5505/J XXVII. GP

Eingelangt am 24.02.2021
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind möglich.

Anfrage

 

der Abgeordneten Mag. Christian Drobits
und GenossInnen

an die Bundesministerin für Justiz bzw. den Bundesminister für Justiz

betreffend Datenschutzkonforme Vormerkung/Anmeldung bei den Corona-Impfplattformen der Länder

 

Seit Anfang Feber sind in allen neun Bundesländern Anmelde- bzw. Vormerksysteme für Impfwillige online. Bei einigen dieser Systeme – wie in Niederösterreich, Oberösterreich, Vorarlberg und Kärnten kommen Google reCAPTCHA-Dienste zum Einsatz.

Captcha (completely automated public turing test to tell computers and humans apart) werden idR verwendet, um zu prüfen, ob ein Formular von einem Menschen oder einem Computer ausgefüllt wurde. Damit soll mißbräuchlichen automatischen Eingaben von Computern ("Bots") auf Seiten oder Formularen entgegengewirkt werden. Ein sehr häufig eingesetzter Captcha ist jener von Google – reCAPTCHA, der kostenfrei ist – aber nicht gratis: denn „bezahlt“ wird bei dessen Nutzung mit Daten.

Der reCAPTCHA von Google ist aber aus Sicht des Schutzes von Daten nicht unumstritten; für die Analyse des Verhaltens werden personenbezogene Daten wie ua. die IP-Adresse, die Referrer URL (die Adresse der Seite von der der Besucher kommt), Informationen über das Betriebssystem, Cookies, Mausbewegungen und Tastaturanschläge, die Verweildauer auf der Seite und auch Einstellungen des Nutzergeräts (z.B. Sprache, Standort, Browser etc.) ausgelesen und an Google weitergeleitet.

Genau hier zeigt sich das Dilemma: Der Wunsch der Betreiber der Anmelde- und Vormerksysteme für die Corona-Impfung nach dem Schutz ihrer Webseite vor Bots und Cyber-Angriffen über Captchas ist verständlich - allerdings gibt es dafür auch datenschutzfreundlichere Lösungen als Google reCAPTCHA . Google nutzt nämlich erhaltene Daten für personalisierte Werbe-Anzeigen und hält sich auch sehr bedeckt, ob und wofür die erhobenen Daten verwendet werden.

„Dass die IP-Adresse an Google geht, sei ohnehin schon bedenklich“ so der Jurist und Datenschutzexperte Peter Harlander in der SN vom 6.2.2021, die als erstes Medium darüber berichtet hat. Da reCAPTCHA überdies Teil des Google Werbenetzwerks ist und dabei Daten zusammengeführt werden, wisse Google, dass sich die Person XY für die Impfung angemeldet habe. Diese Form der Datenweitergabe ist aber für Harlander „zweifelsfrei einwilligungspflichtig“. Es fehlt aber offensichtlich die Freiwilligkeit.

Wer nämlich dieser nicht zustimmt, dem wird die Impfung verweigert. Für Harlander ist daher die Verwendung von „reCAPTCHA“ rechtswidrig und illegal. Die Bestimmungen der DSGVO werden nicht eingehalten.

 

So ist beispielsweise in der Datenschutzinformation des Landes Oberösterreich nachzulesen: „Auf der Website zur Registrierung für die Information über eine mögliche COVID-19 wird “Google reCAPTCHA” (im Folgenden “reCAPTCHA”) genutzt. Anbieter ist die Google Ireland Limited, Gordon House, Barrow Street Dublin 4 (Irland)(“Google”).Mit reCAPTCHA soll überprüft werden, ob die Dateneingabe (z.B. in einemKontaktformular) durch einen Menschen oder durch ein automatisiertes Programm erfolgt. Der Hauptgrund für die Verwendung von reCAPTCHA ist es, die Website vor missbräuchlicher automatisierter Ausspähung und SPAM zu schützen und so den störungsfreien Betrieb der Registrierung / Website sicher zu stellen.Hierzu analysiert reCAPTCHA das Verhalten des Websitebesuchers anhand verschiedener Merkmale. Zur Analyse wertet reCAPTCHA verschiedene Informationen aus (zB IP-Adresse, Verweildauer des Websitebesuchers auf der Website oder vom Nutzer getätigte Mausbewegungen). Die bei der Analyse erfassten Daten werden an Google weitergeleitet, sohin in einen Staat übermittelt, der außerhalb der Europäischen Union liegt und für den kein Angemessenheitsbeschluss der Europäischen Kommission und keine geeigneten Garantien vorliegen (unsicherer Drittstaat). Das Datenschutzniveau in den USA entspricht nicht jenem der Europäischen Union, was sich insbesondere im Risiko eines möglicherweise relativ leichten Zugriffs auf Daten durch US-Behörden niederschlägt. Die Datenübermittlung in die USA erfolgt auf Grundlage Ihrer ausdrücklichen Einwilligung gemäß Art 49 Abs 1 Abs 1 lit a DSGVO.“

 

 

Grundsätzlich ist dazu auf das Urteil des Europäischen Gerichtshofes in der Sache C-311/18 (Schrems II) vom 16. 07. 2020 zu verweisen, das eine Übermittlung personenbezogener Daten in die USA und damit an Google nicht zulässt. Die USA verfügen nämlich über kein angemessenes Datenschutzniveau.

Fraglich ist weiters, ob die BenutzerInnen der Impf-Anmeldeplattformen die jeweilige Datenschutzerklärung lesen bzw. ob ihnen bewußt ist, wozu sie ihre Zustimmung erteilen sollen.

 

Die unterzeichneten Abgeordneten stellen daher nachstehende

 

Anfrage:

 

1.    Welcher Informationsstand liegt dem Ressort zu den Corona-Impfung Anmelde/Vormerkplattformen der einzelnen Bundesländer vor? Bei welchen Plattformen sehen Sie datenschutzrechtliche Problemstellungen?

2.    Wie ist der Einsatz von Google reCAPTCHA auf Plattformen des Bundes und der Länder aus Sicht des Datenschutzes zu bewerten?

3.    Wie beurteilen Sie die Verwendung unterschiedlicher Dienste in den einzelnen Bundesländern zur Registrierung für Corona Impfungen?

4.    Wie beurteilen Sie dabei die Nichteinhaltung datenschutzrechtlicher Bestimmungen durch einzelne Bundesländer?

5.    Wie beurteilen Sie generell die Nichteinhaltung der Entscheidung des EU-GH vom 16. 07. 2020 und damit die datenschutzrechtliche Ignoranz einiger Bundesländer bei ihren Online Plattformen?

6.    Welche Möglichkeiten sieht Ihr Ressort generell und im im Zuge der mittelbaren Bundesverwaltung auf jene Länder einzuwirken, die Google reCAPTCHA als Schutz vor Bots auf ihren Impf-Anmeldeplattformen verwenden, auf datenschutzfreundlichere Dienste umzusteigen?

7.    Werden Sie eine Weisung erteilen, die Datenschutzkonformität bei Impfvoranmeldungsportalen sicherzustellen? Wenn nein, warum nicht?

8.    Wer ist in den einzelnen Bundesländern der datenschutzrechtliche Verantwortliche für diese Corona-Impfung Vormerk-/Anmeldeplattform?

9.    Diese Form der Datenweitergabe an Google bedarf nach der DSGVO auf jeden Fall der freiwilligen Einwilligung der NutzerInnen. Ohne diese Einwilligung ist allerdings keine Anmeldung zur Corona-Impfung möglich. Ist aus dieser Sicht die Verwendung von Google reCAPTCHA auf Anmelde/Vormerkplattformen für die Corona-Impfung überhaupt legal?

10.                Ist unter diesen Voraussetzungen die Freiwilligkeit der Datentransferzusage in die USA überhaupt gegeben? Entspricht diese der DSGVO?

11.                ExpertInnen zufolge besteht durch den Einsatz von Google reCAPTCHA auf den Impf-Anmeldeplattformen und die Weitergabe der IP-Adressen die Gefahr, dass letztendlich durch die Datenzusammenführung bei Google sogar eine Zuordnung erfolgen könne, wer sich konkret für die Corona-Impfung angemeldet hat. Wie beurteilt Ihr Ressort diese Möglichkeit aus Sicht des Schutzes persönlicher Daten?

12.                Wie sehen aus Sicht des Ressorts eine oder mehrere datenschutzkonforme Alternativen für eine Anmelde/Vormerkplattformen für die Corona-Impfung aus, ohne, dass dabei eine Identifizierbarkeit der angemeldeten Personen möglich ist?

13.                Gibt es Seitens des Ressorts einen Vorschlag für eine "DSGVO-konforme Impfregistrierungsplattform"? Wenn nein, warum nicht?

14.                Wie kann dabei überdies die Problematik der Datenübermittlung in die USA rechtskonform gelöst und der Entscheidung des EU-GH entsprochen werden?

15.                Wie viel Beschwerden sind wegen dieser Datenschutzverletzungen bei der Datenschutzbehörde bereits eingelangt? Gibt es laufende Verfahren?

16.                Wenn nein, werden Sie die Datenschutzbehörde beauftragen, alle Impfanmeldeplattformen in den Bundesländern auf Datenschutzkonformität zu überprüfen? Wenn ja, wann? Wenn nein, warum nicht?