Datenschutz bei Impfanmeldung mangelhaft
Österreich impft. Bei 4 von 9 Online-Portalen zur Voranmeldung für die Corona-Schutzimpfung gibt es Probleme
„Österreich impft“: So lautet die landesweite Aktion, bei der man sich für eine CoronaSchutzimpfung voranmelden kann. In allen 9 Bundesländern gibt es jeweils eine eigene Online-Plattform für die Voranmeldung. In 4 von insgesamt 9 Bundesländern sind laut einem KURIER-Check mit einem Experten jedoch datenschutzrechtliche Probleme bei den Portalen vorhanden. Auf den Websites zur Impfvoranmeldung in einzelnen Bundesländern kommt der Google-Webdienst „reCaptcha“zum Einsatz (siehe Kasten), der Daten an den Internetkonzern überträgt. Der Google-Dienst wird von den Ländern Oberösterreich, Kärnten, Vorarlberg und Niederösterreich auf der Voranmeldungswebseite eingesetzt.
Martina W., eine Therapeutin aus Oberösterreich, wollte sich über das Formular des Landes zur Impfung voranmelden und bemerkte, dass ihre Daten in die USA geschickt werden sollten. „Ich will mich zur Impfung voranmelden, aber nicht, dass meine Informationen an Google gehen“, sagte die Oberösterreicherin zum KURIER.
Laut dem Land Oberösterreich (OÖ) dient „reCaptcha“ausschließlich „zum Schutz der Webseite und der von allen Nutzern eingegebenen Daten vor Hackerangriffen“, wie es auf Anfrage heißt. Das Land holt sich vor dem Abschicken des Formulars die Zustimmung ein, dass die IPAdresse, die dem Gerät im Netz zugewiesen wird, an Google übermittelt wird. Wer die Einwilligung nicht erteilt, kann sich aber nicht zur Impfung voranmelden.
Nicht rechtskonform
Marco Blocher, Jurist bei der Datenschutz-Organisation noyb.eu, erklärt: „Die Datenschutzgrundverordnung (DSGVO) stellt strenge Anforderungen an die Freiwilligkeit einer Einwilligung. Im Moment muss man leider an der Freiwilligkeit und damit der Wirksamkeit der Einwilligung in Google reCaptcha zweifeln, da sie erzwungen wird. Plus: Erst im Nachhinein nach einer Einwilligung zu fragen, ist nicht DSGVOkonform.“Das Land beschwichtigt, dass man keine Gesundheitsdaten an Google übertrage, sondern lediglich die IP-Adresse.
Diese stellt allerdings laut dem EU-Gesetz ein personenbezogenes Datum dar. „Es dürfte heutzutage niemanden mehr überraschen, dass Google über eine Vielzahl an Daten verfügt, die eine Identifizierbarkeit ermöglichen, auch wenn „nur“IP-Adressen übermittelt werden. Einfaches Beispiel: Sie besuchen die Seite, während Sie über dieselbe IP-Adresse in Ihr Google-Konto eingeloggt sind. Das macht Sie für Google schon identifizierbar“, sagt Blocher von noyb.eu. Das Land OÖ hält seine Vorgehensweise weiterhin für „datenschutzkonform“.
Lösungen angedacht
Niederösterreich (NÖ) verweist in seiner Datenschutzerklärung bei der Impfvoranmeldung darauf, dass „reCaptcha“aufgrund eines „berechtigten Interesses“eingesetzt wird. „Das macht grundsätzlich Sinn“, sagt Blocher, aber „die Problematik der Datenübermittlung in die USA ist damit nicht geklärt.“
NÖ will aber nachbessern. Um künftig einen Impftermin buchen zu können, werde man die Sicherheitsprüfung „anders lösen“.
Auch Kärnten habe die „Problemstellung erkannt“, heißt es auf Anfrage des KURIER. Hier hat man auch vergessen, den Google-Dienst in die Datenschutzerklärung zu integrieren. Dies soll nun alsbald nachgeholt werden.
Hotline und Gemeinden
Als Lösungsvorschlag bietet Kärnten an: „Wenn ein Nutzer die Plattform nicht verwenden möchte, kann er sich gerne an die zuständige Wohnortgemeinde wenden. Diese kann für einen die
Vormerkung vornehmen.“
Das Land Vorarlberg verweist auf die alternative Anmeldung per Hotline und beantwortet als einziges Bundesland die Frage, warum keine datenschutzfreundliche Alternative zu „reCaptcha“gewählt wurde: „Natürlich gibt es Alternativen, aber durch den enormen Zeitdruck und schneller Verfügbarkeit wurde auf den Dienst von Google gesetzt.“
„Gerade öffentlichen Einrichtungen sollte der Datenschutz der Bürger ein ureigenes Anliegen sein“, entgegnet Blocher. „Es ist absolut machbar, eine DSGVO-konforme Impfregistrierungsplattform zu betreiben.“