Sitzung vom 15. Juli 2021

Entwurf eines Dekrets zur Billigung des Zusammenarbeitsabkommens vom 14. Juli 2021 zwischen dem Föderalstaat, der Flämischen Gemeinschaft, der Französischen Gemeinschaft, der Deutschsprachigen Gemeinschaft, der Gemeinsamen Gemeinschaftskommission, der Wallonischen Region und der Französischen Gemeinschaftskommission über die Verarbeitung von Daten im Zusammenhang mit dem digitalen EU-COVID-Zertifikat, dem Covid Safe Ticket, dem PLF und der Verarbeitung personenbezogener Daten von Lohnempfängern und Selbständigen, die im Ausland leben oder wohnen und in Belgien Tätigkeiten ausüben

1. Beschlussfassung:

Die Regierung genehmigt das Zusammenarbeitsabkommen vom 14. Juli 2021  zwischen dem Föderalstaat, der Flämischen Gemeinschaft, der Französischen Gemeinschaft, der Deutschsprachigen Gemeinschaft, der Gemeinsamen Gemeinschaftskommission, der Wallonischen Region und der Französischen Gemeinschaftskommission über die Verarbeitung von Daten im Zusammenhang mit dem digitalen EU-COVID-Zertifikat, dem Covid Safe Ticket, dem PLF und der Verarbeitung personenbezogener Daten von Lohnempfängern und Selbständigen, die im Ausland leben oder wohnen und in Belgien Tätigkeiten ausüben.

Die Regierung genehmigt das ausführende Zusammenarbeitsabkommen vom 14. Juli 2021 zwischen dem Föderalstaat, der Flämischen Gemeinschaft, der Französischen Gemeinschaft, der Deutschsprachigen Gemeinschaft, der Gemeinsamen Gemeinschaftskommission, der Wallonischen Region und der Französischen Gemeinschaftskommission über die Verarbeitung von Daten im Zusammenhang mit dem digitalen EU-COVID-Zertifikat, dem Covid Safe Ticket, dem PLF und der Verarbeitung personenbezogener Daten von Lohnempfängern und Selbständigen, die im Ausland leben oder wohnen und in Belgien Tätigkeiten ausüben.

Die Regierung verabschiedet in zweiter und letzter Lesung den Entwurf eines Dekrets zur Billigung des Zusammenarbeitsabkommens vom 14. Juli 2021 zwischen dem Föderalstaat, der Flämischen Gemeinschaft, der Französischen Gemeinschaft, der Deutschsprachigen Gemeinschaft, der Gemeinsamen Gemeinschaftskommission, der Wallonischen Region und der Französischen Gemeinschaftskommission über die Verarbeitung von Daten im Zusammenhang mit dem digitalen EU-COVID-Zertifikat, dem Covid Safe Ticket, dem PLF und der Verarbeitung personenbezogener Daten von Lohnempfängern und Selbständigen, die im Ausland leben oder wohnen und in Belgien Tätigkeiten ausüben.

Der Minister für Gesundheit und Soziales, Raumordnung und Wohnungswesen wird beauftragt, den Dekretentwurf im Parlament zu hinterlegen.

2. Erläuterungen:

A) In Bezug auf das Zusammenarbeitsabkommen

Am 11. März 2020 hat die Weltgesundheitsorganisation (WHO) den Ausbruch des Virus SARS-CoV-2, das die Krankheit COVID-19 verursacht, zur Pandemie erklärt.

Belgien ist von dieser Pandemie ebenfalls nicht verschont geblieben. Vor dem Hintergrund der COVID-19-Gesundheitskrise und um die weitere Ausbreitung des Virus SARS-CoV-2 (nachstehend "Coronavirus COVID-19") zu verhindern, wurde der Nationale Sicherheitsrat, in dem Vertreter der Föderalregierung und der Teilstaaten zusammengetreten sind, beauftragt worden, konzertierte Maßnahmen zur Eindämmung der Ausbreitung des Coronavirus COVID-19 zu treffen.

Während es von wesentlicher Bedeutung ist, die weitere Ausbreitung des Coronavirus (COVID-19) zu begrenzen, muss auch die Wiederaufnahme der Aktivitäten der Bürger wie vor der COVID-19-Pandemie berücksichtigt werden, einschließlich der Möglichkeit, innerhalb der Europäischen Union zu reisen und kulturelle und andere Veranstaltungen und Aktivitäten zu besuchen. Es ist auch notwendig, sich auf die wirtschaftliche Erholung nach der COVID-19-Pandemie zu konzentrieren.

Da eine einheitliche Regelung für die Reise- und Aufenthaltsfreiheit von EU-Bürgern im Hoheitsgebiet der Mitgliedstaaten geboten ist, hat die Europäische Union einen Rechtsrahmen geschaffen, der aus der Verordnung (EU) 2021/953 des Europäischen Parlaments und des Rates vom 14. Juni 2021 ‚über einen Rahmen für die Ausstellung, Überprüfung und Anerkennung interoperabler Zertifikate zur Bescheinigung von COVID-19-Impfungen und -Tests sowie der Genesung von einer COVID-19-Infektion (digitales COVID-Zertifikat der EU) mit der Zielsetzung der Erleichterung der Freizügigkeit während der COVID-19-Pandemie‘ und der Verordnung (EU) 2021/954 des Europäischen Parlaments und des Rates vom 14. Juni 2021 ‚über einen Rahmen für die Ausstellung, Überprüfung und Anerkennung interoperabler Zertifikate zur Bescheinigung von COVID-19-Impfungen und -Tests sowie der Genesung von einer COVID-19-Infektion (digitales COVID-Zertifikat der EU) für Drittstaatsangehörige mit rechtmäßigem Aufenthalt oder Wohnsitz im Hoheitsgebiet der Mitgliedstaaten während der COVID-19-Pandemie‘ besteht.

Diese Verordnungen treten jedoch erst am 1. Juli in Kraft. Angesichts der Dringlichkeit, den freien Personenverkehr innerhalb der Mitgliedstaaten vollständig zu erleichtern, hat sich Belgien dafür entschieden, seinen Bürgern das digitale EU-COVID-Zertifikat bereits ab dem 16. Juni 2021 zur Verfügung zu stellen.

Die Verordnung erlaubt auch die weitere inländische Nutzung des digitalen EU-COVID-Zertifikats, solange diese inländische Nutzung auf einer gesetzlichen Grundlage beruht.

In Übereinstimmung mit den Notifizierungen des Konzertierungsausschusses vom 11. Mai und 4. Juni 2021 wurde beschlossen, den Zugang zu Test- und Pilotprojekten ab dem 1. Juli 2021 und den Zugang zu Großveranstaltungen auf der Grundlage des Covid Safe Tickets ab dem 13. August zu regeln.

Das Covid Safe Ticket ist das Ergebnis des Auslesens des digitalen EU-COVID-Zertifikats mit Hilfe der COVIDScan-Anwendung, um den Zugang zu einem Test- oder Pilotprojekt oder einer Großveranstaltung im Rahmen der COVID-19-Pandemie zu regeln. Das Covid Safe Ticket ermöglicht somit die Nutzung des digitalen EU-COVID-Zertifikats im Inland.

Um das digitale EU-COVID-Zertifikat den Bürgern auf benutzerfreundliche und zugängliche Weise zur Verfügung zu stellen, wird eine App entwickelt. Diese App wird aus zwei Teilen bestehen, nämlich der COVIDSafe-App und der COVIDScan-App. Der Zweck der COVIDSafe-App ist es, dem Inhaber des digitalen EU-COVID-Zertifikats zu ermöglichen, das Zertifikat anzufordern und den Barcode zu scannen. Die Anwendung COVIDScan ermöglicht es, durch Scannen des Barcodes des digitalen EU-COVID-Zertifikats die Echtheit und Gültigkeit des digitalen EU-COVID-Zertifikats zu überprüfen und ggf. das Covid Safe Ticket zu erzeugen.

Die COVIDSafe-Anwendung wird den Bürgern ab dem 16. Juni 2021 zur Verfügung gestellt und kann ab dem 1. Juli 2021 für Reisen innerhalb der Europäischen Union genutzt werden.

Ebenfalls ab dem 1. Juli 2021 kann das Covid Safe Ticket über die COVIDScan-App für den Hausgebrauch generiert werden, und zwar für Test- oder Pilotprojekte ab dem 1. Juli 2021 und für Großveranstaltungen ab dem 13. August 2021, die im Rahmen des geltenden Erlasses über die verwaltungspolizeilichen Maßnahmen zur Eindämmung der Verbreitung des Coronavirus COVID-19 organisiert werden.

Die Aufbewahrungsfristen der für den Zweck des digitalen EU-COVID-Zertifikats verarbeiteten personenbezogenen Daten sind streng auf den Zweck des digitalen EU-COVID-Zertifikats oder auf den Zeitpunkt beschränkt, zu dem das digitale EU-COVID-Zertifikat nicht mehr für die Ausübung des Rechts auf Freizügigkeit gemäß der Verordnung über das digitale EU-COVID-Zertifikat verwendet werden darf. Das frühere Inkrafttreten des Zusammenarbeitsabkommens und die damit verbundenen Auswirkungen auf die Aufbewahrungs- und Gültigkeitsdauer werden berücksichtigt. Die vom Covid Safe Ticket verarbeiteten personenbezogenen Daten werden nach der Verarbeitung sofort gelöscht.

Neben den Bestimmungen zum digitalen COVID-Zertifikat der EU, dem Corona Safety Ticket und den für ihre Nutzung benötigten Apps enthält das Abkommen noch je ein Kapitel zum Passenger Locator Form (PLF) und zur Datenverarbeitung von Arbeitnehmern und Selbstständigen, die im Ausland wohnen und Arbeit in Belgien verrichten. Was das Kapitel zum PLF angeht, soll eine allgemeine Grundlage für die Nutzung dieses Formulars vorgesehen werden. Bereits mehrmals hatte der Staatsrat darauf hingewiesen, dass die Rechtsvorschriften rund um das PLF lückenhaft sind, was mit diesem Kapitel behoben werden soll. Das Kapitel zur Datenverarbeitung von Arbeitnehmern und Selbstständigen, die im Ausland wohnen und Arbeit in Belgien verrichten wird eingefügt, um einen Rahmen für die Datenverarbeitung dieser Personen zu schaffen, der aus dem Blickwinkel der Rechtssicherheit und des Legalitätsprinzips einwandfrei ist. Bisher wurde dieser Rahmen in einem föderalen Ministererlass vorgesehen und soll nun in das Zusammenarbeitsabkommen übertragen werden.

b) In Bezug auf das ausführende Zusammenarbeitsabkommen

Das ausführende Zusammenarbeitsabkommen führt einige Bestimmungen des hiervor beschriebenen Zusammenarbeitsabkommens aus. Es hält insbesondere einige technische Details zur Funktionsweise des Covid Safe Tickets sowie die Kriterien, die Zugang zu den Pilotprojekten und Großveranstaltungen geben, fest.

Der Föderalstaat wird hierzu die nötigen Gutachten einholen. Das ausführende Abkommen kann nach Billigung des Basis-Zusammenarbeitsabkommens definitiv durch alle Regierungen genehmigt werden.

3. Finanzielle Auswirkungen:

Es entstehen keine Kosten für die Deutschsprachige Gemeinschaft.

4. Gutachten:

Gutachten des Staatsrats

Der Staatsrat stellte am 9. Juli 2021 das Gutachten 69.734/VR zum Dekretvorentwurf aus.

Hinsichtlich der Zuständigkeit schlussfolgert der Staatsrat, dass in dem zu billigenden Zusammenarbeitsabkommen Bereiche geregelt werden, für die Behörden verschiedener Zuständigkeitsebenen zuständig sind, sodass der Abschluss eines Zusammenarbeitsabkommens hierfür erforderlich ist (Bemerkung 4).

In seinen allgemeinen Bemerkungen analysiert der Staatsrat an erster Stelle den zeitlichen Geltungsbereich des Abkommens. So sieht Artikel 33 des Abkommens vor, dass Artikel 9 nur zwischen dem 16. Juni und dem 30. Juni 2021 gelte. Der Staatsrat ist der Meinung, dass die durch Artikel 9 geregelten Aspekte selbst nach diesem Datum, d.h. ab Inkrafttreten der Verordnungen 2021/953 und 2021/954, weiterhin internrechtlich geregelt werden müssen (Bemerkung 9.1). Artikel 33 wurde demnach dahingehend angepasst, dass die mit den Verordnungen übereinstimmenden Artikel mit einem kohärenten zeitlichen Anwendungsbereich versehen wurden.

Anschließend analysiert der Staatsrat, wie sich das Zusammenarbeitsabkommen und die Verordnungen 2021/953 und 2021/954 zueinander verhalten. Insbesondere Artikel 33 §3 des Abkommens, der besagt, dass die inhaltlich mit den Verordnungen übereinstimmenden Bestimmungen des Abkommens durch die Bestimmungen der Verordnungen ersetzt werden, scheint nach Meinung des Staatsrats rechtliche Probleme aufzuwerfen. So können Verordnungsbestimmungen aufgrund ihrer direkten Anwendbarkeit und ihrem Platz in der Normenhierarchie nicht ohne Weiteres in internes Recht übertragen werden (Bemerkung 10). Es reiche auch nicht, den Artikel einfach fallen zu lassen, da die inhaltlich mit den Verordnungen übereinstimmenden Bestimmungen des Abkommens andernfalls gegen das Übertragungsverbot verstoßen würden. Der Staatsrat empfiehlt deswegen, die betroffenen Artikel mithilfe eines Rechtsverweises neu zu formulieren (Bemerkung 11). Diesem Vorschlag konnten die Autoren zustimmen und haben die vom Übertragungsverbot betroffenen Artikel des Abkommens mit einem Rechtsverweis auf die entsprechenden Artikel der Verordnung ergänzt.

Der Staatsrat überprüft auch den Zusammenhang des vorliegenden Abkommens mit dem Zusammenarbeitsabkommen vom 11. Juni 2021 „zwischen dem Föderalstaat, der Flämischen Gemeinschaft, der Französischen Gemeinschaft, der Deutschsprachigen Gemeinschaft, der Gemeinsamen Gemeinschaftskommission, der Wallonischen Region und der Französischen Gemeinschaftskommission zur Umsetzung der Verordnung (EU) des Europäischen Parlaments und des Rates über einen Rahmen für die Ausstellung, Überprüfung und Anerkennung interoperabler Zertifikate zur Bescheinigung von Impfungen, Tests und der Genesung mit der Zielsetzung der Erleichterung der Freizügigkeit während der COVID-19-Pandemie (Digitales COVID-Zertifikat der EU)“. Der Staatsrat stellt fest, dass die beiden Abkommen einen fast identischen Inhalt aufweisen, mit Ausnahme der Artikel 6 und 7 des Abkommens vom 11. Juni 2021. Da dieses nicht durch die Parlamente gebilligt wurde und diese beiden Bestimmungen Angelegenheiten regeln, die dem Gesetzgeber vorbehalten sind, empfiehlt der Staatsrat, diese beiden Artikel noch in das vorliegende Abkommen aufzunehmen (Bemerkungen 12-13.2). Der Inhalt der Artikel 6 und 7 des Abkommens vom 11. Juni 2021 wurde demnach in Artikel 7 §§2 und 3 des vorliegenden Zusammenarbeitsabkommens übernommen.

Schließlich analysiert der Staatsrat, ob die Bestimmungen des Abkommens vereinbar mit Artikel 22 der Verfassung und Artikel 8 der Europäischen Menschenrechtskonvention sind. Für Eingriffe in das Privatleben müssen mehrere Bedingungen erfüllt werden: das Verfolgen eines rechtmäßigen Ziels, das Vorliegen einer deutlichen Beschreibung des Eingriffs (Legalitätsprinzip) sowie einer angemessenen und somit verhältnismäßigen Begründung (Verhältnismäßigkeitsprinzip).

Der Staatsrat stellt fest, dass der Gesundheitsschutz und der Schutz der Rechte und Freiheiten Dritter rechtmäßige Ziele sind (Bemerkung 14).

In Bezug auf das Legalitätsprinzip wünscht sich der Staatsrat, dass Aufschluss darüber gegeben wird, worin die Tragweite des Artikels 17 §5, der es einem ausführenden Abkommen überlässt, die Funktionsweise der COVIDScan-App zu bestimmen, besteht (Bemerkung 15.1). Was die Personen betrifft, die Zugang zu den Daten der betroffenen Personen haben, ist der Staatsrat mit der Regelung des Artikels 13 §§3-4 einverstanden, wünscht sich jedoch eine klarere Regelung für PLF-Daten (Bemerkung 15.2). Was die Tragweite des ausführenden Abkommens betrifft, wurde Artikel 17 §5 abgeändert, sodass dieser nun vorsieht, zu welchem Zweck die App Daten verarbeitet. Was die Regelung der PLF-Daten betrifft, wird auf die Bemerkungen zum Gutachten der Datenschutzbehörde verwiesen.

Bezüglich der Verhältnismäßigkeit wünscht sich der Staatsrat, dass eine Datenschutzfolgenabschätzung für die Anwendung des Abkommens erstellt wird (Bemerkung 16). Die Ausarbeitung dieser Folgenabschätzung wird durch die verschiedenen Verarbeitungsverantwortlichen augenblicklich durchgeführt.

Zum Covid Safe Ticket empfiehlt der Staatsrat, die wesentlichen Elemente, die der Beurteilung, ob eine Person Zugang zu einem Pilot- oder Großprojekt erhält, zugrunde liegen, in das Abkommen selbst aufzunehmen (Bemerkung 19.1). In Anbetracht der hier erforderlichen Flexibilität (wechselnde epidemiologische Situation) sollten die Parameter, auf denen die Entscheidung über die Gewährung oder Verweigerung des Zugangs beruht, in einem Durchführungsinstrument beschrieben werden.

Anschließend untersucht der Staatsrat die einzelnen Artikel des Abkommens. Neben einer Vielzahl an rein technischen und formalen Bemerkungen sind folgende Empfehlungen des Staatsrats hervorzuheben:

- dem Staatsrat ist nicht deutlich, was genau unter Test- und Pilotprojekten gemäß Artikel 1 Nummern 19 und 20 zu verstehen ist. Insofern die Kriterien durch einen föderalen ministeriellen Erlass festgelegt werden, müsse dies deutlicher als aus dem aktuellen Erlass vom 28. Oktober 2020 hervorgehen (Bemerkung 23). Hier ist anzumerken, dass der Föderalstaat den ministeriellen Erlass entsprechend verdeutlichen wird.

- was die in Artikel 3 §6 vorgesehene Anti-Diskriminierungsregel betrifft, schlägt der Staatsrat vor, diese aus dem Abkommen zu streichen, da sie bereits in der Verordnung 2021/953 vorgesehen ist (Bemerkung 29). Um die Lesbarkeit des Textes zu erhalten, wird die Bestimmung mit einem Rechtsverweis auf die Verordnung 2021/953 versehen.

- der Staatsrat schlägt vor, Artikel 7 aufgrund der Redundanz mit Artikel 6 zu streichen (Bemerkung 31). Das Abkommen wurde entsprechend angepasst.

Gutachten der Datenschutzbehörde

Die Datenschutzbehörde stellte ihr Gutachten 124/2021 am 12. Juli 2021 aus.

Die Bemerkungen der Behörde lassen sich in vier Themengebiete einteilen: Bemerkungen zur Verarbeitung von personenbezogenen Daten im Rahmen des digitalen COVID-Zertifikats der EU, im Rahmen des Covid Safe Ticktes, im Rahmen des PLF und im Rahmen der Bestimmungen von Personen, die im Ausland leben oder wohnen und in Belgien Tätigkeiten ausüben.

1. Bemerkungen zur Verarbeitung von personenbezogenen Daten im Rahmen der Ausstellung und Überprüfung des digitalen COVID-Zertifikats der EU

Da einige Bestimmungen des Abkommens inhaltlich mit einzelnen Bestimmungen der Verordnung 2021/953 übereinstimmen und ab dem 1. Juli 2021 durch diese ersetzt werden, empfiehlt die Datenschutzbehörde, dass im verfügenden Teil präzisiert wird, welche Bestimmungen des Abkommens durch welche Artikel der Verordnung ersetzt werden (Bemerkung 10). Artikel 33 sieht nun für die mit der Verordnung übereinstimmenden Artikel artikelweise vor, welche Artikel wann und für wie lange in Kraft treten.

Da die Kontaktzentren der Teilstaaten Zugriff auf einige personenbezogene Daten mit Bezug zur Gesundheit haben, um den Bürgern ihre Zertifikate zukommen zu lassen, ist die Datenschutzbehörde der Ansicht, dass Sicherheitsmaßnahmen organisatorischer Art getroffen werden müssen. Als Beispiel einer solchen Maßnahme führt die Behörde an, dass aufgezeichnet werden könnte, welcher Mitarbeiter wann auf welche Daten zugegriffen hat (Bemerkung 22). Hierzu kann bemerkt werden, dass die Mitarbeiter des Kontaktzentrums des Ministeriums der Deutschsprachigen Gemeinschaft eine Verschwiegenheitsverpflichtung unterzeichnen müssen. Zudem haben nur Mitarbeiter Zugriff auf die Daten, die einen Zugriff auf MAGDA Online haben. Über diese Anwendung wird genau protokolliert, welcher Mitarbeiter welche Daten zu welcher Person verarbeitet hat. Der Datenschutzbeauftragte des Ministeriums überwacht die Zugriffe. Demzufolge wird der Empfehlung der Behörde strengstens Rechnung getragen.

Die Datenschutzbehörde wünscht sich, dass für die Anwendung der Verordnung 2021/953 präzisiert wird, was unter „grenzüberschreitend tätige Personenverkehrsdienstleister“ zu verstehen ist, damit von verwaltungsrechtlicher Seite sichergestellt ist, dass Reiseanbieter das digitale COVID-Zertifikat prüfen dürfen (Bemerkung 26). Zu diesem Zweck wurde in Artikel 10 §4 des Abkommens ein Rechtsverweis auf Artikel 3 Absatz 9 der Verordnung hinzugefügt.

Schließlich ist die Datenschutzbehörde der Ansicht, dass die Verarbeitung des Hauptwohnsitzes und der Nationalregisternummer durchaus legitim ist, jedoch eine Begründung geliefert werden solle, warum die Verarbeitung dieser Daten erforderlich ist (Bemerkung 29). Die Verarbeitung des Hauptwohnsitzes ermöglicht es, das digitale COVID-Zertifikat der EU per Post zu erhalten, wenn man sich für den Erhalt dieser Bescheinigung auf Papier entschieden hat. Der Hauptwohnsitz wird nicht verarbeitet, wenn nicht die Option genutzt wurde, die Bescheinigung per Post zu erhalten. Hinsichtlich der Nationalregisternummer ist zu entgegnen, dass diese nicht auf dem Zertifikat aufgeführt wird.

2. Bemerkungen zur Verarbeitung von personenbezogenen Daten im Rahmen der Ausstellung und Überprüfung des Covid Safe Tickets

Die Datenschutzbehörde ist der Ansicht, dass der Zugang zu einer kulturellen Veranstaltung grundsätzlich nicht abhängig vom Gesundheitszustand gemacht werden dürfe. Nach Ansicht der Behörde müsse dieses Recht frei ausgeübt werden dürfen. Außerdem dürfe es sich eine Gesellschaft nicht zur Gewohnheit machen, den Zugang zu alltäglichen Orten nur gegen Vorlage einer Bescheinigung über den Gesundheitszustand zu ermöglichen. Sollten dennoch derartige Einschränkungen vorgesehen werden, so müsse der betreffende Rechtstext eine Begründung liefern, aus der die Notwendigkeit und Verhältnismäßigkeit dieser hervorgehe. Die Begründung des Zusammenarbeitsabkommensentwurfs enthält keine entsprechenden Elemente (Bemerkungen 39-43). An erster Stelle ist anzumerken, dass Aufgabe der Datenschutzbehörde die Prüfung der Vereinbarkeit einer Regelung mit den Vorgaben in Bezug auf den Datenschutz ist und Wertungen hinsichtlich der politischen Opportunität einer Regelung nicht in diesen Aufgabenbereich fallen. Dennoch kann an dieser Stelle auf Folgendes hingewiesen werden:

  • Es ist und kann keineswegs die Absicht sein, durch das Covid Safe Ticket selbst oder durch dieses Zusammenarbeitsabkommen die Gesellschaft daran zu gewöhnen, dass der Zugang zu bestimmten Orten von der Vorlage von Nachweisen oder Zertifikaten abhängig gemacht wird. Der Geltungsbereich des Covid Safe Tickets ist auf das beschränkt, was in vorliegendem Abkommen enthalten ist und im Rahmen der aktuellen Ausnahmesituation gilt. Solange die COVID-19-Pandemie bekämpft werden muss und unter der Voraussetzung, dass eine angemessene Aufbewahrungsfrist und Nutzungsbeschränkung hinsichtlich der Dauer eingehalten werden, ist das Covid Safe Ticket ein angemessenes Instrument, um die Verbreitung des Coronavirus (COVID-19) zu stoppen.
  • Diese Methode ist datenminimierend, verhältnismäßig und deutlich weniger invasiv als die Verwendung des digitalen EU-COVID-Zertifikats oder die kontinuierliche Vor-Ort-Testung aller Besucher einer Großveranstaltung oder eines Pilot- und Testevents. Außerdem ist nicht zu leugnen, dass es bei Großveranstaltungen und Pilotprojekten besonders schwierig ist, zu kontrollieren, ob alle Besucher die vorgeschriebenen Sicherheits- und Coronamaßnahmen einhalten. Denn je größer die Großveranstaltung oder das Pilotprojekt ist, desto schwieriger sind diese praktischen Maßnahmen zu realisieren. Und selbst für den Fall, dass alle Besucher diese Regeln (wie das Tragen einer Maske, das Einhalten eines Sicherheitsabstandes, ...) punktgenau einhalten würden (was nicht machbar ist), bietet diese Methode nicht die gleichen Garantien wie die, die auf der Impf- und Teststrategie fußen. Das Covid Safe Ticket bietet eine sachgemäße und verhältnismäßige Lösung, um das kulturelle und gesellschaftliche Leben wieder stattfinden zu lassen, was auch als notwendig zu bezeichnen ist, da für die in diesem Zusammenarbeitsabkommen vorgesehenen Veranstaltungen keine weniger eingreifenden Methoden existieren, um die Sicherheit und Gesundheit der Besucher und des Personals solcher Veranstaltungen zu gewährleisten.

Die Verwendung des Covid Safe Tickets sei nach Ansicht der Datenschutzbehörde nur verhältnismäßig, wenn dessen Nutzung zeitlich strikt begrenzt ist. Die Behörde stellt fest, dass dies der Fall ist (Bemerkung 47).

Der Datenschutzbehörde ist es ein Anliegen, dass die Einsichtnahme in das Covid Safe Ticket ausschließlich zu dem im Abkommen vorgesehenen Zweck erfolgt, nämlich den Zugang zu einer Reihe von Veranstaltungen zu gewähren. Aus dem Grund ist es nach Meinung der Datenschutzbehörde unerlässlich, eine strafrechtliche Strafe für Personen vorzusehen, die den Zugang zu anderen Gütern und Dienstleistungen (Lieferdienste, restaurant- und Kinobetreiber, etc.) von der Vorlage des Covid Safe Tickets abhängig machen (Bemerkung 48). Im verfügenden Teil wurde aufgrund dieser Bemerkung vorgesehen, dass es untersagt ist, das Covid Safe Ticket für andere als die in diesem Abkommen festgelegten Zwecke zu generieren und auszulesen. Zuwiderhandelnde werden strafrechtlich belangt.

Weiterhin müsse aus dem Text hervorgehen, dass das Covid Safe Ticket nicht beim Verlassen des Events vorgelegt werden muss (Bemerkung 50). Das Abkommen wurde abgeändert, sodass daraus nun hervorgeht, dass Besucher, die mehrere auf der Veranstaltung verweilen und nach dem Verlassen des Geländes, dieses wieder betreten möchten, das Covid Safe Ticket vorlegen müssen.

Im Text müsse präzisiert werden, dass neben der Angabe, ob eine Person Zugang zur Veranstaltung hat oder nicht, nur noch der Name angezeigt werden dürfe. Aus dem Text gehe nämlich hervor, dass es sich „insbesondere“ um den Namen handelt, was nicht deutlich genug sei (Bemerkung 51). Das Wort „insbesondere“ wurde gestrichen.

Die Datenschutzbehörde empfiehlt, dass der Text dahingehend ergänzt werden solle, dass die Personen, die Einsicht in das Covid Safe Ticket nehmen, diese nicht aufbewahren dürfen, dass diese in keiner Datenbank gespeichert werden und dass diese generell nicht aufbewahrt werden dürfen (Bemerkung 52). In der Begründung wurde ein Passus eingefügt, aus dem hervorgeht, dass es Organisatoren strengstens verboten ist, personenbezogene Daten, die sie durch die Nutzung des Covid safe Tickets erhalten, aufzubewahren oder weiter zu verarbeiten.

3. Bemerkungen zur Verarbeitung von personenbezogenen Daten bei der Verwendung des PLF

Artikel 19 des Abkommens sieht vor, dass die Bestimmungen des Abkommens immer dann anwendbar sind, wenn eine andere Rechtsvorschrift das Ausfüllen des PLF vorsehe. Die Datenschutzbehörde bemerkt, dass eine derartige Vorgehensweise unvorhersehbar für den Bürger ist und der Artikel aus dem Grund gestrichen werden müsse (Bemerkung 59). Mit dieser Bemerkung können sich die Autoren nicht einverstanden erklären. Dieser Artikel beschränkt die rechtmäßige Verarbeitung personenbezogener Daten, die in der PLF-Datenbank enthalten sind, auf die in spezifischen Rechtsvorschriften festgelegten Zwecke. Diese Rechtsvorschriften sollten auf die Situationen zugeschnitten sein, in denen eine Nutzung des PLF gerechtfertigt und relevant ist, und unterliegen der Begutachtungspflicht durch die zuständigen Beratungsgremien, wie z. B. dem Staatsrat oder der Datenschutzbehörde.

Auch in Bezug auf die Verarbeitungszwecke und die Empfänger der PLF-Daten bemängelt die Datenschutzbehörde, dass die entsprechenden Artikel nicht ausreichend präzise seien. Was die Zweckbestimmung betrifft, empfiehlt die Datenschutzbehörde, folgende Zweckbestimmungen einzufügen:

1. die Gewährleistung der Kontaktverfolgung, falls eine positiv getestete Person öffentliche Verkehrsmittel genutzt hat;

2. die Kenntnisnahme der Herkunft, zwecks Gewährleistung der Einhaltung der Test- und Quarantänepflicht, falls die Person aus einem Risikogebiet heimkehren sollte (Bemerkungen 61 und 70).

Diese beiden Zweckbestimmungen wurden in den Text aufgenommen. Was die Bemerkung der Verdeutlichung der Empfänger betrifft, ist zu entgegnen, dass die Regelung bezüglich des PLF nicht auf die ausschließliche Verwendung im Rahmen der COVID-19-Gesundheitskrise beschränkt ist. Hiermit wird die Verwendung des PLF im Allgemeinen angestrebt, so wie dies der Staatsrat in früheren Gutachten empfohlen hat. Die PLF-Daten sind nur denjenigen Stellen zugänglich, die sie zur Erfüllung ihrer Aufgaben von allgemeinem Interesse benötigen, die ihnen durch oder aufgrund eines Zusammenarbeitsabkommens, eines Gesetzes, eines Dekrets oder einer Ordonnanz übertragen wurden. Das Legalitätsprinzip ist somit gewahrt.

Die Datenkategorien müssten nach Meinung der Behörde ebenfalls begrenzt werden (Bemerkung 64). Hierzu können folgende Erklärungen gegeben werden:

  • die Datenschutzbehörde empfiehlt, dass die Identifizierungsdaten eines Mitreisenden nur dann übermittelt werden müssen, wenn der Mitreisende nicht selbst der Verpflichtung unterliegt, das PLF auszufüllen: Im Kommentar von Artikel 20 wurde präzisiert, dass grundsätzlich jeder Reisende dazu verpflichtet ist, das PLF auszufüllen. Insofern ein Mitreisender nicht in der Lage ist, dieses auszufüllen, wie z.B. Kinder, dann kann dieser Mitreisende auf dem PLF der ersten Person vermerkt werden.
  • die Datenschutzbehörde kann nicht nachvollziehen, warum in der französischen Fassung neben der Angabe über die Dauer des Aufenthalts noch die Angabe über den Willen, in Belgien zu verweilen nötig ist: Es handelt sich hier in der Tat um einen Inkohärenz mit dem übrigen Text. Dieser Passus wurde aus Artikel 20 Nummer 3 der französischen Fassung des Abkommens gestrichen.
  • die Angabe über den Grund des Aufenthalts müsse nach Meinung der Datenschutzbehörde nuanciert werden: Die Begründung wurde um einen Passus ergänzt, der darlegt, dass diese Informationen erforderlich sind, um zu prüfen, ob der Reisende unter eine der Kategorien von Ausnahmen fällt, wie z.B. von der Quarantäne- und Testpflicht. Dies gilt etwa für Reisen von Diplomaten in Ausübung ihres Amtes, Seeleuten, Grenzgängern, Studenten, Forschern usw.
  • die Datenschutzbehörde bemängelt, dass die Aufenthaltsdauer nicht grundsätzlich, sondern nur dann gefragt werden dürfe, wenn diese 48 Stunden überschreite: Diese Bemerkung wurde berücksichtigt und in Artikel 20 Nummer 6 wurde verdeutlicht, dass diese nur dann angegeben werden muss, wenn sie 48 Stunden überschreitet.

Zudem dürfe es nicht dem FÖD Volksgesundheit zukommen, die eigentlichen Daten des PLF zu bestimmen. Die Delegation an die Verwaltung müsse durch eine Ermächtigung an den König oder an ein ausführendes Abkommen ersetzt werden (Bemerkung 65). Artikel 21 wird dennoch in seiner jetzigen Form belassen. Das Zusammenarbeitsabkommen sieht vor, dass die Datenkategorien unter Achtung des Legalitätsprinzips erhoben werden müssen. Die detaillierteren Daten sind eine Verdeutlichung der Datenkategorien aufgrund des Zusammenarbeitsabkommens und fügen nichts Zusätzliches hinzu. Dies ermöglicht eine Flexibilität, die den Anforderungen des Terrains trägt.

4. Bemerkungen zur Verarbeitung von personenbezogenen Daten von Personen, die im Ausland leben oder wohnen und in Belgien Tätigkeiten ausüben.

Schließlich müsse die Zweckbestimmung für die Führung des Registers neu formuliert werden (Bemerkung 73). Die Bemerkung wurde berücksichtigt und die Zweckbestimmung gemäß dem Wunsch der Datenschutzbehörde angepasst.

5. Rechtsgrundlage:

  • Artikel 5 §1 I Nummer 8 und Artikel 92bis §1 des Sondergesetzes vom 8. August 1980 zur Reform der Institutionen.
  • Artikel 4 §2 und 55bis des Gesetzes vom 31. Dezember 1983 über institutionelle Reformen für die Deutschsprachige Gemeinschaft.