Das am Mittwoch von Bundestag und Bundesrat verabschiedete „Dritte Gesetz zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite“ (kurz auch: „Drittes Bevölkerungsschutzgesetz“) sieht eine nie zuvor dagewesene Konsolidierung von Patientendaten bei einer Bundesbehörde vor.
Neben den üblichen Patienten- und Kontaktdaten müssen jetzt auch die lebenslange Arztnummer (LANR) des behandelnden Arztes und die Betriebsstättennummer (BSNR) seiner Gesundheitseinrichtung übermittelt werden. Zusätzlich wird die Ortsangabe bei der Übermittlung der Daten von Infizierten präzisiert.
Außerdem sollen die Daten von Patienten an das RKI geschickt werden, die Impfungen gegen das SARS-CoV-2-Virus erhalten. Das soll in pseudonymisierter Form erfolgen und dient der Überprüfung der Wirksamkeit der Impfstoffe durch das Robert-Koch-Institut und das Paul-Ehrlich-Institut (PEI). Obwohl das PEI für die Zulassung und Prüfung von Impfstoffen zuständig ist, lagern die Daten im DEMIS beim RKI.
Weiterhin erhält das RKI nun auch Daten über Personen, die aus Risikogebieten in die Bundesrepublik einreisen und stichprobenartig von Bundesbürgern, die eine Bundesgrenze übertreten.
Laut der angestrebten Gesetzesänderung liegt die Kontrolle dieser Maßnahmen nach datenschutzrechtlichen Gesichtspunkten allein beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit Ulrich Kelber (SPD). Datenschutzbeauftragte der Länder sind somit außen vor.
Als Antwort auf eine Anfrage von heise online mit Bitte um Stellungnahme zu den Gesetzesänderungen verwies Kelber auf eine generische Stellungnahme zu dem Thema von Anfang vergangener Woche. Darin heißt es: „Erneut werden mit dem Gesetz verschiedene Meldepflichten oder Übermittlungen personenbezogener Daten eingeführt oder erweitert, ohne zu berücksichtigen, dass die Verarbeitung von Gesundheitsdaten, also besonders geschützten personenbezogenen Daten, einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung darstellt und daher sorgfältig zu begründen und zu rechtfertigen ist und besondere flankierende Maßnahmen zum Schutz der sensiblen Daten vorzusehen sind.“
Der Bundesdatenschutzbeauftragte kritisiert außerdem die Hast, mit der das Gesetz vorgelegt und verabschiedet wurde. Das habe es kaum möglich gemacht, zu prüfen, ob es datenschutzrechtlich unbedenklich ist.
Drittes Bevölkerungsschutzgesetz: Massenhafte Datenspeicherung beim RKI
