

Sitzung vom 17. September 2020

Entwurf eines Dekrets zur Billigung des Zusammenarbeitsabkommens vom 25. August 2020 zwischen dem Föderalstaat, der Flämischen Gemeinschaft, der Wallonischen Region, der Deutschsprachigen Gemeinschaft und der Gemeinsamen Gemeinschaftskommission in Bezug auf die gemeinsame Verarbeitung von Daten durch Sciensano und die von den zuständigen föderierten Teil-gebieten oder von den zuständigen Agenturen bestimmten Kontaktzentren, Gesundheitsinspektionsdienste und mobilen Teams im Rahmen einer Kontaktermittlung bei (vermutlich) mit dem Coronavirus COVID-19 infizierten Personen auf der Grundlage einer Datenbank bei Sciensano

1. Beschlussfassung:

Die Regierung verabschiedet in zweiter und letzter Lesung den Entwurf eines Dekrets zur Billigung des Zusammenarbeitsabkommens vom 25. August 2020 zwischen dem Föderalstaat, der Flämischen Gemeinschaft, der Wallonischen Region, der Deutsch-sprachigen Gemeinschaft und der Gemeinsamen Gemeinschaftskommission in Bezug auf die gemeinsame Verarbeitung von Daten durch Sciensano und die von den zuständigen föderierten Teilgebieten oder von den zuständigen Agenturen bestimmten Kontaktzentren, Gesundheitsinspektionsdienste und mobilen Teams im Rahmen einer Kontaktermittlung bei (vermutlich) mit dem Coronavirus COVID-19 infizierten Personen auf der Grundlage einer Datenbank bei Sciensano.

Der Vize-Ministerpräsident, Minister für Gesundheit und Soziales, Raumordnung und Wohnungswesen wird beauftragt, den Entwurf im Parlament zu hinterlegen.

2. Erläuterungen:

Im Kontext der Coronavirus (COVID-19) Gesundheitskrise wurde das belgische Institut für öffentliche Gesundheit Sciensano durch den Königlichen Erlass Nr. 18 vom 4. Mai 2020 „zur Schaffung einer Datenbank bei Sciensano im Rahmen der Bekämpfung der Ausbreitung des Coronavirus COVID-19“ damit beauftragt, Gesundheitsdaten von Patienten bei verschiedenen Dienstleistern oder Einrichtungen des Gesundheitswesens zu sammeln und in einer Datenbank zu verarbeiten. Darüber hinaus werden auch persönliche Daten von Personen erfasst, mit denen der Patient in Kontakt gekommen ist. Durch dieses contact tracing sollen eventuelle Infektionsketten zurückverfolgt werden können. Dies soll durch die anschließende gezielte Vermittlung von Informationen und Empfehlungen dazu dienen, eine weitere Ausbreitung des Coronavirus zu verhindern.

Die Gemeinschaften und Regionen wurden in diesem Zusammenhang damit beauftragt, sogenannte Kontaktzentren (oder Call-Center) einzurichten, die damit betraut werden, Infektionsketten mit dem Coronavirus COVID-19 zu durchbrechen.

Um ihre Aufträge wahrnehmen zu können, ist es jedoch auch erforderlich, dass die Kontaktzentren personenbezogene Daten verarbeiten kann. In diesem Rahmen werden in großem Maße mitunter sensible personenbezogene Daten verarbeitet.

In diesem Kontext ist darauf hinzuweisen, dass der vorerwähnte Königliche Erlass Nr. 18 Kritik der Datenschutzbehörde nach sich gezogen hat (Gutachten Nr. 36/2020 vom 29. April 2020). Ein zu diesem Königlichen Erlass wortgleicher Gesetzvorschlag (Gesetzvorschlag zur Schaffung einer Datenbank bei Sciensano im Rahmen der Bekämpfung der Ausbreitung des Coronavirus COVID-19, Parlamentsdok., Kammer, 2019-2020, 1249/001) wurde dem Staatsrat vorgelegt. In seinen Gutachten 67.425/3, 67.426/3 und 67.427/3 zu diesem Gesetzesvorschlag und seinen Abänderungsvorschlägen, schloss der Staatsrat darauf, dass der Föderalstaat nicht allein dafür zuständig ist, eine zentrale Datenbank für die Rückverfolgung von Infektionsketten einzurichten.

Aus diesen Gründen wird derzeit zwischen dem Föderalstaat und den zuständigen Teilstaaten das vorliegende Zusammenarbeitsabkommen ausgearbeitet, das sowohl in zuständigkeitsrechtlicher als auch in datenschutztechnischer Hinsicht allen Gutachten und Anforderungen Genüge tun soll.

Zusammenfassend kann man festhalten, dass dieses Abkommen im Detail vorsieht, zu welchen Zwecken Daten verarbeitet werden (Artikel 1 und 3), dass die Daten in verschiedenen Datenbanken verarbeitet werden, damit nicht alle an der Rückverfolgung der Infektionsketten beteiligten Mitarbeiter und Dienste zu allen Daten Zugang haben (Artikel 2, 7, 8 und 9), wessen Daten genau verarbeitet werden (Artikel 4), welche Daten genau verarbeitet werden (Artikel 6-9), welche Befugnisse der Informationssicherheitsausschuss hat (Artikel 11 und 12), welche Sicherheitsmaßnahmen zu treffen sind (Artikel 13), welches der Rahmen für eine offizielle, belgienweite Tracing App ist (Artikel 14), welches die Aufbewahrungsdauer einzelner Daten ist (Artikel 15), welche die Rechte der Betroffenen sind (Artikel 16), wie Streitigkeiten bezüglich des Abkommens geregelt werden (Artikel 17), wie die Anwendung des Abkommens kontrolliert wird (Artikel 18) und wann das Abkommen in Kraft tritt (Artikel 19).

3. Finanzielle Auswirkungen:

Es entstehen zum aktuellen Zeitpunkt keine zusätzlichen Personalkosten für die Deutschsprachige Gemeinschaft. Tatsächlich wird das Kontaktzentrum mit den bestehenden Ressourcen der Deutschsprachigen Gemeinschaft aufgebaut und in Betrieb genommen.

Die Beteiligung der Deutschsprachigen Gemeinschaft an der gemeinsam mit den anderen zuständigen Behörden angekauften Software für das Call-Center liegt bei 0,62%. Bei einer Laufdauer von 7 Monaten bedeutet dies ein finanzieller Aufwand von ca. 32.000 Euro. Hierfür stehen ausreichend Mittel im Ausgabenhaushalt (OB 20 PR 00 Zw. 12.11) zur Verfügung.

Je nach Entwicklung der gesundheitlichen Lage wird es jedoch vonnöten sein, neues Personal einzustellen bzw. den Betrieb des Kontaktzentrums weiterzuführen. Daher ist der genaue Umfang der Gesamtkosten derzeit nicht absehbar.

Für das Legen des Rechtsrahmens einer Tracing-App entstehen keine Kosten. Erst bei tatsächlicher Schaffung (d.h. durch ausführende Zusammenarbeitsabkommen) können Kosten anfallen.

4. Gutachten:

BEMERKUNGEN ZUM GUTACHTEN DES STAATSRATS

Das Gutachten des Staatsrat Nummer 67.719/VR vom 15. Juli 2020 liegt vor.

Am 15. Juli 2020 gab der Staatsrat sein Gutachten 67.719/VR zum Dekretvorentwurf zur Billigung des Zusammenarbeitsabkommens ab.

In Bezug auf die Zuständigkeit stellte der Staatsrat fest, dass in dem Umfang, in dem die Regelung des Zusammenarbeitsabkommens auch Verpflichtungen für die Gesundheitseinrichtungen, einschließlich der Krankenhäuser, enthält, neben den derzeitigen Parteien des Zusammenarbeitsabkommens auch die Französische Gemeinschaft und die Französische Gemeinschaftskommission als Parteien einbezogen werden müssen (Randnummer 6.1). Auf diese Bemerkung des Staatsrates wird nicht eingegangen. Die Parteien des Zusammenarbeitsabkommens halten es für umstritten, dass Krankenhäuser im Rahmen dieses Abkommens neben den derzeitigen Parteien des Zusammenarbeitsabkommens eine Rolle zu spielen haben.

Der Staatsrat stellt auch fest, dass im Titel und im verfügenden Teil des Zusammenarbeitsabkommens regelmäßig auf die "regionalen Behörden" Bezug genommen wird. Dieser Begriff umfasst nicht die Gemeinschaften, die Vertragspartei dieses Abkommens sind (Randnummer 6.2). Der Begriff "regionale Behörden" wird in der Überschrift und im verfügenden Teil durch "föderierte Teilgebiete" ersetzt.

Der Staatsrat stellt fest, dass Artikel 14 des Zusammenarbeitsabkommens, der die digitale Kontakterkennung betrifft, eine Reihe von technischen Vorschriften im Sinne von Artikel 1 Absatz 1 Buchstabe f) der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 „über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft" enthält. Der Staatsrat weist darauf hin, dass solche technischen Vorschriften der Europäischen Kommission notifiziert werden müssen (Randnummer 7.1). Eine solche Notifizierung hat bereits stattgefunden.

Der Staatsrat fragt sich auch, ob der oben erwähnte Artikel 14 des Zusammenarbeitsabkommens in den Anwendungsbereich der Dienstleistungsrichtlinie fällt und möglicherweise eine Notifizierung an die Europäische Kommission gemäß Artikel 15 Absatz 7 der Dienstleistungsrichtlinie (Randnummer 7.2) erfordert. Auch diese Mitteilung an die Europäische Kommission ist bereits erfolgt.

Der Staatsrat stellt fest, dass Artikel 9 §1 Nummer 13 des Zusammenarbeitsabkommens sich auf die „Daten bezieht, die dem Kontaktzentrum mitgeteilt werden, einschließlich Symptome, Datum der ersten Symptome, Ortswechsel und Einhaltung der Isolations- und Hygienemaßnahmen.“ Eine solche Beschreibung der Daten sei zu weit gefasst und sollte sich auf die für die Ermittlung von Kontaktpersonen relevanten Daten beschränken (Randnummer 10.3). Der Empfehlung des Staatsrats wird gefolgt: Artikel 9 §1 Nummer 13 des Zusammenarbeitsabkommens bezieht sich nun auf „relevante Daten für die Kontaktrückverfolgung, einschließlich der Symptome, ...".

Der Staatsrat stellt fest, dass gewisse Ermächtigungen im Zusammenarbeitsabkommen gegen Artikel 22 der Verfassung verstoßen. Dies sei insbesondere der Fall bei der in Artikel 11 §4 vorgesehenen Ermächtigung, gemäß der Ergänzungen oder Änderungen der Kategorien von personenbezogenen Daten durch ein ausführendes Zusammenarbeitsabkommen erfolgen können, sowie bei der in Artikel 11 §3 und Artikel 12 §1 vorgesehenen Delegation, die es der Kammer Soziale Sicherheit und Gesundheit des Informationssicherheitsausschusses erlaubt, die Daten, die für jeden Zweck verarbeitet und übermittelt werden können, sowie die Modalitäten dafür festzulegen und zu präzisieren (Randnummer 10.4.1). In der allgemeinen Erklärung des Zusammenarbeitsabkommens wird unter dem Punkt "Zuständigkeit des Informationssicherheitsausschusses" die Rolle des für Informationssicherheitsausschusses erläutert, aus der hervorgeht, dass eine Ermächtigung an diesen Ausschuss nicht gegen Artikel 22 der Verfassung verstößt, da der Ausschuss keine neuen Kategorien personenbezogener Daten oder neue Zwecke festlegen kann. Was die Delegation durch ein ausführendes Zusammenarbeitsabkommen betrifft, so hat man sich dafür entschieden, im Zusammenarbeitsabkommen eine gewisse Flexibilität vorzusehen.

In Bezug auf Artikel 14 §9 stellt der Staatsrat ebenfalls fest, dass gewisse Delegationen im Rahmen eines ausführenden Zusammenarbeitsabkommens in Bezug auf die mobilen Anwendung der digitalen Kontaktrückverfolgungsanwendung gegen Artikel 22 der Verfassung verstoßen (Randnummer 10.4.2). Auch hier wurde beschlossen, eine gewisse Flexibilität beizubehalten und diese Angelegenheiten durch die Delegation im Rahmen eines ausführenden Zusammenarbeitsabkommens rasch voranzubringen.

Der Staatsrat stellt fest, dass Sanktionen für die Bereitstellung nicht konformer Anwendungen vorgesehen werden sollten (Randnummer 11.4). Dies wird in einem ausführenden Zusammenarbeitsabkommen aufgenommen werden. In diesem ausführenden Zusammenarbeitsabkommen wird klargestellt, dass es sich dabei um „gemeinrechtliche Sanktionen" handeln wird.

Der Staatsrat ist der Ansicht, dass in das Zusammenarbeitsabkommen eine Begründung aufgenommen werden muss, warum die Deaktivierung nur die Log-Liste und nicht die Anwendung als Ganzes betrifft (Randnummer 11.5). Es ist jedoch unmöglich, die App selbst auf den Geräten der Benutzer zu deinstallieren. Eine Klarstellung wird in Artikel 14 §3 Nummer 8 des Zusammenarbeitsabkommens hinzugefügt.

Der Staatsrat fordert auch ein präzises Ende aller im Zusammenarbeitsabkommen vorgesehenen Maßnahmen (Randnummer 11.5). In der allgemeinen Erläuterung des Zusammenarbeitsabkommens wird eine Begründung hinzugefügt, die klarstellt, dass es nicht angebracht ist, ein bestimmtes Datum für die Beendigung der im Zusammenarbeitsabkommen vorgesehenen Maßnahmen festzulegen, da es unmöglich ist, zu wissen, wann die derzeitige Corona-Epidemie beendet sein wird.

In Bezug auf die Artikel 11 und 12 des Zusammenarbeitsabkommens, die eine Delegation mit Regelungsbefugnis an den Informationssicherheitsausschuss vorsehen, stellt der Staatsrat fest, dass die Erteilung einer Regelungsbefugnis die Übertragung an eine öffentliche Körperschaft nicht mit den allgemeinen Grundsätzen des öffentlichen Rechts vereinbar ist. Solche Delegationen sind nur insofern zu rechtfertigen, als sie aufgrund ihrer detaillierten oder im Wesentlichen technischen Tragweite sehr begrenzt und nicht-politischer Natur sind. Der Staatsrat sieht in der Delegation an den Informationssicherheitsausschuss, der eine föderale Behörde ist, auch eine Abtretung von Zuständigkeiten seitens der am Zusammenarbeitsabkommen beteiligten Teilstaaten. Der Staatsrat ist der Ansicht, dass die Delegationen an den Informationssicherheitsausschuss in eine Delegation im Rahmen eines ausführenden Zusammenarbeitsabkommens umgewandelt werden sollten (Randnummer 27). Der Meinung des Staatsrates wird hier nicht gefolgt. Die allgemeine Erläuterung des Zusammenarbeitsabkommens unter der Überschrift „Zuständigkeit des Informationssicherheitsausschusses" verdeutlicht die rechtlichen Aufgaben des Informationssicherheitsausschusses.

Der Staatsrat hat eine weitere Bemerkung zu Artikel 11 des Zusammenarbeitsabkommens. Artikel 11 §1 sei nicht klar. Der Staatsrat fragt sich, ob es hier die Absicht ist, ob jeder Gesundheitsdienstleister oder jede Gesundheitsorganisation seine Mitteilung systematisch dem Informationssicherheitsausschuss vorlegen soll. In der allgemeinen Begründung wird klargestellt, dass dies nur die Übermittlung von Daten u.a. von Behörden, öffentlichen Einrichtungen, Berufsverbänden, Fachinstitutionen, und Sciensano an Datenbank I und den Austausch dieser Daten mit den anderen Datenbanken betrifft, soweit dies noch nicht im Zusammenarbeitsabkommen vorgesehen ist.

Der Staatsrat stellt fest, dass der Wortlaut von Artikel 12 §3 nicht klar ist. Artikel 12 §3 wurde nach der Bemerkung des Staatsrates neu formuliert.

Der Staatsrat stellt fest, dass Artikel 14 des Zusammenarbeitsabkommens nicht präzisiert, wer Zugang zur „Datenbank V" hat. Darüber hinaus sollte klargestellt werden, welche Verarbeitungen von Sciensano für die Ermittlung von Kontaktpersonen durchgeführt werden (Randnummer 31). Als Reaktion wurde in Artikel 14 §3 eine Nummer 13 hinzugefügt, die klar festlegt, dass der Zugang zur Datenbank V auf „ermächtigten Personen des für die Verarbeitung Verantwortlichen, das heißt Sciensano, und seine IKT-Dienstleister“ beschränkt ist.

Der Staatsrat stellt die Frage, warum in Artikel 14 §2 Nummer 2 vorgesehen wird, dass ein Anwender die Infektion mit dem Coronavirus COVID-19 freiwillig, auf anonymisierte oder zumindest pseudonymisierte Weise, melden kann. Der Staatsrat stellt fest, dass im Rahmen der Datenminimierung eine Möglichkeit der gemeinsamen Nutzung pseudonymisierter Daten nicht möglich ist, wenn der Zweck auch mit anonymisierten Daten erreicht werden kann (Randnummer 32). In Beantwortung der Frage des Staatsrates wurde erklärt, dass es technisch möglich wäre, bestimmte Schlüssel, die auf dem Gerät des Benutzers verwendet werden, mit Zugang zum Gerät des Benutzers und mit den erforderlichen Hacking-Techniken zu "entschlüsseln". Aus diesem Grund handelt es sich eigentlich um anonymisierte Daten, die aber technisch gesehen als pseudonymisierte Daten betrachtet werden. Der Staatsrat gab sich mit dieser Erklärung einverstanden, die auf seinen Wunsch auch in die Begründung geflossen ist.

Der Staatsrat stellt fest, dass die Nutzung der mobilen App auf einer "freiwilligen" Nutzung beruht. Der Staatsrat fragt sich jedoch, wie sich diese Bestimmung zu Artikel 8 der DSGVO verhält, der die Einwilligung von Kindern in Bezug auf Dienste der Informationsgesellschaft regelt (Randnummer 34). In der allgemeinen Begründung wird klargestellt, dass zum Schutz von Minderjährigen die Datenschutzpolitik der Anwendung vorsieht, dass Vorsicht im Hinblick auf das Alter des Benutzers und die elterliche Kontrolle über die Nutzung der Anwendung zur digitalen Kontaktverfolgung durch Minderjährige geboten ist.

Der Staatsrat stellt fest, dass Artikel 14 §5 Absatz 2 des Zusammenarbeitsabkommens besagt, dass die Nutzung der mobilen Anwendung „keine Vor- oder Nachteile“ mit sich bringen darf. Der Staatsrat hatte um eine weitere Klärung des Begriffs „Vor- oder Nachteile“ gebeten, da dies nicht zeigt, ob z.B. die mobile Anwendung mit anderen interessanten Anwendungen verknüpft werden kann, ob für die Nutzung der Anwendung Rabatte gewährt werden können usw. (Randnummer 35). In Beantwortung der Frage des Staatsrates wurde ihm ein Textvorschlag unterbreitet, der in die allgemeine Begründung aufgenommen werden könnte, um zu verdeutlichen, was man unter „Vor- und Nachteilen“ zu verstehen hat, indem z.B. erwähnt wird, dass ein Arbeitgeber seinen Arbeitnehmern für die Nutzung der Anwendung keinen Bonus geben darf, dass Anbieter von Waren und Dienstleistungen ihr Angebot an Waren und Dienstleistungen oder die Bedingungen für den Erhalt dieser Waren und Dienstleistungen auch nicht an die Nutzung der mobilen Anwendung knüpfen dürfen. Der Staatsrat war der Ansicht, dass die Aufnahme des Textes die Tragweite der Worte „Vor- oder Nachteile" klarer macht.

Der Staatsrat weist darauf hin, dass im Zusammenarbeitsabkommen festgelegt werden muss, wer darüber entscheidet, welche Anwendungen öffentlich gemacht werden (Randnummer 38). Artikel 14 §9 des Zusammenarbeitsabkommens stellt nun klar, dass die Teilstaaten als Verarbeitungsverantwortliche der mobilen Anwendung entscheiden, welche mobilen Anwendungen den Nutzern im Rahmen der Kontaktverfolgung zur Verfügung gestellt werden, und dass sie auch die Konformität der mobilen Anwendung mit den rechtlichen Vorgaben überprüfen.

Der Staatsrat stellt fest, dass für die Datenbank IV (Randnummer 39.1 und 39.2) keine Höchstaufbewahrungsfrist festgelegt wurde. Das Fehlen einer Höchstaufbewahrungsfrist verstoße gegen Artikel 5 Absatz 1 Buchstabe e) der DSGVO. Die Begründung gibt Aufschluss darüber, warum für die Datenbank IV keine Höchstaufbewahrungsfrist festgelegt wird. Artikel 15 §3 des Zusammenarbeitsabkommens stellt klar, dass die Daten aus der Datenbank IV innerhalb von fünf Tagen nach dem Datum der Veröffentlichung des Königlichen Erlasses, mit dem das Ende der Coronavirus-COVID-19-Epidemie verkündet wird, an die Teilstaaten übermittelt werden. Artikel 10.19 des Dekrets vom 1. Juni 2004 zur Gesundheitsförderung und zur medizinischen Prävention sieht vor, dass die Daten 10 Jahre nach Veröffentlichung des vorerwähnten Königlichen Erlasses entweder aktualisiert oder gelöscht werden.

Der Staatsrat stellt fest, dass die jeweiligen Verantwortungen von Sciensano, sowie von den betroffenen zuständigen Behörden und Agenturen, was die Ausübung der Rechte der betroffenen Personen und die Bereitstellung von Informationen betrifft, nicht durch eine Regelung zwischen Sciensano, den Teilstaaten und den Agenturen festgelegt werden können, sondern in formelle Rechtsnormen umgesetzt werden müssen (Randnummer 41). Artikel 16 §4 wurde daher geändert. Es wird nun vorgesehen, dass die Regeln in einem Protokoll festgelegt werden sollen.

Der Staatsrat stellt fest, dass gemäß Artikel 92bis §5 Absatz 4 des Sondergesetzes vom 8. August 1980 zur Reform der Institutionen das Zusammenarbeitsabkommen vervollständigt werden muss mit Regeln zur Bestimmung der Mitglieder des Zusammenarbeitsgerichts, mit Ausnahme des Vorsitzenden, und mit Regeln über die Begleichung der Funktionskosten des Zusammenarbeitsgerichts (Randnummer 42.2). Artikel 17 des Zusammenarbeitsabkommen besagt nun eindeutig, dass die Kosten des Zusammenarbeitsgerichts zwischen den Parteien des Zusammenarbeitsabkommen gleichsam geteilt werden und dass die Methode zur Benennung der Mitglieder des Zusammenarbeitsgerichts in einem ausführenden Abkommen festgelegt wird.

Der Staatsrat weist darauf hin, dass das rückwirkende Inkrafttreten des Zusammenarbeitsabkommens für die Bestimmungen gerechtfertigt werden kann, die inhaltlich den Bestimmungen des Königlichen Erlasses Nr. 18 vom 4. Mai 2020 mit Wirkung ab dem Datum des Inkrafttretens dieses Königlichen Erlasses entsprechen. Dies gilt jedoch nicht für die dem Zusammenarbeitsabkommen hinzugefügten neuen Elemente. Gleichermaßen kann Artikel 14 des Zusammenarbeitsabkommens nicht rückwirkend in Kraft gesetzt werden. Angesichts der Tatsache, dass die digitalen Anwendungen zur Ermittlung von Kontaktpersonen noch nicht im Einsatz sind, ist auch hier nach Ansicht des Staatsrates (Randnummer 43) keine Rückwirkung erforderlich. Artikel 19 wurde folglich gemäß der Bemerkung des Staatsrates überarbeitet.

Weitere Änderungen als Reaktion auf das Gutachten des Staatsrats:

- Auf Ersuchen des Staatsrats wird eine zusätzliche Begründung für die Zentralisierung der Daten in einer übergreifenden Datenbank in die allgemeine Erläuterung zum Zusammenarbeitsabkommen aufgenommen (Randnummer 11.1);

- Verschiedene sprachliche Fehler im Zusammenarbeitsabkommen wurden korrigiert (Randnummer. 13);

- Absatz 10 der Präambel wurde gestrichen, da er mit dem vierten Absatz identisch war (Randnummer. 15);

- Artikel 1 §6 stellt klar, dass die kontaktierten Personen, die nach dieser Zusammenarbeitsabkommen von ihrer Schweigepflicht entbunden sind, die Personenkategorie II sind, sofern der COVID-19-Test eine Infektion dieser Personen ergeben hat, und die Personenkategorie III (Randnummer 18);

- In Artikel 3 §3 wurde eine Korrektur vorgenommen, weil die Gesundheitsinspektionen und die mobilen Teams auch in der Lage sein müssen, die Daten von Personen der Kategorie IV zu empfangen (Randnummer 20);

- In der allgemeinen Begründung des Zusammenarbeitsabkommens wird eine zusätzliche Begründung bezüglich der Verwendung der Erkennungsnummer der sozialen Sicherheit und der Nationalregisters aufgenommen (Randnummer 21);

- In Artikel 5 §4 wird "Datenbank I" durch "Datenbank III" ersetzt (Randnummer 22);

- In Artikel 10 §2 wird das Wort "ansteckende Krankheiten" durch "Coronavirus COVID-19" ersetzt Schließlich beschränkt sich das Zusammenarbeitsabkommen auf die Datenverarbeitung von Fällen des Coronavirus COVID-19. Meldungen über andere Infektionskrankheiten werden weiterhin nach den jeweiligen Vorschriften der Teilstaaten bearbeitet (Randnummer 26).

BEMERKUNGEN ZUM GUTACHTEN DER DATENSCHUTZBEHÖRDE

Das Gutachten der Datenschutzbehörde Nummer 64/20 vom 20. Juli 2020 liegt vor.

In diesem Gutachten äußerte sich die Datenschutzbehörde wie folgt zum Zusammenarbeitsabkommen:

Die Datenschutzbehörde stellt fest, dass das Zusammenarbeitsabkommen Besuche „vor Ort“ erwähnt (vgl. Definition von Felduntersuchern, Artikel 1 §1 Nummer 20). Nirgendwo im Zusammenarbeitsabkommen ist der Besuch „vor Ort“ jedoch weiter geregelt. Die Datenschutzbehörde ist der Meinung, dass Besuche vor Ort präziser geregelt werden müssen (Randnummern 20-22). Die Art und Weise, wie die Besuche organisiert werden, ist nicht im Zusammenarbeitsabkommen geregelt, sondern in Kapitel IIquater des Dekrets vom 1. Juni 2004 zur Gesundheitsförderung und zur medizinischen Prävention, das die Funktionsweise des Kontaktzentrums regelt (s. allgemeine Begründung hiervor). Es kann diesbezüglich klargestellt werden, dass die Besuche vor Ort nur dann stattfinden, wenn die Mitarbeiter des Kontaktzentrums die betreffende Person nicht telefonisch oder elektronisch erreichen können, d.h. wenn wiederholte Versuche, die Person zu kontaktieren, sich als erfolglos erweisen. Es ist also eine reine Alternative zu diesen Kommunikationswegen. Darüber hinaus sollen keine anderen Daten gesammelt werden als solche, die auch im Rahmen des telefonischen Kontakts gesammelt werden. Es ist auch darauf hinzuweisen, dass die Felduntersucher (die im Auftrag des Kontaktzentrums arbeiten) nicht mit den mobilen Teams zu verwechseln sind, die von den zuständigen Gesundheitsinspektionen eingerichtet werden können und für die Clusterforschung zuständig sind.

Die Datenschutzbehörde stellt ferner fest, dass nirgends im Zusammenarbeitsabkommen vorgesehen ist, wie die im Kontaktzentrum tätigen Personen an das Berufsgeheimnis gebunden sind. Sie betont, dass das Zusammenarbeitsabkommen eine Bestimmung enthalten muss, die Personen, die Zugang zu den Daten in den Datenbanken haben, dem Berufsgeheimnis unterwirft (Randnummer 26). Auch an dieser Stelle ist darauf hinzuweisen, dass diese Frage nicht im Zusammenarbeitsabkommen geregelt wird, sondern in Artikel 10.18 des vorerwähnten Dekrets vom 1. Juni 2004.

Die Datenschutzbehörde fragt sich, aus welchem Grund die behandelnden Ärzte der Person über ihren Gesundheitszustand informiert werden, auch für den Fall, dass sie die Informationen nicht an den behandelnden Arzt weitergeben wollen. Wenn die Absicht besteht, diese Ärzte zu warnen, um sie bei einem künftigen Besuch vor dem Risiko einer Kontamination zu schützen, sollte dies klargestellt werden (Randnummer 29). Hierauf ist zu entgegnen, dass der Zweck dieser Bestimmung darin besteht, die Ärzte und Labore zu kontaktieren, wenn sich herausstellt, dass sie sich zu oft über das Ergebnis hinwegsetzen. Dieser Kontakt mit den behandelnden Ärzten erfolgt nur im Lichte der Bewertung der Versorgung.

Die Datenschutzbehörde bemerkt, dass die Zweckbestimmungen strikt und erschöpfend aufgelistet werden müssen. Im Zusammenarbeitsabkommen müssen die Gründe, aus denen die Kontaktzentren die in der Datenbank III aufgeführten Daten bearbeiten können, erschöpfend dargelegt werden. Aus diesen Gründen sollten in Artikel 3 §1 Nummer 2 A und Artikel 3 §2 Nummer 2 A des Zusammenarbeitsabkommens (Randnummer 30) die Worte "unter anderem" gestrichen werden. Die Worte "unter anderem" wurden aus dem Zusammenarbeitsabkommen gestrichen.

Die Datenschutzbehörde fragt sich, was mit dem Begriff "Follow-up" in Artikel 3 §1 Nummer 2 A und Artikel 3 §2 Nummer 2 A des Zusammenarbeitsabkommens gemeint ist (Randnummer 30). Die allgemeine Erläuterung des Zusammenarbeitsabkommens stellt klar, dass der Begriff "Follow-up" nicht dazu dient, die betreffende Person zu kontrollieren.

Die Datenschutzbehörde weist darauf hin, dass im Zusammenarbeitsabkommen je nach Zweck zwischen den gesammelten Daten und den Datenbanken, in denen sie gespeichert sind, unterschieden werden muss (Randnummer 39, i). Dies ist bereits geschehen.

Die Datenschutzbehörde stellt die Notwendigkeit und Verhältnismäßigkeit der Erhebung von Daten über Personen in Frage, die „vermutlich“ infiziert sind (Randnummer 39, ii). Dies wird in der allgemeinen Erklärung des Zusammenarbeitsabkommens klargestellt. Es sollte auch darauf hingewiesen werden, dass nicht jede Person effektiv getestet werden kann oder will und dass in diesen Fällen der Verdacht eines Arztes wichtig ist.

Die Datenschutzbehörde stellt die Notwendigkeit der großen Datenmenge über die Kontaktpersonen einer (vermutlich) mit COVID-19-infizierten Person in Frage. (Randnummer 39, iii). Die Erfassung dieser Daten ist jedoch für das ordnungsgemäße Funktionieren der Kontaktverfolgung erforderlich, was in der allgemeinen Erklärung des Zusammenarbeitsabkommens klargestellt wird.

Die Datenschutzbehörde stellt die Wahl der Pseudonymisierung statt der Anonymisierung der Daten für Forschungszwecke in Frage (Randnummer 39, iv). Die allgemeine Erklärung des Zusammenarbeitsabkommens verdeutlicht, warum es nicht möglich ist, mit anonymen Daten zu arbeiten.

Die Datenschutzbehörde besteht darauf, dass im Zusammenarbeitsabkommen festgelegt wird, dass Daten, die nur zu Forschungszwecken verwendet werden, pseudonymisiert werden, bevor sie in die entsprechende Datenbank aufgenommen werden können, anstatt in die Datenbank I aufgenommen zu werden (Randnummer 41). In der allgemeinen Begründung wird klargestellt, dass eine Pseudonymisierung dieser Daten vor ihrer Aufnahme in die Datenbank I nicht möglich ist, da es nicht möglich ist, im Voraus zu bestimmen, welche Daten für die Durchführung einer bestimmten wissenschaftlichen Forschung notwendig sind.

Die Datenschutzbehörde stellt ferner fest, dass es bei einigen angeforderten personenbezogenen Daten (z.B. Geburtsdatum) nicht möglich ist, den tatsächlichen Zweck, für den sie erhoben werden, zu ermitteln (Randnummer 45). Es wird hier klargestellt, dass die Aufnahme der Erkennungsnummer der sozialen Sicherheit notwendigerweise die Speicherung des Geburtsdatums der betreffenden Person einschließt. Die Datenschutzbehörde versteht nicht, was mit "Daten gemeint ist, die notwendig sind, damit das Kontaktzentrum und die mobilen Teams andere nützliche Kontakte mit der betreffenden Person herstellen können". Es wird hier klargestellt, dass es im Rahmen der Flexibilität des Systems notwendig ist, solche Daten so allgemein zu beschreiben.

Die Datenschutzbehörde leitet aus dem Text des Zusammenarbeitsabkommens ab, dass auch die "Kontakte" einer (vermutlich) COVID-19-infizierten Person zurückverfolgt werden sollen" (Randnummer 46). Dies ist nicht der Fall. Die Kontakte der Kontaktpersonen werden nur dann kontaktiert, wenn die Kontaktperson selbst zum "Indexpatienten" wird. Dies wird auch für die Aufdeckung von Clustern durch die Gesundheitsinspektionen und die mobilen Teams der Fall sein. Eine Klarstellung wurde in die allgemeine Erklärung des Zusammenarbeitsabkommens aufgenommen.

Die Datenschutzbehörde fragt sich auch, warum die "Verweigerung eines Arztbesuches" in den Datenbanken I und III erfasst wird, und fragt sich, wie diese Daten angemessen, relevant und auf das im Hinblick auf das verfolgte Ziel erforderliche Maß beschränkt sind (Randnummer 47). Die allgemeine Erläuterung des Zusammenarbeitsabkommens stellt klar, dass diese Informationen notwendig sind, um die Wirksamkeit der vom Kontaktzentrum ausgesprochenen Empfehlungen zu überwachen.

Die Datenschutzbehörde hält das verfolgte Ziel im Hinblick auf den Begriff der „im Notfall zu kontaktierenden Person" nicht für klar. Sie fragt sich, ob diese Person im Notfall die Personen identifizieren kann, mit denen die Person in den 14 Tagen vor und nach dem Auftreten der Symptome Kontakt hatte (Randnummer 56). In der Begründung des Zusammenarbeitsabkommens wird klargestellt, dass die im Notfall zu kontaktierende Person die Person bezeichnet, die kontaktiert werden kann, wenn die betreffende Person nicht verfügbar oder nicht erreichbar ist. Diese Person kann sicherstellen, dass die betreffende Person erreichbar ist. Es ist nicht beabsichtigt, dass diese "im Notfall zu kontaktierende" die Kontakte anstelle der betroffenen Person weitergibt.

Die Datenschutzbehörde hat auch einige Anmerkungen zur Rolle des Informationssicherheitsausschusses. So heißt es beispielsweise, dass Artikel 8 EMRK, Artikel 22 der Verfassung und die DSGVO nicht zulassen, dass ein "Blankoscheck" ausgestellt wird, um neue Daten/Zwecke festzulegen. Die Datenschutzbehörde erinnert daran, dass alle wesentlichen Elemente der Datenverarbeitung in das Zusammenarbeitsabkommen selbst aufgenommen werden müssen (Randnummer 60). Da hinsichtlich der Rolle des Informationssicherheitsausschusses (der weder neue Datenkategorien oder Zwecke festlegt noch eine Rechtsgrundlage für einen Datenaustausch schafft) Verwirrung herrscht, enthält die allgemeine Begründung eine ausführliche Erläuterung der Arbeitsweise des Informationssicherheitsausschusses, die den Bedenken der Datenschutzbehörde Rechnung trägt.

Die Datenschutzbehörde stellt fest, dass die Aufbewahrungsfrist der Datenbank II (Forschungszwecke) ebenfalls ausdrücklich definiert werden sollte (Randnummer 65). Die Aufbewahrungsfrist dieser Datenbank (30 Jahre) wird nun in Artikel 15 §2 des Zusammenarbeitsabkommens ausdrücklich erwähnt.

Die Datenschutzbehörde stellt mehrfach fest, dass das Zusammenarbeitsabkommen das Übertragungsverbot missachtet, indem es auf Bestimmungen der DSGVO verweist. Dies ist z.B. der Fall bei Artikel 1 §5 (Randnummer 33), Artikel 5 (Randnummer 57), Artikel 13 §1 (Randnummer 66), Artikel 13 §2 (Randnummer 66), Artikel 16 §1 (Randnummer 69) und Artikel 16 §4 (Randnummer 70). Dem Ersuchen der Datenschutzbehörde, diese Bestimmungen zu streichen, wird nicht entsprochen. Der Staatsrat konnte in seinem diesbezüglichen Gutachten in der Tat keine Probleme feststellen.

Die Datenschutzbehörde rät dazu, Sanktionen zu verhängen, wenn die (Nicht-)Nutzung der App erzwungen wird (Randnummer 80). Daraufhin wurde im Zusammenarbeitsabkommen verdeutlicht, dass das Auferlegen der (Nicht-)Nutzung der App gewohnheitsrechtlichen Sanktionen unterliegt (Verbot der unrechtmäßigen Datenverarbeitung, Diskriminierungsverbot,…).

Die Datenschutzbehörde empfiehlt, die Verarbeitungsverantwortlichen der mobilen Anwendungen zu identifizieren, die Teil der Kontaktverfolgung sind (Randnummer 84). Artikel 14 §3 Nummer 3 des Zusammenarbeitsabkommens stellt klar, dass Sciensano der Verarbeitungsverantwortliche der Datenbank V ist, und dass die Teilstaaten gemäß dem Zusammenarbeitsabkommen als gemeinsame Verarbeitungsverantwortliche digitalen Anwendung zur Ermittlung von Kontaktpersonen fungieren.

Weitere Kommentare der Datenschutzbehörde:

- Die Datenschutzbehörde fragt sich, was die "Identifizierungsnummer aus einer authentischen Quelle" ist (Randnummer 55). Das Zusammenarbeitsabkommen legt fest, dass die authentische Quelle das Nationalregister und die der Zentrale Datenbank der sozialen Sicherheit ist;

- Die Datenschutzbehörde fragt sich, was mit „Dritten" gemeint ist und empfiehlt, zumindest die betroffenen Personengruppen anzugeben (Randnummer 58). „Dritte" bezieht sich auf andere Parteien als die im Zusammenarbeitsabkommen genannten. Dies sind hauptsächlich Forscher. Artikel 11 wird nicht geändert, aber die allgemeine Begründung bietet einen besseren Rahmen für die Übertragung an Dritte;

- Die Datenschutzbehörde bittet darum, dass das vorliegende Gutachten der Behörde bei Veröffentlichung der DPIA (Data Protection Impact Assessment) ebenfalls veröffentlicht wird (Randnummer 80). Es wird in der allgemeinen Erklärung des Zusammenarbeitsabkommens klargestellt, dass dies geschehen wird;

- Die Datenschutzbehörde bittet um die rechtzeitige Veröffentlichung des Quellcodes der Anwendung (Randnummer 80). Artikel 14 §3 Nummer 12 stellt klar, dass der Quellcode „vor Start und Inkrafttreten der digitalen Kontaktrückverfolgungsanwendung veröffentlicht" wird;

- Auf Wunsch der Datenschutzbehörde wird in der Begründung des Zusammenarbeitsabkommens auch klargestellt, dass sich private Initiativen für die digitale Kontaktrückverfolgung nicht auf die Zusammenarbeitsabkommen als Rechtsgrundlage stützen können (Randnummer 82).

5. Rechtsgrundlage:

Artikel 5 §1 I Nummer 8 und Artikel 92bis §1 des Sondergesetzes vom 8. August 1980 zur Reform der Institutionen.
Artikel 4 §2 und 55bis des Gesetzes vom 31. Dezember 1983 über institutionelle Reformen für die Deutschsprachige Gemeinschaft.

 Alle Live-News 