Die Kolumne von Lennart Schafmeister, SchlarmannvonGeyso.
Die Corona-Pandemie stellt die Menschen weltweit vor große Herausforderungen. Zurzeit ist das gesellschaftliche Leben, wie wir es kennen, mehr oder weniger außer Kraft gesetzt. Die Ausgangsbeschränkungen sind ein Stück weit zur Normalität geworden – doch wie lange hält unsere Gesellschaft diesen Zustand noch aus? Nicht nur die Wirtschaft leidet unter der Situation, auch die psychische Gesundheit vieler Menschen sieht sich aufgrund von Isolation einer starken Belastungsprobe ausgesetzt. Ewig können die derzeitigen Beschränkungen in ihrer jetzigen Form daher nicht fortgesetzt werden, sind sich Experten einig.
Zurzeit werden Möglichkeiten diskutiert, die Verbreitung des Coronavirus auf digitalem Wege nachzuverfolgen und dadurch zu verlangsamen. Infizierte sollen schneller ausgemacht und gezielt isoliert werden können, um die Lockerung gesamtgesellschaftlicher Ausgangsbeschränkungen zu ermöglichen.
Das klingt verlockend – doch sind entsprechende Maßnahmen aus datenschutzrechtlicher Sicht unbedenklich?
Mitte März wurde bekannt, dass ein großes deutsches Telekommunikationsunternehmen anonymisierte Standortdaten an das Robert-Koch-Institut (RKI) weitergegeben hat. Das RKI konnte mit den Daten die Bewegungsströme der Menschen in Deutschland nachvollziehen und so die weitere Verbreitung des Virus simulieren. Die Rechtmäßigkeit dieses Vorgehens ist umstritten:
Grundsätzlich sind Standortdaten gemäß Art. 4 Nr. 1 Datenschutz-Grundverordnung (DSGVO) als personenbezogene Daten zu qualifizieren und fallen in den Anwendungsbereich der DSGVO. Die Grundsätze des Datenschutzes gelten allerdings gemäß Erwägungsgrund 26 S. 5 DSGVO nicht für anonyme Informationen. Die Krux an der Sache ist dabei, dass der Vorgang des Anonymisierens, also des Entfernens des Personenbezugs, Hand in Hand mit der Verwendung (noch) nicht anonymer Informationen geht und die strengen Regelungen der DSGVO daher doch Anwendung finden könnten. Ob das Telekommunikationsunternehmen diesen Anforderungen gerecht geworden ist, wird lebhaft diskutiert.
Auch im Rahmen des gegenwärtigen Krisenmanagements spielt die Auswertung personenbezogener Daten weiterhin eine wichtige Rolle. Derzeit sind zwei „Corona-Apps“ im Umlauf, die freiwillig genutzt werden können und wichtige Erkenntnisse liefern sollen:
1. „PEPP-PTE“
Die Bundeswehr testet eine App, welche über die Bluetooth-Funktion des Handys erfasst, zu welchen (ebenfalls im Besitz der App befindlichen) Personen über einen bestimmten Zeitraum eine enge räumliche Nähe bestand, so dass diese Personen im Fall einer nachgewiesenen Infektion anonymisiert per Push-Nachricht informiert werden können.
2. „Corona-Datenspende-App“
Bei dieser App sollen Daten von Fitnessarmbändern und Smartwatches Hinweise auf eine Infektion mit COVID-19 liefern. Die Algorithmen hinter der App sollen Symptome erkennen, die unter anderem mit einer Coronavirus-Infektion in Verbindung gebracht werden. Dazu gehören etwa ein erhöhter Ruhepuls und ein verändertes Schlaf- und Aktivitätsverhalten. Im Gegensatz zu PEPP-PTE werden die Daten hier nicht anonymisiert, sondern lediglich pseudonymisiert verarbeitet. Das bedeutet, dass die Daten über einige Umwege zumindest mittelbar einer natürlichen Person zugeordnet werden können.
Die Corona-Datenspende-App verarbeitet gleich eine ganze Reihe personenbezogener Daten – neben der Messwerte etwa auch Alter, Geschlecht, Gewicht und über die Postleitzahl auch den Standort des Nutzers. Da die Daten nicht vollständig anonymisiert, sondern nur pseudonymisiert werden, bedarf es gemäß DSGVO einer rechtlichen Grundlage für die Datenverarbeitung. Die Entwickler lassen den Nutzer daher vor Inbetriebnahme der App gem. Art. 6 Abs. 1 lit. a DSGVO in die Verarbeitung seiner Daten einwilligen.
Auch bei der App PEPP-PTE ist zu bedenken, dass die Information, mit einer infizierten Person in Kontakt gewesen zu sein, grundsätzlich ein sensibles personenbezogenes Datum darstellt. Es ist deshalb elementar, dass eine durchgehende Daten-Anonymisierung gewährleistet ist und die Daten nicht länger als erforderlich gespeichert werden.
Insgesamt hat die Bluetooth-Lösung PEPP-PTE gegenüber der Corona-Datenspende-App und der Auswertung funkzellenbasierter Standortdaten vier nennenswerte Vorteile:
- Die Daten werden anonymisiert verarbeitet;
- Die Übermittlung von Standortdaten an staatliche Stellen (das RKI ist eine obere Bundesbehörde) wird vermieden. Die Erfassung der personenbezogenen Daten erfolgt dezentral zunächst ausschließlich auf den Mobiltelefonen der Betroffenen;
- Die App ist nicht an eine Verknüpfung mit einer Telefonnummer gebunden;
- Die erfassten Bluetooth-Daten sind im Gegensatz zu Standortdaten, die auf mehreren hundert Quadratmeter großen Funkzellen basieren, auf wenige Meter genau.
Beide Apps sollen auf freiwilliger Basis nutzbar sein. Die Freiwilligkeit ist gem. Art. 7 Abs. 4 DSGVO eine der Grundvoraussetzungen für die Wirksamkeit einer Einwilligung zur Datenverarbeitung.
Wie freiwillig aber kann eine Einwilligung sein, die in einer Zeit erteilt wird, in der die allgemeine Erwartungshaltung vorherrscht, jeder Einzelne habe die eigenen Interessen zugunsten der Virusbekämpfung hinten anzustellen?
Gesundheits- und Tracking-Apps könnten einen wichtigen Teil zur Eindämmung des Virus und zur schrittweisen Rückkehr in die Normalität beitragen – es gilt aber ein Szenario zu vermeiden, in dem auf diejenigen, die mit der umfangreichen Verarbeitung Ihrer persönlichen Daten nicht einverstanden sind, vorwurfsvoll mit dem Finger gezeigt wird.
Fragen rund um das Thema Datenschutz? Das Team von SCHLARMANNvonGEYSO steht zur Verfügung!
