zahlen, die für die Finanzierung der kaiserlichen Kriegsflotte eingeführt wurde, oder so wie die Terrorangst nach 9/11 in den USA für sämtliche Anti-Terror-Maßnahmen herhalten muss: Ist das System erst einmal etabliert, ist es kaum mehr wegzukriegen.

      Das Problem ist, dass die Politik häufig nur reagiert, nicht aktiv gestaltet. Neue Themen werden nicht angesprochen, weil man ja in kein Fettnäpfchen treten will. Die eigene Beliebtheit (und das Behalten des Mandats) sind wichtiger. Wir Menschen ducken uns nun einmal gerne weg – irgendeiner wird es schon richten.

  5. Eigentlich lese ich Ihre Kommentare immer gerne. Dieser hier hat mir doch zuviel Pathos. Ich hätte mir eine unaufgeregtere Auseinandersetzung mit dem Thema gewünscht. Mir ist auch nicht klar, was Ihrer Meinung nach, stattdessen passieren sollte. Glaubt denn irgendwer es könnte eine perfekte Lösung für eine unperfekte Situation (Pandemie) geben. Einfach alle Leute mit einem Zettel oder wahlweise gelben Papierheftchen loszuschicken, scheint mir eigentlich auch keine vernünftige Alternative zu sein. Schon gar keine, die ins 21. Jahrhundert gehört. Digitale Lösungen sind die Wege der Zukunft. Da Deutschland, in der Hinsicht, leider noch in den „Kinderschuhen“ steckt, wird man sicher noch über die ein oder andere „digitale Kinderkrankheit“ zu diskutieren haben, denn nicht alles wird auf Anhieb richtig laufen. Datenschützer sollten dafür konstruktive Wegbereiter bzw. Wegbegleiter sein. Wir sollten nicht das sein, was uns von vielen Seiten unterstellt wird – die Bremsklötze!

    • Ich mache das Problem an einem Beispiel fest, denn die Tür schwingt nach beiden Steiten. Der BfDi hat 2020 folgende Stellungnahme (zu finden hier: Datenschutz in der Corona-Pandemie: Das 3. Bevölkerungsschutzgesetz) verfasst:

      Am 14. Oktober 2020 legte das Bundesministerium für Gesundheit (BMG) abends einen ersten Entwurf der Formulierungshilfe für ein Drittes Pandemieschutzgesetz zur Ressortbeteiligung vor mit einer Frist zur Stellungnahme bis zum 16. Oktober 2020. Eine veränderte und teilweise ergänzte Version wurde am 23. Oktober 2020 morgens mit Frist zur Stellungnahme bis zum gleichen Tag, 18.00 Uhr übersandt. Diese extrem kurzen Fristen erschweren eine sachgerechte Bearbeitung erheblich und erscheinen zu einem Zeitpunkt, zu dem die Pandemie-Lage seit mehr als sieben Monaten besteht, nicht angemessen.

      Konstruktive Kooperation sieht anders aus.

    • Danke für Ihren konstruktiven Beitrag. Ich kann nachvollziehen, dass sich der ein oder andere eine unaufgeregtere Herangehensweise an das Thema wünscht. Ich sehe es so: Zum Thema digitaler Impfnachweis gibt es unzählige Artikel online – doch nur einen wie den meinen. Das soll jetzt nicht arrogant klingen, ich möchte nur darauf hinweisen, dass man sehr viele Artikel zum Thema lesen kann, die sachlicher sind. Wenn man dann doch ein bisschen Lust auf Meinung hat, kann man ja zu meinem greifen.

      Eine perfekte Lösung für diese Pandemie gibt es nicht, da haben Sie recht. Ich sitze leider nicht am Steuer, sodass ich wenig bis nichts dazu beitragen kann, den Maßnahmen-Wagen an der Wand vorbei zu fahren. Ihren Wunsch nach konstruktiven Lösungen verstehe ich. Okay, sehen wir uns mal an, was sonst so in Betracht gekommen wäre:
      Wieso muss es per App gehen? Ja, wir leben immer digitaler. Aber eben nicht alle (z.B. viele Senioren). Wenn ich meinem Großonkel was von Internet, App und Smartphone erzähle, fällt dem vor Schreck die Fernbedienung mit den auswendig gelernten Tasten aus der Hand. Das ist kein Vorwurf, selbst ich komme bei vielen Dingen nicht mehr mit, die Teenager heutzutage verwenden (und ich bin wahrlich nicht alt).

      Skepsis gegenüber digitalen Lösungen heißt nicht, dass wir uns alle auf das gelbe Impfheftchen stürzen müssen. Wir haben doch auch eine Krankenversicherungskarte. Kann das nicht vielleicht dort irgendwo hinterlegt werden? So könnte der Zugriff auf berechtigte Personen (Grenzbeamte) beschränkt werden. Natürlich müsste es technisch geregelt werden, dass diese ausschließlich die Covid19-Impfdaten sehen.

      Wenn schon per App: Warum nicht nur die Corona-Warn-App? Da gibt man einen Haufen Geld für diese App aus, um dann auf die schnelle eine weitere zu entwickeln? Der Gedanke dahinter scheint weniger ein datenschutzrechtlicher bzw. lösungsorientierter zu sein, als ein Marketing-Gedanke: Wer die Corona-Warn-App noch nicht hat, dürfte sie wahrscheinlich auch gar nicht mehr runterladen wollen. Kein Wunder, die ganze Diskussion um die Corona-Warn-App hat viele einfach nur genervt. Also musste wohl eine weitere App her, die vielleicht bald einen besseren Ruf genießt.

      Ich bin mir sicher, es gäbe noch weitere Lösungsmöglichkeiten. Nur müssen diese finanzierbar sein, von anderen EU-Staaten unterstützt werden und Akzeptanz in der Bevölkerung finden. Die Verantwortlichen wissen, auch der Datenschutz muss noch drüber gucken und schnell gehen soll es auch. Mir ist schon klar, dass meine Kommentare da nicht so wirklich hilfreich sind. Ich bin aber auch schlicht und ergreifend nicht in der Position, da auszuhelfen. Zudem habe ich mich nicht für ein politisches Amt aufstellen lassen – das haben sich die Politiker also irgendwo auch ein bisschen selbst eingebrockt. Jetzt müssen sie die Suppe halt auslöffeln.

  6. Liebe Frau Pettinger,

    DANKE für diesen sensationellen Kommentar. Toller Artikel, der eine klare Haltung und eine enorme Intelligenz der Autorin widerspiegelt. Alles Gute und LG. FS

  7. Super Beitrag! Wie Sie auch von einem Schnellschuss sprechen, sehe ich jetzt das Ausstellen der Impfnachweise in den Apotheken.

    So wie ich das mitbekommen und auch in der Apotheke erfragt habe, ist es den Apothekern wichtiger sich die Aufklärung über die strafrechtliche Folgen bei Fälschung unterschreiben zu lassen, anstatt sich von der Schweigepflicht für die Übermittlung der Daten über ein Portal des Apothekenverbunds an das RKI entbinden zu lassen.

    Eher gehen die Apotheken davon aus, dass alle Kunden sich selbst umfassend informiert haben, und man entbinde sie stillschweigend, wenn man per se einen Impfausweis vorlegt.

    Es gibt keine Datenschutzhinweise- oder Informationen vorab. Nach Ansicht der einen Apotheke hier vor Ort reicht ein Dreizeiler in der apothekeninternen Datenschutzinformation. Ich frage mich wie da die ganzen Dienstleistungsunternehmen oder die Rechte der Betroffenen Erwähnung finden – nach dem Motto: Wer nicht fragt, bleibt dumm!

    Ein Freund brachte letztens ein ganzes Heft mit Datenschutzinfos aus dem Impfzentrum mit und da wurden die Daten „nur“ pseudonymisiert an das RKI übertragen. Aber anscheinend ist es legitim die Übertragen von solchen sensiblen Daten zu verschweigen, um den Informationspflichten nicht nachkommen zu müssen und somit Aufwand zu sparen – ich kann es irgendwie nicht verstehen, dass sich die Apotheken auf so etwas einlassen konnten. Oder wurden die selbst auch falsch informiert?

    Echt eine Schande, wie sich einige Apotheken das Vertrauen verspielen – aber zum Glück machen da viele (noch) nicht mit.

    • Vielen Dank. Interessante Fragestellung, die Sie da aufwerfen. Ich muss zugeben, daran hatte ich noch gar nicht gedacht. Ich habe mich mal auf die Suche gemacht, ob zu der Thematik online irgendwas aufzufinden ist. Tatsächlich muss man da ganz schön suchen, aber es steht dazu was im Gesetz (§ 22 Abs. 5 S. 3, 4 IfSG):

      „Zur Erstellung des COVID-19-Impfzertifikats übermittelt die zur Bescheinigung der Schutzimpfung gegen das Coronavirus SARS-CoV-2 verpflichtete Person die in Absatz 2 Satz 1 und Absatz 4 genannten personenbezogenen Daten an das Robert Koch-Institut, das das COVID-19-Impfzertifikat technisch generiert. Das Robert Koch-Institut ist befugt, die zur Erstellung und Bescheinigung des COVID-19-Impfzertifikats erforderlichen personenbezogenen Daten zu verarbeiten.“

      Übermittelt werden gemäß Abs. 2 S. 1 und Abs. 4 folgende Daten:

      – Datum der Schutzimpfung,
      – Bezeichnung und Chargenbezeichnung des Impfstoffes,
      – Name der Krankheit, gegen die geimpft wurde,
      – Name der geimpften Person, deren Geburtsdatum und Name und Anschrift der für die Durchführung der Schutzimpfung verantwortlichen Person sowie
      – Bestätigung in Schriftform oder in elektronischer Form mit einer qualifizierten elektronischen Signatur oder einem qualifizierten elektronischen Siegel durch die für die Durchführung der Schutzimpfung verantwortliche Person.
      – Absatz 4 sagt folgendes: In der Impfdokumentation ist über notwendige Folge- und Auffrischimpfungen mit Terminvorschlägen zu informieren, so dass die geimpfte Person diese rechtzeitig wahrnehmen kann.

      § 22 Abs. 5 S. 3 IfSG ist die Spezialnorm, die die Datenübermittlung an das RKI ermöglicht (Art. 6 Abs. 1 S. 1 lit. c DSGVO). Es besteht damit eine Rechtsgrundlage für die Datenübermittlung.

      Sofern das RKI nicht bereits vorher wusste, wer genau geimpft ist – was ich nicht beurteilen kann – weiß das RKI das dann spätestens nach Vornahme der Datenübermittlung. Wer sich kein digitales Impfzertifikat hat ausstellen lassen, könnte aber dennoch geimpft sein (und halt nur das gelbe Heftchen verwenden).

      Ganz nachvollziehen kann ich es nicht, wieso § 22 Abs. 5 S. 3 IfSG auf Abs. 4 Bezug nimmt. Wieso wird die Info über die Info, dass Folge- und Auffrischimpfungen stattfinden müssen, inklusive Terminvorschläge mitübertragen? Soll nur dokumentiert werden, dass die Info erfolgt ist? Möglich, aber wieso fehlt dann die Bezugnahme auf Abs. 3 fehlt (dort steht drin, worüber der Betroffene informiert werden muss, z.B. Impfreaktionen)? Will das RKI wissen, wann der Geimpfte wieder geimpft werden müsste? Weiß es das nicht sowieso? Was bringt die Info dann? Behält sich das RKI vor, den Betroffenen zu informieren? Wie? Keine Ahnung. Oder möchte das RKI sich nur absichern, dass tatsächlich schon Terminvorschläge gemacht wurden? Was hat das RKI davon? Fragen über Fragen (was mich nicht wundert, das IfSG wirft mehr Fragen auf, als es beantwortet).

      Schön auch, dass das RKI folgendes sagt:

      „Bei Erstellung des Corona-Impfzertifikats werden Ihre Daten einmalig durch die Impfstelle erhoben und zur Signierung an das RKI übermittelt. Die Daten werden dort sofort wieder gelöscht. Wenn Sie das Corona-Impfzertifikat in der App hinzufügen, werden Ihre persönlichen Daten nur lokal auf Ihrem Smartphone gespeichert.“

      Wie bereits festgestellt: Die Übermittlung der Daten nach § 22 Abs. 2 S. 1 IfSG ist ja irgendwo nachvollziehbar. Aber Abs. 4?

      Nun müssen die zertifikatsausstellenden Unternehmen (z.B. Apotheken) über diese Datenübermittlung informieren, Art. 13 DSGVO. Ein Hinweis in der Datenschutzerklärung ist sinnvoll, allerdings: Wer liest sich die durch, wenn er sich auf den Weg zur Apotheke macht. Steht die irgendwo online? Gibt es die überhaupt? Sagt die Apotheke gegenüber dem Betroffenen, dass man sich vor Zertifikatsausstellung was durchlesen kann? Ich vermute nicht. Nur weil etwas gesetzlich angeordnet ist, heißt das nicht, dass man darüber nicht informieren müsste.

      Ein Schweigepflichtproblem sehe ich hier weniger. In § 203 Abs. 1 StGB heißt es, dass nur die unbefugte Offenbarung strafbar ist. Dadurch, dass die Offenbarung an das RKI gesetzlich angeordnet wird (§ 22 Abs. 5 S. 3 IfSG) dürfte die Offenbarung gerade nicht unbefugt sein.

      Wie Sie bin ich jedoch insgesamt skeptisch: Kaum jemand dürfte von der Datenübermittlung an das RKI wissen bzw. selbst wenn, die Folgen einschätzen können. Ich frage mich auch, wieso bei sowas eigentlich ständig das RKI eingebunden werden muss. Einerseits wird ständig betont, dass es keine zentrale Datenbank (z.B. auf EU-Ebene gebe), andererseits wird die Datenübermittlung an das RKI nicht gerade breit diskutiert. Dem RKI kann man nun glauben. Oder nicht.

  8. Fr. Pettinger, wieder ein sehr interessanter Beitrag von Ihnen, vielen herzlichen Dank! Ihr Schreibstil ist bereichernd!

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.