Wer darf meine Daten sehen?
Nach anfänglichen Schwierigkeiten scheint der politische Rückhalt für das Südtiroler Landesgesetz zum grünen Pass gegeben. Wie SVP-Senatorin Julia Unterberger aus informellen Aussprachen mit der Regionenministerin Mariastella Gelmini schließt, ist die italienische Regierung geneigt, das Südtiroler Landesgesetz zum “Grünen Pass” nicht anzufechten. Zudem will Ministerpräsident Mario Draghi den grünen Pass für Geimpfte, Genesene und Getestete ab Mitte Mai auch im restlichen Italien zum Einsatz bringen und damit unter anderem Tourismus aus dem Ausland wieder ermöglichen, so die Ankündigung am Dienstag. Das entsprechende Dekret wurde bereits am 22 April erlassen, bis dato jedoch noch nicht umgesetzt.
Trotz des politischen Rückhalts, auf den der grüne Pass in diesen Tagen zu treffen scheint, stehen Datenschützer dessen Umsetzung kritisch entgegen. Sowohl auf Landesebene wie auch auf Staats- und EU-Ebene gab es Kritik vonseiten der Aufsichtsbehörde für Datenschutz (it. garante per la protezione dei dati personali). Im Bezug auf das Landesgesetz wurden bereits letzte Woche Ermittlungen eingeleitet.
Kritik auch auf Staats- und EU-Ebene
“Noi abbiamo un intervento del garante della privacy, che bisogna capire anche nel quadro di quello che il garante ha fatto a livello europeo e a livello nazionale”, erklärt Luca Crisafulli, Rechtsanwalt und Mitglied der Sechser-Komission des Landes, gegenüber Salto.bz. So haben die europäischen Datenschutzbehörden (EDPB & EDPS) bereits am 31 März dieses Jahres ein gemeinsames Statement erlassen, das klar ausgearbeitete Datenschutzregeln fordert. Unter anderem:
- Die Verpflichtung der Mitgliedsstaaten, alle drei Kategorien (Getestete, Geimpfte und Genesene) auf gleiche Weise zu behandeln, um eine Diskriminierung zu verhindern
- Die Verpflichtung der Mitgliedsstaaten, Bereich und Zweck der Anwendung des Passes genauestens zu umschreiben
- Auf europäischer Ebene muss die Zielsetzung des Passes genauer umschrieben und deren Umsetzung auf staatlicher Ebene beobachtet werden; zudem muss gebührender Schutz gegen Fälschung und Missbrauch der Zertifikate bestehen
- Eine “sun-set clause”, die den Zugang zu den verarbeiteten Daten zeitlich limitiert und zudem die Anwendung des Zertifikats auf die Dauer der Pandemie begrenzt; die Möglichkeit einer Re-Aktivierung muss ausgeschlossen werden
- Es muss genauestens definiert sein, warum die gesammelten Daten – wie beispielsweise das verwendete Vakzin oder die Zahl der verabreichten Dosen – notwendig sind
- Jene Parteien, die für die Speicherung und Verarbeitung der Daten zuständig sind, müssen angemessenen technischen und organisatorischen Standards entsprechen; zudem sollen die Mitgliedstaaten dazu verpflichtet werden, die Liste der involvierten Parteien publik zu machen
- Die Möglichkeit, Daten ins Ausland zu übertragen, muss präzisiert werden, sodass die Daten ausschließlich für die geplante Zielsetzung zum Einsatz kommen
Fehlende Koordination mit Aufsichtsbehörde
Darauf aufbauend, intervenierte der italienische Garante per la privacy auch auf nationaler Ebene. Wie Crisafulli erklärt, müsse jede Maßnahme, die die Verarbeitung persönlicher Daten vorsieht, eine Koordination mit der Aufsichtsbehörde für Datenschutz beinhalten. Schon während der Vorbereitungen zum Dekret zum grünen Pass (am 8. April) wandte sich die Aufsichtsbehörde an die zuständige Senatskommission, um die Ausarbeitung der nötigen datenschutzrechtlichen Details zu koordinieren. Das Dekret wurde jedoch ohne die vorgesehene Koordinierung –und laut der Aufsichtskommission in lückenhafter Weise, was den Datenschutz betrifft – am 22. April erlassen. Daraufhin hat die Datenschutz-Aufsichtsbehörde eine Abänderung und konkrete Involvierung beantragt. Wird diesen nicht stattgegeben, besteht die Möglichkeit, das Dekret zu blockieren.
Datenminimierung, Rechtsgrundlage und Transparenz
In Südtirol, wo der Pass bereits umgesetzt wurde, hat die italienische Aufsichtsbehörde für Datenschutz am 30. April die Ermittlungen aufgenommen. Da keine Koordinierungsphase mit der Aufsichtsbehörde stattgefunden hat, findet die datenschutzrechtliche Analyse nun rückwirkend statt. Dabei werden eine Reihe an Prüfungen durchgeführt: Wurde das Prinzip der Daten Minimierung befolgt? Ist die rechtliche Grundlage ausreichend? Wird die Transparenz gewährleistet? Ist die Aufbewahrung der Daten zeitlich limitiert? Wer ist für die Aufbewahrung und Bearbeitung der Daten verantwortlich? Und wer kann auf welche Daten zugreifen? Der Ausgang bleibt also ungewiss.
“Wir sind bereit, weitere Maßnahmen zum Datenschutz durchzuführen, um so den bestmöglichen Schutz der sensiblen Daten zu garantieren.” – Arno Kompatscher.
“Il garante non dice che l'Alto Adige non ha rispettato le regole sulla privacy”, so Crisafulli. “Dice che ci potrebbero essere questi profili di criticità. Nel caso che fossero confermate queste criticità, può arrivare il blocco del provvedimento.” Und weiter: “Io non so se questa ordinanza è legittima o meno, deve essere un giudice a dirlo. C’è uno scenario nel quale il provvedimento viene annullato e si deve aspettare il pass nazionale o perfino quello europeo. Poi, il pass potrebbe risultare fuori dalle competenze della provincia, dato la sensibilità della materia e le questioni di concorrenza al cuore della materia. Infine, potrebbe anche essere tutto in ordine.”
Inzwischen zählt die Landesregierung auf jenes letzte Szenario. Wie Landeshauptmann Arno Kompatscher in der Pressekonferenz am Dienstag erklärte, sei es die Pflicht der Aufsichtsbehörde zu prüfen, dass der Datenschutz bestmöglich gewährleistet wurde. Die Pflicht der Landesregierung, sich bei datensensiblen Maßnahmen sich ex ante mit der Aufsichtsbehörde zu koordinieren, lässt er unerwähnt. Nun hat die Landesregierung zehn Tage Zeit, um die nötigen Informationen an die Aufsichtsbehörde zu übermitteln. “Das werden wir auch machen”, so Kompatscher. “Zudem sind wir bereit, weitere Maßnahmen zum Datenschutz durchzuführen, um so den bestmöglichen Schutz der sensiblen Daten zu garantieren.”
»Luca Crisafulli,
»Luca Crisafulli, Rechtsanwalt und Mitglied der Sechser-Komission des Landes«
Meines Wissens ist Herr Crisafulli nicht mehr Mitglied der Sechserkommission.
Die Datenminimierung ist
Die Datenminimierung ist ausbaufähig. Auf der Impfbestaetigung, die man im Anschluss an die Covid Impfung erhält, die als Grüner Pass gilt und vorzuweisen ist, scheinen alle Impfungen auf, die man bisher bekommen hat. Was geht aber tatsächlich einen Gastwirt (sofern man überhaupt nach dem Zettel gefragt wird - bisher noch nicht geschehen ....) an, ob man Zecken geimpft ist?
In reply to Die Datenminimierung ist by Elisabeth Hammer
Es gibt keine Impfung gegen
Es gibt keine Impfung gegen Zecken, sondern nur gegen die von Zecken übertragene FSME. Was schadet es mir, wenn der Gastwirt weiß, dass ich diese Impfung erhalten habe. Das hat mit Privacy überhaupt nichts zu tun.
In reply to Es gibt keine Impfung gegen by Hartmuth Staffler
Privacy ist eigentlich sehr
Privacy ist eigentlich sehr persönlich und jede/r entscheidet für sich was andere über mich wissen dürfen.
In reply to Privacy ist eigentlich sehr by Christian I
Nach dieser seltsamen Logik
Nach dieser seltsamen Logik müsste ich einem Polizisten, der mich nach dem Führerschein fragt, erklären, dass ihn das nicht angehe, weil ich allein entscheide was andere über mich wissen dürfen. Natürlich ist es auch meine Privatsache, ob ich etwas getrunken habe, und niemand hat ein Recht, mich auch nur danach zu fragen, geschweige denn einen Test zu verlangen.
In reply to Privacy ist eigentlich sehr by Christian I
@Christian I - Da sind Sie
@Christian I - Da sind Sie aber ziemlich falsch gewickelt. Auch der Datenschutz hat Grenzen. Zumal in diesem Fall keiin Gastwirt irgendwelche näheren Informationen über Sie erhält, auch nicht über Ihren Gesundheitszustand, um es gleich vorwegzunehmen.
Leute, ich meine, dass wir
Leute, ich meine, dass wir gut beraten sind, alle Bemühungen um Datenschutz ernst zu nehmen und zu unterstützen - auch wenn wir uns schon daran gewöhnt haben, alles was wir so täglich an Datenfreigabeeinverständnissen unterschreiben, als heiße Luft zu betrachten. Denn wir werden noch schwer staunen, was da an Datensammlung auf uns zukommt.