Verbesserungsbedarf bei digitalem Test-Impfausweis

In Thüringen wird schon seit Wochen ein elektronischer Impfnachweis getestet, bundesweit soll er Ende Juni kommen. Aus der Perspektive des Datenschützers Hasse sind beide Vorhaben sehr unterschiedlich. Besonders ein Punkt stört ihn am Thüringer Modellprojekt.

Thüringer Modell aus Datenschutz-Sicht weit von Plänen für Bundes-Impfnachweis entfernt

In Thüringen wird schon seit Wochen ein elektronischer Impfnachweis getestet, bundesweit soll er Ende Juni kommen. Aus der Perspektive des Datenschützers Hasse sind beide Vorhaben sehr unterschiedlich. Besonders ein Punkt stört ihn am Thüringer Modellprojekt.

Thüringens Landesdatenschutzbeauftragter Lutz Hasse sieht Verbesserungsbedarf beim Datenschutz für den Modellversuch zum digitalen Impfnachweis in Thüringen, sollte dieser noch eine lange Zeit laufen. Es handele sich aus seiner Sicht um eine Brückentechnologie, eine Art Übergangslösung, bis der bundesweite digitale Impfnachweis komme, sagte Hasse. Dieser sei für Ende Juni angekündigt. "Wenn sich aber abzeichnet, dass diese Frist gerissen wird und das Thüringer Modellprojekt weiterläuft, vielleicht ein Jahr, dann möchten wir schon darauf dringen, dass es sicherer gemacht wird", sagte Hasse.

Er monierte, nicht früh in das Modellprojekt eingebunden worden zu sein. "Ich habe daraus aus den Medien erfahren und mich dann eingeschaltet", sagte Hasse. Seitdem laufe die Zusammenarbeit aber gut.

Hasse erklärte, dass aus Datenschutz-Sicht das Thüringer Modell von den Plänen für den Bundes-Impfnachweis weit entfernt liege. "Das Modellprojekt in Thüringen ist ganz anders strukturiert und ganz anders aufgebaut als es im Bund angedacht ist", sagte Hasse. Die Schnittmenge zwischen beiden Vorhaben sei aus datenschutzrechtlicher Sicht minimal. Hauptunterschied: die Speicherung der Daten.

Zentrale Speicherung der Daten beim Thüringer Modell

Für den Bundes-Impfnachweis sei eine dezentrale Speicherung der Daten geplant. "Der Gastwirt, der den QR-Code des Gastes abscannt, bekommt Daten nur aus diesem QR-Code und es werden keine Kontakte zu Speicherorten hergestellt", sagte Hasse. Thüringen hingegen habe sich zunächst für eine zentrale Speicherung der Daten entschieden.

Sollte das Modellprojekt eine längere Zeit laufen, müsse nachgebessert werden. Es brauche dann eine Datenschutzfolgeabschätzung, so Hasse. "Das bedeutet: Das Risiko muss eingeschätzt werden, sind die Daten sicher, welche Daten werden erhoben, wann werden sie gelöscht und was passiert mit den Daten, die hier in Thüringen angefallen sind, wenn das Bundesprojekt anläuft", so Hasse. Generell gelte, dass Daten wieder gelöscht werden sollten, wenn sie nicht mehr gebraucht würden.