EU-Kommission: Vorschlag eines „Digital Green Certificate“ – das Tor zur Freiheit?

Aktuelle Schritte der Digitalisierung des Gesundheitswesens im Angesicht der COVID-19-Pandemie.

Nicht erst seit der COVID-19-Pandemie schreitet die Digitalisierung des Gesundheitswesens unaufhaltsam voran. Nach Meilensteinen wie dem E-Health-Gesetz, dem Digitale-Versorgung-Gesetz (DVG) oder der Digitale-Gesundheitsanwendungen-Verordnung (DiGAV) wurde mit der Einführung der elektronischen Patientenakte (ePA) nunmehr auch die Möglichkeit geschaffen, unter Beachtung der Datenhoheit des Patienten medizinische Befunde und Informationen aus Untersuchungen und Behandlungen an zentraler Stelle zu sammeln und zu speichern. Theoretisch wäre es daher denkbar, die elektronische Patientenakte auch für COVID-19-bezogene Informationen (erhaltene COVID-19-Impfungen, negative Testergebnisse, überstandene Infektionen usw.) nutzbar zu machen. Da die elektronische Patientenakte aber noch nicht flächendeckend im Einsatz ist und Bedarf an einer schnellen, unkomplizierten und vor allem europaweit einheitlichen Lösung besteht, hat sich nun die Europäische Kommission der Frage angenommen, wie COVID-19-bezogene Informationen einer Person gespeichert und im Bedarfsfall nachgewiesen werden können.

Zu diesem Zweck hat die Kommission am 17.03.2021 einen Vorschlag für eine „Verordnung über einen Rahmen für die Ausstellung, Überprüfung und Anerkennung interoperabler Zertifikate zur Bescheinigung von Impfungen, Tests und der Genesung mit der Zielsetzung der Erleichterung der Freizügigkeit während der COVID-19-Pandemie (Digitales Grünes Zertifikat)“ (COM/2021/130 final) veröffentlicht.

Inhalt des „Digital Green Certificate“

Gemäß Art. 2 Nr. 2 der „Digital-Green-Certificate“-Verordnung (DGC-E) ist das „Digitale Grüne Zertifikat“ eine interoperable Bescheinigung über den Impf-, Test- oder Genesungsstatus des Inhabers im Zusammenhang mit COVID-19. Jeder EU-Mitgliedstaat kann hierbei selbst entscheiden, ob er den Nachweis in Papier- und/oder digitaler Form ausstellt.  Allerdings ist dem Zertifikat stets ein maschinenlesbarer 2D-Code hinzufügen, mit dem sich die Authentizität, Integrität und Gültigkeit des Zertifikats überprüfen lässt. Inhaltlich soll das „Digitale Grüne Zertifikat“ gemäß Art. 3 Abs. 1 DGC-E die Ausstellung und grenzüberschreitende Überprüfung und Anerkennung verschiedener Einzelzertifikate ermöglichen:

• ein Zertifikat, mit dem bescheinigt wird, dass der Inhaber in dem das Zertifikat ausstellenden Mitgliedstaat eine COVID-19-Impfung erhalten hat („Impfzertifikat“)
• ein Zertifikat, in dem das Ergebnis und das Datum eines qualifizierten NAAT-Tests oder COVID-19-Antigen-Schnelltests des Inhabers aufgeführt sind („Testzertifikat“)
• ein Zertifikat, aus dem hervorgeht, dass der Inhaber nach einem qualifizierten positiven NAAT-Test oder positiven Antigen-Schnelltest von einer SARS-CoV-2-Infektion genesen ist („Genesungszertifikat“).

Die konkret zu speichernden personenbezogenen Daten sind in der Verordnung für jeden Zertifikatstyp abschließend festgelegt. Alle Zertifikate enthalten Name und Geburtsdatum des Inhabers und sind mit einer eindeutigen Kennung versehen. Impf- und Testzertifikate enthalten darüber hinaus auch Informationen über den genutzten Impfstoff bzw. über Art, Zeitpunkt, Ort und Ergebnis eines Tests. Genesungszertifikate weisen demgegenüber das Datum des ersten positiven Testergebnisses aus.

Zulässige Verarbeitungszwecke

Personenbezogene Gesundheitsdaten sind besonders schutzbedürftig. Aus diesem Grund sind die zulässigen Verarbeitungszwecke des „Digital Green Certificate“ sehr restriktiv gehalten. Gemäß Art. 9 Abs. 1 und Abs. 2 DGC-E dürfen die in den Zertifikaten enthaltenen personenbezogenen Daten ausschließlich für die Zwecke des Abrufs und der Überprüfung der in dem jeweiligen Zertifikat enthaltenen Informationen (= Bestätigung des Impf-, Test- oder Genesungsstatus des Inhabers) verarbeitet werden, „um die Ausübung des Rechts auf Freizügigkeit innerhalb der Union während der COVID-19-Pandemie zu erleichtern“. Berechtigt sind hierbei allein die die zuständigen Behörden des Mitgliedstaats, in welchen eingereist wird, sowie die Betreiber grenzüberschreitender Personenverkehrsdienstleister, die nach nationalem Recht verpflichtet sind, bestimmte Maßnahmen im Bereich der öffentlichen Gesundheit während der COVID-19-Pandemie durchzuführen. Eine Speicherung der personenbezogenen Daten erfolgt lediglich in dem jeweiligen Zertifikat selbst, das durch eine digitale Signatur geschützt wird. Der für eine Prüfung erforderliche Public Key soll in einer zentralen, öffentlich zugänglichen Datenbank zur Verfügung gestellt werden.

Weitere Einsatzzwecke des „Digital Green Certificate“?

Fraglich ist, ob das „Digital Green Certificate“ zukünftig auch für darüber hinausgehende Einsatzwecke, etwa als „Eintrittskarte“ für den Besuch von Restaurants oder kulturellen Veranstaltungen, genutzt werden kann. Technisch wäre dies ohne weiteres möglich, da der jedem Zertifikat hinzuzufügende 2D-Code problemlos ausgelesen und überprüft werden könnte. Zu einer solchen – letztlich ohnehin allein innerstaatlich relevanten – weitergehenden Einsatzmöglichkeit des „Digital Green Certificate“ hat die EU-Kommission (noch) keine Stellung genommen. Da das Auslesen und die Prüfung des 2D-Codes datenschutzrechtlich eine Verarbeitung i. S. d. Datenschutz-Grundverordnung (DSGVO) darstellt, müsste die prüfende Stelle – etwa der Betreiber des Restaurants oder der Konzertveranstalter – aber in jedem Fall sicherstellen, dass die Verarbeitung auf eine Erlaubnisnorm der DSGVO gestützt werden kann. Diesbezüglich kommt derzeit nur eine Einwilligung des Betroffenen in Betracht, die zudem – da besonders schutzbedürftige Gesundheitsdaten betroffen sind – auch nicht stillschweigend oder konkludent, sondern ausdrücklich erklärt werden müsste. Die Anforderungen an den Nachweis einer solchen Einwilligung durch die prüfende Stelle sind also hoch. Anders sähe es nur dann aus, wenn der deutsche Gesetzgeber eine gesetzliche Erlaubnisnorm schaffen würde, die den Einsatz des „Digital Green Certificate“ für weitere, nicht in der DGC-E genannte Zwecke ausdrücklich erlauben würde (etwa mit Verweis auf das Bestehen eines öffentlichen Interesses im Bereich der öffentlichen Gesundheit wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren).

Praxistipp:

Der Vorschlag der EU-Kommission für die Einführung eines „Digital Green Certificate“ bringt Bewegung in die öffentliche Diskussion, wie der Impf-, Test- oder Genesungsstatus einer Person geprüft und nachgewiesen werden kann. Es handelt sich aber nicht um ein niedrigschwelliges Angebot wie es beispielsweise Apps wie „luca“ bieten. Zudem ist der Einsatzzweck des „Digital Green Certificate“ derzeit noch sehr restriktiv gestaltet. Auf der anderen Seite könnte sich das „Digital Green Certificate“ – insbesondere im grenzüberschreitenden Reiseverkehr – zu einem „offiziellen“ Impfnachweis entwickeln, das für sich ein erhöhtes Vertrauen in Anspruch nehmen kann. Aus diesem Grund sollte die weitere Entwicklung, vor allem die mögliche Öffnung zu weiteren Einsatzwecken, genau beobachtet werden. Vor der Nutzung des „Digital Green Certificate“ als „Eintrittskarte“ für öffentliche Orte wie Restaurants oder Hotels oder für Veranstaltungen ist in jedem Fall eine datenschutzrechtliche Prüfung empfehlenswert.