Eingelangt am 24.02.2021
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind möglich.

Anfrage

der Abgeordneten Mag. Christian Drobits
und GenossInnen

an den Bundesminister für Soziales, Gesundheit, Pflege und Konsumentenschutz

betreffend Unterschiedliche Regelungen im Zuge der Vormerkung/Anmeldung bei den Corona-Impfplattformen der Länder

„Die Möglichkeit, sich impfen zu lassen, gibt es in ganz Österreich. Die Abläufe sind allerdings von Bundesland zu Bundesland verschieden und werden laufend weiterentwickelt. Wir aktualisieren die Informationen regelmäßig für Sie“ ist auf der Homepage von österreich-impft.at nachzulesen. Etwas realistischer ist da die Homepage des Gesundheitsministeriums: „Eine Vormerkung zur Corona-Schutzimpfung ist bereits jetzt in allen Bundesländern möglich. Hier werden Sie an die zuständige Stelle in Ihrem Bundesland weitergeleitet“.

Denn je nach Impfplan und Priorisierung müssen sich an der Corona-Impfung Interessierte noch einige Monate gedulden, ehe sie nach der Voranmeldung den Aufruf zur Terminvereinbarung erhalten.

Seit Anfang Feber sind in allen neun Bundesländern Vormerksysteme für Impfwillige online. Diese Vormerksysteme differieren zum Teil sehr stark: während zB in Wien von Beginn an eine differenzierte Anmeldung nach Berufs- und Personengruppen bzw. Risikogruppen möglich war, besteht in Niederösterreich nur eine ganz allgemeine Möglichkeit zur Vormerkung. Kürzlich waren 10.000 Termine für Personen über 80, die Notruf Niederösterreich auf seiner Website zur Anmeldung freigeschaltet hatte, innerhalb kürzester Zeit vergeben, viele SeniorInnen – vor allem jene ohne Computer bzw. Familienmitglieder, die die Anmeldung hätten online vornehmen können, gingen leer aus. Das schafft enormen Frust bei den Menschen. Die Knappheit an Impfstoffen kombiniert mit der Unterschiedlichkeit der Vormerk- und Anmeldesysteme zehren an den Nerven vieler Impfwilliger.

Zusätzlich kommen bei einigen der Corona-Impfung-Vormerksysteme der Länder datenschutzrechtlich problematische Systeme zum Einsatz: So verwenden die Anmeldeplattformen in Niederösterreich, Oberösterreich, Kärnten und Vorarlberg Google reCAPTCHA zum Schutz vor mißbräuchlichen automatischen Eingaben von Computern ("Bots"). Nun ist Google reCAPTCHA zwar kostenfrei – aber nicht gratis: denn „bezahlt“ wird bei dessen Nutzung mit Daten.

Der reCAPTCHA von Google ist aus Datenschutzsicht nicht unumstritten; für die Analyse des Verhaltens werden personenbezogene Daten wie ua. die IP-Adresse, die Referrer URL (die Adresse der Seite von der der Besucher kommt), Informationen über das Betriebssystem, Cookies, Mausbewegungen und Tastaturanschläge, die Verweildauer auf der Seite und auch Einstellungen des Nutzergeräts (z.B. Sprache, Standort, Browser etc.) ausgelesen und an Google weitergeleitet.

Der Wunsch der Betreiber der Anmelde- und Vormerksysteme für die Corona-Impfung nach dem Schutz ihrer Webseite vor Bots und Cyber-Angriffen über Captchas ist verständlich - allerdings gibt es dafür auch datenschutzfreundlichere Lösungen als Google reCAPTCHA. Der Werbekonzern Google nutzt nämlich erhaltene Daten für personalisierte Werbe-Anzeigen und hält sich auch sehr bedeckt, ob und wofür die erhobenen Daten verwendet werden.

„Dass die IP-Adresse an Google geht, sei ohnehin schon bedenklich“ so der Jurist und Datenschutzexperte Peter Harlander in der SN vom 6.2.2021, die als erstes Medium darüber berichtet hat. Da reCAPTCHA überdies Teil des Google Werbenetzwerks ist und dabei Daten zusammengeführt werden, wisse Google, dass sich die Person XY für die Impfung angemeldet habe. Diese Form der Datenweitergabe ist aber für Harlander „zweifelsfrei einwilligungspflichtig“. Es fehlt aber offensichtlich die datenschutzrechtlich erforderliche Freiwilligkeit im Sinne des DSGVO.

Wer nämlich dieser nicht zustimmt, dem wird die Impfung verweigert. Für Harlander ist daher die Verwendung von reCAPTCHA rechtswidrig und illegal. Die Bestimmungen der DSGVO werden nicht eingehalten.

Ganz abgesehen davon ist dazu auf das Urteil des Europäischen Gerichtshofes in der Sache C-311/18 (Schrems II) vom 16. 07. 2020 zu verweisen, das eine Übermittlung personenbezogener Daten in die USA und damit an Google nicht zulässt. Die USA verfügen nämlich über kein angemessenes Datenschutzniveau.

 

Fraglich ist auch, ob die BenutzerInnen der Impf-Anmeldeplattformen die jeweilige Datenschutzerklärung lesen bzw. ob ihnen bewußt ist, wozu sie ihre Zustimmung erteilen sollen.

 

Die unterzeichneten Abgeordneten stellen daher nachstehende

 

Anfrage:

 

1.   Welcher Informationsstand liegt Ihrem Ressort zu den Corona-Impfung Anmelde/Vormerkplattformen der einzelnen Bundesländer vor?

2.   Zwischen den Corona-Impfung Anmelde/Vormerkplattformen der einzelnen Bundesländer gibt es teils erhebliche Unterschiede. So ist es auf der Wiener Plattform seit Beginn an möglich, sich nach Berufsgruppe oder Risikogruppe einzutragen, sich für den Fall zu registrieren, dass kurzfristig Impfungen frei werden und im Onlineprofil Daten einzusehen und zu ändern. Diese Möglichkeiten fehlen beispielsweise auf dem niederösterreichischen Portal völlig. Diese und zahlreiche weitere Unterschiede auf den diversen Plattformen führen zu Frust und Verunsicherung bei den Impfwilligen. Ist es aus Sicht Ihres Ressorts wünschenswert, dass die Anmelde/Vormerkplattformen der Länder für die Corona-Impfung so stark differieren?

3.   Gab es im Vorfeld keine abstimmenden Gespräche zwischen Ihrem Ressort und den Ländern, um eine halbwegs einheitliche Vormerk- und Anmeldestruktur für die Corona-Impfung zu schaffen?

4.   Auf einigen der Vormerk/Anmeldeplattformen für die Corona-Impfung sind erhebliche datenschutzrechtliche Probleme feststellbar – vor allem dort wo Google reCAPTCHA zum Einsatz kommt. Wie ist aus Sicht Ihres Ressorts der Einsatz von Google reCAPTCHA auf diesen Plattformen zu bewerten?

5.   Diese Form der Datenübermittlung an Google bedarf nach der DSGVO auf jeden Fall der freiwilligen Einwilligung der NutzerInnen. Ohne diese Einwilligung ist allerdings keine Anmeldung zur Corona-Impfung möglich. Ist aus dieser Sicht die Freiwilligkeit der Datentransferzusage in die USA überhaupt gegeben? Entspricht dies aus Sicht Ihres Ressorts der DSGVO?

6.   Welche Möglichkeiten sieht Ihr Ressort generell bzw. im Zuge der mittelbaren Bundesverwaltung auf jene Länder einzuwirken, die Google reCAPTCHA als Schutz vor Bots auf ihren Impf-Anmeldeplattformen verwenden, auf datenschutzfreundlichere Dienste umzusteigen?

7.   Werden Sie an alle Bundesländer bzw. die Landeshauptleute eine Weisung erteilen, die Datenschutzkonformität bei den Impfvoranmeldungsportalen sicherzustellen? Wenn nein, warum nicht?

8.   ExpertInnen zufolge besteht durch den Einsatz von Google reCAPTCHA auf den Impf-Anmeldeplattformen und die Weitergabe der IP-Adressen die Gefahr, dass letztendlich durch die Datenzusammenführung bei Google sogar eine Zuordnung erfolgen könne, wer sich konkret für die Corona-Impfung angemeldet hat. Wie beurteilt Ihr Ressort diese Möglichkeit aus Sicht des Schutzes persönlicher Daten?

9.   Wie sehen aus Sicht des Ressorts eine oder mehrere datenschutzkonforme Alternativen für eine Anmelde/Vormerkplattformen für die Corona-Impfung aus, ohne, dass dabei eine Identifizierbarkeit der angemeldeten Personen möglich ist?

10.               Gibt es Seitens des Ressorts einen Vorschlag für eine "DSGVO-konforme Impfregistrierungsplattform"? Wenn nein, warum nicht?

11.               Gibt es eine Zusammenarbeit des Ressorts - so wie es in Deutschland durch Gesundheitsminister Jens Spahn erfolgt- mit Google bzw. dem Europa Geschäftsführer Philipp Justus?

12.               Wie viel Beschwerden sind wegen dieser Datenschutzverletzungen bei der Datenschutzbehörde bereits eingelangt?

13.               Wenn nein, werden Sie die Datenschutzbehörde beauftragen, alle Impfanmeldeplattformen in den Bundesländern auf Datenschutzkonformität zu überprüfen? Wenn ja, wann? Wenn nein, warum nicht?