Impfregister statt Datenschutz?

Die Debatte um eine Impfpflicht wirft zwangsläufig die Frage nach einem Impfregister auf. Österreich hat es kürzlich erst eingeführt. Die Politik dagegen ist zwiegespalten. In Deutschland sei ein Impfregister wegen datenschutzrechtlicher Anforderungen nicht umsetzbar, so der Bundesjustizminister Buschmann. Stimmt das eigentlich? Die DSGVO steht einem Impfregister nicht prinzipiell im Weg, stellt daran aber hohe Anforderungen. Ein Impfregister würde die Durchsetzung einer Impfpflicht nicht unbedingt erleichtern, dafür aber viel Zeit in Anspruch nehmen, die es in einer Pandemie nicht gibt.

Die Diskussion: Neuer Wein in alten Schläuchen

Die Diskussion über die Einführung eines Impfregisters ist nicht erst während der COVID-19 Pandemie entstanden. Bereits 2016 beauftragte die Gesundheitsminsterkonferenz das RKI, den fachlichen und finanziellen Aufwand und Nutzen eines bundesweiten Impfregisters darzustellen und Modalitäten für die Etablierung darzulegen. Das Ergebnis lautete, dass der Mehrwert eines zentralen Impfregisters gegenüber den Kosten zum damaligen Zeitpunkt nicht überwog. Die Empfehlung des Deutschen Ethikrates, ein nationales Impfregister zu errichten, blieb dagegen ungehört. Fast nichts passierte. Die elektronische Patientenakte, die 2021 eingeführt wurde, sieht zwar vor, dass der Impfausweis ab 2022 elektronisch gespeichert werden kann, ist aber weiterhin nicht flächendeckend eingeführt worden. Und ob sie den gewünschten Verwendungsmöglichkeiten eines Impfregisters Vorschub leisten würde, ist gleichfalls unklar. Aber vielleicht ist ja unter Bedingungen der Pandemie alles anders zu beurteilen.

Status quo

Wie werden Impfquoten bisher ohne Impfregister erfasst? Das gegenwärtige Impfmonitoring sieht vor, dass in allen Bundesländern regelmäßig Daten zum Impfstatus der Schulanfänger*innen erhoben und an das RKI übermittelt werden. Diese Schuleingangsuntersuchungen sind die einzige Quelle bundesweiter Impfquoten. Der Nachteil an dieser Methode ist natürlich, dass die Daten nur zum Zeitpunkt der Einschulung erhoben werden und damit Impfungen im Jugend- und Erwachsenenalter fehlen. Mangels Altersangaben bei der Schuleingangsuntersuchung fehlen auch Informationen zur zeitgerechten Gabe der Impfung.

Ergänzt wird diese Datenerhebungsmethode durch eine Impfsurveillance, die in Kooperation mit allen Kassenärztlichen Vereinigungen durchgeführt wird. Hierzu werden anonymisierte und ambulante Abrechnungsdaten der gesetzlich Krankenversicherten ausgewertet. Es fehlen aber die Daten der Privatversicherten. Zudem verzögert sich die Übermittlung der Abrechnungsdaten um 6-9 Monate. Für die pandemische Lage wäre dieser Zeitverzug ungeeignet. Daher ist ein weiteres Konzept zur Datenerhebung bei COVID-19 Impfstoffen eingeführt worden.

Das Monitoring des COVID-19 Impfgeschehens erfolgt, indem die Daten von den Impfzentren, Krankenhäusern, mobilen Impfteams und Betriebsärzt*innen pseudonymisiert an die Bundesdruckerei übermittelt werden. Im Auftrag des RKI werden sie dort zwischengespeichert und jeden Tag abgerufen. Auch die aggregierten Impfdaten der niedergelassen Ärzt*innen und Privatärzt*innen werden täglich über jeweils eigene Plattformen an die Kassenärztliche Bundesvereinigung übermittelt.

Die Gemeinsamkeit aller Konzepte der deutschen „Impfsurveillance“ besteht darin, dass die Daten pseudonymisiert oder anonymisiert verarbeitet und ausgewertet werden. Die Anzahl der gegen COVID-19 geimpften Personen ist also bereits heute bekannt.

Zielsetzung

Die Intention, die man mit einem Impfregister verfolgen möchte, ist aber eine andere als die reine Identifikation der Nicht-Geimpften im Ausschlussverfahren. Es soll nicht nur hinterlegt werden, dass und wann Person X mit Impfstoff Y geimpft wurde, sondern das Register soll persönliche Daten aller Bürger*innen enthalten. Sinn und Zweck ist es, nichtgeimpfte Personen ausfindig zu machen, um eine Impfpflicht durchzusetzen. Zur Identifizierung einer Person wären dann beispielsweise Daten zum Familiennamen, Vornamen, Geburtsdatum und Geschlecht notwendig. Gegebenenfalls könnte auch die Adresse im Impfregister hinterlegt werden. Im Ergebnis handelt es sich um sensible Daten einer Person, deren Verarbeitung nach der DSGVO besonderen Anforderungen unterliegt.

Ein Blick in die DSGVO

Seit dem Frühjahr 2018 gilt die DSGVO verbindlich und unmittelbar in allen Mitgliedstaaten. Der Anwendungsbereich der DSGVO ist nur bei personenbezogenen Daten eröffnet, Art. 2 Abs. 1 DSGVO. Anonyme oder aggregierte Daten ohne Re-Identifikationsmöglichkeit werden nicht erfasst. Bei den Daten, die im vorgesehenen Impfregister gespeichert wären, handelt es sich um herausgehobene personenbezogene Daten, nämlich Gesundheitsdaten, vgl. Art. 4 Nr. 15 DSGVO. Der Impfstatus einer identifizierbaren Person ermöglicht Rückschlüsse auf ihre körperliche Gesundheit. Als besondere Kategorie personenbezogener Daten unterliegen Gesundheitsdaten aufgrund der Vulnerabilität der Person, dem Diskriminierungspotential und der daraus resultierenden besonderen Grundrechtsrelevanz grundsätzlich strikteren Anforderungen als „normale“ personenbezogene Daten, Art. 9 Abs. 1 DSGVO.

Einwilligung?

Art. 9 Abs. 1 DSGVO verbietet grundsätzlich die Verarbeitung von Gesundheitsdaten mit den Ausnahmefällen des Art. 9 Abs. 2 DSGVO. Die DSGVO erlaubt den nationalen Gesetzgebern ergänzende Vorschriften, sofern sich diese an die Anforderungen der Öffnungsklauseln halten und den Gestaltungsspielraum nicht überdehnen. Eine Möglichkeit der rechtmäßigen Verarbeitung bietet Art. 9 Abs. 2 lit. a DSGVO mit der Einwilligung. Die betroffene Person muss explizit auf die Sensitivität der Daten aufmerksam gemacht und es muss ein konkreter Verwendungszusammenhang bestimmt werden. Allerdings ist die Einwilligung kein effektives Mittel, um eine Impfpflicht durchzusetzen. Impfverweigerer werden vermutlich ihre Einwilligung nicht erteilen und können dann auch nicht registriert werden. Geht es also vor allem darum, ungeimpfte Personen zu erfassen, ist der Grundrechtseingriff schon nicht geeignet – selbst wenn es eine weite Einschätzungsprärogative des Gesetzgebers geben mag. Oder es müssten weitere Eingriffe vorgesehen werden, um einen Abgleich z.B. mit den Meldedaten vorzunehmen. Das aber führt dann zu zusätzlichen Belastungen, die wohl auch nicht geeignet wären, wenn es auch hier auf die Einwilligung ankommt.

Rechtsgrundlage

Diese Hürde lässt sich allerdings nehmen. Art. 9 Abs. 2 lit. g) DSGVO wird von den spezielleren Vorschriften des Art. 9 Abs. 2 lit. h) i.V.m Abs. 3 und i) DSGVO verdrängt. Die Regelungen des Art. 9 Abs. 2 lit. h) und lit.  i) DSGVO betreffen die Gesundheitsvorsorge und sind voneinander nicht ganz einfach abzugrenzen. Während Art. 9 Abs. 2 lit. h) i.V.m Abs. 3 DSGVO die individuellen Interessen an der Versorgung als Rechtfertigung für eine Verarbeitung von Gesundheitsdaten adressiert, betrifft Art. 9 Abs. 2 lit. i) die Verarbeitung aus im öffentlichen Interesse liegenden Gründen. Beide Vorschriften sind mögliche Rechtsgrundlagen für ein nationales Impfregistergesetz.

Auch hier muss aber genau hingeschaut werden: Zwar müssen die Unsicherheiten in dieser pandemischen Lage sicherlich einbezogen werden, andererseits gibt es inzwischen recht gute Erkenntnisse über Verbreitung und Gefahren von COVID-19. Aber würde ein Impfregister diesen Gefährdungen überhaupt begegnen? Auch wenn die Verheißungen vielversprechend sind, scheint es so gut wie unmöglich, in kürzester Zeit ein datensicheres Register aufzubauen. Für die Bekämpfung der Pandemie wäre dies also bereits ungeeignet. Der Aufbau eines Impfregisters einschließlich der Übertragung der Daten und dem Aufbau einer sicheren Infrastruktur würde geschätzt über ein Jahr dauern. Die reale Gefahr von Hackerangriffen darf man dabei nicht ausblenden. Ob das Impfregister eine verhältnismäßige Maßnahme ist, hängt auch davon ab, ob es mildere Mittel gäbe, um eine Impfpflicht durchzusetzen. Könnte man nicht auch mit zufälligen Straßenkontrollen diejenigen erfassen, die nicht geimpft sind? Und würde die Feststellung, dass jemand nicht geimpft ist, tatsächlich wirkungsvoll zu einer Steigerung der Impfquote führen können, wenn Zwangsmaßnahmen nicht ergriffen werden und dies auch (wie momentan von der SPD) öffentlich immer wieder erklärt wird? Wäre das ganze also ohnehin nur symbolische Gesetzgebung? Ein Impfregister ist möglicherweise durchaus sinnvoll und zielführend für die Bekämpfung von Infektionskrankheiten, aber zur Durchsetzung einer Impfpflicht gegen COVID-19 wegen des Zeitaufwands wohl nur schwer zu rechtfertigen.

Soll das Impfregister darüber hinaus auch epidemiologischen Erkenntnissen dienen und z.Bsp. die Pharmaindustrie im Hinblick auf Nebenwirkungen kontrollieren, muss Art. 9 Abs. 2 lit. j) DSGVO als weitere Vorschrift herangezogen werden, da diese Norm Forschungszwecke privilegiert. Prinzipiell ist ein Impfregister zu Forschungszwecken möglich und bekräftigt noch einmal dessen grundsätzliche Zulässigkeit. Aber gerade dann, wenn der Kreis der Zugriffsberechtigten und der Zwecke dadurch erweitert wird, muss geregelt werden, wer wie lange Zugriff auf die Daten hat, zu welchen Zwecken diese verwendet werden dürfen und wie der Zugriff auf die Daten ausgestaltet werden soll. Angesichts von internationalen Forschungskonsortien und vielfältigsten Strukturen ist das nicht ohne weiteres leistbar. Daher wird schon lange in Fachkreisen diskutiert, wie sich die Forschungsprivilegierung fassen lässt – bisher ohne Ergebnis.

Eine weitere Hürde eines Impfregisters wäre, dass die Betroffenenrechte in vielerlei Hinsicht beschränkt werden müssten. Vor allem das Recht auf Widerspruch (Art. 21 DSGVO), Löschung (Art. 17 DSGVO), und Einschränkung der Verarbeitung (Art. 18 DSGVO), weil die Aussagekraft des Registers sonst beeinträchtigt wäre und der Zweck verfehlt würde. Die DSGVO zeigt auch dafür grundsätzlich Verständnis (Art. 23 DSGVO bzw. Art. 89 DSGVO), verlangt aber im Gegenzug spezielle Garantien.

Vor diesem Hintergrund ist die DSGVO nicht kursorisch gegen ein Impfregister in Aufstellung zu bringen. Aber dessen Einführung verlangt gewisse Sicherungsmaßnahmen hinsichtlich des Zugriffs, eine enge Zweckbindung und die Einhaltung von Informationsrechten der Betroffenen. Das ist alles leistbar – muss aber eben auch geleistet werden. Und das braucht Zeit – Zeit, die in der Bekämpfung der aktuellen Pandemie nicht vorhanden ist. Deshalb sollte durchaus darüber nachgedacht werden, den Anstoß durch COVID-19 aufzugreifen und ein Impfregister voranzubringen, aber die Rechtfertigung dafür muss in generellen Erwägungen zur Bekämpfung von Infektionskrankheiten liegen und dann auch angemessen vorbereitet werden.

Finnland, Schweden und Österreich

Der Blick in die Nachbarstaaten verrät, dass auch andere EU-Staaten dieser Rechtsauffassung sind: Österreich hatte die Einführung eines Impfregisters bereits vor einem Jahrzehnt beschlossen, jetzt aber nach nur einem Jahr Pilotphase eilig eingeführt. Finnland und Schweden kennen bereits seit Jahren ein ausgefeiltes System mit ähnlichen Möglichkeiten wie sie für das deutsche Impfregister in Betracht gezogen werden. Dort wird über die Identifikationsnummer ein Abgleich mit den klinischen Daten aus der elektronischen Patientenakte vorgenommen, um auch die Nebenwirkungen von Impfungen zu überprüfen.

Nichts überstürzen, aber nichts verschleppen

Der Datenschutz genießt in Deutschland ein hohes Gewicht. Manchmal fragt man sich allerdings auch, ob er nicht vorgeschoben wird, um das jahrelange Hinauszögern von digitalen Anwendungen zu rechtfertigen. Die DSGVO verbietet nicht per se die Einführung eines Impfregisters. Sie setzt aber bestimmte Garantien voraus. Es gibt – mit Blick auf andere EU-Staaten – viele Gründe, die für ein ausgefeiltes digitales Impfregister sprechen. Um der Oblomowerei ein Ende zu setzen, sollte die Debatte daher weitergehen und nicht wieder aus den Augen verloren werden. Für die Durchsetzung einer Corona-Impfpflicht, ist das geplante Impfregister allerdings kein geeignetes, erforderliches und angemessenes Mittel.