In einer Stellungnahme vom 09.11.2020 von Prof. Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), zum Entwurf des Dritten Gesetzes zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite (Bundestags-Drucksache 19/23944 vom 03.11.2020) werden eingangs zwei Punkte kritisiert: Die Eile, mit der der Gesetzentwurf beraten und beschlossen werden soll und die ungenügende Beachtung des Schutzes von Gesundheitsdaten:
- „Am 14. Oktober 2020 legte das Bundesministerium für Gesundheit (BMG) abends einen ersten Entwurf der Formulierungshilfe für ein Drittes Pandemieschutzgesetz zur Ressortbeteiligung vor mit einer Frist zur Stellungnahme bis zum 16. Oktober 2020. Eine veränderte und teilweise ergänzte Version wurde am 23. Oktober 2020 morgens mit Frist zur Stellungnahme bis zum gleichen Tag, 18.00 Uhr übersandt. Diese extrem kurzen Fristen erschweren eine sachgerechte Bearbeitung erheblich und erscheinen zu einem Zeitpunkt, zu dem die Pandemie-Lage seit mehr als sieben Monaten besteht, nicht angemessen…“
- „Erneut werden mit dem Gesetz verschiedene Meldepflichten oder Übermittlungen personenbezogener Daten eingeführt oder erweitert, ohne zu berücksichtigen, dass die Verarbeitung von Gesundheitsdaten, also besonders geschützten personenbezogenen Daten, einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung darstellt und daher sorgfältig zu begründen und zu rechtfertigen ist und besondere flankierende Maßnahmen zum Schutz der sensiblen Daten vorzusehen sind.“
Im weiteren Verlauf seiner Stellungnahme geht der BfDI auf einzelne Regelungen im Gesetzentwurf ein. So kritisiert er,
- dass eine „Bewertung der Wirksamkeit der in Gesetzen oder Verordnungen vorgesehenen Eingriffe in Grundrechte…“ vom Bundesgesundheitsministerium (BMG) „leider nicht aufgegriffen“ wurde;
- dass die „Ortsangaben bei der Übermittlung vom Gesundheitsamt zur Landesbehörde und zum Robert-Koch-Institut… verfeinert werden“ sollen. „Es wird nun der achtstellige Gemeindeschlüssel verlangt, nicht mehr nur die Angabe des Landkreises bzw. der kreisfreien Stadt. Diese Verfeinerung erhöht das Re-Identifikationsrisiko und ist aus datenschutzrechtlicher Sicht nachteilig.Eine inhaltliche Begründung zur Erforderlichkeit dieser Verfeinerung ent-hält derGesetzentwurfallerdings nicht.“
- dass „es sich hier um eine allgemeine Regelung (handelt), die auch für alle meldepflichtigen Krankheitserreger und auch außerhalb des Pandemiefalles gelten wird. Dann kann es zu kleinen Fallzahlen oder sogar Einzelfällen kommen. Daher muss durch besondere flankierende Maßnahmen für zusätzlichen Schutz gesorgt werden. Für vorzugswürdig halte ich hier zudem, eine Einschränkung vorzusehen, dass diese zusätzlichen Angaben nur für den Fall des SARS-CoV-2-Virus und den Fall der Pandemie gelten“;
- dass bei der „Übermittlung von Untersuchungsmaterial“ lediglich eine Pseudonymisierung vorgesehen ist, nach Ansicht des BfDI hier aber eine Anonymisierung möglich und sinnvoll sei und zudem „Vorschriften zum Vernichten des Untersuchungsmaterials und zum Löschen der Daten und des Personenbezugs“ vom BMG nocht in den Gesetzentwurf aufgenommen wurden sowie
- dass „die Übermittlung einer Vielzahl von Angaben zu Schutzimpfungen einschließlich Diagnosen von den Kassenärztlichen Vereinigungen personenbezogen nicht nur wie bisher an das Robert Koch-Institut, sondern zusätzlich an das Paul-Ehrlich-Institut vorgesehen. Die Gesetzesbegründung bleibt eine Darlegung schuldig, warum hier eine personenbezogene Übermittlung und damit eine Verdoppelung der Daten erforderlich sein soll…“ Der BfDI stellt dazu fest: „Nötig wäre eine konkrete Darlegung, inwieweit diese Übermittlung erforderlich ist und warum eine Übermittlung in anonymisierter Form nicht ebenfalls den Zweck erfüllt…“
Kelber erklärt dann: „Allgemein sehe ich mit Besorgnis, dass die Gewinnung von Erkenntnissen zunehmend gesetzlich vorgesehen und bundesweit zwingend durch staatliche Stellen vorgesehen wird.“
Am Ende seiner Stellungnahme geht der BfDI noch einmal auf das Problem ein, dass mit dem „Ersten Gesetz zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite“ der Zugriff der Gesundheitsämter auf die Fluggastdaten (Passenger Name Record – PNR) ermöglicht wurde: „Ich habe das vorliegende Gesetzgebungsvorhaben zum Anlass genommen, um meine Bedenken an der Regelung in § 12 Abs. 5a Internationale Gesundheitsvorschriften-Durchführungsgesetz (IGV-DG) hinzuweisen. Diese Norm ist durch Artikel 4 des Gesetzes zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite vom 27.03.2020 … neu aufgenommen worden… Die Norm ermöglicht es, dass das zuständige Gesundheitsamt die Fluggastdatenzentralstelle um Daten zu Reisenden aus dem Fluggastdaten-Informationssystem ersuchen kann und widerspricht damit Art. 1 Abs. 2 der RL (EU)2016/681 vom 27. April 2016 über die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität. Danach dürfen die nach Maßgabe dieser Richtlinie erhobenen PNR-Daten nämlich ausschließlich zum Zwecke der Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität verarbeitet werden. Eine Zweckänderung ist nicht vorgesehen…“