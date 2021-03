Geboren 1968 in Wien, Studium der Rechtswissenschaften in Wien und Paris, 2000-2017 Professor, Datenschutzbeauftragter und CIO an der Uni Hannover, seit 2017 Vorstand des Instituts für Innovation und Digitalisierung im Recht an der Uni Wien.

Vor einigen Jahren war vieles Europäische blau: die Webseite, die Logos, die Blue Card. Inzwischen ist blau anscheinend aus der Mode, nun ist fast alles grün: Green Week, Green Deal und nun auch noch "Green Digital Certificate". Letzteres wurde am 17. März von der Europäischen Kommission präsentiert.

Hinter diesem "Digitalen Grünen Zertifikat" verbirgt sich nichts Ökologisches. Das "Digitale Grüne Zertifikat", von dem man nur spekulieren kann, warum es grün ist, ist zunächst ein sehr großes, sehr ehrgeiziges IT-Projekt .

Falls grün hier, wie bei der Ampel, das Symbol für "Bahn frei" sein soll, dann ist die Farbe freilich falsch gewählt. In der Eigenbeschreibung der Europäischen Kommission steht nichts von "Freie Fahrt für freie Bürger" oder ähnlichem, sondern nur sehr viel bescheidener: Das „Digitale Grüne Zertifikat“ wird den sicheren und freien Personenverkehr während der Covid-19-Pandemie in der EU erleichtern. Also eher so etwas wie eine Leitplanke oder ein Blinklicht, keine grenzenlose Freiheit, wie man sie (als Schengen-Bürger in Schengen) vor Covid gewohnt war. Vielleicht wäre schon deshalb gelb die bessere Farbe gewesen.

Erleichterung der Reisefreiheit

Es soll also um "Erleichterung" der Personenfreizügigkeit gehen. Diese paradoxe Vereinfachung hat freilich eine reale Rückseite: Wer sie nicht in Anspruch nehmen kann oder will – nicht geimpft, nicht immun, nicht getestet, nicht in einem EU-Staat aufhältig, oder auch einfach nur grundrechtsaffin – wird es (mindestens im Vergleich) schwerer haben zu reisen. Wer sie in Anspruch nehmen kann und will, braucht ein Zertifikat. Weil das – vermutlich – gerade modern ist, soll dieses Zertifikat auch digital verfügbar und interoperabel sein. Nur: Warum und wie?

Darauf geben die Überblicksinformationen und auch der vorliegende Vorschlag einer Verordnung nur sehr ungefähre Antworten. Schon im Überblick wird klar, dass da – mal wieder – große Datenansammlungen entstehen werden. Das Zertifikat wird "notwendige Schlüsselinformationen wie Name, Geburtsdatum, ausstellender Mitgliedstaat und eine eindeutige Zertifikatskennung enthalten. Zudem umfasst es folgende Angaben:

für ein Impfzertifikat: Impfstoff und Hersteller, Anzahl der Dosen, Datum der Impfung

für ein Testzertifikat: Art des Tests, Datum und Uhrzeit des Test, Testzentrum und Ergebnis

für ein Genesungszertifikat: Datum des positiven Testergebnisses, Aussteller des Zertifikats, Ausstellungsdatum, Gültigkeitsdatum", heißt es auf der Webseite der Kommission.

All das soll in einen "interoperablen, maschinenlesbaren QR-Code mit den erforderlichen wesentlichen Daten sowie einer digitalen Signatur" gegossen werden.

Zur "digitalen Signatur" – die übrigens in Europa seit der Signaturrichtlinie aus dem Jahr 1999 eigentlich Elektronische Signatur heißt, aber die Abweichung ist hier nur ein kleineres Rätsel – liest man weiter: "Jede ausstellende Stelle, zum Beispiel ein Krankenhaus, ein Testzentrum, eine Gesundheitsbehörde, hat ihren eigenen digitalen Signaturschlüssel. Sämtliche Schlüssel werden in jedem Land in einer sicheren Datenbank gespeichert." Also eine riesige Signaturinfrastruktur mit einem europäischen Überbau.

Massives europaweites IT-Projekt

Weiter soll es ein von der europäischen Kommission eingerichtetes europäisches Zugangsportal geben. "Über dieses Portal können EU-weit alle Signaturen überprüft werden." Die Kommission will "auch quelloffene Referenzimplementierungen bereitstellen, um die Mitgliedstaaten bei der Entwicklung von Software zu unterstützen, die die Behörden für das Scannen und die Überprüfung der QR-Codes verwenden können."

Ein riesiges IT-Projekt. Mit Barcodes, digitalen Ausweisen, zahlreichen Gesundheitsdaten und Referenzimplementierungen. Bis Juni 2021, denn das System soll noch vor dem Sommer operativ sein.

Zur Herstellung der rechtlichen Rahmenbedingungen werden schon aus Dringlichkeitsgründen zahlreiche weitere, delegierte Rechtsakte der Kommission (ohne Einbindung anderer Stakeholder) erforderlich sein, die der Kommission in umfangreichem Ausmaß zu erlauben die Kommission im Verordnungsentwurf vorschlägt. Was wie genau in diesen stehen wird, kann man derzeit kaum erahnen.

Das übliche – grüne – Ein-Minuten-Überblicksvideo mit (gemeinfreiem?) Hintergrundgedudle bleibt an all den genannten Stellen (mindestens) genauso unbestimmt und insbesondere auch hinsichtlich der IT-Komponenten des Vorschlags rätselhaft:

Nicht so simpel, wie es klingt

Man könnte (und müsste) nun viel Grundsätzliches zum Vorschlag sagen. Zum Beispiel, dass es auf seiner Grundlage keine Mobilitätserleichterungen für Personen gibt, die nicht mit von der EMA anerkannten Impfstoffen geimpft sind. Wer, wie zum Beispiel in Ungarn möglich, mit Sputnik V geimpft ist, wird es europaweit nicht leicht(er) haben bei der Einreise. Zum Beispiel, dass wir heute (weiterhin) nicht wissen, ob und wie lange eine Impfung vor einer Reinfektion schützt und ob sie davor bewahrt, das Virus weiter zu übertragen, sodass wir nicht wissen, ob die epidemiologischen Annahmen hinter den Reiseerleichterungen nicht nur versuchsweise den Tourismus, sondern vielmehr vor allem die Ausbreitung der Pandemie weiter fördern.

Zum Beispiel, dass es (wohl) keine Reiseerleichterungen geben wird für die, die aus dem oder in den Rest der Welt außerhalb der EU reisen wollen. Zum Beispiel, dass es schwierig werden wird für vulnerable Personengruppen (Alte, Kranke, Datenschutzbesorgte), zu einem – digitalen – Zertifikat zu kommen und das kaum jemanden zu kümmern scheint. Zum Beispiel, dass die Gültigkeit der Zertifikate enden soll, wenn die WHO das Ende der Gesundheitsnotlage erklärt, und automatisch wieder einsetzen soll, wenn eine neue Krise auftritt – als wäre die WHO ein Gesetzgeber. All das wird auf der Seite der Kommission nicht beschrieben, aber im Video und Tweet unten besprochen:

Stattdessen hier nur eins: Hier werden große Mengen sehr sensibler personenbezogener Daten verarbeitet werden. Europaweit. Abgesehen von den üblichen Bekenntnissen, dass "ein sehr hohes Datenschutzniveau gewährleistet [wird]", findet sich in der Verordnung und ihren Begleittexten allerdings kaum etwas Brauchbares zu den IT-Komponenten, die eingesetzt werden sollen und auch nur sehr wenig zum Datenschutzrecht. Und das, was sich findet, versteht man auch als ausgewiesener Datenschutzrechtler schlecht (was nicht am Datenschutzrechtler liegt).

Schwierige Datenschutzgrundlage

Der Verordnungstext wiederholt nur ohnehin bekannte Trivialitäten aus der DSGVO (Datensparsamkeit, Rechtsgrundlage et cetera). Ein großes schwarzes Loch bleibt hingegen die Informationssicherheit (dazu steht nichts Verbindliches, abgesehen vom allgemeinen Verweis auf die DSGVO), die Einbindung von Datenschutzbehörden (nichts, abgesehen von einem vagen Hinweis, im allerletzten Erwägungsgrund 47, dass der Europäische Datenschutzbeauftragte konsultiert worden sei) und auch nichts zum Verbot, die Zertifikate für alles Andere zu verwenden, vom Discoeintritt bis zur Immunisierungsüberwachung durch Arbeitgeber.

Das ist schon bedauerlich genug. Schlimmer ist, dass nicht nur nichts steht, sondern dass bis zur Präsentation des Vorschlags nicht einmal Gelegenheit gewesen wäre, dazu (als interessierte Fachöffentlichkeit) etwas zu sagen.

In aller Deutlichkeit sagt der Verordnungstextentwurf zur Folgenabschätzung: "In view of the urgency, the Commission did not carry out an impact assessment." Unter dem Stichwort "Stakeholder Consultation" findet man nur: "The proposal takes into account the discussions held at regular intervals with Member States

in different fora." Und zu möglichen Eingriffen in die Grundrechte auf Privatleben und Datenschutz steht nur: "No derogation from

the data protection regime of the EU is envisaged and clear rules, conditions and robust safeguards must be implemented by Member States, in line with the EU data protection rules."

Das gibt Anlass zu einer ganz grundsätzlichen Bemerkung: Wir haben uns in dem Jahr der Pandemie offenbar daran gewöhnt (gewöhnen müssen), dass unter der Behauptung von Dringlichkeit und Eile unter Hintanstellung fachlicher Prüfung und jeder Diskussion (auch) IT-Großentscheidungen zu staatlichen Gesundheitsinfrastrukturen getroffen werden, deren Bedeutung grundrechtlich sehr erheblich ist und bei denen man entgegen mannigfacher bisheriger Erfahrungen offenbar weiterhin hofft, dass der Staat das sowohl mit dem Datenschutz wie auch mit der Funktionalität "schon irgendwie" hinbekommen wird. Auch noch mehr als ein Jahr nach Ausbruch der Pandemie.

Impfregister bereits in Österreich

Österreich war übrigens noch schneller. Im Vorgriff auf die europäischen Entwicklungen hat Österreich das Epidemiegesetz unlängst (erneut) geändert. Von der Antragstellung im Gesundheitsausschuss am 22. Februar im Rahmen eines Gesetzgebungsverfahrens, das bis dahin ausschließlich formalen Korrekturen gewidmet gewesen war, bis zur Beschlussfassung im Nationalrat vergingen zwei Tage. Seither kennt Österreich eine zwei weitere Tage später im Bundesgesetzblatt kundgemachte Bestimmung (§ 4 Abs. 3a Epidemiegesetz), die (auszugsweise) lautet:

"Die ELGA GmbH ist berechtigt, die im zentralen Impfregister gespeicherten Angaben zu COVID-19 pseudonymisiert an den für das Gesundheitswesen zuständigen Bundesminister täglich zu übermitteln. [...] Der für das Gesundheitswesen zuständige Bundesminister ist berechtigt, die ihm von der ELGA GmbH übermittelten Daten mit dem Register anzeigepflichtiger Krankheiten zu verknüpfen und dürfen diese Daten zum Zweck des Ausbruchs- und Krisenmanagements, wie etwa der Ausstellung von Impfnachweisen, verarbeitet werden. Die übermittelten Daten sind in das Statistik-Register (§ 4a) zu überführen.“

Undurchsichtige (Daten-)Lage

Hat das irgendjemand mitbekommen? Und in seinen Auswirkungen verstanden? Tägliche Übermittlung (aller) Impfregisterdaten an den Gesundheitsminister? Verknüpfung durch den Gesundheitsminister mit dem Register anzeigepflichtiger Krankheiten (zu denen auch Malaria, Röteln, Hepatitis, Scharlach et cetera gehören)? Übermittlung der übermittelten Daten in ein – weiteres – Statistik-Register?

Wer will das? Warum? Und: Welches Motiv auch immer dahinter steht: Ist es das wert? (Nikolaus Forgó, 20.3.2021)

