Hätten wir vor einem Jahr die Entwicklung eines Corona-Impfstoffes der Europäischen Union übertragen, wären wir jetzt wahrscheinlich bei dem Punkt angelangt, wo sich EU-Kommission und EU-Parlament darüber streiten, wer das letzte Wort zum Gesetzesentwurf für ein gemeinsames Entwicklungsprojekt der 27 Mitgliedsländer haben soll – und im Hinterzimmer würde das Personalgeschacher toben, wer diesem Prestige-Projekt vorsitzen darf. Gottseidank haben wir aber noch die freie Wirtschaft und Unternehmer wie die Biontech-Gründer Özlem Türeci und Ugur Sahin, die ihre Mitarbeiter von jetzt auf gleich auf das neue Ziel einschworen und dann – seltene Tugend – auch noch ein rettendes Ergebnis ablieferten.
Nun: zumindest das lähmend-langsam vorankriechende EU-Projekt um die europäische Daten-Cloud-Gaia X – das in seinen Dimensionen auch nicht komplexer ist als die Entwicklung eines Impfstoffs auf der Basis von Messenger-RNA – bekräftigt dieses Urteil. Und auch die Definition eines EU-weit gültigen digitalen Impf-Ausweises kann eigentlich nicht so kompliziert sein wie ein hochinnovatives Pharmaprojekt. Und doch ist der Impfstoff lange vor dem Impf-Ausweis auf der Zielgeraden angekommen. Er wird produziert und verimpft, während der Impf-Ausweis lediglich als Konzept vorliegt, als Gesetzesvorlage. Vor seiner Einführung stehen aber noch immer etliche Hürden.
Da ist allen voran die Frage, wie die Millionen Einträge in den analogen Impf-Ausweisen nun ins Digitale überführt werden sollen. Und auch da wiehert der Amtsschimmel bereits laut: Denn während schon absehbar war, dass der digitale Impfpass kommen würde, wurden munter analoge Impfpässe ausgestellt und die personenbezogenen Daten auf Formularen in Papierform erhoben. Dass jetzt die Ärztevertretungen aufschreien, weil sie nicht noch mit der immensen Aufgabe betraut werden wollen, die analogen Daten zu erfassen, kann nicht verwundern. Und tatsächlich haben Arztpraxen auch wichtigere Pflichten als Verwaltungsaufgaben. Doch auch in der öffentlichen Verwaltung sieht man sich mit dieser eigentlich ureigenen Aufgabe überfordert.
Dass die personenbezogenen Daten nicht in digitaler Form, sondern höchstens verschlüsselt und anonymisiert vorliegen, liegt an der digitalen Fußfessel namens DSGVO, der EU-weit geltenden Datenschutz-Grundverordnung, die so manches Digitalprojekt verhindert oder zumindest behindert. Insofern ist es interessant, dass jetzt der bayerische Datenschutzbeauftragte Thomas Petri gegenüber der Augsburger Allgemeinen einen Weg aus dem Dilemma weist, indem die DSGVO-konformen Datenschutzbestimmungen im Infektionsschutzgesetz geändert und auf Länderebene angepasst werden sollten: „In einem neuen Absatz 5 soll eine datenschutzrechtliche Grundlage für die Verarbeitung der für die Generierung des Covid-19-Impfzertifikats erforderlichen personenbezogenen Daten durch das Robert Koch-Institut und für die Übermittlung dieser Daten an das RKI geschaffen werden.“ Damit könnten die ursprünglich auf Landeseben für Notfälle wie Haftungsfragen gespeicherten Impfdaten entschlüsselt und zusammengeführt werden.
Wir machen also eine Gesetzesnovelle zur Umgehung der DSGVO – genialer Gedanke! Nur haben Unternehmen und privatrechtliche Organisation leider nicht die Möglichkeit, zur Durchsetzung ihrer Digitalprojekte einfach ein Gesetz zu novellieren. Sie müssen der DSGVO – der Digital-Strategien-Gecancelt-Verordnung – folgen und deren komplizierte Umsetzung teuer bezahlen, sonst drohen hohe Strafen. Oder – und das ist leider immer häufiger der Fall – sie streichen die digitalen Initiativen gleich ganz, weil die Auslegung der DSGVO allein in Deutschland von 18 Aufsichtsbehörden von Fall zu Fall unterschiedlich angegangen wird. Deshalb bindet die Umsetzung von Digitalprojekten unverhältnismäßig viele Ressourcen und birgt immer die Gefahr, dass am Ende doch existenzgefährdende Strafen drohen.
„Das hat Auswirkungen, die weit über das einzelne Unternehmen hinausgehen und auch Bestrebungen nach mehr Digitaler Souveränität behindern“, bilanziert der Präsident des Hightech-Verbands Bitkom, Achim Berg, nach drei Jahren DSGVO. „Insbesondere in der Corona-Pandemie konnte in der öffentlichen Verwaltung, in Schulen, im Gesundheitswesen und in Unternehmen beobachtet werden, wie der Datenschutz den sinnvollen Einsatz von Technologien gehemmt oder ganz verhindert hat. Hinzu kommt, dass die Unternehmen feststellen mussten, dass der hohe Umsetzungsaufwand bei der Einführung der DSGVO nicht einmalig war, sondern bei der Einführung jeder digitalen Lösung erneut entsteht.“
Berg fordert, dass viel stärker als bisher Umsetzungshilfen bereitgestellt werden, die von Projekt zu Projekt dupliziert werden können und bundesweit, wenn nicht EU-weit einheitlich gelten. „Es reicht nicht, Verbote und Strafen auszusprechen, sondern es muss auch gezeigt werden, wie die Vorgaben rechtskonform so umgesetzt werden können, dass auch deutsche Unternehmen und Organisationen die Möglichkeiten datengetriebener Plattformen umfassend nutzen und ihre Kunden international betreuen können“, sagt Berg. Die Politik ist gefordert, sonst bleibt die DSGVO eine digitale Fußfessel für die digitale Transformation – eben eine Digital-Strategien-Gecancelt-Verordnung.
PS: Die Bremer Datenschutzbeauftragte Imke Sommer hat jetzt argumentiert, dass das Fax, über das viele Gesundheitsämter mit dem RKI kommunizieren, nicht DSGVO-konform ist. Ein Telefax erreiche seinen Empfänger in vielen Fällen über eine unverschlüsselte Internet-Leitung. Es ist damit nicht sicherer als beispielsweise eine Postkarte. Man schlägt sich auf die Schenkel vor Lachen…
Es ist schön, einen so klaren Blick auf das Gesetzesgestrüpp und vor allem die dahinterstehende Bürokratie Zumutungen zu bekommen. Digitalisierung ist nicht nur eine Infrastruktur Aufgabe. Es ist eine Aufgabe der Vereinfachung der Gesetze und Vorschriften, der Abläufe und generell ein Projekt der Transparenz.
Danke für diesen Beitrag.