GEMEINSAME ERKLÄRUNG DES EXEKUTIVAUSSCHUSSES DES GLOBAL PRIVACY ASSEMBLY ZUR VERWENDUNG VON GESUNDHEITSDATEN FÜR NATIONALE UND INTERNATIONALE REISEN
DATENSCHUTZBEHÖRDEN BETONEN DIE BEDEUTUNG VON PRIVACY BY DESIGN BEI DER WEITERGABE VON GESUNDHEITSDATEN FÜR NATIONALE ODER INTERNATIONALE REISEBESTIMMUNGEN WÄHREND DER COVID-19-PANDEMIE
Hintergrund
Regierungen auf der ganzen Welt setzen Maßnahmen zur Eindämmung der Ausbreitung von COVID-19 ein und planen gleichzeitig eine Rückkehr zu einer vollen wirtschaftlichen und sozialen Aktivität über die Grenzen hinaus. Für viele inländische oder internationale Passagiere bedeutete dies die Übermittlung von Gesundheitsdaten wie ein negatives COVID- 19-Testergebnis oder den Impfstatus als Voraussetzung für Reisen. Digitale „Gesundheitspässe“ und „Gesundheitscodes“ wurden ebenfalls vorgeschlagen.
Die potenzielle gemeinsame Nutzung dieser Gesundheitsdaten-Elemente in großem Umfang über Grenzen und über viele Organisationen hinaus ist eine noch nie dagewesene Situation. Die digitale Technologie ermöglicht eine sehr schnelle, vollumfängliche Übermittlung. Zwar können solche Schritte möglicherweise aus Gründen der öffentlichen Gesundheit gerechtfertigt werden, doch kann und sollte der Austausch dieser sensiblen Informationen unter Wahrung des Datenschutzes erfolgen. Die Technologie wird sowohl Risiken als auch Möglichkeiten bieten, Schutz für den Einzelnen zu schaffen. Innovation kann mit Datenschutz einhergehen.
Seit Beginn der Pandemie haben Mitglieder der Global Privacy Assembly Regierungen, Privatunternehmen, Wohltätigkeitsorganisationen und Nichtregierungsorganisationen bei der Konzeption und Entwicklung von Systemen beraten, die die Verarbeitung personenbezogener Gesundheitsdaten in einer Weise ermöglichen, die den besten Schutz für die Privatsphäre bietet. Diese Erklärung zielt darauf ab, die auf nationaler oder regionaler Ebene unternommenen Anstrengungen zu ergänzen und zu einem positiven, koordinierten Ergebnis für den Datenschutz auf internationaler Ebene beizutragen, das gemeinsame globale Grundsätze des Datenschutzes und des Schutzes der Privatsphäre, einschließlich des Privacy by Design and Default („eingebauter Datenschutz und datenschutzfreundliche Voreinstellungen“) widerspiegelt.
Der Aufbau des öffentlichen Vertrauens durch Datenschutz
Um Vertrauen in die Art und Weise zu schaffen, in der Gesundheitsdaten für Reisezwecke verarbeitet werden, müssen die Einzelpersonen die Gewissheit haben, dass: Ihre Daten sicher behandelt werden; dass die von ihnen verlangten Daten nicht über das erforderliche Maß hinausgehen; dass sie klare und zugängliche Informationen erhalten, um zu verstehen, wie ihre Daten verwendet werden; dass es einen bestimmten Zweck für die Verarbeitung gibt; dass ihre Daten nicht länger als notwendig gespeichert werden.
Der Exekutivausschuss des Global Privacy Assembly erinnert daran, dass Daten und Technologien zwar wichtige Instrumente zur Bekämpfung der COVID-19-Pandemie sein können, jedoch intrinsische Beschränkungen aufweisen und lediglich die Wirksamkeit anderer Maßnahmen im Bereich der öffentlichen Gesundheit unterstützen können und Teil einer umfassenden Strategie im Bereich der öffentlichen Gesundheit zur Bekämpfung der Pandemie sein müssen. Für alle von Regierung und Behörden verabschiedeten Maßnahmen zur Bekämpfung von COVID-19, die mit der Verarbeitung personenbezogener Daten einhergehen, müssen die Grundsätzen der Wirksamkeit, Notwendigkeit und Verhältnismäßigkeit als Richtschnur gelten.1
Der Exekutivausschuss des Global Privacy Assemblys fordert daher die für die Verarbeitung von Gesundheitsdaten für internationale Reisen zuständigen Regierungen und andere Organisationen auf, folgende Grundsätze, die gemeinsame globale Datenschutzgrundsätze und -praktiken widerspiegeln, gebührend zu berücksichtigen:
- Für die Verarbeitung von Gesundheitsdaten als Voraussetzung für Auslandsreisen könnte der Schutz der öffentlichen Gesundheit als Rechtfertigung dienen, doch die Berücksichtigung von Datenschutzrisiken gleich von Anfang an ist von entscheidender Bedeutung.
- Die Grundsätze „Privacy by Design and Default“ sollten in die Gestaltung aller Systeme, Apps oder Datenaustauschvereinbarungen über die Verarbeitung von Gesundheitsdaten für internationale Reisen eingebettet werden. Eine formale und umfassende Bewertung der Auswirkungen auf die Privatsphäre vor Beginn jeglicher Verarbeitung ist die beste Methode zur Gewährleistung, dass die Grundsätze des „Privacy by Design“ in der Praxis umgesetzt und die zugrunde liegenden Risiken angemessen abgemildert werden. Die Organisationen sollten zu diesem Thema Beratungen oder Anleitung bei den Datenschutzbehörden einholen.
- Personenbezogene Daten, die zur Abmilderung der Auswirkungen von COVID-19 auf die öffentliche Gesundheit erhoben, verwendet oder offengelegt werden, erfordern einen klar definierten Zweck. Der Zweck sollte im allgemeinen Rahmen der Maßnahme im Bereich der öffentlichen Gesundheit spezifisch sein. Personenbezogene Daten dürfen nicht in einer mit diesem Zweck unvereinbaren Weise genutzt werden.
- Alle Organisationen müssen unter einschlägiger und angemessener gesetzlicher Aufsicht tätig sein und sicherstellen, dass sie nur dann Gesundheitsdaten verarbeiten, wenn dies notwendig und angemessen ist.
- Die Datenschutzrechte schutzbedürftiger Personen, die möglicherweise keinen Zugang zu elektronischen Geräten haben oder nicht zu deren Nutzung in der Lage sind, müssen geschützt werden, und es sollten alternative Lösungen erwogen werden, um sicherzustellen, dass diese Personen nicht diskriminiert werden. Ebenso sollten die Datenschutzrechte derjenigen geschützt werden, die aufgrund ihres Alters, ihrer möglichen Gesundheitsrisiken oder anderer zugrunde liegenden Bedingungen nicht geimpft werden können.
- Die Einzelpersonen sollten darüber informiert werden, wie ihre Daten genutzt werden, von wem und zu welchem Zweck. Dabei müssen klare und zugängliche Informationen zur Verfügung gestellt werden, und zwar unter Berücksichtigung der geografischen, kulturellen und sprachlichen Vielfalt der Menschen, die reisen möchten.
- Die Organisationen sollten die für ihren Beitrag zum Schutz der öffentlichen Gesundheit erforderlichen Mindestinformationen von Einzelpersonen oder anderen Quellen einholen.
- Es sollten Maßnahmen ergriffen werden, um die Risiken des direkten Austauschs von Informationen aus Gesundheitsdatensätzen für Reisezwecke zu beheben – die Methoden des Privacy by Designs können auch miteinander verbundene Identitätssysteme und die Verarbeitung auf Geräteebene umfassen.
- Das Cyber-Sicherheitsrisiko aller digitaler Systeme oder Apps muss umfassend untersucht werden, wobei den Risiken, die von verschiedenen Akteuren in einem globalen Bedrohungskontext ausgehen können, vollumfänglich Rechnung zu tragen ist.
- Die Organisationen sollten sorgfältig prüfen, wie lange Daten gespeichert werden sollen, und einen Aufbewahrungszeitplan für die sichere Löschung von Informationen erstellen, sobald diese nicht mehr erforderlich sind.
- In die Gestaltung solcher Systeme sollten Verfallsklauseln integriert werden, die eine dauerhafte Löschung solcher Daten oder Datenbanken vorsehen. Dabei ist zu berücksichtigen, dass die routinemäßige Verarbeitung von COVID-19- Gesundheitsinformationen an den Grenzen nach der Beendigung der Pandemie möglicherweise unnötig werden kann. Außerdem sollten die Regelungen regelmäßig überprüft werden, um sicherzustellen, dass die Verarbeitung notwendig und verhältnismäßig bleibt, solange die Pandemie andauert.
https://www.bfdi.bund.de/DE/Home/Kurzmeldungen/2021/08_GPA-Gesundheitsdaten-gemeinsame-Erkl%C3%A4rung.html
