EU-DatenschutzbeauftragteImpfnachweis darf nicht in zentraler EU-Datenbank landen

Die EU möchte einen europaweit einheitlichen Nachweis für Impfung, Immunität und Tests per QR-Code schaffen. Doch das neue System dürfe keine Super-Datenbanken schaffen und die Daten müssten nach dem Ende der Pandemie gelöscht werden, fordern EU-Datenschützer:innen.

Corona-Impfung
Ein Pieks und ein Eintrag: Die EU möchte Corona-Impfungen europaweit per QR-Code nachweisbar machen. – Alle Rechte vorbehalten European Union, 2021

Die EU plant einen europaweit einheitlichen Standard für Impfungs- und Immunitätsnachweise. Mit diesen sollen Menschen einfach per QR-Code nachweisen können, dass sie gegen das Coronavirus geimpft, immun oder frisch getestet sind. Dieses neue System dürfte allerdings nicht als Anlass dienen, um eine EU-weite Zentraldatenbank mit Gesundheitsdaten von Millionen Menschen zu schaffen, das erklärten am heutigen Dienstag die EU-Datenschutzbehörden in einer gemeinsamen Stellungnahme.

Seit Ausbruch der Covid-19-Pandemie müssen Reisende in Europa an zahlreichen Grenzen nachweisen, dass sie getestet sind. Bislang gibt es dafür keine einheitlichen Standards, immer häufiger gibt es Berichte über gefälschte Testergebnisse. Durch die laufende Impfkampagne soll Reisen innerhalb Europas leichter werden, doch auch bisherige Impfpässe in Papierform wären fälschbar, fürchtet die EU-Kommission.

Die EU-Behörde schlägt darum ein europaweit gültiges „digitales grünes Zertifikat“ vor, das Reisen innerhalb von Europa und darüber hinaus erleichtern soll. Die technische Lösung für die Herstellung der Nachweise soll jedes EU-Land selbst entwickeln, Deutschland beauftragte etwa IBM mit der Entwicklung eines auf fünf Blockchains basierten Systems.

Jeder EU-Staat soll auf Basis seines eigenen System einheitliche Zertifikate ausstellen dürfen, die überall anders anerkannt sind. Die Kommission will eine Serverinfrastruktur schaffen, um die nationalen Systeme miteinander zu verbinden. In den Nachweisen gespeichert werden sollen etwa der Name der betroffenen Person, das Geburtsdatum, der EU-Staat und eine einzigartige Identifikationsnummer sowie genaue Angaben zu Impfungen, Immunität oder Testnachweis.

Datenschützer: Daten nicht für „ähnliche Krankheiten“ nutzen

Diese persönliche Daten aus dem System dürften nicht länger als notwendig gespeichert werden und müssten spätestens mit dem Ende der Pandemie gelöscht werden, sagt der EU-Datenschutzbeauftragte Wojciech Wiewiórowski. Das müsse in der Verordnung, die die Kommission vorgeschlagen hat, explizit festgehalten werden. Auch müsse eine Zeile aus dem Gesetzesvorschlag der Kommission herausgestrichen werden, die eine Fortschreibung der Maßnahmen für „ähnliche Infektionskrankheiten mit Epidemie-Potential“ erlaube.

In ihrer Stellungnahme fordern Wiewiórowski und die nationalen EU-Datenschutzbehörden die Mitgliedsstaaten dazu auf, eine rechtliche Basis für die Nachweise und Schutzmaßnahmen gegen den Missbrauch der Daten zu schaffen. Bedenken haben die Datenschützer:innen auch wegen der Ankündigung der EU-Kommission, die grünen Nachweise auf Staaten jenseits der EU auszudehnen. Es müsse klargestellt werden, ob internationale Transfers persönlicher Daten vorgesehen seien und welche Schutzmaßnahmen dafür getroffen würden.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

9 Ergänzungen

  1. Die Entwicklung des Impfnachweises lässt sich durch ein kopfstehendes Wasserfallmodell beschreiben.

    Phase 1: Die Mitgliedsstaaten beginnen mit der Implementierung und basteln an ihren Blockchains.
    Phase 2: Die EU-Kommission spezifiziert die Schnittstelle der einzelnen nationalen Systemen. Es stellt sich heraus, dass die nationalen Systeme zueinander inkompatibel sind.
    Phase 3: Es werden die Anforderungen für den Impfnachweis aufgestellt. Dabei wird festgestellt, dass ein Impfnachweis aus Papier den Anforderungen am besten gerecht wird.

  2. Ich habe es schon mal gesagt, ich werde es wieder sagen:
    Medizinische Daten, insbesondere Krankheitstestergebnisse und Impfdaten sind hochgradig persönliche, schützenswerte und missbrauchsanfällige Daten. Die gehen genau mich, meine behandelnden Ärzte und evtl. meine Krankenversicherung etwas an, niemanden sonst, keine Unternehmen und schon gar nicht den Staat. Das ist nicht verhandelbar und nicht einschränkbar, unabhängig von den Umständen.

    1. Die Kasse? Wozu sollte sie das wissen müssen?
      Früher(tm) war es m. W. so, daß man rein durch Konstruktion der Abrechnung vermittelts Kassenärztlicher Vereinigung (KV) schon dort nur noch wusste: 10 Patienten aus dem Pool der AOK bekamen eine Behandlung nach Nummer 17 bei Doktor A(insider wissen : könnte Darm Spiegelung sein. ).
      Die Kasse bekam von der KV nur noch zu wissen: „3000 deiner Mitglieder haben bei unseren Ärzten folgende xxx Behandlungen zu yyyy im Gesamt Wert von 245677 Euro bekommen. Bitte überweisen.“
      Heute ist es wohl etwas anders, weil so ein System bei manchen (zum Glück sehr wenigen) Ärzten die Charakterstärke überfordert hatte… Datenschutz ist ebend auch immer Täter Schutz…

      Obiges Verfahren wurde in der Zeit weit weit vor FB entwickelt und gefiel den Kassen ganz und gar nicht. Aber der Gesetzgeber / Lobbies konnten es so gestalten.
      Witzigerweise gab es diesen Datenschutz nur bei gesetzlichen Kassenpatienten…

    2. Die Kasse! – Jawoll! Die weiss das!
      Las Dir mal eine Auskunft nach Art 15 DSGVO zukommen. Du wirst Dich wundern, was die alles zu Deiner Person sammelt.
      Wenn Du mal nicht weisst, wann Deine letzte Teternus war, Deine Kasse kennt das Datum.
      Und den jenigen, der das verordnet hat.
      Und noch viel länger zurückliegend, als Du vermutlich erwartest.

  3. Diverse Bevölkerungsschiten der Menschen können sich überhaupt kein Smartphone oder Mobilfunkgerät leisten, noch besitzen diverse Menschen solch ein Smartphone oder Mobilfunkgerät aus Überzeugungsgründern.

    Die Besitzerinnen und Besitzer von Smartphones oder Mobilfunkgeräten sind auch nicht gesetzlich verpflichtet ständig ein Smartphone oder Mobilfunkgerät bei sich zu haben.

    Wird nun ein Smartphone oder Mobilfunkgerät nun zur Pflich für Reisetätigikeiten innerhalb der Europäischen Union (EU) oder der Weltgemeinschäft?

  4. Zitat: „… Doch das neue System dürfe keine Super-Datenbanken schaffen und die Daten müssten nach dem Ende der Pandemie gelöscht werden, fordern EU-Datenschützer:innen.“

    … und täglich grüßt das Murmeltier.

    Spahn kündigt an:
    https://gesund.bund.de/elektronischer-impfpass#auf-einen-blick
    – Ab 2022 können Versicherte den elektronischen Impfpass als Teil der elektronischen Patientenakte verwenden.
    – Inhaltlich gleicht der E-Impfpass dem bisherigen gelben Papierheft.
    – Er bietet jedoch einen besseren Überblick für Patientinnen und Patienten, wann sie sich das nächste Mal impfen lassen sollten, und vereinfacht eine vollständige Impfung.
    – Auch automatische Erinnerungen werden mit der digitalen Version möglich.
    – Da der E-Impfpass in der ePA gespeichert ist, können Sie ihn nicht mehr zu Hause vergessen.
    – Die Nutzung ist, wie auch bei der elektronischen Patientenakte, freiwillig.

    Und jetzt ? Doppelte Buchführung ? Oder EU Zentralisierung schlägt nationale Zentralisierung ?

    Zur ePA Stand heute : Sie gibt es seit 1.1.2021 und ES GIBT KEINEN DATENSCHUTZ
    https://www.datenschutz.org/elektronische-patientenakte/#kritik
    Bestehen datenschutzrechtliche Bedenken an der digitalen Krankenakte?
    Ja. Erst ab 2022 können Versicherte entscheiden, welcher Arzt welche Daten und Dokumente einsehen darf. Bis dahin steht er vor der Wahl: Entweder ein Arzt oder anderer Leistungsträger darf die gesamte Akte einsehen oder gar nichts. Damit könnte z. B. ein Hausarzt psychologische Befunde auslesen, obwohl der Patient das eigentlich nicht möchte.

    Zitat: „… Deutschland beauftragte etwa IBM mit der Entwicklung eines auf fünf Blockchains basierten Systems …“

    Ahso .. „Blockchains“ !?!, ja dann ist natürlich alles sicher.

    Zitat: „… Bedenken haben die Datenschützer:innen auch wegen der Ankündigung der EU-Kommission, die grünen Nachweise auf Staaten jenseits der EU auszudehnen. Es müsse klargestellt werden, ob internationale Transfers persönlicher Daten vorgesehen seien und welche Schutzmaßnahmen dafür getroffen würden..“

    Tja, jetzt fängt es natürlich an, schwierig zu werden:
    Daten in die Türkei oder Russland oder China senden ?
    Jetzt hab ich aber auch Bedenken …

    Letzter Punkt :
    LINK : eu-datenschutzbeauftragte-impfnachweis-darf-nicht-in-zentraler-eu-datenbank-landen/
    Das habe ich aber nicht so direkt nachfolgendem Link entnehmen können:
    https://edps.europa.eu/press-publications/press-news/press-releases/2021/eu-data-protection-authorities-adopt-joint_de
    Ich meine, es ist von Bedenken, Vorschlägen und „Begeleitung“ die Rede, nicht von direkter Ablehnung bzw. Verbot.

  5. In Kambodscha erhalten alle geimpften eine Plastikkarte (wie eine Kreditkarte) mit einem QR-Code, einer aufgedruckten ID, dem Namen, dem Impftag, Impfort und dem vereimpften Impfstoff.

    Ich verstehe nicht warum ein Land wie Kambodscha das auf die Reihe bekommt und EU-Staaten sich so anstellen.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.