Drittes Bevölkerungsschutzgesetz: Massenhafte Datenspeicherung beim RKI

Das Anti-Pandemiegesetz der Großen Koalition zentralisiert die Gesundheitsdaten von Betroffenen bei einer Bundesbehörde. Datenschützer schlagen Alarm.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 561 Beiträge

(Bild: SOMKID THONGDEE/Shutterstock.com)

Von
  • Fabian A. Scherschel

Das am Mittwoch von Bundestag und Bundesrat verabschiedete "Dritte Gesetz zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite" (kurz auch: "Drittes Bevölkerungsschutzgesetz") sieht eine nie zuvor dagewesene Konsolidierung von Patientendaten bei einer Bundesbehörde vor.

In den weitreichenden Änderungen des Infektionsschutzgesetzes (IfSG), die von der Großen Koalition umgesetzt wurden, wird unter anderem eine neue zentrale Sammelstelle für digitale Personendaten beim Robert-Koch-Institut (RKI) eingerichtet. Das RKI wird neben Meldedaten zu SARS-CoV-2-Infektionen demnach auch Patientendaten zu allen Impfungen gegen das Coronavirus und über die Reisebewegungen deutscher und ausländischer Bürger erhalten.

Das deutsche elektronische Melde- und Informationssystem für den Infektionsschutz (DEMIS) ist laut RKI eine Weiterentwicklung des bestehenden Systems zur Verarbeitung von Krankheitsmeldungen nach dem IfSG. Mit dem neuen Gesetz werden nun alle meldepflichtigen Stellen veranlasst, ihre Daten an dieses System zu übermitteln.

Neben den üblichen Patienten- und Kontaktdaten müssen jetzt auch die lebenslange Arztnummer (LANR) des behandelnden Arztes und die Betriebsstättennummer (BSNR) seiner Gesundheitseinrichtung übermittelt werden. Zusätzlich wird die Ortsangabe bei der Übermittlung der Daten von Infizierten präzisiert.

Außerdem sollen die Daten von Patienten an das RKI geschickt werden, die Impfungen gegen das SARS-CoV-2-Virus erhalten. Das soll in pseudonymisierter Form erfolgen und dient der Überprüfung der Wirksamkeit der Impfstoffe durch das Robert-Koch-Institut und das Paul-Ehrlich-Institut (PEI). Obwohl das PEI für die Zulassung und Prüfung von Impfstoffen zuständig ist, lagern die Daten im DEMIS beim RKI.

Weiterhin erhält das RKI nun auch Daten über Personen, die aus Risikogebieten in die Bundesrepublik einreisen und stichprobenartig von Bundesbürgern, die eine Bundesgrenze übertreten.

Laut der angestrebten Gesetzesänderung liegt die Kontrolle dieser Maßnahmen nach datenschutzrechtlichen Gesichtspunkten allein beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Ulrich Kelber (SPD). Datenschutzbeauftragte der Länder sind somit außen vor.

Als Antwort auf eine Anfrage von heise online mit Bitte um Stellungnahme zu den Gesetzesänderungen verwies Kelber auf eine generische Stellungnahme zu dem Thema von Anfang vergangener Woche. Darin heißt es: "Erneut werden mit dem Gesetz verschiedene Meldepflichten oder Übermittlungen personenbezogener Daten eingeführt oder erweitert, ohne zu berücksichtigen, dass die Verarbeitung von Gesundheitsdaten, also besonders geschützten personenbezogenen Daten, einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung darstellt und daher sorgfältig zu begründen und zu rechtfertigen ist und besondere flankierende Maßnahmen zum Schutz der sensiblen Daten vorzusehen sind."

Der Bundesdatenschutzbeauftragte kritisiert außerdem die Hast, mit der das Gesetz vorgelegt und verabschiedet wurde. Das habe es kaum möglich gemacht, zu prüfen, ob es datenschutzrechtlich unbedenklich ist. Eine ganze Reihe von Vorschlägen Kelbers, die Datensammlung einzuschränken oder etwa die Nutzung der Daten und deren Empfänger zu präzisieren, scheint nicht berücksichtigt worden zu sein. Weiter heißt es in der Stellungnahme zur Erhebung von Pandemiedaten durch das RKI: "Allgemein sehe ich mit Besorgnis, dass die Gewinnung von Erkenntnissen zunehmend gesetzlich vorgesehen und bundesweit zwingend durch staatliche Stellen vorgesehen wird. Dies übergeht die in Deutschland durchaus vorhandenen Möglichkeiten klinischer und wissenschaftlicher Forschung, die einwilligungsbasiert erfahrungsgemäß zuverlässige Ergebnisse liefert."

Nach der Lektüre der Stellungnahme Kelbers drängt sich durchaus der Schluss auf, dass die Regierung gar nicht an einer Einschätzung ihres Datenschutzbeauftragten interessiert war. Anders lässt sich wohl nur schwer erklären, dass dieser nicht direkt in den Entwurf oder wenigstens zeitnah in die Änderungen des Dritten Bevölkerungsschutzgesetzes eingebunden war.

Oder wie Kelber es ausdrückt: "Diese extrem kurzen Fristen erschweren eine sachgerechte Bearbeitung erheblich und erscheinen zu einem Zeitpunkt, zu dem die Pandemie-Lage seit mehr als sieben Monaten besteht, nicht angemessen." Das passt zur Kürze, in der das entsprechende Gesetz verfasst und Bundestag und Bundesrat zur Abstimmung vorgelegt wurde – was auch eine Reihe von Abgeordneten der Opposition in der gestrigen Aussprache des Bundestags zum Thema ausdrücklich bemängelten.

Obwohl Melde- und Gesundheitsdaten in Deutschland nicht auf der Ebene des Bundes erfasst oder gespeichert werden, institutionalisierte das IfSG mit Inkrafttreten am 1. Januar 2001 das Robert-Koch-Institut als neue Bundesbehörde für die Erfassung und Speicherung von Patienten- und Gesundheitsdaten im Zusammenhang mit meldepflichtigen Krankheiten. Diese Position wird mit der neuerlichen Überarbeitung des Gesetzes verstärkt. Die Daten von Personen, die an COVID-19 erkrankt sind, mit dem SARS-CoV-2- Virus infiziert wurden oder in Verdacht stehen, infiziert worden zu sein oder andere anstecken zu können, werden somit nun direkt an das RKI übermittelt. Dazu zählen auch die Daten von Personen, die nach Deutschland einreisen oder einreisen wollen.

Ebenso müssen nun auch private Beförderer (etwa im öffentlichen Personennahverkehr, die Deutsche Bahn und Fluggesellschaften) eine Reihe von Gesundheitsdaten, Impfdokumente, Testergebnisse und Angaben zu Symptomen erheben und übermitteln. Gleiches gilt für die Bundespolizei und andere Polizeibehörden, die zusätzlich bei Nichtvorhandensein von Impf- oder Testdokumenten eine entsprechende grenzübertretende Person zur Durchführung eines Tests auf SARS-CoV-2 (gemeint ist hier wohl aktuell eine Feststellung per Nasenabstrich und RT-PCR) zwingen kann. Hinzu kommen die (pseudonymisierten) Daten all jener Patienten, die einen Impfstoff gegen das SARS-CoV-2-Virus erhalten.

Das Robert-Koch-Institut erhält in Zukunft die Daten hunderttausender, wenn nicht sogar von Millionen von Bundesbürgern. Die neue Gesundheits-Cloud DEMIS wird zur Speicherung und Analyse dieser Daten vom RKI betrieben und zusammen mit der Gesellschaft für Telematik (Gematik) entwickelt, die auch für die elektronische Patientenakte (ePA) zuständig ist. Ob DEMIS technisch gesehen unbedenklich ist und sicher implementiert wurde, wird man sehen müssen. Bisher scheint es dazu kaum Erkenntnisse zu geben. Auf der datenschutzrechtlichen Seite sprechen die Bedenken des Bundesdatenschutzbeauftragten eine klare Sprache. Und schließlich könnte die verstärkte Datensammelei des RKI wohl auch an der von Experten teilweise postulierten Verfassungswidrigkeit des Dritten Bevölkerungsschutzgesetzes scheitern.

(olb)