Politik | Privacy

Eigenbau wird Eigentor

Die Datenschutzbehörde erteilt dem Südtiroler CoronaPass eine Absage. Zu spät, um das mittlerweile hinfällige Projekt zu stoppen.
Thomas Widmann, Corona pass
Foto: Screenshot

“Der CoronaPass ist unser Weg aus der Krise.” Der Schlachtruf der Landesregierung vom Frühjahr dieses Jahres ist inzwischen verhallt. Seit 1. Juli gilt auch in Südtirol der Europäische Grüne Pass, das Projekt “CoronaPass Südtirol” in der Schublade verschwunden. Mit dem Coronapass Marke Eigenbau war es ab 26. April möglich, bestimmte Aktivitäten durchzuführen – in Gastronomie, Kultur und Sport. Und gegen den Willen Roms. In Südtirol selbst wurde die digitale Eintrittskarte von allen Seiten wohlwollend begrüßt. Und dennoch, eine Frage stellte sich nicht nur der Opposition, sondern auch Fachleuten: Wird der Datenschutz eingehalten?

Bereits kurz nach der Einführung des CoronaPass schaltete sich die Aufsichtsbehörde für Datenschutz (Garante della Privacy) mit einer Untersuchung ein. Auch, weil der Initiative “CoronaPass Südtirol” bzw. der beiden Verordnungen des Landeshauptmannes dazu (Nr. 20 vom 23. April und Nr. 23 vom 21. Mai 2021) keine Koordination mit der Behörde vorausgegangen war. Das wäre eigentlich für jede Maßnahme Pflicht, die die Verarbeitung persönlicher Daten vorsieht.

Man werde überprüfen, ob die Verarbeitung der personenbezogenen Daten im Zusammenhang mit dem CoronaPass auf der dafür notwendigen rechtlichen Grundlage basiere, so die Mitteilung des Garante an das Land Südtirol. Weitere Fragen, die zu klären waren: Wurde das Prinzip der Datenminimierung befolgt? Wird die Transparenz gewährleistet? Ist die Aufbewahrung der Daten zeitlich limitiert? Wer ist für die Aufbewahrung und Bearbeitung der Daten verantwortlich? Und wer kann auf welche Daten zugreifen? “Wir werden der Datenschutzbehörde all unsere Argumente fundiert mitteilen”, gab sich Landeshauptmann Arno Kompatscher gelassen.
Ganz so easy sah es Luca Crisafulli nicht. Der Rechtsanwalt und ehemaliger Vertreter in der 6er-Kommission meinte: “Es könnte sich herausstellen, dass der CoronaPass die Zuständigkeiten des Landes überschreitet.”

 

Datenschutz nicht ok – Stopp für CoronaPass

 

Tatsächlich kam die Datenschutzbehörde am Ende zum selben Schluss. In einer in Südtirol so gut wie gar nicht beachteten Verfügung – datiert ist sie auf den 18. Juni 2021 – verhängt der Garante eine “endgültige Einschränkung der Verarbeitung der im lokalen Projekt zum Grünen Zertifikat (CoronaPass, Anm.d.Red.) vorgesehenen Daten”.

Die Gründe dafür:

  • die Einführung von Maßnahmen zur Einschränkung von Grundrechten und -freiheiten, die die Verarbeitung von persönlichen Daten beinhalten, fällt in die Zuständigkeit der staatlichen Gesetzgebung und kann nicht per Verordnung eines Landeshauptmannes beschlossen werden
  • die Bestimmungen der Verordnungen Nr. 20 und 23 stellen keine gültige Rechtsgrundlage dar, um die Grünen Zertifikate auf Provinzebene abweichend vom Gesetzesdekret Nr. 52 vom 22. April 2021 zu verwenden, mit dem die Einführung des nationalen Grünen Zertifikats geregelt wurde; dabei liegen laut Datenschutzbehörde insbesondere folgende kritische Punkte vor:
    • die Notwendigkeit, dass die Verarbeitung personenbezogener Daten im Zusammenhang mit der Verwendung des Grünen Zertifikats ausschließlich gemäß den Modalitäten erfolgen, die auf nationaler Ebene vorgeschrieben sind
    • ein unkoordiniertes System auf nationaler Ebene für die Ausstellung und Überprüfung Grüner Zertifikate berge das Risiko, die Effizienz der gesamten Maßnahme zu beeinträchtigen, da es weder die Genauigkeit und Aktualität der Daten noch die Möglichkeit für die betroffenen Personen gewährleisten kann, das Zertifikat im gesamten Staatsgebiet zu verwenden
    • die Anforderung der Genauigkeit der Daten ergibt sich, so der Garante, als wesentlich bei der Bewertung der Verhältnismäßigkeit der Begrenzung und der Eignung der Maßnahme zur Eindämmung und Abgrenzung des epidemiologischen Notstands von Covid-19; der Südtiroler CoronaPass hingegen gewährleiste die Grundsätze der Richtigkeit und Integrität sowie der Vertraulichkeit der verarbeiteten Daten nicht

Aus diesen Gründen erteilt die Datenschutzbehörde dem Südtiroler CoronaPass am 18. Juni kein positives Zeugnis und verpflichtet das Land Südtirol und den hiesigen Sanitätsbetrieb, die Datenerhebung zum CoronaPass endgültig einzustellen. Dafür gibt es eine Frist von sieben Tagen.

Wann die Maßnahme zugestellt wurde, ist nicht überliefert. Genauso wenig, wie Südtirol darauf reagiert hat. Vermutlich aber gar nicht. Denn Fakt ist, dass am 1. Juli der Europäische Grüne Pass sämtliche lokale und nationale Corona-Zertifikate abgelöst hat. Und da bis zum letzten Tag, dem 30. Juni, der Südtiroler CoronaPass in Verwendung war, darf davon ausgegangen werden, dass man bei Land und Sanitätsbetrieb die Maßnahme der Datenschutzbehörde einfach ignoriert hat.

Bild
Profil für Benutzer Florian Hinteregger
Florian Hinteregger Di., 06.07.2021 - 15:44

Nichtsdestotrotz wird der Südtiroler Coronapass immer noch mit dem üblichen QR-Code ausgestellt. Auch die Online-Überprüfung funktioniert noch. Zumindest ist mir ein Testergebnis gestern so zugestellt worden.

Di., 06.07.2021 - 15:44 Permalink
Bild
Profil für Benutzer Horst Trocker
Horst Trocker Di., 06.07.2021 - 15:45

Die "Herrschaften" schießen schon seit geraumer Zeit ein Eigentor nach dem anderen. Für Fußballfreaks entweder Kopfschütteln oder Spaß am Spiel ...
Mir fällt da nur ein Zitat ein: "Mit dem Geist ist es wie mit dem Magen. Mute ihm nur jene Nahrung zu, die er verdauen kann!"

Di., 06.07.2021 - 15:45 Permalink
Bild
Profil für Benutzer Frank Fink
Frank Fink Di., 06.07.2021 - 16:52

Natürlich wird jetzt hämisch auf die Landesregierung gezeigt: Fakt ist aber, dass man 1 Monat vor den anderen Regionen aufgesperrt hat. Aufgrund des schlechten Wetters im Mai ist der Erfolg vielleicht nicht so groß gewesen. Ich möchte auch hinweisen, dass Sebastian Kurz in Österreich den Pass im März angekündigt hat und Anfang Juni noch nicht realisiert hatte. Man kann auch Mark Zuckerberg zitieren: Better done than perfect

Di., 06.07.2021 - 16:52 Permalink
Bild
Profil für Benutzer Manfred Klotz
Manfred Klotz Mi., 07.07.2021 - 07:40

Antwort auf von Quo Vadis Südtirol

Die Privacy-Bestimmungen gelten eigentlich für ganz Europa, Südtirol hat da keinen Sonderstatus, das hat mit Autonomie gar nichts zu tun.
Aber wie Herr Fink schon geschrieben hat, zuerst haben alle applaudiert, weil Südtirol mit dem Green Pass schneller Lockerungen eingeführt hat - da hat den Datenschutz niemand gekratzt - und jetzt kritisiert man dieses Vorgehen. Nicht ganz schlüssig das Verhalten.

Mi., 07.07.2021 - 07:40 Permalink
Bild
Profil für Benutzer Hannes Mayr
Hannes Mayr Mi., 07.07.2021 - 08:46

Rein aus den Informationen im Artikel erschließt sich mir nicht was genau die *Datenschutz*behörde nun am Datenschutz selbst bemängelt. Es geht wohl nur um politisches Geplänkel, dass er nicht im Einklang mit den nationalen Regeln gehalten wurde. Beim Punkt "Grundsätze der Richtigkeit und Integrität sowie der Vertraulichkeit der verarbeiteten Daten" ändert sich auch beim aktuellen europäischen Pass nicht viel, wenn die Daten genauso wie vorher vom Sanitätsbetrieb erfasst werden und dann einfach nach Rom weitergeleitet werden (womöglich noch per Email, unverschlüsselt, als Excel-Tabelle).
Alles heiße Sommerluft würde ich sagen. Zum Triggern der üblichen Schimpftiraden über die hiesige Politik ist die News natürlich gut geeignet.

Mi., 07.07.2021 - 08:46 Permalink