RKI plant Impfkampagnen: Jeder Piks registriert

Die Pläne für ein Impfregister, in dem alle Sars-CoV-2-Geimpften stehen, sind ziemlich weit. In Sachen Datenschutz und -sicherheit ist vieles unklar.

Ein Impfstoff wird injiziert.

Zu den Risiken und Nebenwirkungen fragen Sie Ihre Datenschutzbehörde Foto: dpa

BERLIN taz | In den Empfehlungen zur Sars-CoV-2-Impfung, die der Deutsche Ethikrat, die Wissenschaftsakademie Leopoldina und die Ständige Impfkommission diese Woche vorgestellt haben, klang es noch wie eine Empfehlung: der Aufbau einer zentralen Datenbank. In der sollen Angaben zu den Geimpften und dem jeweils verwendeten Impfstoff stehen. Doch ein Blick in die Nationale Impfstrategie, Stand Anfang November, des Gesundheitsministeriums zeigt: Eine derartige Datenbank ist nicht nur geplant, sondern wird bereits vom Robert-Koch-Institut (RKI) entwickelt.

Die Datenbank verfolgt zweierlei Ziele: Auf der einen Seite wollen die Behörden einen Überblick darüber bekommen, wie viele Menschen geimpft wurden und wie sich diese Impfungen örtlich und innerhalb der Bevölkerung verteilen. Auf Basis dessen kann dann, so sieht es die Impfstrategie vor, gegebenenenfalls mit Impfkampagnen nachgesteuert werden. Zum Beispiel, wenn sich in einer Region oder einer Altersgruppe besonders wenig Menschen impfen lassen. Auf der anderen Seite sollen sich Wirksamkeit und auch mögliche Nebenwirkungen von Impfungen überblicken lassen. Dafür ist vorgesehen, in dem Register unter anderem das Datum der Impfung, das verwendete Produkt mit Name und Chargennummer sowie die Dosis zu vermerken.

Dazu kommen eine Reihe von Daten zu den geimpften Personen. So heißt es in der Impfstrategie, dass „Alter, Geschlecht, Wohnort (Land-/Stadtkreis), Impf-Indikation“ in das Register eingestellt werden sollen. Die Erhebung der genannten Daten ist verpflichtend: Die Zentren, die die Impfungen durchführen, müssen sie via Onlineformular an das RKI übermitteln, das die Daten dann „in Echtzeit“ vorliegen hat. Die erhobenen Daten sollen zudem „in aggregierter Form“ weitergegeben werden. Genannt sind an dieser Stelle das Gesundheitsministerium, das Paul-Ehrlich-Institut, das unter anderem die Qualität von Impfstoffen überwacht, die Bundesländer und die Bundeszentrale für gesundheitliche Aufklärung.

In der Impfstrategie ist ausdrücklich davon die Rede, dass lediglich „nicht-personenbezogene Angaben“ erhoben werden. Doch in der Behörde des Bundesdatenschutzbeauftragten möchte man nicht ausschließen, dass es am Ende doch um personenbezogene Daten gehen könnte. Einer der Faktoren wäre beispielsweise, wie der Punkt „Wohnort“ in der Datenbank umgesetzt wird. Ein Landkreis oder eine kreisfreie Stadt sollte, so die Einschätzung der Behörde, weit gefasst genug sein, um in Kombination mit Alter und Geschlecht einen Personenbezug zu vermeiden.

Postleitzahl entscheidet

Anders sieht es aus, wenn am Ende Postleitzahlen erhoben werden. Diese in Kombination mit Alter und Geschlecht würden gerade in dünn besiedelten Gegenden Rückschlüsse zulassen. Und tatsächlich ist im Entwurf für das Dritte Bevölkerungsschutzgesetz, das das Bundeskabinett Ende Oktober verabschiedet hat, von Postleitzahlen die Rede. Die sollen von den Impfzentren nicht nur ans Robert-Koch-Institut, sondern auch ans Paul-Ehrlich-Institut übermittelt werden. Der Bundesdatenschutzbeauftragte hat die Übermittlung der Postleitzahl bereits kritisiert. Und es gibt einen weiteren entscheidenden Unterschied: Soll laut Impfstrategie das Alter erhoben werden, ist in dem Gesetzentwurf von „Geburtsmonat und -jahr“ die Rede, die im Impfregister landen sollen.

Welche der Angaben es denn nun sein werden, die am Ende im Impfregister landen – Geburtsmonat und -jahr oder nur Alter, Postleitzahl oder nur Landkreis –, das beantwortete das Gesundheitsministerium bis Redaktionsschluss nicht.

Auch darüber hinaus sind für die Sicherheit und den Schutz der Daten zentrale Fragen offen. Etwa: Wer hat Zugriff auf die Daten? Wie sind sie verschlüsselt? Wie lange sollen sie gespeichert werden? Werden sie mit anderen Daten zusammengeführt? Zum Beispiel mit den Leistungs- und Abrechnungsdaten der Krankenkassen? Die soll das RKI nämlich später ebenfalls nutzen, um Rückschlüsse zu ziehen auf die Dauer der Impfwirkung und eventuelle Nebenwirkungen. Außerdem sollen „digitale Gesundheitsdaten“ ausgewertet werden.

Was damit gemeint ist, beantwortet das RKI nicht; auch nicht, ob Daten zusammengeführt werden sollen und was in Sachen Datensicherheit und Zugriffsrechte geplant ist. Man befinde sich „noch in der Konzeptionsphase“, so Sprecherin Susanne Glasmacher. „Bei der Konzeption spielen natürlich die Frage, wer Zugriff hat, und Aspekte zum Datenschutz eine zentrale Rolle“. Die Behörde des Bundesdatenschutzbeauftragten wurde nach eigenen Angaben bislang nicht in den Prozess eingebunden.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de

Ihren Kommentar hier eingeben