Sitzung vom 12. März 2021
Entwurf eines Dekrets zur Billigung des Zusammenarbeitsabkommens vom 12. März 2021 zwischen dem Föderalstaat, der Flämischen Gemeinschaft, der Französischen Gemeinschaft, der Deutsch-sprachigen Gemeinschaft, der Gemeinsamen Gemeinschaftskommission, der Wallonischen Region und der Französischen Gemeinschaftskommission über die Verarbeitung von Daten im Zusammenhang mit Impfungen gegen COVID-19
1. Beschlussfassung:
Die Regierung genehmigt das Zusammenarbeitsabkommen vom 12. März 2021 zwischen dem Föderalstaat, der Flämischen Gemeinschaft, der Französischen Gemeinschaft, der Deutsch-sprachigen Gemeinschaft, der Gemeinsamen Gemeinschaftskommission, der Wallonischen Region und der Französischen Gemeinschaftskommission über die Verarbeitung von Daten im Zusammenhang mit Impfungen gegen COVID-19.
Die Regierung verabschiedet in zweiter und letzter Lesung den Entwurf eines Dekrets zur Billigung des Zusammenarbeitsabkommens vom 12. März 2021 zwischen dem Föderalstaat, der Flämischen Gemeinschaft, der Französischen Gemeinschaft, der Deutsch-sprachigen Gemeinschaft, der Gemeinsamen Gemeinschaftskommission, der Wallonischen Region und der Französischen Gemeinschaftskommission über die Verarbeitung von Daten im Zusammenhang mit Impfungen gegen COVID-19.
Der Minister für Gesundheit und Soziales, Raumordnung und Wohnungswesen wird beauftragt, den Entwurf im Parlament zu hinterlegen.
2. Erläuterungen:
Die Impfung der belgischen Bevölkerung ist ein wichtiges Instrument im Kampf gegen die COVID-19-Pandemie. Bei der Umsetzung der Impfstrategie werden nacheinander verschiedene Personenkategorien zur Impfung eingeladen.
In vorliegenden Zusammenarbeitsabkommen wird ein gemeinsames Informationssystem festgelegt, das für die Einladung, die Organisation und die Registrierung der Impfung eingerichtet werden soll.
Um die Einladung von zu impfenden Personen und die Organisation der Impfung zu unterstützen, wird in erster Linie ein gemeinsames Informationssystem benötigt, um unkoordinierte Einladungen von Personen oder doppelte Einladungen von bereits geimpften Personen zu vermeiden. Darüber hinaus muss das System die Bestimmung des geeigneten Dosierungsschemas ermöglichen, einschließlich der verschiedenen zu verabreichenden Dosen eines Impfstoffs (korrektes Intervall im Falle eines Mehrfachdosis-Impfstoffs), und sicherstellen, dass die Impfung je nach Verfügbarkeit der erforderlichen Ausrüstung und des (medizinischen) Personals ordnungsgemäß organisiert wird.
Die Registrierung von Impfungen in einem gemeinsamen Informationssystem (Vaccinnet) durch flämische, Brüsseler, wallonische und deutschsprachige Impfberechtigte ist u.a. notwendig, um ein optimales Krisenmanagement zu betreiben, die Pharmakovigilanz zu ermöglichen, die Durchimpfung der Bevölkerung zu überwachen und die Auswirkungen auf die Krankenversicherung zu erfassen.
Eine solche Registrierungspflicht erfordert angesichts der Tatsache, dass sie die Verarbeitung personenbezogener Daten beinhaltet, eine solide Rechtsgrundlage.
Die Datenbank wird in sehr enger Zusammenarbeit zwischen den Teilstaaten und dem Föderalstaat entwickelt und verwaltet.
Zusammenfassend kann man festhalten, dass dieses Abkommen im Detail vorsieht, dass für alle Bewohner Belgiens ein Impfcode erstellt wird und das alle Impfungen in Vaccinnet registriert werden (Artikel 2), welche Daten genau verarbeitet werden (Artikel 3), zu welchen Zwecken die Daten verarbeitet werden (Artikel 4), welche Befugnisse der Informationssicherheitsausschuss hat (Artikel 5), wie lange die Daten aufbewahrt werden (Artikel 6), wer die Verarbeitungsverantwortlichen sind (Artikel 7), wie Streitigkeiten bezüglich des Abkommens geregelt werden (Artikel 8), wie die Anwendung des Abkommens kontrolliert wird (Artikel 9), unter welchen Umständen die Daten in andere Datenbanken übertragen werden können (Artikel 10), dass die aktuelle föderale Rechtsgrundlage aufgehoben wird (Artikel 11) und wann das Abkommen in Kraft tritt (Artikel 12).
Durch vorliegenden Beschluss soll dieses Abkommen per Dekret gebilligt werden.
3. Finanzielle Auswirkungen:
Vaccinnet ist eine flämische Datenbank, die zu einer interföderalen Datenbank umgebaut wird, damit diese von allen für die Impfung zuständigen Teilstaaten genutzt werden kann. Hier fallen nicht nur Kosten für die Umwandlung, sondern auch für den laufenden (juristischen und informatischen) Unterhalt und den Roll-Out (d.h. die Markteinführung) an. Die Gesamtkosten belaufen sich auf 2.819.068,53 €. Die Deutschsprachige Gemeinschaft beteiligt sich grundsätzlich zu 0,68 % an diesen Kosten, allerdings nur für die Posten, an denen auch Flandern beteiligt ist. An anderen Posten fällt die Beteiligung der Deutschsprachigen Gemeinschaft etwas höher aus, da sich Flandern nicht an Kosten für Leistungen beteiligt, die in Flandern keinen Nutzen haben (wie etwa die Übersetzung ins Französische) und deshalb von den übrigen Teilstaaten allein getragen werden müssen. Die einzelnen Kostenpunkte können wie folgt beziffert werden:
|
Posten
|
Gesamtbudget (MwSt. inkl.)
|
Anteil Deutschsprachige Gemeinschaft (ca. 0,68 %)
|
|
Vaccinnet + Plattform
|
476.374,22 €
|
5.116,82 €
|
|
Umbau Vaccinnet für andere Teilstaaten (französische Version)
|
63.462,75 €
|
1.018,76 €
|
|
Implementierung Daten-Export für Berichte
|
17.342,00 €
|
117,93 €
|
|
Unterstützung und Begleitung „go-live“ und Post-Produktion
|
17.940,00 €
|
287,99 €
|
|
Korrigierender Unterhalt (Anpassungen für andere Teilstaaten als Flandern)
|
29.900,00 €
|
479,98 €
|
|
Evolutiver Unterhalt (für alle Teilstaaten)
|
136.125,00 €
|
925,65 €
|
|
Technischer Support
|
35.282,00 €
|
566,38 €
|
|
Vergrößern Infrastruktur (2021)
|
56.322,47 €
|
904,14 €
|
|
Sicherheitsaudit
|
30.000,00 €
|
204,00 €
|
|
Juristische Unterstützung über Rahmenvertrag
|
90.000,00 €
|
612,00 €
|
|
Roll-Out (Kommunikation, Ausbildungsmaterial, Helpdesk, Hotline)
|
2.342.694,31 €
|
15.930,32 €
|
|
Startphase (Dez. 2020 – Jan. 2021)
|
557.851,14 €
|
3.793,39 €
|
|
Kommunikation, Helpdesks, Hotline für 11 Monate (Feb. 2021 – Dez. 2021)
|
1.784.843,17 €
|
12.136,93 €
|
|
Total
|
2.819.068,53 €
|
21.047,14 €
|
4. Gutachten:
A) Gutachten der Datenschutzbehörde
Die Datenschutzbehörde stellte ihr Gutachten 16/2021 am 10. Februar 2021 aus.
Die Datenschutzbehörde stellte fest, dass der Entwurf des Zusammenarbeitsabkommens einen deutlichen Fortschritt im Vergleich zu dem Königlichen Erlass vom 24. Dezember 2020 darstellt, der den Vorläufer dieses Abkommens bildet. Allerdings blieben noch einige Punkte zu klären, die Gegenstand des Gutachtens 16/2021 sind (Bem. 15).
So wünschte sich die Datenschutzbehörde, dass die in Artikel 4 vorgesehenen Zweckbestimmungen hinsichtlich Gesundheits- und Pflegedienstleistungen, die Durchführung der Überwachung und Kontrolle der Impfstoffe nach der Zulassung und die Information und Sensibilisierung von Nutzern des Gesundheitswesens präzisiert werden (Bem. 15). Hierzu ist zu bemerken, dass eine Erklärung dieser Zweckbestimmungen in den Kommentar zu Artikel 4 eingefügt wurde. Was die Durchführung wissenschaftlicher oder statistischer Studien betrifft, wird auf den Wortschatz der Datenschutz-Grundverordnung verwiesen (Artikel 89 der DSGVO).
In Bemerkung 17 verwies die Datenschutzbehörde darauf, dass man präziser beschreiben müsse, welche Dritteinrichtungen Zugriff auf die Daten erhielten. Um dieser Bemerkung Rechnung zu tragen, wurde Artikel 5 völlig neu formuliert und der Kommentar zu diesem Artikel deutlich präzisiert.
Anschließend erinnerte die Datenschutzbehörde, dass man die Leserlichkeit des Textes verbessern könnte, indem man die verarbeiteten daten nach ihrer Zweckbestimmung ordnet (Bem. 18). Auch hier wird auf den Kommentar zu Artikel 4 des Abkommens verwiesen. Außerdem wurden in die Begründung einige umfangreiche Textpassagen eingefügt, um zu verdeutlichen, welche Daten zu welcher Zweckbestimmung verarbeitet werden. Schließlich gilt hier festzuhalten, dass die Zweckbestimmung präzise nach Verarbeitung beschrieben wird, so wie dies durch die DSGVO verlangt wird. Sollten Daten an Dritte weitergegeben werden müssen, dann ist dies nur möglich, insofern die Nutzung der daten durch diese Dritten vereinbar mit den Zweckbestimmungen dieses Zusammenarbeitsabkommens ist.
In ihrer abschließenden allgemeinen Bemerkung bestand die Datenschutzbehörde darauf, eine Datenschutzfolgeabschätzung anfertigen zu lassen (Bem. 19). Dies wird in Anwendung der Artikel 35 und 36 der DSGVO erfolgen.
Auch bezüglich der einzelnen Artikel hatte die Datenschutzbehörde einige Bemerkungen:
Die Datenschutzbehörde bemerkt bezüglich Artikel 2, dass klarer aus dem Artikel hervorgehen müsse, welche Personengruppen aufgrund welcher Kriterien Vorrang haben und welche Daten verwendet werden, um diese Gruppen auszuwählen (Bemerkungen 20-22). Der Verständlichkeit halber wurde der Kommentar zu Artikel 2 §1 deutlich und umfassend präzisiert, sodass klar ersichtlich ist, welche Personengruppen aufgrund welcher Kriterien Vorrang haben und woher die für die Priorisierung notwendigen Daten kommen. Darüber hinaus muss das System flexibel bleiben und fortschreitenden wissenschaftlichen Erkenntnissen Rechnung tragen.
Hinsichtlich Artikel 3 ist die Datenschutzbehörde der Meinung, dass der Ort der Verabreichung der Impfung nicht in der Impfcode-Datenbank verarbeitet werden darf, da dies eine exzessive Datenverarbeitung darstellt (Bem. 28-29). Folglich wurde diese Verarbeitung für die Impfcode-Datenbank ausgelassen, wird jedoch beibehalten für die Vaccinnet-Datenbank. Entsprechende Erläuterungen sind dem Kommentar zum Artikel zu entnehmen.
In Bezug auf Artikel 4 bemängelt die Datenschutzbehörde, dass die Zielsetzung der Ermittlung der Durchimpfungsrate auch mit anonymisierten Daten erreicht werden kann (Bem. 36). Entsprechend wurde im Kommentar und im Artikel selbst vermerkt, dass dies auf Grundlage anonymisierter Daten erfolgt. Allerdings muss etwa in Wohn- und Pflegezentren unterscheiden werden, je nachdem ob es sich um Personal oder Bewohner handelt. Aus dem Grund wird hier festgehalten, dass da wo es möglich ist mit anonymisierten daten gearbeitet wird, aber dass dort, wo eine feinkörnige Ermittlung der Durchimpfungsrate nötig ist, mit den erforderlichen personenbezogenen Daten gearbeitet wird.
Die Datenschutzbehörde wünscht sich noch immer bezüglich Artikel 4, dass präzisiert wird, welche Daten von Vaccinnet in die Sciensano-Datenbank eingespeist werden (Bem. 37-38). Der Kommentar zu Artikel 4 wurde entsprechend ausgeweitet.
Hinsichtlich der Durchführung wissenschaftlicher oder statistischer Studien wurde auf den korrekten Artikel der DSGVO verwiesen (Bem. 39).
Eine letzte Bemerkung zu Artikel 4 betrifft die Information und Sensibilisierung von Nutzern (Bem. 40). Es versteht sich von selbst, dass Gesundheitsdienstleister und eventuell die Gesundheitsinspektionsdienste diese Daten benötigen, um den Bürger vollständig über die Impfung aufzuklären, jedoch ohne dass diese Impfung gleich wie aufgezwungen wird.
Die Datenschutzbehörde bemängelt Artikel 5 des Abkommens aufgrund der Tatsache, dass Daten an Dritte weitergegeben werden können (Bem. 41-44). Der Artikel wurde neu gefasst und der Kommentar zum Artikel enthält nun eine deutliche und umfassende Erklärung, wann Daten weitergegeben werden können.
Was die Entscheidungen des Informationssicherheitsausschusses betrifft (Bem. 45), wird darauf hingewiesen, dass diese aufgrund Artikel 46 des Grundlagengesetzes über den Informationssicherheitsausschuss veröffentlicht werden.
Die Datenschutzbehörde wünscht sich ein elektronisches Zugangsrecht zu den gemäß diesem Abkommen vorgenommenen Datenverarbeitungen (Bem. 47). Der Kommentar zu Artikel 7 wurde entsprechend verdeutlicht. Bürger haben die Möglichkeit, über das Portal www.meinegesundheit.belgien.be Einsicht in ihre eigenen Daten zu nehmen.
Bezüglich der Aufbewahrungsfristen wünscht sich die Datenschutzbehörde weitere Erklärungen zur gewählten Dauer von 30 Jahren (Bem. 48-54). Es wird auf den Kommentar zu Artikel 6 verwiesen.
Zu Artikel 7 des Abkommens stellt die Behörde fest, dass der Bürger sich an Kontaktpunkte wenden können muss (Bem. 59). Für jeden Teilstaat und den Föderalstaat werden Kontaktpunkte eingerichtet.
B) Gutachten des Staatsrats
Der Staatsrat stellte sein Gutachten 68.839/VR zum vorliegenden Abkommen am 18. Februar 2021 aus.
Hinsichtlich der Zuständigkeit hatte der Staatsrat keine Einwände, bis auf die Tatsache, dass Artikel 10 des Abkommens vorsieht, dass der Föderalstaat nicht einbezogen werden muss, wenn die Teilstaaten eine andere Datenbank als Vaccinnet nutzen möchten (Bem. 6). Artikel 10 wurde dahingehend abgeändert, dass alle Parteien einbezogen werden müssen.
Auf Bitten des Staatsrats wird das Datum des Abkommens eingefügt (Bem. 8).
Auch der Staatsrat bat darum, zu beschreiben, welche Dritten Zugang zu den Daten erhalten und dass vorgesehen wird, dass der Bürger Einsicht in die Verarbeitung seiner Daten erhält (Bem. 11-11.4). Was die Einsicht des Bürgers in die Verarbeitung seiner daten betrifft, ist festzuhalten, dass dieses Recht in der DSGVO verankert ist und er dieses jederzeit ausüben kann. In den Kommentar von Artikel 7 wird erläutert, wie dieses Recht ausgeübt werden kann. Was die Weiterleitung an Dritte betrifft, wird hier nochmals darauf hingewiesen, dass sowohl Artikel 5 als auch sein Kommentar neu formuliert wurden und die nötigen Erläuterungen bereitstellen.
So wie die Datenschutzbehörde bittet der Staatsrat um die Erstellung einer Datenschutzfolgeabschätzung (Bem. 12). Diese wird erstellt.
Anschließend ist der Staatsrat der Ansicht, dass die Organisation der Impfocde-Datenbank im Abkommen präzisiert werden müsse (Bem. 13). Die Autoren sind der Ansicht, dass bereits alle notwendigen Elemente im Abkommen enthalten sind: Bezeichnung der Verarbeitungsverantwortlichen, der Datenkategorien, der Zweckbestimmungen, der Aufbewahrungsdauer sowie Aufführung der Tatsache, dass die Datenbank in einer föderalen G-Cloud gehostet wird und gemeinsam durch Verarbeitungsverantwortlichen verwaltet wird. Zusätzliche Erklärungen zur Funktionsweise der Datenbank werden jedoch im Kommentar zu Artikel 2 bereitgestellt.
Der Staatsrat versteht in Bezug auf Artikel 4 die Rolle der Ärzte und Versicherungseinrichtungen nicht und empfiehlt, dies im Kommentar entsprechend zu erklären (Bem. 14-14.2). In den Kommentaren zu den Artikeln 2 und 4 wird nun verdeutlicht, welche Rolle die Ärzte und Versicherungsträger bei der Auswahl und Sensibilisierung spielen.
Um die Bemerkung des Staatsrats zu berücksichtigen, dass aus dem Text selbst hervorgehen müsse, dass der Bevollmächtigte eines Arztes der Diskretionspflicht unterliegt (Bem. 15), wurde Artikel 2§2 des Abkommens angepasst.
Was die Erkennungsnummer der sozialen Sicherheit betrifft, bittet der Staatsrat darum, besser im Kommentar zu Artikel 3 zu beschreiben, warum die Verarbeitung dieser Nummer notwendig ist (Bem. 16). Der Kommentar wurde angepasst.
Weiterhin wurden einige formelle Widersprüchlichkeiten im verfügenden Teil bereinigt (Bem. 17-20).
Der Staatsrat stellte sich bezüglich Artikel 3 die Frage, was passiert, wenn sich eine Person nach Verabreichung der ersten Dosis nicht weiter impfen lassen möchte (Bem. 21). Es ist darauf hinzuweisen, dass der Impfcode dann deaktiviert wird und keine zweite Dosis verabreicht werden kann.
Außerdem wurde eine Definition des Begriffs „Impfschema“ eingefügt (Bem. 23).
Was die Zielsetzung der Kostenverteilung der Impfungen betrifft, stellt der Staatsrat sich die Frage, wieso man auf pseudonymisierte Daten zugreifen muss (Bem. 24). Hierauf ist zu entgegnen, dass grundsätzlich auf anonymisierte Daten zurückgegriffen wird, es jedoch aufgrund der Vorschriften in Sachen Krankenversicherung sein kann, dass pseudonymisierte Daten erforderlich sind (etwa, wenn im Ausland sozialversicherte Personen in Belgien geimpft werden).
Der Staatsrat schlägt vor, dass die Delegationen an den Informationssicherheitsausschuss in Ermächtigungen im Rahmen eines ausführenden Zusammenarbeitsabkommens umgewandelt werden (Bem. 25-27). Am Grundsatz der Beratungen des Informationssicherheitsausschusses wurde nichts geändert, jedoch wurde Artikel 5 und sein Kommentar angepasst, um den Bemerkungen des Staatsrats und der Datenschutzbehörde möglichst weitgehend Rechnung zu tragen.
Was Artikel 6 und demnach die Aufbewahrungsfristen der Daten betrifft, bittet der Staatsrat darum, weitere Erklärungen zur Notwendigkeit einer dreißigjährigen Aufbewahrungsdauer zu liefern und im Text eine verbindliche Höchstaufbewahrungsfrist vorzusehen (Bem. 28.1-29). Artikel 6 wurde umformuliert und der entsprechende Kommentar enthält nun die notwendige Rechtfertigung.
In Artikel 8 wurden auf Bitten des Staatsrats noch die Modalitäten für die Beilegung von Streitigkeiten festgelegt (Bem. 31).
Schlussendlich ist der Staatsrat nicht einverstanden mit Artikel 12, der das rückwirkende Inkrafttreten des Abkommens vorsieht (Bem. 33). Der Artikel wurde daher abgeändert, um zu unterscheiden zwischen den Bestimmungen, die seit dem 24. Dezember 2020 aufgrund des Vorläufers dieses Abkommens in Kraft sind, und denen, die durch dieses Abkommen hinzugefügt werden.
5. Rechtsgrundlage:
- Artikel 5 §1 I Nummer 8 und Artikel 92bis §1 des Sondergesetzes vom 8. August 1980 zur Reform der Institutionen.
- Artikel 4 §2 und 55bis des Gesetzes vom 31. Dezember 1983 über institutionelle Reformen für die Deutschsprachige Gemeinschaft.