Datenschützer über Impfen: „Kein pauschales Register“
Österreich hat ein Impfregister, in Deutschland wird darüber diskutiert. Der Datenschützer Thomas Lohninger über Risiken und die Vertrauensfrage in der Gesellschaft.
taz am wochenende: Herr Lohninger, in Deutschland wird gerade über die Notwendigkeit eines Impfregisters diskutiert, Österreich hat schon eines. Was kann Deutschland von Österreich lernen?
Thomas Lohninger: Ich glaube, dass man von Österreich eher lernen sollte, wie man es nicht macht. Das hat mehrere Gründe: Erstens ist das Impfregister hier an die elektronische Gesundheitsakte angedockt. Bei der Gesundheitsakte kann man widersprechen, wenn man nicht mitmachen möchte, was auch absolut richtig so ist – aber im Impfregister landen die eigenen Daten trotzdem. Das verwirrt viele Menschen. Jetzt kann man natürlich in einer Pandemie argumentieren, dass so ein Register notwendig ist, um diese Pandemie zu bekämpfen. Aber da kommt der zweite Kritikpunkt dazu: Es werden auch Daten zu Impfungen gespeichert, die keine Auswirkungen auf Ansteckungsgefahren haben, wo es also ausschließlich um die Selbstgefährdung geht.
Tetanus zum Beispiel.
Genau. Oder jede Zeckenimpfung. Wenn das Argument für so ein Register ist, dass man es zur Pandemiebekämpfung braucht, dann sind so umfassende Daten nicht nötig. Außerdem gibt es etwas, das man bei Datensammlungen generell, aber ganz besonders wenn es um derart Sensibles wie Gesundheitsdaten geht, immer überlegen muss, nämlich: Muss ich das wirklich personenbezogen machen? Oder will ich eigentlich nur eine Statistik?
Dieser Text stammt aus der taz am wochenende. Immer ab Samstag am Kiosk, im eKiosk oder gleich im Wochenendabo. Und bei Facebook und Twitter.
Sie meinen, ob es tatsächlich darum geht, wer geimpft wurde oder nur um die Zahl der Geimpften?
Genau. In Österreich haben wir seit neuestem eine Impfpflicht, das Register soll da zur Kontrolle dienen. Aber wenn es nur darum geht, beispielsweise die Impfstofflogistik zu planen, dann muss man ja nicht wissen, wer geimpft ist, sondern nur, wie viele Menschen, vielleicht noch nach Region. Auf das Speichern persönlicher Daten kann und sollte man daher verzichten.
Was müsste also die Bundesregierung hierzulande gegebenenfalls besser machen?
Ich tue mich da sehr schwer einen Vorschlag zu machen, denn als Datenschützer bin ich nicht überzeugt davon, dass es so ein Register braucht. Ich finde, wenn eine Regierung sagt, ja, das muss sein, dann ist es ihre Aufgabe, einen Vorschlag zu machen, der so minimal wie möglich in die Privatsphäre der Menschen eingreift. Öffentliche Gesundheit ist sicher ein Ziel, mit dem sich viel rechtfertigen lässt und die Datenschutz-Grundverordnung gibt da auch entsprechende Spielräume. Aber man muss schon einmal gründlich nachdenken. Und zwar vorher.
Der Datenschutzexperte
Thomas Lohninger, 35, beschäftigt sich als IT-Experte vornehmlich mit Datenschutzfragen und ist Geschäftsführer der netzpolitischen Bürgerrechtsorganisation epicenter.works in Wien. Er hat einen Hintergrund als Programmierer und Anthropologe
Davor hat er Angst
Gleichgültigkeit gegenüber den Werten einer liberalen Demokratie
Das gibt ihm Hoffnung
Kreativer Protest und kluger Aktivismus
Welche Möglichkeiten gibt es denn, den Eingriff gering zu halten?
Zunächst mal sollte es kein pauschales Register sein. Es sollte also nicht alle Impfungen umfassen, sondern nur so wenige wie unbedingt nötig. Das ist der Grundsatz der Datensparsamkeit, den wir auch aus anderen Bereichen kennen. Dann könnte man auch über eine zeitliche Befristung nachdenken. Diese Pandemie wird ja hoffentlich irgendwann vorbei sein und wir müssen schauen, dass wir dann wieder auf den Stand von vorher kommen.
Warum ist das so wichtig?
Das klingt so umständlich, ist aber zentral, um schon vorab zu klären, wie tief der Grundrechtseingriff wird, welche Risiken es gibt. Die Datenschutz-Grundverordnung schreibt so eine Folgenabschätzung sogar vor, in der Praxis wird sie trotzdem gerne einfach nicht gemacht oder erst so spät, dass alle Fakten schon geschaffen sind. Aber wir sprechen ja in der Pandemie gerade ganz viel über Vertrauen und gute Kommunikation. Und so eine Datenschutz-Folgenabschätzung, die dann auch veröffentlicht wird, würde das Vertrauen in den Prozess und das Ergebnis deutlich stärken.
In Deutschland gibt es bislang kein zentrales Melderegister, die entsprechenden Daten werden dezentral erfasst. Mit einem zentralen Impfregister würde sich das ändern. Welche Risiken sehen Sie dabei?
Zunächst einmal birgt ein solches Register, ganz gleich wie es gestaltet ist, immer Missbrauchspotenzial bei allen zugriffsberechtigten Stellen. Die Zugriffsmöglichkeiten auf die Meldedaten sind ja in Deutschland durch die dezentrale Speicherung begrenzt und hier ist der Föderalismus mal ein echter Vorteil. Doch wenn neue Daten aggregiert werden oder Sammlungen erstellt, dann weckt das auch immer neue Begehrlichkeiten. Strafverfolger:innen beispielsweise könnten hier ein großes Interesse daran haben. Aber die Daten könnten auch mit denen von anderen Behörden zusammengeführt werden. Und natürlich birgt ein zentrales Register ein immenses Risiko für Angriffe von außen.
Ließen sich solche Gefahren nicht abfedern, etwa dadurch, dass die Daten nicht im Klartext gespeichert werden, sondern gehasht, also in Form einer kryptografischen Prüfsumme? Dann würden Angreifer:innen ins Leere laufen.
Kryptografische Verfahren würden sicher helfen in Sachen Datensicherheit, ja. Aber missbräuchliche Abfragen von zugriffsberechtigten Personen könnten sie nicht ausräumen, ebenso wenig wie das Zusammenführen mit Daten von anderen Stellen.
Kommt es zu einer Impfpflicht, sind hierzulande neben einem zentralen Register auch andere Überprüfungswege in der Diskussion: Etwa könnten die Arbeitgeber befugt werden, bei Selbstständigen die Gewerbe- oder Gesundheitsämter. Was sagen Sie zu solchen Ideen?
Eine Überprüfung seitens der Arbeitgeber halte ich für sehr problematisch. Nicht umsonst bekommen die beispielsweise keine Informationen darüber, warum ein:e Arbeitnehmer:in krankgeschrieben ist. Davon ist man in der Pandemie einen großen Schritt abgerückt – zumindest in Österreich dürfen Arbeitgeber den Impfstatus abfragen. Begründet wurde das mit dem Schutz von anderen Mitarbeitenden. Gut möglich, dass das gerechtfertigt war, aber auch hier gilt: Wichtig ist, dass wir diese Schritte nach der Pandemie wieder rückgängig machen und nicht dauerhaft die Grundrechte aushöhlen.
In skandinavischen Ländern, in denen Impfregister und elektronische Patientenakten gängig sind, schaut man bei diesen Debatten häufig etwas verwundert auf den deutschsprachigen Raum.
Zunächst einmal: Auch in Dänemark etwa gibt es deutliche Kritik an der zentralisierten Speicherung von Gesundheitsdaten und auch an der Forschung mit Informationen aus diesen Datenbanken. Es ist also nicht so, dass in Ländern, die so etwas schon haben, alles unwidersprochen hingenommen wird. Aber grundsätzlich gilt: Datenschutz und Privatsphäre sind kulturspezifische Konzepte. Jede Kultur hat sie, aber überall sind sie unterschiedlich. Genauso wie etwa die Abstände, die man instinktiv zu anderen Personen einhält, kulturell unterschiedlich sind. Da muss nicht das eine besser oder richtig und das andere schlechter oder falsch sein, es geht hier einfach um unterschiedliche gesellschaftliche Konsense, Vereinbarungen und Rechtstraditionen. Und die lassen sich nicht einfach so überstülpen.
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Anschlag in Magdeburg
Bis Freitag war er einer von uns
Elon Musk und die AfD
Die Welt zerstören und dann ab auf den Mars
Magdeburg nach dem Anschlag
Atempause und stilles Gedenken
Tarifeinigung bei Volkswagen
IG Metall erlebt ihr blaues „Weihnachtswunder“ bei VW
Jahresrückblick Erderhitzung
Das Klima-Jahr in zehn Punkten
Anschlag von Magdeburg
Aus günstigem Anlass