5830351

Datenschützer über Impfen: „Kein pauschales Register“

Österreich hat ein Impfregister, in Deutschland wird darüber diskutiert. Der Datenschützer Thomas Lohninger über Risiken und die Vertrauensfrage in der Gesellschaft.

Menschen sitzen im Wartebereich eines Impfzentrums

Ein Impfmarathon in Hessen, Dezember 2021 Foto: Sebastian Gollnow/dpa

taz am wochenende: Herr Lohninger, in Deutschland wird gerade über die Notwendigkeit eines Impfregisters diskutiert, Österreich hat schon eines. Was kann Deutschland von Österreich lernen?

Thomas Lohninger: Ich glaube, dass man von Österreich eher lernen sollte, wie man es nicht macht. Das hat mehrere Gründe: Erstens ist das Impfregister hier an die elektronische Gesundheitsakte angedockt. Bei der Gesundheitsakte kann man widersprechen, wenn man nicht mitmachen möchte, was auch absolut richtig so ist – aber im Impfregister landen die eigenen Daten trotzdem. Das verwirrt viele Menschen. Jetzt kann man natürlich in einer Pandemie argumentieren, dass so ein Register notwendig ist, um diese Pandemie zu bekämpfen. Aber da kommt der zweite Kritikpunkt dazu: Es werden auch Daten zu Impfungen gespeichert, die keine Auswirkungen auf Ansteckungsgefahren haben, wo es also ausschließlich um die Selbstgefährdung geht.

Tetanus zum Beispiel.

Genau. Oder jede Zeckenimpfung. Wenn das Argument für so ein Register ist, dass man es zur Pandemiebekämpfung braucht, dann sind so umfassende Daten nicht nötig. Außerdem gibt es etwas, das man bei Datensammlungen generell, aber ganz besonders wenn es um derart Sensibles wie Gesundheitsdaten geht, immer überlegen muss, nämlich: Muss ich das wirklich personenbezogen machen? Oder will ich eigentlich nur eine Statistik?

taz am wochenende

Dieser Text stammt aus der taz am wochenende. Immer ab Samstag am Kiosk, im eKiosk oder gleich im Wochenendabo. Und bei Facebook und Twitter.

Sie meinen, ob es tatsächlich darum geht, wer geimpft wurde oder nur um die Zahl der Geimpften?

Genau. In Österreich haben wir seit neuestem eine Impfpflicht, das Register soll da zur Kontrolle dienen. Aber wenn es nur darum geht, beispielsweise die Impfstofflogistik zu planen, dann muss man ja nicht wissen, wer geimpft ist, sondern nur, wie viele Menschen, vielleicht noch nach Region. Auf das Speichern persönlicher Daten kann und sollte man daher verzichten.

Was müsste also die Bundesregierung hierzulande gegebenenfalls besser machen?

Ich tue mich da sehr schwer einen Vorschlag zu machen, denn als Datenschützer bin ich nicht überzeugt davon, dass es so ein Register braucht. Ich finde, wenn eine Regierung sagt, ja, das muss sein, dann ist es ihre Aufgabe, einen Vorschlag zu machen, der so minimal wie möglich in die Privatsphäre der Menschen eingreift. Öffentliche Gesundheit ist sicher ein Ziel, mit dem sich viel rechtfertigen lässt und die Datenschutz-Grundverordnung gibt da auch entsprechende Spielräume. Aber man muss schon einmal gründlich nachdenken. Und zwar vorher.

im Interview:

Der Datenschutzexperte

Thomas Lohninger, 35, beschäftigt sich als IT-Experte vornehmlich mit Datenschutzfragen und ist Geschäftsführer der netzpolitischen Bürgerrechtsorganisation epicenter.works in Wien. Er hat einen Hintergrund als Programmierer und Anthropologe

Davor hat er Angst

Gleichgültigkeit gegenüber den Werten einer liberalen Demokratie

Das gibt ihm Hoffnung

Kreativer Protest und kluger Aktivismus

Welche Möglichkeiten gibt es denn, den Eingriff gering zu halten?

Zunächst mal sollte es kein pauschales Register sein. Es sollte also nicht alle Impfungen umfassen, sondern nur so wenige wie unbedingt nötig. Das ist der Grundsatz der Datensparsamkeit, den wir auch aus anderen Bereichen kennen. Dann könnte man auch über eine zeitliche Befristung nachdenken. Diese Pandemie wird ja hoffentlich irgendwann vorbei sein und wir müssen schauen, dass wir dann wieder auf den Stand von vorher kommen.

Warum ist das so wichtig?

Das klingt so umständlich, ist aber zentral, um schon vorab zu klären, wie tief der Grundrechtseingriff wird, welche Risiken es gibt. Die Datenschutz-Grundverordnung schreibt so eine Folgenabschätzung sogar vor, in der Praxis wird sie trotzdem gerne einfach nicht gemacht oder erst so spät, dass alle Fakten schon geschaffen sind. Aber wir sprechen ja in der Pandemie gerade ganz viel über Vertrauen und gute Kommunikation. Und so eine Datenschutz-Folgenabschätzung, die dann auch veröffentlicht wird, würde das Vertrauen in den Prozess und das Ergebnis deutlich stärken.

In Deutschland gibt es bislang kein zentrales Melderegister, die entsprechenden Daten werden dezentral erfasst. Mit einem zentralen Impfregister würde sich das ändern. Welche Risiken sehen Sie dabei?

Zunächst einmal birgt ein solches Register, ganz gleich wie es gestaltet ist, immer Missbrauchspotenzial bei allen zugriffsberechtigten Stellen. Die Zugriffsmöglichkeiten auf die Meldedaten sind ja in Deutschland durch die dezentrale Speicherung begrenzt und hier ist der Föderalismus mal ein echter Vorteil. Doch wenn neue Daten aggregiert werden oder Sammlungen erstellt, dann weckt das auch immer neue Begehrlichkeiten. Straf­ver­fol­ge­r:in­nen beispielsweise könnten hier ein großes Interesse daran haben. Aber die Daten könnten auch mit denen von anderen Behörden zusammengeführt werden. Und natürlich birgt ein zentrales Register ein immenses Risiko für Angriffe von außen.

Ließen sich solche Gefahren nicht abfedern, etwa dadurch, dass die Daten nicht im Klartext gespeichert werden, sondern gehasht, also in Form einer kryptografischen Prüfsumme? Dann würden An­grei­fe­r:in­nen ins Leere laufen.

Kryptografische Verfahren würden sicher helfen in Sachen Datensicherheit, ja. Aber missbräuchliche Abfragen von zugriffsberechtigten Personen könnten sie nicht ausräumen, ebenso wenig wie das Zusammenführen mit Daten von anderen Stellen.

Kommt es zu einer Impfpflicht, sind hierzulande neben einem zen­tralen Register auch andere Überprüfungswege in der Diskussion: Etwa könnten die Arbeitgeber befugt werden, bei Selbstständigen die Gewerbe- oder Gesundheitsämter. Was sagen Sie zu solchen Ideen?

Eine Überprüfung seitens der Arbeitgeber halte ich für sehr problematisch. Nicht umsonst bekommen die beispielsweise keine Informationen darüber, warum ein:e Ar­beit­neh­me­r:in krankgeschrieben ist. Davon ist man in der Pandemie einen großen Schritt abgerückt – zumindest in Österreich dürfen Arbeitgeber den Impfstatus abfragen. Begründet wurde das mit dem Schutz von anderen Mitarbeitenden. Gut möglich, dass das gerechtfertigt war, aber auch hier gilt: Wichtig ist, dass wir diese Schritte nach der Pandemie wieder rückgängig machen und nicht dauerhaft die Grundrechte aushöhlen.

In skandinavischen Ländern, in denen Impfregister und elektronische Patientenakten gängig sind, schaut man bei diesen Debatten häufig etwas verwundert auf den deutschsprachigen Raum.

Zunächst einmal: Auch in Dänemark etwa gibt es deutliche Kritik an der zentralisierten Speicherung von Gesundheitsdaten und auch an der Forschung mit Informationen aus diesen Datenbanken. Es ist also nicht so, dass in Ländern, die so etwas schon haben, alles unwidersprochen hingenommen wird. Aber grundsätzlich gilt: Datenschutz und Privatsphäre sind kulturspezifische Konzepte. Jede Kultur hat sie, aber überall sind sie unterschiedlich. Genauso wie etwa die Abstände, die man instinktiv zu anderen Personen einhält, kulturell unterschiedlich sind. Da muss nicht das eine besser oder richtig und das andere schlechter oder falsch sein, es geht hier einfach um unterschiedliche gesellschaftliche Konsense, Vereinbarungen und Rechtstraditionen. Und die lassen sich nicht einfach so überstülpen.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Corona in Grafiken

Die Coronapandemie geht um die Welt. Welche Regionen sind besonders betroffen? Wie ist die Lage in den Kliniken? Den Überblick mit Zahlen und Grafiken finden Sie hier.

▶ Alle Grafiken

Coronavirus

Alle Artikel zum Thema

Die Kommentarfunktion unter diesem Artikel ist geschlossen.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Leser*innenkommentare

  • Pfanni

    Falsch verstanden. China ist nicht mein Vorbild und schon gar nicht mein großes.

    Aber ich finde, wenn es um die Gesundheit geht, sollten Kompromisse möglich sein, um Zeitverluste zu vermeiden!

    • Yossarian

      @Pfanni Genau, Kompromisse wie Impfpflicht z.B. ;-)

    • danny schneider

      @Pfanni Das Problem an Ihrer Argumentation ist, das es die gleiche ist wie von Leuten die behaupten das es nicht mit gutem Datenschutz ginge, die ganz andere Interessen verfolgen, und die Missbrauch bestehender Daten immer verharmlosen.

      In aller Regel kann man Lösungen finden die Datenschutz und Datensparsamkeit entsprechen. Die machen nur mehr Mühe, Kosten ggf. mehr und bringen natürlich nicht das was viele der oben genannten Gegner solcher Lösungen wollen: mehr Überwachung des Bürgers, mehr Daten für Polizei, Geheimdienste, etc...

      Daher sollte man vorsichtig sein, und sich nicht vor den Karren von anderen spannen lassen.

      Man könnte in Deutschland auch mit Datenschutz viel machen, ohne die schlechten Lösungen aus dem Ausland zu kopieren.

  • Luigi Nemo

    schwäbische Planspiele:

    https: // www. swr. de / swraktuell / baden-wuerttemberg / landesregierung-plant-pilotprojekt-zu-impfregister-100.html

  • danny schneider

    hätte man einfach die Krankenkarte bei der Impfung durchgezogen, hätten die Krankenkassen alle nötigen Daten.

    Mit welchem Impfstoff wurde bei welchem Alter mit welchen Vorerkrankungen, etc.. geimpft.

    Diese hätten diese Daten dem RKI anonymisiert z.B. nach Landkreis aufgeschlüsselt ganz leicht zur Verfügung stellen können.

    Und das wäre auch kein Problem mit dem Datenschutz: die Krankenkasse weis eh alles von mir.

  • Andreas Geiger

    Wer Menschen zu Objekten macht und nicht auf freiwillige Kooperation setzt zerstört den Zusammenhalt und das führt zu destruktiven Demotivation. Wollen wir also Vertrauen abschaffen ?

  • Pfanni

    Jedes Mal, wenn es um die Erhebung von Daten der Bürger geht, erheben (selbsternannte?) Datenschützer Protest! Weil sie automatisch erstmal das Selbstbestimmungsrecht der Bürger über ihre Daten verletzt sehen. Daran schließt sich oft ein quälend langdauernder Prozess der Rechtsfindung an. Währenddessen kommen die Entscheidungsträger wegen fehlender (Gesundheits-)Daten nicht weiter.

    Und wenn endlich Rechtssicherheit hergestellt ist, ist entweder die Datenerhebung rechtswidrig oder der zugrundeliegende Sachverhalt hat sich von selbst erledigt. Den Menschen die Hilfe brauchten, konnte nicht geholfen werden. Der Datenschutz hatte Vorrang.

    • Yossarian

      @Pfanni Glückliches China! Da wissen die Entscheidungsträger so ziemlich alles über ihre Schäfchen. Ohne quälende Rechtsfindung wird da einfach gemacht.

      www.sueddeutsche.d...enschutz-1.5391208

      Hätte allerdings von Ihnen nicht erwartet, dass die Chinesen Ihr grosses Vorbild sind. Klang bisher anders.

  • Benedikt Bräutigam

    Viel Rauch, wenig Feuer. Wo ist eigentlich das Problem? Datenschutz ist ja ganz nett, nur wo ist denn eigentlich der Verlust von Grundrechten? Selbstverständlich bekommen Arbeitgeber auch in Zukunft nur die Informationen, die sie brauchen. Natürlich entstehen auch Konsequenzen aus diesem möglichen Wissen, aber die gibt es ohne Impfregister auch, nämlich aus der Notwendigkeit Kollegen und Kunden zu schützen. Man sehe sich doch nur mal die aktuelle Praxis im Pflegebereich an, wogegen ja übrigens so recht niemand Einspruch erhebt. In Sachen Corona- Impfstatus müssen die Mitarbeiter ihren Arbeitgebern Auskunft geben und die müssen an die Gesundheitsämter melden, die dann erst wieder irgendwann über Konsequenzen entscheiden. Generell müssen Arbeitgeber natürlich auch Informationen über den Impfstatus ihrer Mitarbeiter haben. Das ist aktuell dann und dort ganz eindeutig, wo nach 2G- Regeln gearbeitet wird, es ist aber auch dort ganz vernünftig, wo es zum Beispiel um Auslandsreisen geht. Bei anderen Impfungen geht es die Arbeitgeber nichts an und dann bekommen sie die Informationen selbstverständlich nicht und dürfen sie auch nicht von Mitarbeitern oder Bewerbern erfragen. Das ist alles klsr geregelt. Überhaupt hat der Staat ja reichlich individuelle Daten von uns allen, die auch nicht in die falschen Hände geraten. Und auch die Arbeitgeber sind Datenschutzregeln und Arbeitsrecht unterworfen und dürfen ihrerseits keine Informationen weitergeben. Der hier gezeichnete Kontrollverlust ist weitestgehend imaginiert. Zudem ist die Frage zumindest dann und insoweit akademisch, falls die Corona- Impfpflicht kommt. Dann muss nämlich zumindest dafür ein Register eingerichtet werden.

  • Surfbosi

    Sorry, aber ich kann den Unsinn nicht mehr hören: wir haben doch in anderen Bereichen zentrale Speicherung von personenbezogenen Daten, z.b. im zentralen Fahrzeugregister. Dort sind die Halterdaten abgespeichert und verschiedene Einrichtungen können zugreifen. Über 60 Millionen Einträge. Ist das jetzt ein Problem? Ich befasse mich auch mit Datenschutz und DSGVO. Ein zentrales Register ist doch viel einfacher zu kontrollieren als 16 dezentrale Speicher. Ich kann doch mit einer zentralisierte EDV Anforderungen wie Datensparsamkeit und Löschfristen sicherstellen und kontrollieren. Wenn wir das nicht wollen kann man natürlich sagen, OK, einen einfachen Zugriff auf kfz-Halterdaten wollen wir auch nicht. Und dann? Es macht doch keinen Sinn Gesetze oder Vorschriften zu erlassen, wenn man sie nicht kontrollieren will oder kann. Wir sehen es doch am Impfpass. Kann jeder fälschen und dann noch zertifizieren lassen. Schlimmer geht's nimmer. Damit werden dann alle "echten" Impfpässe wertlos. Warum? Weil ich die Echtheit nicht einfach überprüfen kann. Ehrlich gesagt verstehe ich die Diskussion gar nicht. Wollen wir überhaupt eine EDV oder zurück in die Steinzeit? Aber Facebook ist cool! Im Ausland versteht so etwas niemand. Wahnsinn!

    • danny schneider

      @Surfbosi "Ist das jetzt ein Problem?"

      Ja ist es. Einfach mal informieren wie oft Behörden diese Daten abfragen und wie oft sich herausstellt das war widerrechtlich!

      In Berlin hat die Polizei mal wg. brennender Autos (3-4) die Funkmastdaten abgefragt. 6Mio Bürger im In & Ausland wurde wg. "linkem Terror" durchleuchtet. Am Ende stellte sich heraus: es war ein liebeskranker Anwohner. Die Abfragen waren unverhältnismäßig und in den meisten Fällen sogar rechtswidrig.

      Ggf. waren auch Sie dabei, ggf. steht jetzt in Ihren Daten bei der Schufa: Polizei hat Daten angefragt... und Ihre Kredite sind seither etwas teurer geworden.

      Verstehen Sie jetzt warum Datenschutz wichtig ist?

    • Sonnenhaus

      @Surfbosi Woher nehmen Sie die Gewissheit, dass ein digitaler Impfpass fälschungssicher ist? Sie befassen sich doch mit Datenschutz.

      Was ist an Facebook (Meta) cool? Nichteinmal der Umsatz ist cool, sondern Gesellschaftszerstörend.

      Ein zentrales Impfregister führt letztlich zu Meta-Datenbanken mit entsprechendem handling. Wollen Sie das? sie befassen sich doch mit Datenschutz, oder etwa nicht?

    • Marten de Trieste

      @Surfbosi Ich stimme voll zu. Gerade beim Kfz sehen wir, dass nicht nur jede Kommue, in der man falsch parkt, auf meine Daaten zugreifen kann, sondern dass diese Daten inzwischen auch an die private Parkplatzmafia weitergegeben werden, die angeblich Parkraum an Supermärkten, Bahnhöfen etc. „bewirtschaftet“. Daten zum Impfen liegen übrigens bereits vor, und zwar bei den Krankenkassen, die das alles bezahlen. Da ließe sich auch prüfen, wer wirklich geimpft ist und wer mit einem falschen Pass rumläuft. Aber Hilfe. Aufschrei. Den Zugriff will ich natürlich nicht. Meine Daten sind mir heilig. Sagte er, ging auf den Wochenmarkt, zahlte drei Gurken und eine halbe Sellerie mit Karte, dann in den Supermarkt, Parkhaus und Kasse mit Karte bezahlt, nachmittags ins Kino, Karten übers Internet bestellt, zum Abschluss ins Restaurant, natrtlich wieder mit Karte bezahlt und vor dem Insbettgehen schnell noch die Erlebnisse des Tages bei Instagram und Facebook gepostet. Aber Datenschützer beschäftigen sich schließlich auch mit total wichtigen Dingen: Als Betreiber mehrerer Homepages kann ich neuerdings abgemahnt werden, wenn ich in meinen AGB einen gesetzlich geforderten Link zwar schriftlich hinterlege, diesen aber nicht klickbar mache. Das sind die wahren Probleme, mit denen sich Datenschützer in Zeiten der Pandemie auf europäischer Ebene beschäftigen.