Die internationale Vereinigung der Datenschutzbehörden „Global Privacy Assembly“ (GPA) hat eine gemeinsame Erklärung (Joint Statement) zu der Verwendung von Gesundheitsdaten für inländische oder grenzüberschreitende Reisen angenommen.Hintergrund der Erklärung ist, dass in vielen Ländern und Regionen der Welt zur Zeit entsprechende Programme vorbereitet werden, z. B. das digitale geplante Impfzertifikat in der EU.

Die gemeinsame Erklärung der GPA ruft alle beteiligten Stellen auf, die Grundsätze des Datenschutzes bei Planung, Ausgestaltung und Umsetzung solcher Programme von Anfang an mit zu berücksichtigen. Nur so könne eine grundrechtskonforme Funktionsweise erreicht werden. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Ulrich Kelber, hat in seiner Eigenschaft als Mitglied des Executive Committee der GPA an Entstehung und Beschlussfassung dieser gemeinsamen Erklärung mitgewirkt.

PRIVACY BY DESIGN AND DEFAULT ALS KERNPUNKT

Hinter dem Begriff „Privacy by design“ verbirgt sich nichts Weiteres als „Datenschutz durch Technikgestaltung“. Dahinter steckt der Gedanke, dass der Datenschutz bei Datenverarbeitungsvorgängen am besten eingehalten wird, wenn er bei deren Erarbeitung bereits technisch integriert ist.

„Privacy by default“ beschäftigt sich mit den datenschutzfreundlichen Voreinstellungen einer Verarbeitung von personenbezogenen Daten. Betroffenen, die nicht als besonders technikaffin gelten, soll hier besonders unter die Arme gegriffen werden.

Seit Beginn der Pandemie haben Mitglieder der Global Privacy Assembly Regierungen, Privatunternehmen, Wohltätigkeitsorganisationen und Nichtregierungsorganisationen bei der Konzeption und Entwicklung von Systemen beraten, die die Verarbeitung personenbezogener Gesundheitsdaten in einer Weise ermöglichen, die den besten Schutz für die Privatsphäre bietet. Diese Erklärung zielt darauf ab, die auf nationaler oder regionaler Ebene unternommenen Anstrengungen zu ergänzen und zu einem positiven, koordinierten Ergebnis für den Datenschutz auf internationaler Ebene beizutragen, das gemeinsame globale Grundsätze des Datenschutzes und des Schutzes der Privatsphäre, einschließlich des „Privacy by Design and Default“ („eingebauter Datenschutz und datenschutzfreundliche Voreinstellungen“) widerspiegelt.

VERTRAUEN IN SACHEN DATENSCHUTZ

Um Vertrauen in der Weltbevölkerung zu schaffen, ist es wichtig, dass im Zuge der Pandemiebekämpfung auch in Zukunft datenschutzrechtlich folgende Grundsätze eingehalten werden:

  1. Sicherheit der Daten
  2. Datenminimierung d.h. so wenig Daten wie möglich verarbeiten
  3. Klare Informationen über die Art und Weise der Datenverarbeitung
  4. Klare Zweckdefinition
  5. Speicherdauer

Durch die DSGVO sind diese Grundsätze in der EU bereits geregelt. D.h. in EU-Staaten wird dies weniger problematisch, als in Drittländern, welche keine Datenschutzgesetze ausgearbeitet haben.

Der Exekutivausschuss des Global Privacy Assembly erinnert daran, dass Daten und Technologien zwar wichtige Instrumente zur Bekämpfung der COVID-19-Pandemie sein können, jedoch intrinsische Beschränkungen aufweisen und lediglich die Wirksamkeit anderer Maßnahmen im Bereich der öffentlichen Gesundheit unterstützen können und Teil einer umfassenden Strategie im Bereich der öffentlichen Gesundheit zur Bekämpfung der Pandemie sein müssen. Für alle von Regierung und Behörden verabschiedeten Maßnahmen zur Bekämpfung von COVID-19, die mit der Verarbeitung personenbezogener Daten einhergehen, müssen die Grundsätzen der Wirksamkeit, Notwendigkeit und Verhältnismäßigkeit als Richtschnur gelten.

Der Exekutivausschuss des Global Privacy Assemblys fordert daher die für die Verarbeitung von Gesundheitsdaten für internationale Reisen zuständigen Regierungen und andere Organisationen auf, folgende Grundsätze, die gemeinsame globale Datenschutzgrundsätze und -praktiken widerspiegeln, gebührend zu berücksichtigen:

  • Die Grundsätze „Privacy by Design and Default“ sind für alle notwendigen Systeme und Verarbeitungen essentiell
  • Der genaue Zweck muss definiert werden
  • Alle Organisationen, welche für die Verarbeitung verantwortlich sind, müssen unter staatlicher Aufsicht stehen
  • Es muss alternative Lösung zur elektronischen Erfassung geben (Ältere, Kinder etc.)
  • Genaue Informationspflichten über die Datenverarbeitung
  • Untersuchung des Cyber-Sicherheitsrisikos
  • Speicherdauer
  • Datenlöschung