Geboren 1968 in Wien, Studium der Rechtswissenschaften in Wien und Paris, 2000-2017 Professor, Datenschutzbeauftragter und CIO an der Uni Hannover, seit 2017 Vorstand des Instituts für Innovation und Digitalisierung im Recht an der Uni Wien.

Am 24. Februar, also vor mehr als fünf Wochen, wurde ein Initiativantrag von Abgeordneten der Regierungsparteien hinsichtlich Änderungen von Epidemiegesetz und Covid-19-Maßnahmengesetz eingebracht. Dem Antrag zufolge sollten die einschlägigen Gesetze wie folgt geändert werden. "In der Überschrift des § 25 entfällt der Punkt." Und: "In § 1 Abs. 5 Z 5 wird das Wort „In“ durch das Wort „in“ ersetzt." Mehr stand nicht im Vorschlag. Begründung für den Antrag? Im Volltext: "Es werden redaktionelle Anpassungen vorgenommen."

Das ist kein Scherz. Sondern eine sogenannte Trägerrakete. Eine Trägerrakte ist ein nichtssagendes Gesetzesvorhaben, mit der der parlamentarische Prozess in Gang gesetzt wird. Der "eigentliche" normative Inhalt wird erst sehr viel später auf die Rakete draufgepackt. Der "Vorteil" einer solchen Rakete: Man kann sich den mühsamen Begutachtungsprozess, der in Gesetzgebunsgprozessen üblich ist, ersparen und man von Überrumpelungseffekten profitieren.

Flug und Absturz

Es soll deswegen hier der bisherige "Flug" und (vorläufige) Absturz dieser Trägerrakete nachgezeichnet werden.

Am 25. Februar wird das Vorhaben dem Gesundheitsausschuss im Nationalrat übermittelt. Im Gesundheitsausschuss wird der Vorschlag drei Wochen später, am 18. März, behandelt. Es kommt zu einem Abänderungsantrag, wieder von Abgeordneten der Regierungsfraktionen, der mit der Mehrheit der Regierungsfraktionen angenommen wird. Aus den "redaktionellen Anpassungen" ist nun jedoch ein achtseitiger Gesetzestext geworden. In diesem werden umfangreiche Maßnahmen und Festlegungen getroffen, zum Beispiel auch, dass Zusammenkünfte, bei der fünf (oder mehr) Personen teilnehmen, (Covid-19-rechtlich) beschränkt werden können. Auch im Übrigen enthält der Text eine Vielzahl von Änderungen, die auf insgesamt circa zehn Seiten begründet werden. Sowohl der Gesetzestext wie auch die Begründung wurden - selbstverständlich - nicht von den Abgeordneten, die den Antrag eingebracht haben, verfasst, sondern von Legisten aus der Ministerialbürokratie - hier des Gesundheitsministeriums.

Zwischen dem Bericht des Gesundheitsausschusses und der Behandlung im Plenum des Nationalrats vergeht eine knappe Woche. Im Rahmen der Diskussion im Plenum des Nationalrats wird nun zur Zweiten Lesung am 24. März, wieder von Abgeordneten der Regierungsfraktion, wiederum ein Abänderungsantrag eingebracht, mit vier weiteren Gesetzestextseiten, die auf zwei weiteren Seiten begründet werden und wieder aus der Feder der Ministerialbürokratie stammen und am nächsten Tag im Plenum des Nationalrats beschlossen werden.

In dem nun im Plenum beschlossenen Gesetzestext gibt es nun "plötzlich" einen § 4c Epidemiegesetz mit der Überschrift "Green Check" und einen § 4b Epidemiegesetz "EPI-Service" - und damit ein zentrales, vom Gesundheitsminister zu betreibendes Register zur Erstellung und Bereitstellung von Covid-19-Testnachweisen. Es ist dies das österreichische Vorpreschen zum "Digital Green Certificate".

Anything goes

In dem nun beschlossenen Gesetzestext finden sich dann Bestimmungen wie (§ 4 Abs. 22 Epidemiegesetz): "Der für das Gesundheitswesen zuständige Bundesminister ist berechtigt [...] pseudonymisierte Daten in Bezug auf gesundheits-, sozial-, erwerbs-, bildungsstatistische Merkmale zu verarbeiten. Er kann dazu Dritte als Auftragsverarbeiter heranziehen." Und, "sicherheitshalber" enhält der Text auch gleich noch eine Universalermächtigung (§ 4 Abs. 24 Epidemiegesetz): "Der für das Gesundheitswesen zuständige Bundesminister kann durch Verordnung weitere Register, aus denen Daten zu übermitteln sind, vorsehen und hat durch Verordnung die aus den Registern zu übermittelnden Daten zu konkretisieren.“

In Kurz: Anything goes. Ich wage mich, glaube ich, nicht zu weit aus dem Fenster, wenn ich hier vertrete, dass man kaum eine Datenschutzrechtlerin oder einen Datenschutzrechtler finden wird, der diesen Text nicht für probematisch (und mit hoher Wahrscheinlichkeit verfassungswidrig) hält. Nur: Diese Debatte konnte gar nicht geführt worden sein: Die gesetzlich vorgesehene Befassung der Datenschutzbehörde, die Einbeziehung des Datenschutzrats, die Diskussion mit der Stabstelle Datenschutz im BMJ, mit der interssierten Öffentlichkeit, alles auf ein absolutes Minimum oder auf Null reduziert, weil zwischen Vorschlag und Beschlussfassung, trotz wochenlangen Vorlaufs, genau ein Tag lag.

Der Nationalratsbeschluss wurde gefasst und umgehend dem Bundesrat zugeleitet. Dort wurde er im Gesundheitsausschuss am 29. März, also vier Tage nach dem Beschluss im Nationalrat, verhandelt. Am 30. März hätte der Bundesrat nach der Vorstellung der Regierung einen zustimmenden Beschluss fassen sollen.

Bekanntlich wurde der Gesetzesbeschluss dann vom Bundesrat allerdings "auf Eis gelegt". Der Bundesrat hat den Antrag der Regierungsfraktionen, zu beschließen, dass kein Einspruch gegen den Beschluss des Nationalrats erhoben werde, nicht angenommen. Ein Antrag auf Erhebung eines Einspruchs durch den Bundesrat (auf den der Nationalrat mit einem Beharrungsbeschluss hätte reagieren können, Art. 42 Abs. 3 B-VG) wurde nicht gestellt. Es herrscht also gerade ein Patt. Was hier im Großen geschehen ist und geschehen kann, wird hier näher erklärt:

Department of Innovation and Digitalisation in Law

Nachdenken über Trägerraketen

Geschieht aber nichts, dann treten die vom Nationalrat beschlossenen Änderungen mit einer kurzen Verzögerung von acht Wochen in Kraft. Geschieht nichts, haben wir in Österreich damit in acht Wochen eine gesetzliche Regelung zur zentralen Erfassung folgender Daten beim Gesundheitsminister (§ 4b Epidemiegesetz-in der Fassung Nationalratsbeschluss):

1. Nach- und Vorname/n

2. Geburtsdatum

3. Geschlecht

4. Sozialversicherungsnummer

5. Kontaktdaten (Wohnsitz, Telefonnummer, E-Mail-Adresse)

6. Testzentrum

7. Datum und Uhrzeit der Probenabnahme

8. Art des Tests

9. Testergebnis

10. Gültigkeitsdauer.

In weiterer Folge wird aus diesen Daten ein QR-Code generiert, der im (zentralen) Gesundheitsportal gespeichert wird.

Das hätte zum Beispiel den folgenden Nachteil:

Vielleicht bringen die gewonnen acht Wochen nun doch noch einmal die Gelegenheit, über das gewählte Design und seine Implikationen genauer nachzudenken. Ein paar mögliche Fragen: Wollen wir für Zwecke der Erfassung von Covid-Testergebnissen eine zentral beim Gesundheitsminister betriebene weitere Datenbank? Was, genau, soll mit diesen Daten geschehen? Hat dies Auswirkungen auf die Ausgestaltung der Erfassung von Impfzertifikaten und Genesungsstatus im Rahmen der europäischen Initiativen? Was, genau, ist die Rolle der Elga? Gibt es eine Datenschutzfolgenabschätzung? Kann jemand vernünftg die Informationssicherheitsrisiken bewerten? Und so weiter.

Neben dem Datenschutzrecht ist der Vorgang damit vor allem aber auch ein Anlass zum Nachdenken über Verwendung von Trägerrakten in komplexen Welten. (Nikolaus Forgó, 6.4.2021)

