Dienstag, 06. Dezember 2022

Impfregister und Pandemiebekämpfung
Die Bedeutung des Datenschutzes

Datenschutz sei nicht der Grund für mangelnde Daten zur Pandemie-Bekämpfung, sagte Schleswig-Holsteins Datenschutzbeauftragte Marit Hansen im Dlf. Selbst ein Impfregister sei möglich. Es brauche aber enge Vorgaben, damit nicht etwa die Polizei darauf zugreife - wie bei Corona-Kontaktdaten schon geschehen.

Marit Hansen im Gespräch mit Stefan Römermann | 28.01.2022

Auf einem Smartphone sind die Corona-Warn-App, die Luca-App und die CovPass-App zu sehen
Die Polizei habe Cornafälle fingiert um an Daten aus der Luca-App zu kommen, kritisiert Hansen (picture alliance/dpa)
Dass der Datenschutz eine sinnvolle Nutzung von Daten im Kampf gegen die Corona-Pandemie verhindere, ist ein häufiger Vorwurf in der öffentlichen Debatte. Zuletzt hat der Corona-Expertenrat der Bundesregierung kritisiert, auch zwei Jahre nach Beginn der Pandemie bestehe kein Zugang zu wichtigen aktuellen Versorgungsdaten. Daten seien aber für ein effektives Pandemiemanagement, für wissenschaftliche Auswertungen und als Grundlage für politische Entscheidungen essentiell.
Wenn Daten für die Pandemie-Bekämpfung fehlten, liege das nicht am Datenschutz, betonte Marit Hansen, Landesbeauftragte für den Datenschutz in Schleswig-Holstein. Es scheitere vielmehr an der klaren Festlegung, welche Daten genau man für welchen Zweck verarbeiten wolle und wer darauf zugreifen dürfe. Dies sei aber notwendig, um Missbrauch zu vermeiden. Als Beispiel nannte sie die Erhebung von Corona-Kontaktdaten auf Papierlisten oder in der Luca-App, die schon von der Polizei angefragt worden seien, um in Ermittlungen mögliche Zeugen zu identifizieren - obwohl die Daten nur für die Kontaktnachverfolgung Infizierter bestimmt seien. Wenn man die Zweckbezogenheit und andere Aspekte vorher gesetzlich festschreibe, sei auch ein zentrales Impfregister möglich, so Hansen. Sie verwies auf bestehende Krebsregister, für die es technisch-organisatorisch gut funktionierende Lösungen gebe. Auch diese Gesundheitsdaten dürften nicht in falsche Hände gelangen, damit nicht "ein Wunderheiler mal klingelt und sagt, ich habe in einer Datenbank gesehen, Sie haben Krebs und ich habe hier für 2.000 Euro das Wundermittel, kaufen Sie mal".

Mehr zum Thema Datenschutz in der Pandemie:
Mögliche Impfpflicht: Vom Nutzen eines Impfregisters
Impfpflicht - ja oder nein?
Digitalisierung im Gesundheitsdienst
Corona-Bekämpfung in Behörden: Die verschleppte Digitalisierung

Das Interview im Wortlaut:
Stefan Römermann: Warum wurde und wird der Datenschutz in Corona-Zeiten so oft als störend empfunden?
Marit Hansen: Ich glaube, es gibt eine Angst vor Datenschutz: Dass man nämlich vielleicht noch nicht professionell genug ist, um festzustellen und zu definieren, was man genau an Daten verarbeiten will und für welchen Zweck. Das ist ja eine Grundvoraussetzung beim Datenschutz. Dann müsste man das irgendwie rechtfertigen und deswegen gab es sehr viel Datenschutz-Bashing. Die Datenschützer wurden an den Pranger gestellt. Datenschutz war als Verhinderer genannt. Wenn man nachfragte, kam aber nichts mehr. Und deswegen auch jetzt noch die Frage: Haben wir jetzt zu wenig Daten, um die Pandemie gut zu bekämpfen? Das kann ich gut nachvollziehen. Aber es liegt gar nicht am Datenschutz, es liegt an vielen anderen Dingen.
Ich glaube, mit der Datenschutz-Professionalität kann man sogar zu einer besseren Datenverarbeitung und auch Verwertung und Nutzung kommen, aber fair und nicht so, dass Daten nachher in falsche Hände kommen, gerade Gesundheitsdaten.

Impfregister unter bestimmten Voraussetzungen "durchaus möglich"

Römermann: Aber ein zentrales Impfregister beispielsweise, wo alles registriert wäre - wäre das aus Ihrer Sicht mit dem Datenschutz vereinbar?
Hansen: Eine Unmöglichkeit sehe ich da nicht. Man müsste das ja gesetzlich festlegen und da wäre zum Beispiel ganz stark festzuschreiben, dass es zweckbezogen ist nur auf die Dinge, auf die es ankommt. Und zum Beispiel nicht, wie wir es gerade erlebt haben, dass Corona-Kontaktdaten, die mit der Luca-App erhoben wurden oder auch auf Papier waren, auf einmal für ganz andere Sachen verwendet wurden: um Zeugen herauszufinden, die vielleicht in der Nähe waren, obwohl die Daten doch nur für diesen Kontaktbereich da waren.
Das wäre beim Impfen auch ganz wichtig. Wenn, dann doch nur für die genannten Zwecke, und das muss auch garantiert werden. Wir haben schon gehört aus dem Polizeibereich, da hat jemand verlangt, rund um die Uhr muss jeder Polizist in Deutschland hundertprozentig Zugang zu diesem Impfregister haben, um festzustellen, ob sein Gegenüber geimpft ist. Nein, das glaube ich eben nicht! Hier müssen wir genau diskutieren. Dann scheint mir das aber durchaus möglich zu sein.

„Keine Corona-Kontaktdaten erheben, die nicht nötig sind“

Römermann: Sie haben gerade die Luca-App schon angesprochen. Da wurden Daten, die für die Kontaktverfolgung gesammelt worden sind, von der Polizei mehrfach angefragt und in einem Fall haben sie die, glaube ich, auch bekommen. Warum macht Ihnen denn so etwas Bauchschmerzen? Was ist daran problematisch, wenn das wirklich für dienstliche Zwecke benutzt worden ist?
Hansen: Man kann ja definieren, was dann sein soll, und dann definiert man das korrekt. Hier war genau definiert, dass es zweckgebunden – und das war das Versprechen, auch gesetzlich fundiert – nur für die Kontaktnachverfolgung und nur im Infektionsfall und nur durch die Gesundheitsämter passiert. Genau das ist hier übrigens passiert: Man hat dann das zuständige Gesundheitsamt dazu gebracht, einen Infektionsfall zu fingieren. Die haben so getan, weil sie die Polizei im Haus hatten, als läge so ein Fall vor. Sonst wäre an diese verschlüsselten Daten gar keiner herankommen. Wenn die Polizei anfängt, Infektionsfälle zu fingieren, um an Daten zu kommen, die gesetzlich definiert gar nicht verwendet werden dürfen - ich glaube, das ist dann ja dreimal falsch gemacht.
Datenschutzbeauftragte Marit Hansen
Marit Hansen ist die Datenschutzbeauftragtedes Landes Schleswig-Holstein (Carsten Rehder/dpa)
Römermann: Hätte man diese Daten gar nicht erfassen sollen? Es gibt ja auch dieses Prinzip „Datenschutz by Design“ oder auch „Datensparsamkeit“, dass man möglichst gar keine Daten erfasst, wenn man sie nicht unbedingt braucht.
Hansen: In einer gewissen Phase der Pandemie war das, glaube ich, nachvollziehbar, dass die Gesundheitsämter darauf zurückgreifen wollten, um festzustellen, wen müssen sie vorwarnen. Das war auch noch ganz am Anfang mit Papierlisten oder nicht mit Listen, weil das besser war, das mit Einzelformularen zu machen. Die Corona-Warn-App gab es damals in der Anfangsphase auch noch gar nicht, die ja auch gewisse Warnfunktionen hatte. Und die Gesundheitsämter wollten auch zu dem Zeitpunkt, dass alles über ihren Tisch läuft, dass sie diese manuelle Kontaktnachverfolgung täglich mit Telefonanrufen selbst machen.
In meinem Bundesland Schleswig-Holstein wurde es ganz deutlich gesagt, in anderen aber auch: Jetzt werden diese Daten gar nicht verwendet. Selbst wenn sie da sind, werden sie nicht mehr angefordert. Es sind auch zu viele. Man kann damit gar nicht mehr viel anfangen. Die Strategie hat sich jetzt geändert, auch übrigens durch die andere Situation, andere Wellen, andere Erreger, anderer Impfstatus. Aber das bedeutet: Wenn jetzt zu diesem Zeitpunkt die Kontaktdaten nicht nötig sind, dann dürfen sie auch nicht erhoben werden. Dann muss das aber nachgezogen werden in den Bundesländern, die das jetzt noch verpflichtend vorschreiben. In Schleswig-Holstein ist das schon nachgezogen.

"Nicht mehr Faxgeräte verwenden"

Römermann: Gibt es noch andere Dinge, die wir aus der Corona-Pandemie in Sachen Datenschutz für die Zukunft mitnehmen können, die wir daraus lernen können?
Hansen: Ich glaube, wir können ganz viel lernen. Digitalisierung, wie macht man es vernünftig, dass zum Beispiel die Stellen, die miteinander kommunizieren müssen, nicht einen Medienbruch haben, nicht mehr Faxgeräte, Ausdrucke verwenden, sondern dass das direkter läuft, etwa mit verschlüsselter Datenverbindung, aber nur die nötigen und nur dann.
Römermann: Nur die nötigen Daten sollen übertragen werden?
Hansen: Nur das Nötige darf verarbeitet werden, nur die nötigen Daten, nur die Verarbeitungen, die nötig sind, nur durch die, die es auch angeht. Das kann man viel besser machen, indem man da ein bisschen einheitliche Standards einführt, eigentlich eine Selbstverständlichkeit. Das ist jetzt eine kleine „Lessons Learned“, die man da hat.

Datenschutzprobleme bei Videokonferenzen

Römermann: Datenschutz geht nicht nur mit Faxgerät?
Hansen: Oh, auf keinen Fall. Faxgeräte sind auch gar nicht mal so toll. Aber es gibt auch noch ganz andere Dinge: Wie gewöhnt man sich eigentlich an solche Prozesse? Wie kann man auch was wieder zurückdrehen, wenn zum Beispiel bestimmte Daten nicht mehr erforderlich sind? Wie will man dann weitermachen? Werden die nachher gelöscht, ist das Automatismus, muss man das dann direkt aufräumen? Da hat man, glaube ich, noch nicht alles gelernt.
Ansonsten Digitalisierung, sagen wir, auch im Bereich Videokonferenz-Systeme: Was ist mit Produkten, die es da gibt? Sind die alle schon datenschutzkonform? Nach über zwei Jahren bald Pandemie würde man ja denken, natürlich, selbstverständlich, aber wenn wir da mit der Lupe schauen oder manchmal auch nur ganz aus der Ferne, dann sind doch einige Produkte noch weit weg von datenschutzkonform, und das verstehe ich nicht.

"Wilde Anwendungspraxis" digitaler Tools in Schulen

Römermann: Das gilt auch für Tools, die beispielsweise in Schulen für Fernunterricht benutzt werden oder in vielen Unternehmen, sagen Sie?
Hansen: Das gilt für viele Dinge, die im breiten Einsatz sind. Wieder haben wir, glaube ich, das Glück in Schleswig-Holstein, dass unsere Schulen da mehr aufgepasst haben, auch weil sie dort selbst einen eigenen Datenschutzbeauftragten haben, der gut aufpasst. Aber zum Beispiel auch Messenger. Es sind ja nicht nur Videokonferenzen. Oder die E-Mail-Systeme für Schülerinnen und Schüler, die Aufgabenverteilung oder Prüftools an Universitäten, wenn man feststellen soll, dass jemand nicht schummelt beim Prüfen, wie kann man das datenschutzfreundlich machen. Da gibt es ein paar Tools, die gar nicht mal so datenschutzfreundlich sind, und manchmal wurden die auch bei uns noch in der wilden Anwendungspraxis vorgefunden.

Positivbeispiel Krebsregister

Römermann: Es wurde auch oft gefordert, dass Gesundheitsdaten für Forschungszwecke und auch zur Bekämpfung der Pandemie besser genutzt werden dürfen, dass man die beispielsweise anonymisiert oder pseudonymisiert verwendet. Denken Sie, darauf werden wir in Zukunft besser vorbereitet sein?
Hansen: In jedem Fall ein ganz wichtiges Thema, und gerade heute hat sich die Datenschutzkonferenz auch zusammengesetzt, die sich sowieso schon sehr häufig trifft. Forschungsdaten und die Nutzung anonymisieren, pseudonymisieren, das ist unser Schwerpunktthema für das ganze Jahr. Da glauben wir auch, das wird nicht mit der Pandemie zu Ende sein. Gemeinwohlorientierung darf man nutzen, aber auch, dass es keine Risiken gibt oder dass die Risiken eingedämmt sind.
Wir haben ein Beispiel, in dem das ganz gut läuft. Das ist im Bereich Krebsregister. Hier sind bestimmte Meldepflichten da, aber es darf nicht passieren, dass auf solche Daten zugegriffen wird und vielleicht ein Wunderheiler dann mal klingelt und an der Tür steht und sagt, ich habe mal in einer Datenbank gesehen, Sie haben Krebs und ich habe hier für 2.000 Euro das Wundermittel, kaufen Sie mal. So was darf natürlich nicht passieren. Das ist dort durch doppelte Pseudonymisierung gelöst. Verschiedene Datenbanken haben bei verschiedenen Personen Zugriff und nur mit sehr viel Aufwand oder in dem Fall auch manchmal gar nicht kann man wieder zurückkommen auf die Person. Solche technischen und technisch-organisatorischen Lösungen funktionieren für Spezialfälle und jetzt muss man das Thema mal ein bisschen breiter diskutieren und auch professioneller.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.