— Von Peter Schaar (29.12.2021) —
In den ersten Wochen des Jahres 2022 wird sich aller Voraussicht nach der deutsche Bundestag mit einer – auch datenschutzrechtlich – brisanten Fragestellung zu befassen haben: Der Einführung eines nationalen Impfregisters, wie es etwa der deutsche Ethikrat im Zusammenhang mit einer COVID-19–Impfpflicht vorschlägt. Andere – etwa Bundestagspräsidentin Bärbel Bas – erwarten von einem Impfregister aktuelle Daten, die sich für die Eindämmung der Corona-Pandemie eignen.
Wie bei anderen IT-Verfahren kann die Frage nach dem Ob und Wie eines Impfregisters nur sinnvoll beantwortet werden, wenn Klarheit darüber besteht, welchen Zwecken es dienen soll. Hier besteht noch erheblicher Klärungsbedarf, denn es macht einen deutlichen Unterschied, ob die Daten zu „impfpolizeilichen“ Zwecken oder zur wissenschaftlichen Erkenntnisgewinnung gebraucht werden sollen.
Blick über den Zaun
Impfregister gibt es in den skandinavischen Ländern schon seit langem, in anderen Staaten befindet sich ein Impfregister im Aufbau (Österreich) oder ist geplant (Spanien, Italien). Alle diese Register wurden beziehungsweise werden eingeführt, um die gesundheitliche Versorgung zu verbessern, durch individuelle Dokumentation des Impfstatus zur Unterstützung von individuellen medizinischen Vorsorge- und Therapiemaßnahmen und als Werkzeug für das öffentliche Gesundheitswesen (public health). Dem entsprechend sind die Daten über Impfungen integriert in die IT-Verfahren des Gesundheitswesens der jeweiligen Staaten.
Bisher ist nur in Österreich vorgesehen, das im Aufbau befindliche Impfregister auch zur Überwachung einer für das Frühjahr 2022 angekündigten Impfpflicht einzusetzen. Dafür sollen die in der elektronischen Gesundheitsakte (ELGA) gespeicherten Impfdaten regelmäßig mit dem Melderegister abgeglichen werden.
Impfdokumentation in der elektronischen Patientenakte
Bekanntlich hinkt Deutschland bei der Digitalisierung des Gesundheitswesens hinter den genannten Staaten her. Zwar bieten die Krankenkassen ab 2021 ihren Versicherten eine elektronische Patientenakte (ePA) an, die – so sieht es das SGB V vor – ab dem 1. Januar 2022 um die Möglichkeit der elektronischen Impfdokumentation ergänzt werden soll.
Allerdings ist bislang nur für einen kleinen Bruchteil der Versicherten eine ePA angelegt worden. Von Seiten der Politik wurde zudem immer wieder beteuert, dass die Teilnahme am ePA-System weiterhin freiwillig sein soll und dass die jeweiligen Anwendungen, zu denen auch die elektronische Impfdokumentation gehört, nur aktiviert werden sollen, wenn die Versicherten eingewilligt haben. Auch da die privat Krankenversicherten anders als die Mitglieder gesetzlicher Krankenversicherungen nicht einmal durchgängig über eine elektronische Gesundheitskarte verfügen und deshalb bisher ganz überwiegend keine ePA anlegen konnten, wäre eine Impfdokumentation mittels der ePA zwangsläufig lückenhaft. Zudem kämpft die deutsche Telematik-Infrastruktur des Gesundheitswesens (TI) mit erheblichen Anlaufschwierigkeiten.
Aus diesen Gründen erscheint es unrealistisch, ein bundesweites Impfregister so kurzfristig in dieses System zu integrieren, dass es zur Überwachung einer eventuellen allgemeinen, ab Frühjahr 2022 greifenden COVID-19-Impfpflicht verwendet werden könnte. Auch ein von der TI völlig losgelöster Aufbau eines bundesweiten Impfregisters dürfte sich angesichts unvermeidlicher Vorlaufzeiten kurzfristig kaum realisieren lassen.
Impfregister – datenschutzrechtlich
Im Hinblick auf den Datenschutz handelt es sich bei einem Impfregister um die Verarbeitung sensibler (in der Terminologie der DSGVO: „besonderer“) personenbezogener Daten, denn die Dokumentation von Impfungen und des Immunstatus bei von Corona Genesenen sind Gesundheitsdaten. Dies bedeutet aber nicht, dass ein Impfregister zwangsläufig am Datenschutz scheitern würde. Dass ein solches Register im Einklang mit dem europäischen Datenschutzrecht eingerichtet und betrieben werden kann, belegen die eingangs genannten Beispiele anderer EU-Staaten. Im Hinblick auf die Konformität eines Impfregisters mit dem Datenschutzrecht müsste gesetzlich festgelegt werden, welche Daten verarbeitet werden dürfen, welche Stellen zur Kontrolle befugt sind und welche technischen und organisatorischen Maßnahmen zum Schutz der Daten – etwa gegen Hacking-Angriffe – erfolgen. Zudem wäre eine strenge Zweckbindung der Daten unabdingbar. Schließlich stellt sich die Frage, wie eine datenschutzgerechte Gestaltung des Verfahrens aussehen kann (privacy by design).
Wenn ein Impfregister – vorwiegend aus praktischen Gründen – kurzfristig nicht sinnvoll realisiert werden kann, muss nach Alternativen Ausschau gehalten werden. Im Hinblick auf eine Impfpflicht und ihre Umsetzung ist von verschiedener Seite, etwa durch den neuen Bundesjustizminister Marco Buschmann, darauf hingewiesen worden, dass auch andere gesetzliche Verpflichtungen nicht flächendeckend überwacht und sanktioniert würden.
Eine Stichprobenkontrolle wäre auch bei einer Impfpflicht ein denkbarer Weg. So könnte der Gesetzgeber etwa eine Mitführpflicht eines COVID-19-Zertifikats (Impf- oder Genesenenzertifikat oder Nachweis der Befreiung von der Impfpflicht) vorsehen. Eine datenschutzfreundliche technische Infrastruktur für den Impfnachweis und dessen Kontrolle ist mit der CoronaWarn-App, der CovPass-App und der CovPassCheck-App bereits vorhanden. Der einzelne braucht nicht unbedingt ein Smartphone – der Impf-/Genesenennachweis kann ebensogut durch den Impfpass, einen Papierausdruck des Zertifikats oder die in Apotheken erhältliche Immunkarte erbracht werden. Von datenschutzrechtlicher Bedeutung ist der Umstand, dass bei der Kontrolle nur die Personen persönlich registriert werden müssten, die ein COVID-19-Zertifikat nicht vorlegen konnten – eine Vorratsdatenspeicherung sämtlicher Bürgerinnen und Bürger in einem jederzeit abrufbaren Register wäre bei einer solchen Lösung nicht erforderlich.
Ausblick
Unabhängig davon sollte die vorgesehene digitale Erfassung der Impfdokumentation in der ePA im Rahmen der Telematik-Infrastruktur des Gesundheitswesens beschleunigt werden. Hierzu bedarf es auch praktikabler und datenschutzgerechter Lösungen zur Erfassung bereits erfolgter Impfungen. Im Ergebnis entstünde so – hoffentlich – ein datenschutzgerechtes umfassendes Impfregister, das nicht primär der Kontrolle etwaiger Impfpflichten sondern der Verbesserung der medizinischen Versorgung dient und zudem als Basis für die wissenschaftliche Forschung herangezogen werden kann.