Corona-Krise: Spahn will auch Daten von Nicht-Infizierten

Bundesgesundheitsminister Jens Spahn bei der Vorstellung des Gesetzesentwurfs. Screenshot von YouTube-Video des BMG

Während die Aufmerksamkeit auf den Immunitätsnachweis gerichtet ist, plant Spahn mit seinem zweiten Pandemieschutzgesetz unverhältnismäßige Grundrechtseingriffe. Der fleißige Herr Spahn - Mit Vollgas gegen den Datenschutz - Teil 4

Noch vor einigen Wochen hatte der Bundesgesundheitsminister die Bedeutung des rechtsstaatlichen Verhältnismäßigkeitsprinzips hervorgehoben. Auf die Frage von ARD-Moderator Zamperoni, ob man nicht besser den Karneval abgesagt hätte, entgegnete Spahn [1]: "Die Frage ist natürlich immer auch die der Verhältnismäßigkeit."

Das war Ende Februar. Jetzt muss sich der Bundesgesundheitsminister den Vorwurf gefallen lassen, bei seiner Sammelleidenschaft für Gesundheitsdaten jedes Maß zu verlieren. Dabei geht es um den Entwurf eines zweiten Pandemieschutzgesetzes, den Spahn letzte Woche auf einer Pressekonferenz vorgestellt hat und über den der Bundestag am 07. Mai berät.

Das "nötige Augenmaß" fehlt, kritisiert Ulrich Kelber den Gesetzesentwurf. Die Liste der Kritikpunkte in der Stellungnahme des Bundesdatenschutzbeauftragten ist lang: fehlende Erforderlichkeit, fehlende Verhältnismäßigkeit der Datensammlung, fehlende Begründungen für Grundrechtseingriffe und vieles mehr. Kelbers Gesamturteil:

Insgesamt tragen die vorgesehenen Regelungen der Bedeutung des Datenschutzes als Schutz des Grundrechts der Bürgerinnen und Bürger auf informationelle Selbstbestimmung nicht gebührend Rechnung.

Ulrich Kelber

Worum geht es konkret? Der Entwurf eines Zweiten Gesetzes zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite sieht eine erhebliche Ausweitung der im Infektionsschutzgesetz (IfSG) vorgesehenen Meldepflichten vor.

1. Ausweitung der Meldepflicht bei Covid-19-Erkrankten

Die namentliche Meldung von an COVID-19 erkrankten Bürgern soll zusätzlich zu den bisher schon zahlreichen personenbezogenen Angaben in Zukunft auch das Behandlungsergebnis und den Serostatus umfassen.

Der Bundesdatenschutzbeauftragte kritisiert die Verletzung des datenschutzrechtlichen Prinzips der Datenminimierung und bemängelt das Fehlen von Angaben zur Erforderlichkeit oder zumindest zeitlichen Befristung der neuen Regelung:

Da entsprechende Ausführungen in der Begründung fehlen, ist diese Regelung und eine darauf beruhende Datenübermittlung unzulässig.

Ulrich Kelber

2. Meldepflicht für Verdachtsfälle auch bei neu auftretenden Erkrankungen

Bisher bestand die Meldepflicht bei einer neuen, noch nicht im Infektionsschutzgesetz (IfSG) aufgeführten Erkrankung nur bei "Auftreten" der neuen Erkrankung. Nun sollen auch Bürger namentlich gemeldet werden müssen, bei denen sich lediglich der "Verdacht" ergibt, sie könnten an einer neuen bedrohlichen übertragbaren Erkrankung leiden.

In Bezug auf die neue Erkrankung Covid-19 war dies bereits am 31. Januar per Eilverordnung durch den Bundesgesundheitsminister durchgesetzt worden, und das RKI hatte für den Verdachtsfall Kriterien festgelegt.

Die jetzt geplante Regelung aber weitet die namentliche Verdachts-Meldepflicht auf alle künftig neu auftretenden und als bedrohlich eingestuften übertragbaren Krankheiten aus, ohne festzulegen, "unter welchen Voraussetzungen ein Verdacht anzunehmen ist und wer diese Voraussetzungen festlegt" (Kelber).1

Besonders wichtig in diesem Zusammenhang: Laut geltendem Infektionsschutzgesetz (IfSG) werden den Behörden bereits bei Verdachtsfällen die Anordnung weitreichender, die Grundrechte einschränkender Maßnahmen erlaubt.

Und: Nicht einmal die Löschung der Daten nach Wegfall des Verdachts sieht der Entwurf vor.

3. Meldepflicht für Nicht-Infizierte

Die unverhältnismäßigste Regelung aber ist diese: Künftig sollen auch nicht-infizierte Bürger nach erfolgter negativer Testung (PCR-Test oder Antikörpertest) auf SARS-CoV und SARS-CoV-2 gemeldet werden, und zwar unter Angabe einer Vielzahl personenbezogener Daten wie Geschlecht, Geburtsmonat, Geburtsjahr, Wohnort, Untersuchungsbefunde und Grund der Untersuchung. Pseudonymisiert werden Name und Geburtstag. Dem Bundesdatenschutzbeauftragten platzt angesichts einer solchen Unverhältnismäßigkeit der Kragen:

Die Ausführungen in der Begründung lassen nicht ansatzweise erkennen, auf welcher Grundlage hier in die Grundrechte einer eklatanten Anzahl von Betroffenen eingegriffen werden soll. Die dürftigen Angaben in der Begründung deuten darauf hin, dass eine rein statistische Erfassung den Zweck ebenso erfüllen würde. Eine Abwägung mit dem Persönlichkeitsrecht der Bürgerinnen und Bürger findet nicht statt. Offenbar wird hier verkannt, dass nach der Datenschutz-Grundverordnung auch bei Pseudonymisierung datenschutzrechtliche Maßgaben zu berücksichtigen sind. […] Eine generelle, bundesweite Meldepflicht für Nicht-Infizierte [...] ist nicht gerechtfertigt.

Ulrich Kelber

Was könnten die Neuerungen bedeuten? Bedenkt man, dass viele dieser an die Gesundheitsämter gemeldeten Daten an das dem Gesundheitsministerium unterstellte Robert-Koch-Institut übermittelt werden, so drängt sich eine Vermutung auf, die der Bundesdatenschutzbeauftragte in seiner Stellungnahme so formuliert:

Es entsteht der Eindruck, als solle im Zuge der aktuellen Pandemie ein (weiteres) bundesweites verpflichtendes staatliches klinisches Register eingerichtet werden. Hierfür gibt es allerdings keine datenschutzrechtlich tragfähige Grundlage.

Ulrich Kelber

Auf das Problem von zentralen Gesundheitsdatensammlungen hatte 2016 schon die ehemalige Bundesdatenschutzbeauftragte Andrea Voßhoff aufmerksam gemacht:

Datenschützer werden immer etwas nervös, und zwar, wie ich finde, auch aus gutem Grund […], wenn Daten zu sehr, zu viel zentral gelagert werden. Das ist immer ein Grundproblem. Da gilt es aus datenschutzrechtlicher Sicht immer die Frage aufzuwerfen: Ist das erforderlich, ist das verhältnismäßig, was der Gesetzgeber plant?

E-Health-Konferenz der CDU 2016

(Brigitta Engel)