Gesundheitsdaten sind besonders schützenswert. Zur Eindämmung der Pandemie hätte aber selbst deren Schutz seine Grenzen, sagen Fachleute.
Welche Berufe sind speziell in der Covid-19-Pandemie einem besonders hohen Ansteckungsrisiko ausgesetzt? Welchen Einfluss haben Vorerkrankungen und Medikamente? Und: Inwieweit führen Reinfektionen mit dem Coronavirus zu schweren Krankheitsverläufen? Auf Fragen wie diese gibt es noch keine befriedigenden Antworten. Und es wird sie vermutlich auch nicht so schnell geben, denn man müsste mit den Gesundheitsdaten der Betroffenen arbeiten, um sie zu finden. Gerade Gesundheitsdaten sind aber hoch sensibel und besonders schützenswert, der Datenschutz wird daher oft als unüberwindbare Hürde für etwaige Evaluierungen oder die Zusammenarbeit der Behörden genannt - ein Teufelskreis?
Nicht unbedingt, meint Georg Markus Kainz, Präsident des Datenschutzvereins "Quintessenz". "Datenschutz wird sehr oft an falscher Stelle als Ausrede verwendet, um strukturelle Probleme zu verdecken", so Kainz zur "Wiener Zeitung". Oder anders gesagt: "Es ist Aufgabe der Politik, Lösungen für Probleme zu finden. Dafür muss sie abklären, was notwendig ist, um dieses Ziel zu erreichen - und nicht den umgekehrten Weg gehen und sagen, was aufgrund des Datenschutzes nicht möglich ist."
"Geheimrätliche Tradition"
Gesundheitsökonom Thomas Czypionka vom Institut für Höhere Studien und Politikwissenschafterin Katharina T. Paul gehen noch weiter. Datenschutz-Bedenken werden in ihren Augen oft wegen anderer Interessen vorgeschoben. "Der Datenschutz wird gerne als Vorwand benutzt, um die Politik vor der Evaluierung zu schützen", sagt Paul. "Dabei sollten eigentlich die Bürgerinnen und Bürger geschützt werden." In Österreich entstand gerade bei Informationen der öffentlichen Hand eine Kultur der Verschwiegenheit. Die gebe es besonders in Zentral- und Osteuropa, "wo diese monarchistische, ein bisschen geheimrätliche Tradition vorherrscht", sagt Czypionka.
Wie immer bei Datenschutzfragen gehe es um eine Güterabwägung, sagt Paul: "Im Falle von Daten zur Pandemie wäre der Wert einer Verknüpfung ein sehr hoher." Erstens zur Beobachtung des Infektionsgeschehens, zweitens zur Bewertung des Pandemiemanagements. Und drittens zur demokratischen Evaluierung politischer Entscheidungen.
Selbst Datenschützer Kainz zieht keine starren Grenzen. Ist die Herausgabe sensibler Daten wie zur Gesundheit notwendig, um die Pandemie einzudämmen, sei diese "auf jeden Fall" auch unter den Vorzeichen der EU-Datenschutz-Grundverordnung (DSGVO) gerechtfertigt. Der Schutz persönlicher Daten sei, genauso wie jener der Menschenrechte, immer Abwägungssache, meint auch Kainz. Er soll der Einzelperson ihren sicheren Raum geben, erlaubt aber auch Eingriffe in diesen - immer in minimaler Form und als Abgleich, wenn das Recht auf Gesundheit für die Allgemeinheit höher einzuschätzen sei als der Datenschutz.
Dieser sei auch nie separiert zu betrachten, so Kainz. Es reduziere sich immer auf die Frage: "Welche Rechte beschneidet man, um ein höheres Ziel zu erreichen?" Es sei Sache der Politik, hier zu entscheiden.
Anonymisiert kein Problem
Freilich dürfe man nie zu leichtfertig Daten weitergeben. Selbst in Pandemie-Zeiten brauche es stets das vernünftige Augenmaß. Für Forschungszwecke Gesundheitsdaten anonymisiert weiterzugeben, wie zuletzt auch auf internationaler Ebene gefordert, ist laut Kainz zum Beispiel kein Problem. Kritischer könnte es indes bei der Weitergabe personalisierter Daten von einer Behörde zur anderen werden. Die Corona-Ampelkommission, der auch Vertreter des Gesundheitsministeriums angehören, hat zuletzt die Verknüpfung der Gesundheitsdaten von Bund, Ländern und Sozialversicherungen gefordert. Diese soll gemäß der DSGVO natürlich "sorgsam geprüft" werden, heißt es auf Nachfrage aus dem Ministerium. "Die Bezirksbehörde muss wissen, wer an Covid-19 erkrankt ist, um die Pandemie auf Bezirksebene zu regeln", präzisiert Kainz. "Es stellt sich aber die Frage, warum auch das Gesundheitsministerium die konkreten Namen der Betroffenen braucht - und was es damit macht."
Denn ist einmal der Datenschutz etwa durch eine Gesetzesänderung überschritten, dann werden die nächsthöheren Instanzen bis hin zum Europäischen Gerichtshof für Menschenrechte nicht selbst aktiv. Um den Schutz der Daten im ursprünglichen Ausmaß zurückzuerobern, braucht es einen Kläger - und dieser braucht Geld, Durchhaltevermögen und Zeit. Und: "Sollte er auch erfolgreich sein, so gilt zumindest bis dahin das den Datenschutz überschreitende Gesetz", sagt Kainz.
Beim Grünen Pass, der künftig als Nachweis einer Corona-Impfung, -Testung oder -Genesung als Eintrittskarte ins Restaurant oder in den Konzertsaal gelten soll, sieht Kainz per se kein Problem. "Wenn sich ein Geimpfter damit ausweist, dass er nicht ansteckend ist, und sich dadurch freier bewegen kann, ist das nicht problematisch", sagt er - sobald der ebenfalls geplante QR-Code diese Bewegungen zentral speichert aber sehr wohl. Denn um den QR-Code zu überprüfen, müssen jedes Mal die gespeicherten Informationen (Testergebnis, wann genesen oder wann und womit geimpft) in der Datenbank im Bundesrechenzentrum nachgeschlagen werden. Damit wird jedoch zentral auswertbar, wann, wo und wer sich bei wem gerade ausweisen möchte, und ein genaues Bewegungsmuster könnte erstellt werden.
Übergeordnetes Gremium?
Die elektronische Gesundheitsakte Elga, mit der Gesundheitsdaten österreichweit und über die unterschiedlichen Einrichtungen hinweg verfügbar gemacht werden, sieht Kainz ebenfalls kritisch. Der allgemeine Nutzen für das Gesundheitswesen erschließe sich den Datenschützern nicht, sagt er. Ganz im Gegenteil. "Sobald Daten da sind, können Begehrlichkeiten entstehen."
Datenschutz sei immer eine Herausforderung, "sie ist aber technisch und/oder rechtlich lösbar", sagt Komplexitätsforscher Peter Klimek zu dieser Zeitung. Klar sei: Gerade verknüpfte Daten müssten besonders geschützt werden. Und "der Benefit der Auswertung" müsse das beim Verarbeiten von Daten immer bestehende Risiko ausgleichen. Klimek schlägt ein Gremium vor, das - wie in skandinavischen Ländern bereits üblich - etwa für jedes einzelne Forschungsvorhaben genau festlegt, zu welchem Zweck und für welche Dauer Daten eingesehen werden dürfen.