Corona: Datenschützer Ulrich Kelber warnt vor Eile bei nationalem Corona-Impfregister

Zugleich trat Kelber dem Vorwurf entgegen, der Datenschutz schränke den Gesundheitsschutz ein. Wer das behaupte, habe sich offensichtlich mit dem Thema nicht beschäftigt.

„Keine einzige Maßnahme zur Pandemiebekämpfung ist am Datenschutz gescheitert“, betonte Kelber. Zudem sei auch der Datenschutz in der Pandemie eingeschränkt worden, etwa bei der Übertragung von Passagierdaten, der Kontaktdatenerhebung in Restaurants oder der Registrierung, wenn man in ein Krankenhaus gehe.

Lesen Sie hier das ganze Interview:

Herr Kelber, derzeit wird im Zusammenhang mit einer möglichen allgemeinen Corona-Impfpflicht über ein nationales Impfregister diskutiert. Was halten Sie davon?
Noch liegt mir kein entsprechender Gesetzentwurf vor, weshalb ich das konkrete Vorhaben nicht kenne und es nicht beurteilen kann. Die Politik sollte dringend zuerst ganz konkret die Ziele benennen, die sie erreichen will, damit man beurteilen kann, ob dafür ein zentrales Impfregister notwendig ist oder nicht. Das sollte der erste Schritt sein.

Bei solchen Fragen lief in der vergangenen Legislaturperiode nicht immer alles glatt bei der Zusammenarbeit Ihrer Behörde mit der Bundesregierung.
Diesen Vorwurf hat vor Kurzem auch der ehemalige Bundesgesundheitsminister Jens Spahn ausgesprochen. Da war ich dreifach überrascht. Erstens ist kein einziges Projekt des Gesundheitsministeriums am Datenschutz gescheitert. Zweitens sind bei keinem anderen Ministerium so viele Ressourcen unserer Behörde in die Zusammenarbeit investiert worden. Und drittens ist das Gesundheitsministerium leider auch ein Musterbeispiel dafür, wie man die ja gesetzlich vorgeschriebene Zusammenarbeit gerade nicht organisieren sollte.

Inwiefern?
Das Bundesgesundheitsministerium hat die Beratung nicht am Anfang eines Vorhabens in Anspruch genommen, sondern kam immer nur sehr spät mit fertigen Dingen. Dann ist man nicht mehr in der Lage, einen grundrechtsfreundlicheren Weg einzuschlagen. Ich glaube, da gibt es bessere Wege der Zusammenarbeit, und die sollte bei allen Projekten frühzeitig beginnen. Genau das bieten wir an.

Gab es auch mit anderen Ministerien Probleme?
Wir haben neben dem Bundesgesundheitsministerium auch gegenüber dem Arbeitsministerium früh deutlich gemacht, dass beim Thema 3G am Arbeitsplatz für Rechtsklarheit gesorgt werden muss.

Sie meinen die Coronaregelung, wonach Beschäftigte vor Betreten ihrer Arbeitsstätte nachweisen müssen, dass sie entweder geimpft, genesen oder negativ getestet sind.
Genau. Natürlich ist es möglich, diese Daten zu verarbeiten, wenn es zur Pandemiebekämpfung erforderlich ist. Aber dafür muss es auch eine rechtliche Grundlage geben. Das bloße Interesse des Arbeitgebers an diesen Daten reicht aus gutem Grund nicht aus. Im August haben wir darauf explizit hingewiesen und unsere Beratung und Unterstützung beim Erstellen der Rechtsgrundlage angeboten.

Und darauf wurde nicht zurückgegriffen?
Wir haben erst im November eine nächtliche E-Mail mit dem konkreten Gesetzentwurf bekommen und sollten bis zum Vormittag des Folgetages dazu Stellung nehmen. Unter diesen Umständen ist die Beratung, die wir gerne leisten würden, natürlich nicht möglich.

Dann ist die 3G-Regelung jetzt nicht datenschutzkonform?
Die Regelung ist an einigen Stellen noch interpretationsbedürftig, was die genaue Ausführung betrifft. Kritisch sehe ich, dass die Nachweise personen- und statusspezifisch dokumentiert und die Daten bis zu sechs Monate aufgehoben werden können. Das ist in den meisten Fällen unnötig. Für die Zutrittskontrolle genügt der entsprechende Nachweis. Die personengenaue Speicherung sensibler Gesundheitsdaten ist dafür nicht erforderlich.

In der Coronazeit hieß es immer wieder, der Datenschutz dürfe nicht über dem Gesundheitsschutz der Bevölkerung stehen. Ist der Einwand berechtigt?
Beide Grundrechte müssen gewährleistet werden. Wer behauptet, der Datenschutz schränke den Gesundheitsschutz ein, hat sich offensichtlich mit dem Thema nicht beschäftigt: Keine einzige Maßnahme zur Pandemiebekämpfung ist am Datenschutz gescheitert. Und natürlich ist auch der Datenschutz in der Pandemie eingeschränkt worden, etwa bei der Übertragung von Passagierdaten, der Kontaktdatenerhebung in Restaurants oder der Registrierung, wenn Sie in ein Krankenhaus gehen.

Der Chef der Techniker Krankenkasse, Jens Baas, bemängelte, dass Patientendaten in Deutschland nicht ohne Weiteres für die Forschung ausgewertet werden dürften. Er sprach sogar von „unterlassener Hilfeleistung“.
Der TK-Chef würde gerne Daten für seine Krankenkasse nutzen. Da gibt es zu Recht Grenzen, weil die Krankenkassen dann in eine Machtstellung kämen, die gefährlich ist. Als Aufsichtsbehörde für einige Krankenkassen haben wir immer wieder mit Datenschutzverstößen zu tun, wenn Kassen zum Beispiel unter Verstoß gegen Datenschutzbestimmungen bei ihren Versicherten Druck machen, um die Zahlungen von Krankengeld zu reduzieren. Das geht gar nicht.

Herrn Baas ging es vor allem darum, Gesundheitsdaten für die medizinische Forschung zu verwenden, was offenbar nur schwer möglich ist.
Der größte Mangel im Gesundheitswesen ist die unzureichende Digitalisierung. Teilweise können in Krankenhäusern nicht einmal Röntgenbilder zwischen den einzelnen Computern geteilt werden. Dann sind die Gesundheitsämter immer noch nicht digitalisiert. Ein Manko sind sicherlich auch unterschiedliche rechtliche Regelungen. Ich halte 16 Krankenhausgesetze für ein Hindernis, weil damit keine länderübergreifende Zusammenarbeit möglich ist. Allerdings muss immer gelten: Ohne Rechtsgrundlage dürfen keine Daten verarbeitet werden. Deswegen unterstütze ich es sehr, dass die neue Koalition ein Forschungsdatengesetz schaffen will.

Was muss das Gesetz leisten, damit kein Datenmissbrauch stattfindet?
Der Gesetzgeber ist an die Datenschutz-Grundverordnung gebunden. Dort sind bereits Öffnungsklauseln für den Forschungsbereich vorgesehen. Wir werden keine chinesischen Verhältnisse haben. In China bekommen Sie die Echtzeitdaten aller Bürgerinnen und Bürger in Kopie, so oft Sie das wollen. Das wird es in Europa niemals geben. Das widerspricht unseren europäischen Werten. Aber es sind beispielsweise Forschungsdatenzentren möglich, in denen man auf Antrag mit Daten arbeiten kann, ohne dass diese dann weiterverbreitet werden.

Erwarten Sie, dass die künftige Zusammenarbeit mit der Bundesregierung besser läuft?
Wir werden darauf hinweisen, dass eine frühe Einbindung unserer Behörde nur Vorteile bietet. Irrwege werden vermieden, Datennutzungsmöglichkeiten werden deutlich, und spätere Sanktionen der Datenschutzaufsichtsbehörde sind nicht nötig. Uns frühzeitig einzubinden steht im Übrigen auch in der gemeinsamen Geschäftsordnung der Bundesregierung. Das würde bei den vielen Digitalisierungsprojekten, die die Ampelkoalition umsetzen will, sehr helfen. Wir haben im Koalitionsvertrag mindestens 155 datenschutzrelevante Vorhaben identifiziert. Das wird eine Menge Arbeit in den nächsten vier Jahren.

Wie gehen Sie hierbei mit dem immer wieder erhobenen Vorwurf um, der Datenschutz stelle eine große Hürde für die Digitalisierung dar?
Wir Datenschützer sind Fans von kluger Digitalisierung. Wir wollen eine Digitalisierung, die Vertrauen in die Nutzung von Anwendungen schafft und die dafür sorgt, dass es nicht zu Skandalen, Leaks oder Pannen kommt, die dann die Digitalisierung zurückwerfen.

Das klingt positiv. Dennoch glauben viele, dass die Datenschutzanforderungen eine Bremse für die Digitalisierung sind. Das hat kürzlich auch eine Bitkom-Umfrage gezeigt. Wie erklären Sie sich die Vorbehalte?
Das hat auch mit einem Meinungsklima zu tun, das von einigen Entscheidungsträgern geschaffen wird. Der Datenschutz wird schlechtgeredet, um vom eigenen Digitalisierungsversagen abzulenken. Ich gebe Ihnen ein Beispiel. Als der damalige Bundesverkehrsminister gefragt wurde, warum die Menschen im Ahrtal nicht mit Cell Broadcasting vor dem Hochwasser gewarnt wurden, kam direkt als Antwort: „Es lag am Datenschutz.“ Das ist das Gegenteil der Wahrheit. Cell Broadcasting ist eine ausgesprochen datenschutzfreundliche Technologie. Wir haben das Ministerium schon vor Jahren aufgefordert, Cell Broadcasting zu nutzen.

Sehr viele Daten werden für die Nutzung von Künstlicher Intelligenz (KI) gebraucht. In Europa soll es für den Einsatz von KI strenge Vorgaben geben. Werden dadurch nicht Innovationen ausgebremst?
Ich finde es richtig, dass die EU-Kommission einen Regulierungsrahmen vorgeben will. Der Einsatz algorithmischer Systeme sollte anhand von Risiken klassifiziert und dann auch geregelt werden. Künstliche Intelligenz kann mit guten Daten, auch mit vielen Daten stattfinden. Ganz oft sind es keine personenbezogenen Daten oder anonymisierte Daten. Falls doch, ist die Verarbeitung mit Einwilligung oder auf einer gesetzlichen Grundlage möglich.

In der Wirtschaft wird eine strenge Regulierung kritisch gesehen. Der Industrieverband BDI findet schon den Begriff „Hochrisiko-KI-Systeme“ zu weit gefasst, weil womöglich die Entwicklung innovativer KI-Anwendungen bereits im Ansatz geschwächt wird.
Wir waren eigentlich schon mal weiter in der Debatte. Nämlich, dass das Fehlen von Regulierung in einer Sozialen Marktwirtschaft kein Selbstzweck ist, sondern dass Regulierung einen fairen Wettbewerb schafft und dafür sorgt, dass technologischer Fortschritt immer mit den Werten unseres Grundgesetzes und der europäischen Menschenrechtscharta einhergeht. Daher kann ich dieses Lamentieren nicht nachvollziehen.

Ist die Zertifizierung einzelner Produkte notwendig?
Die Möglichkeit, Produkte oder Services zertifizieren zu lassen, wäre ein Riesenschritt. Das ermöglicht vor allem kleinen und mittleren Unternehmen, datenschutzrechtlich auf der sicheren Seite zu sein, wenn sie zu zertifizierten Angeboten greifen.

Herr Kelber, vielen Dank für das Interview.

Mehr: Kontaktbeschränkungen und Notfallplan: Scholz verkündet Maßnahmen gegen „auftürmende Welle“.