2021/05/05 Corona-Ausweis - nicht DSGVO-konform
"Diskriminierungs-Status" sind Gesundheits- und Scoring-Daten - derartige Daten unterliegen strengen Beschränkungen - beschlossenes Gesetz ist keine geeignete Grundlage für die Verarbeitung - Verordnung des "Gesundheitsministers" kein geeigneter Ersatz - verpflichtende Riskio- und Folgenabschätzung gemäß DSGVO fehlt - Betreibern drohen massive Schadenersatzforderungen
Grundrechte hin oder her, die technische Probleme einmal hintangestellt. Die Umsetzung wird schon klappen, Österreich ist eine führende IT-Nation.
"Diskriminierungs-Status" sind Gesundheits- und Scoring-Daten
Angaben über Impf-, Genesungs- oder Teststatus sind eindeutig gesundheitsbezogene Informationen. Selbst die bloße Information "gefährlicher Mensch" ja/nein ist eine Gesundheits-Information.
Im ersten Fall werden komplexe Gesundheitssachverhalte an medizinische Laien übermittelt, die diese Daten nicht korrekt interpretieren können. Im zweiten Fall kommt verschärfend dazu, dass es sich um einen Scoring-Wert handelt, der für den Nutzer undurchsichtig entstanden ist.
Wer darf Gesundheits- und Scoring-Daten verarbeiten?
Beide Datenkategorien unterliegen gemäß DSGVO einem strengen Verarbeitungsverbot, das nur durch taxtiv aufgezählte Gründe durchbrochen werden darf.
Erlaubt wäre die Verwendung der Gesundheitsdaten zu Behandlungszwecken MIT Zustimmung des Betroffenen. Die zweite Möglichkeit ist ein Gesetz, dass grundrechtlich wichtigere Ziele verfolgt als das Grundrecht des Privatlebens des Einzelnen.
Ein derartiges wichtiges Ziel kann die Bekämpfung einer Pandemie sein, aber nur wenn es keine Alternativen gibt, also ohne diesem Gesetz die staatliche Ordnung nicht mehr aufrecht zu halten wäre.
Unbestimmte gesetzliche Vorgaben
Der nun beschlossene Entwurf enthält keinerlei Vorgaben, welche Daten tatsächlich zu speichern sind, welche Qualitätskriterien diese Daten erfüllen müssen, wer die Qualität (Richtigkeit, Aktualität, Sachlichkeit) der Daten prüft. Wer für Verarbeitungsfehler haftet und wie ein sicherer und kontinuierlicher Betrieb aufrecht erhalten wird. Alles zwingende Vorgaben der DSGVO die gesetzlich formuliert werden MÜSSEN.
Die Auslagerung zentraler Datenschutz-Anforderungen in eine Verordnung ist nicht EU-konform, der VfGH hebt laufend derartige Konstruktionen auf.
Einblick in Gesundheitsgestaltung
Unabhängig in welcher technischen Form der "Diskriminierungs-Pass" realisiert werden soll, in jeder derzeit vorgesehenen Variante erhalten Laien Einblick in die individuelle Gesundheitsgestaltung.
Dies ist gemäß DSGVO nur zulässig, wenn es keine Alternative zur Lösung eines Problems gibt und eine geeignete gesetzliche Grundlage vorliegt.
Tatsächlich hatte die Regierung 15 Monate Zeit ein effizientes, flächendeckendes und grundrechtskonformes Schutzsystem zu schaffen, sie hat es bisher verabsäumt.
Wichtigstes Kriterium zur Gefahreneinschätzung wurde "vergessen"
Das wichtigste Kriterium für die Beurteilung, ob von einem Menschen eine geringe oder größere Gefahr ausgeht ist schlicht die Frage nach seiner Herkunft. Kommt er aus einem Gebiet in dem jeder zehnte Corona-erkrankt ist oder bloß jeder tausendste oder noch weniger.
Regionen mit geringfügiger Infektionsrate werden beim "Diskriminierungs-Pass" ident wie tatsächliche Corona-Hotspots behandelt. Würde man diese Methode auf andere ansteckende Krankheiten ausdehnen, wäre jeder Mensch auch eine erhebliche Gefahr Masern, TBC, Grippe und vergleichbares zu verbreiten.
Die Herkunft einer Person festzustellen wäre jedenfalls ein wesentlich geringfügiger Eingriff, als seinen Gesundheitsstatus zu erheben. Ein Gesetz, dass nicht alle weniger eingreifenden Maßnahmen mitberücksichtigt ist keinesfalls DSGVO-konform.
Risiko- und Folgenabschätzung gemäß DSGVO fehlt
Wie zuletzt die Vorgänge um die mangelhaften Tiroler Tests zeigen, sind Test-Ergebnisse höchst fragwürdig. Sie machen bei Personen mit Symptomen als erste Orientierung auf eine bestimmte Krankheit Sinn. Um darauf eine Datenverarbeitung und Zugang zu Bürgerrechten aufzubauen, sind sie jedoch zu unzuverlässig.
Verarbeitungen, die Gesundheits- oder Scoringdaten verwenden, benötigen verpflichtend eine Datenschutz-Folgenabschätzung. In einer derartigen Analyse werden typische Risken, wie fehlerhafte Daten, definiert und durch Begleitmaßnahmen minimiert.
Das beschlossene Gesetz enthält dazu weder Richtlinien, noch Aufträge an den Gesundheitsminister oder irgendwelche Hinweise zur Erfüllung dieser gesetzlichen Verpflichtung.
Datenschutzrechtlicher Pfusch
Der Entwurf enthält nicht einmal datenschutzrechtliche Minimalerfordernisse, wie ein Verbot der Datenspeicherung durch die Veranstalter, klare Vorgaben, wie diese Daten durch den Veranstalter zu interpretieren sind und wer überhaupt diese Daten verarbeiten darf.
Jede Behörde, jedes Unternehmen kann sich beliebige Szenarien ausdenken, wie er die Daten des "Diskriminierungs-Passes" interpretiert. Unter dem Vorwand der "Vorbeugung" oder "Gefahrenabwehr" kann jede Einrichtung die Vorlage des "Diskriminierungs-Passes" verlangen.
Anspruch auf Schadenersatz
Kommt es auf Grund fehlerhafter Gestaltung, fehlerhafter Interpretation oder fehlerhafter Einträge im "Diskriminierungs-Passes" zu Beschränkungen in den Grundfreiheiten, dann hat jeder Betroffene gemäß DSGVO Anspruch auf Schadenersatz.
Der Schadenersatz liegt üblicherweise zwischen 1.000,- und 5.000,- Euro. Schadenersatzpflichtig wären sowohl der Betreiber des Passes, aber auch alle Einrichtungen, die unter Berufung auf Daten des Passes Rechte und Ansprüche verweigern. Selbst eine Haftungsklage gegen die Republik Österreich wegen des schlampig formulierten Gesetzes ist nicht ausgeschlossen.
Im übrigen ist die ARGE DATEN der Meinung das die Regierung unverzüglich beginnen sollte die Pandemie ernst zu nehmen. Sie soll einen wirkungsvollen und verfassungskonformen Generalplan zur Bewältigung der Corona-Situation und der Regierungs-Krise vorlegen und umsetzen.
mehr --> Jetzt startet der Hype um die 3G-Überwachung
mehr --> Mega-Datenbank als Datenschutz-Satire
mehr --> Corona-Ausweis - Testlauf zur Scoringökonomie
mehr --> Corona-Ausweis - Was ist das Vorhaben wert?
mehr --> Corona-Ausweis - Was ist das Vorhaben wert?
mehr --> Corona-Ausweis - Was ist das Vorhaben wert?
mehr --> Corona-Ausweis - alle stehen unter Generalverdacht
mehr --> Corona-Ausweis - nicht praxistauglich
andere --> Beschluss des Nationalrats zum Corona-Pass
|
