Die Verknüpfung von Daten über das Erwerbsleben, das Einkommensniveau, etwaige Arbeitslosigkeiten, den Bildungsweg und Krankenstände aller geimpften oder genesenen Personen im Epidemiologischen Meldesystem (EMS) – das ist jener geplante Part der Gesetzesvorlage für den kommenden grünen Pass, der vergangene Woche für einen Aufschrei von Datenschützern und beteiligten Institutionen gesorgt hat. Am Mittwoch ist die Novelle des Epidemie- und des Covid-Maßnahmengesetzes Teil einer Sondersitzung im Nationalrat. Das Dilemma: Die hohen Datenschutzstandards sollten eingehalten werden, zugleich will man Wissenschaftern die Datenbasis zur Bekämpfung der Pandemie zur Verfügung stellen.

Kolportiert wurde bereits am Dienstag, dass das geplante "Superdatenregister" nun doch vom Tisch und der umstrittene Paragraf gestrichen sei. Diese Änderung heftet sich die SPÖ auf die Fahnen. Auch hätten laut SPÖ Bewegungsprofile erstellt werden können, wäre es bei den ursprünglichen Plänen geblieben. Nun sei sichergestellt, dass die Überprüfung der Gültigkeit der Impfnachweise nur "offline" erfolgen kann, ohne zentrale Speicherung im Hintergrund. Jeder Zugriff muss protokolliert werden. Dabei kann der Bürger auch nachsehen, wann Einsicht genommen wurde.

Doch wie hätten alternative Lösungen aussehen können? Der STANDARD hat die Kritiker der Novelle um konstruktive Lösungsvorschläge gebeten.

"Kein Widerstand gegen Datennutzung"

"Es geht uns nicht um den Widerstand gegen die Nutzung der Daten", sagt dazu etwa Franz Leisch, Geschäftsführer der Elga GmbH. Die Herausforderung liege aber in der technologischen Umsetzung. Ein Ansatz, den viele Kritiker der Novelle teilen.

So auch Dietmar Bayer, Präsident der ÖG Telemed, im Namen der Ärztekammer: Wichtig sei, dass die entsprechenden Register dezentral bleiben, sonst entstehe "ein mächtiges Konstrukt, das niemand kontrolliert".

Wo liegen die Daten, ...

Anderes hörte man am Dienstag noch von Peter Lehner, Vorsitzender der Konferenz der Sozialversicherungsträger: Er plädierte dafür, die Daten aus dem EMS an die Sozialversicherung zu liefern und dort auch auszuwerten, anstatt die Daten zu duplizieren und an Dritte weiterzugeben. Die Argumentation: Gesundheitsdaten sind besonders sensible Daten. Die Daten müssen so nahe wie möglich beim Versicherten sein. Und: "Bei der Sozialversicherung kommen heute viele wichtige Gesundheitsdaten zusammen", so Lehner.

Von Thomas Lohninger, Geschäftsführer der NGO Epicenter Works, wird diese Idee kritisch gesehen: "Denn damit würde man die Entität, der man vertrauen kann, lediglich verschieben", sagt er.

Jedoch gibt es auch von anderer Seite Rufe nach einer zentralen Datenbank. "Eine Nationale Medizindatenstelle könnte und sollte eine klug aufgesetzte, Interessen-unabhängig geleitete, tatsächlich unabhängige zentrale Datenbank sein, in die relevanter Daten vollautomatisch zusammenfließen", heißt es am Mittwoch noch vom Complexity Science Hub (CSH): "Jede Nutzung der Daten wäre genauestens zu reglementieren, jede Anfrage und Nutzung wäre (zB von Parlament und Zivilgesellschaft) laufend zu dokumentieren und zu kontrollieren."

Nutzungszwecke sollten dabei immer das "Wohl der Gesellschaft" im Auge, also zum Beispiel eine bessere Pandemiebekämpfung oder eine Kostenkontrolle im Gesundheitswesen im Auge haben, heißt es weiter. Die Daten würden den neuesten Standards der Verschlüsselung und Sicherheit entsprechend verwahrt und könnten auch nur datenschutzrechtlichen Vorgaben entsprechend genutzt werden. Und abschließend heißt es aus dem CSH: "Die vielfache unabhängige Kontrolle würde die in der medialen Diskussion oft geäußerten Ängste vor "Begehrlichkeiten" (also zweckfremden Zugriffen) entkräften."

...welche Software wird verwendet...

Einen anderen Lösungsansatz gibt es wiederum softwareseitig. So verweist der Simulationsforscher Nikolas Popper von der TU Wien auf die bereits vorhandene Forschungsplattform namens Dexhelpp, die seit 2014 arbeitet und von der Forschungsförderungsgesellschaft und anderen Fördergebern – somit mit Steuergeld – initiiert wurde. Statt das Rad neu zu erfinden, könne man also auf Bewährtes zurückgreifen, so Popper: In kleinem Maßstab wird Dexhelpp bereits jetzt von Wissenschaftern der TU Wien und anderen Institutionen eingesetzt.

Dabei werden Daten temporär auf einer virtuellen Maschine über digitale Kanäle von externen Datensilos zur Verfügung gestellt. Es kann genau festgelegt werden, wer wie lange mit welchem Ziel Zugriff auf die Daten hat.

... und wer braucht sie?

Lohninger wiederum verweist darauf, dass keine Softwarelösung unkritisch zu sehen sei – das Thema des Umgangs mit großen Datenmengen sei schlichtweg noch ungelöst. Viel wichtiger sei es, sich über die Ziele einig zu sein und dann eine Datenschutz-Folgenabschätzung zu machen.

Hier stellt Lohninger auch infrage, warum es überhaupt dieser Daten bedarf, um zum Beispiel Informationskampagnen zielgerichtet durchzuführen: Stattdessen könne man auch "mit gesundem Menschenverstand" agieren und zum Beispiel verstärkt mehrsprachig kommunizieren.

Bisherige Kritik und nächste Schritte

Die Koalition hätte die Novelle des Epidemie- und des Covid-Maßnahmengesetzes mit ihrer Mehrheit im Nationalrat beschließen können, doch wäre ohne Zustimmung der SPÖ eine Verzögerung um bis zu acht Wochen durch den Bundesrat so gut wie fix.

Die Länderkammer berät die Vorlage daraufhin am Donnerstag. Derzeit ist der Entwurf in der Endausarbeitung, liegt also noch nicht vor. Ein Scheitern ist mittlerweile jedoch so gut wie ausgeschlossen.

Kritik hatte es von verschiedenen Institutionen in den vergangenen Tagen nicht nur an den Inhalten, sondern auch an der Vorgehensweise gegeben: So hatte unter anderen der Gemeindebund bemängelt, in die Gespräche nicht eingebunden worden zu sein.

Grüner Pass soll zu den EU-Plänen passen

Laut SPÖ-Klubchef Jörg Leichtfried wurde auch sichergestellt, dass der grüne Pass auch mit den einschlägigen EU-Plänen zusammenpasst. Es würden nun dieselben Datenkategorien verwendet, womit gesichert sein sollte, dass die Österreicher mit dem elektronischen Dokument in Europa reisen werden können. Nachgeschärft worden sein dürfte auch beim Service. Sollte eine Impfung im grünen Pass nicht ordentlich abgespeichert sein, hat man Anspruch darauf, dass dies innerhalb von fünf Tagen geschieht. (Stefan Mey, 25.5.2021)

Update, 26.5.: Die Statements des Complexity Science Hub (CSH) wurden nachträglich ergänzt.