Known Traveller, elektronischer Impfpass und DSGVO: Alles schon vorbereitet

4. 03. 2021 | Hören | Schaut man sich die Datenschutzgrundverordnung (DSGVO) der EU von 2018 genauer an, so findet man Regelungen, die einen elektronischen Impfpass vorbereiten und sehr schön mit dem Known Traveller Prinzip von Weltwirtschaftsforum, Accenture und Co. harmonieren.

Die DSGVO gilt seit Mai 2018. Das Known Traveller Digital Identity-Konzept wurde zu Jahresanfang 2018 auf der Jahrestagung des Weltwirtschaftsforums in Davos vorgestellt. Die Roadmap der EU-Kommission zum EU-weiten elektronischen Impfpass stammt ebenfalls aus dem Jahr 2018.

Spahn und die Roadmap der EU zum digitalen Impfausweis

Und so ist es vielleicht kein Zufall, dass das DSGVO-Gesetz Formulierungen enthält, die diesen Projekten Freifahrtscheine geben. Darauf hat mich Lars Kühl aus Hamburg aufmerksamerweise hingewiesen.

In Artikel 1 Abs. 2 des DSGVO-Gesetzes heißt es, dass die DSGVO die Grundrechte und Grundfreiheiten natürlicher Personen schütze, insbesondere deren Recht auf Schutz personenbezogener Daten. Im folgenden Absatz 3 wird aber direkt verfügt, dass diese Grundrechte hinter dem freien Verkehr personenbezogener Daten zurückstehen müssen. Wörtlich:

Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.“

Artikel 9 Absatz 1 verbietet es, bestimmte sensible Daten zu erheben und zu verarbeiten, darunter biometrische Daten zur eindeutigen Identifizierung und Gesundheitsdaten. Ausführlich und wörtlich:

Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“

Ganz schlecht für einen elektronischen Impfpass. Eigentlich!

Danach kommen in Absatz 2 die Ausnahmen, zu denen zuvorderst freiwillige Einwilligung zählt. Dies zu nutzen, ist das Prinzip von Known Traveller. Man gibt „freiwillig“ an Reise-Kontrollpunkten seine Daten her. Dass man, wenn man die „freiwillige“ Datenfreigabe verweigert, in langen Schlangen warten darf und besonders intensiv überprüft wird, steht auf einem anderen Blatt und lässt sich über die DSGVO wohl kaum verhindern.

Richtig interessant wird es ab Buchstabe g) von Absatz 2. Da heißt es zuerst noch ganz vernünftig, dass die Verarbeitung der besonders sensiblen Daten für Zwecke des öffentlichen Interesses unter Wahrung der Verhältnismäßigkeit erlaubt ist. Aber dann kommt in Buchstabe i) die Spezialausnahme:

Die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten (…) erforderlich.“

Das heißt: Wenn halbwegs plausibel gemacht werden kann, dass eine Maßnahme gegen schwerwiegende grenzüberschreitende Gesundheitsgefahren hilft, wie zum Beispiel die Pflicht zum Führen eines elektronischen Impfpasses mit biometrischer Identifizierung, dann gibt es kein Erfordernis der Freiwilligkeit und keine Prüfung der Verhältnismäßigkeit. Denn die entsprechende Einschränkung wie in Buchstabe g) fehlt in dieser Impfpass-Spezialvorschrift.

Das ist nicht nur eine Spezialausnahme für den verpflichtenden elektronischen Impfpass. Es ist indirekt auch eine für das Known Traveller Konzept. Denn dieses wird momentan mit dem Rückenwind der Pandemie massiv über die Impfausweise für Reisezwecke vorangetrieben.

Lufthansa macht ganz vorne mit bei ID2020, Known Traveller und demnächst Impfpflicht

Wenn das einmal als Voraussetzung für das Reisen implementiert ist, steht einer Ausweitung auf weitere Daten, die in den Known-Traveller- und ID2020-Konzepten ausdrücklich vorgesehen ist – kaum noch etwas im Wege. Ein Zurück wird es nicht geben. Papiere bitte! wird es künftig an jeder Ecke heißen.

Das gleiche gilt übrigens generell für den freien EU-Gesundheitsdatenmarkt, der in Buchstabe h) eine Spezialausnahme bekommt.

Die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich.“

Also im gesamten Gesundheits- und Sozialbereich keine Verhältnismäßigkeitsprüfung. Keine Freiwilligkeit. Wir erleben das ja schon mit der verpflichtenden elektronischen Gesundheitskarte. Die genannten Bedingungen in Absatz 3 beziehen sich darauf, dass die Verarbeiter einer Geheimhaltungspflicht unterliegen müssen, was natürlich überhaupt nicht vor Datenhacks und -lecks der überall in Europa herumschwirrenden Gesundheitsdaten schützt und auch nicht davor, dass die Krankenversicherer und andere die Daten über unsere Gesundheit irgendwann gegen uns verwenden.

Aber das nur als Nebenbemerkung. Zu sehen ist deutlich, dass man den verpflichtenden elektronischen Impfpass bei der Abfassung des DSGVO-Gesetzes bereits deutlich im Blick hatte. In Österreich wird er schon zur Pflicht gemacht.

ID2020 in Österreich: Elektronischer Impfpass wird zwingend

Mehr

Dossier zur digitalen (biometrischen) Identität, wo es derzeit überall Schlag auf Schlag geht

Änderungshinweis: In der ersten Version hatte ich geschrieben, dass DSBVO-Gesetz sei im Mai 2018 verabschiedet worden. Tatsächlich GILT es seit Mai 2018.