Gerade war der elektronische Impfpass noch ein digitales Pilotprojekt, eine Datenbank zur Erfassung der Grippeimpfung. Dann avancierte diese angesichts der Corona-Pandemie zum Instrument, mit dem Covid-19-Impfungen erfasst werden. Und nun mutiert der digitale Datenpool zur potenziellen Grundlage für den künftig auch international gültigen "Grünen Pass" der EU.

Mit diesem "Grünen Pass" soll europaweit nicht nur eine Corona-Impfung, sondern auch eine überstandene Covid-19-Infektion oder ein negativer Corona-Test belegt werden. Das könnte gewisse Freiheiten zurückbringen, insbesondere die Reisefreiheit über die Grenzen des eigenen Landes hinaus. Die Nutzung von Gesundheitsdaten für andere als rein gesundheitliche Zwecke wirft allerdings viele Fragen auf.

EU-Kommissionspräsidentin Ursula von der Leyen will noch in diesem Monat einen Gesetzentwurf für einen "digitalen grünen Pass" vorlegen. Die EU-Staaten einigten sich vergangene Woche bei einem EU-Gipfel im Grundsatz auf einen europaweit gültigen Impfausweis.

Wie dieser Ausweis technisch umgesetzt wird, ist noch offen. Angedacht wurde ein einheitlich lesbares Dokument mit QR-Code, das man auf Papier oder via Smartphone bei sich trägt. Die technischen Vorbereitungen sollen in drei Monate, also bis Ende Mai, abgeschlossen sein. Damit wäre das Ganze zur Sommersaison fertig.

Diese Aussichten erfreuen naturgemäß alle Tourismus-Länder, auch Österreich. Um die Daten international verfügbar zu machen, müssen jedoch erst noch die nationalen Systeme der 27 EU-Staaten angepasst und verknüpft werden. Angesichts der sensiblen Daten, mit denen da gearbeitet wird, gibt es zunehmend Bedenken. So hat sich bereits die italienische Datenschutzbehörde gegen die Einführung eines Passes für Corona-Geimpfte ausgesprochen, zunächst sei ein entsprechendes Gesetz zum Datenschutz notwendig, hieß es.

Impfnachweis als Eintrittskarte

Auch in Österreich mehren sich die kritischen Stimmen, die davor warnen, Gesundheitsdaten derart umfassend zu nützen. Zudem wird hierzulande auch noch darüber nachgedacht, den Impfausweis als Eintrittskarte für den Besuch im Wirtshaus, in Sportstätten oder bei kulturellen Veranstaltungen zu nützen.

Außerdem möchte man gerne zusätzlich noch für Statistiken, etwa zu Impffortschritt und Infektionen, auf die Daten des E-Impfpasses zugreifen können. Die Daten aus dem E-Impfpass in der Gesundheitsakte Elga sollen dafür in das Epidemiologische Melderegister (EMS) des Gesundheitsministeriums kopiert werden und von dort ins Bundesrechenzentrum (BRZ), für das das Wirtschaftsministerium zuständig ist.

Diese Pläne einer technischen Umsetzung lösen heftige Datenschutz-Bedenken aus. In Elga könne noch jeder nachvollziehen, wer auf die Daten zugreife, das sei mit dem nun angekündigten Vorgehen nicht mehr der Fall, kritisierte etwa der Wiener Gesundheitsstadtrat Peter Hacker (SPÖ). Ähnlich argumentierte Neos-Gesundheitssprecher Gerald Loacker: "Die Regierung saugt die Daten aus dem sicheren System ab, kopiert sie und spielt sie in ein weniger sicheres System ein."

Auch hinsichtlich der internationalen Verwendung der Gesundheitsdaten gibt es Mahnungen zur Vorsicht. Gesundheitsminister Rudolf Anschober (Grüne) versuchte zuletzt zu beruhigen: Der "Grüne Pass" sei ohnehin erst ein Thema, "wenn wir bei einer breiten Durchimpfung von 50, 60 oder 70 Prozent sind. Derzeit haben wir eine Impfrate von 4,5 Prozent."

Offenbar wurde jedoch bereits eine Arbeitsgruppe eingerichtet, die weitere technische Möglichkeiten ausloten soll. Bis Mitte März soll es hierzu eine Lösung geben. Am 14. März ist dem Vernehmen nach auch eine Sitzung des Aufsichtsrates bei Elga geplant.

Kritik der Datenschützer

Datenschützer kritisieren indessen auch das, beim österreichischen E-Impfpass fehlende, Widerspruchsrecht. Bei der Gesundheitsakte Elga darf jeder entscheiden, ob seine Gesundheitsdaten einsehbar werden (opt-out). Das gibt es beim E-Impfpass nicht, bei dem zudem weitaus mehr Stellen Einsicht in die Daten bekommen als bei der Gesundheitsakte.

"Das ist aus verfassungsrechtlicher Sicht sehr bedenklich", urteilt man bei Epicenter Works. "Zumindest hätten wir uns gewünscht, dass man der Eintragung von Impfungen widersprechen kann, die ein rein individuelles Risiko betreffen und bei denen keine Gefährdung der Allgemeinheit vorliegt, wie bei FSME." Zum E-Impfpass werde man leider "zwangsverpflichtet", so die Datenschutz-Plattform.

Ob die breite Nutzung der Gesundheitsdaten überhaupt mit der Datenschutzgrundverordnung (DSGVO) konform geht, sei ebenfalls noch nicht erwiesen. Insbesondere beim Datenminimierungsgrundsatz sehen die Experten Probleme: "Eine Übertragung der Daten ans BRZ mag für das Sozialministerium bequem sein; dass so eine Mehrfachdatenhaltung dem Datenminimierungsgrundsatz entspricht, ist aber sehr fraglich", meint man bei Epicenter Works.

Papier ist sicherer

Wie müsste aber dann ein internationaler Impfnachweis aussehen, um datenschutzrechtlich korrekt zu sein? Epicenter Works gibt den Aufwand einer digitalen Lösung zu bedenken: "Ein elektronischer Impfausweis, der allein zur Prüfung von Impfnachweisen Anforderungen an die ständige Verfügbarkeit von IT-Infrastruktur stellt, ist höchst fraglich."

Die Datenschutz-Organisation empfiehlt, dass man sich doch auf die Papierform besinnen möge. Und hier sei auch schon seit längerem eine Lösung vorhanden: "Es gibt mit dem gelben Impfpass der WHO bereits einen international anerkannten Standard, der billig und heute schon verfügbar ist. Es wäre viel praktischer auf bestehende Systeme zu setzten, als die Menschen mit dieser Datensammelwut von der Impfung abzuschrecken."