https://www.faz.net/-guw-9y8rq

Einspruch exklusiv : Die Corona-App und der Datenschutz

  • -Aktualisiert am

Wie stark muss eine Corona-App den Datenschutz berücksichtigen? Bild: dpa

Sollte eine „Corona-App“ freiwillig oder verpflichtend eingeführt werden – oder überhaupt nicht? Welche Ausnahmen lässt die DSGVO zur Pandemiebekämpfung zu? Ein Blick auf die Rechtslage.

          7 Min.

          Von der „Corona-App“ versprechen sich viele effiziente Hilfe im Kampf gegen die Pandemie. Die Debatte um eine solche Software hat Gestalt angenommen. Unter den verschiedenen denkbaren Modellen scheint sich eine Variante durchzusetzen, die über die Bluetooth-Verbindungen der Handys misst, ob sich Personen derart nahegekommen sind, dass die Gefahr einer Infektion besteht. Das Heinrich-Hertz-Institut hat technische Details dieses Ansatzes öffentlich gemacht. Die Verfolgung der Kontakte sei „anonym und die Privatsphäre schützend“ und befinde sich „in voller Übereinstimmung mit der DSGVO“. Das liege insbesondere an der Freiwilligkeit der Nutzung.

          Die meisten Stimmen halten in der aktuellen Debatte die Freiwilligkeit für verfassungsrechtlich erforderlich. Bundesjustizministerin Christine Lambrecht will aufgrund der Eingriffsintensität einer Tracking-App für die Privatsphäre des Einzelnen eine freiwillige Lösung.  Eine gesetzliche Verpflichtung zur Installation der App lehnt sie – zumindest vorerst – ab und baut auf die Akzeptanz in der Bevölkerung. Ebenso haben sich am Wochenende Kanzleramtsminister Braun und der sächsische Ministerpräsident Kretschmer geäußert. Für letzteren wird die „Corona-App“ bald zum Alltag gehören. Die Akzeptanz begründe sich aus der Freiwilligkeit.

          Kann der Staat es sich leisten, auf Freiwilligkeit zu setzen?

          Der Informatiker und Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber und der Chef der Datenschutzaufsicht in Rheinland-Pfalz, der Verfassungsjurist Dieter Kugelmann, halten eine freiwillige und datenschutzkonforme App für in Ordnung. Für Marit Hansen, Landesbeauftragte für Datenschutz in Schleswig-Holstein sind staatlich angeordnete „elektronische Fußfesseln“ ein Tabu. Datenschutz gelte auch in der Krise und der Zweck des Infektionsschutzes heilige keinen Zwang als Mittel. Der vzbv-Chef Klaus Müller verlangt: Freiwilligkeit, Eignung, Erforderlichkeit, Verhältnismäßigkeit und zeitliche Befristung. Solange es um Freiwilligkeit geht, findet die „Corona-App“ also breite Zustimmung.

          F+ Newsletter

          Erhalten Sie jeden Freitag um 12 Uhr eine Empfehlung unserer Redaktion mit den besten Artikeln, die Sie exklusiv mit Ihrem Zugang zu F+ FAZ.NET komplett lesen können.

          Bitte beachten Sie unsere Datenschutzhinweise.

          Doch es gibt auch andere Stimmen. Für den Juristen Gregor Thüsing kommt es auf die Freiwilligkeit der Nutzung einer Tracking-App für die DSGVO-konforme Nutzung nicht an. Das Recht auf Leben in Zeiten von Corona löse Schutzpflichten des Staates aus, und die DSGVO erlaube eine Datenverarbeitung zum Schutze lebenswichtiger Interessen. Die gesetzliche Erlaubnis zur Überwachung von Epidemien sei im Falle der Corona-Pandemie nach geltendem Recht gegeben. Diese Position lässt sich mit Blick auf den Erlaubnistatbestand des Art. 9 Abs. 2 d) DSGVO vertreten, zumal Erwägungsgrund 54 der DSGVO jedenfalls grundsätzlich aus Gründen der öffentlichen Gesundheit gestattet, sensible Daten auch ohne Einwilligung zu verarbeiten. Dies müsste ein innerstaatliches Gesetz aber noch anordnen und dabei auf Fragen der Verhältnismäßigkeit und Sicherheit der Daten Antworten geben.

          Aber würde eine freiwillige App am Ende reichen? Wird eine kritische Masse von Freiwilligen erreicht, die die Kurve abflachen lässt, und kann der Staat es sich leisten, mit der Freiwilligkeit zu experimentieren, um dann wenig später doch eine Anordnung zu treffen, weil die Kurve nicht sinkt? Erst dann, wenn man sieht, dass die Freiwilligen nicht reichen, sollte man die Frage nach einer gesetzlich verpflichtenden Einführung der App stellen. Die Pflicht, ein Gerät mit der App mit sich zu führen, wirft aber unabhängig von datenschutzrechtlichen Fragen der Eignung auch Vollzugsprobleme auf. Was ist, wenn man das Handy zuhause lassen möchte oder gar keines besitzt? Derzeit wird man sagen können: Wenn und solange sich erweist, dass die Infektionsrate bei freiwilliger Nutzung – gegebenenfalls auch Dank flankierender Maßnahmen - sinkt, dann wäre eine gesetzliche Anordnung ein zu scharfes Mittel und deshalb unzulässig.

          Welche Mittel der Staat von Ausgangssperren über Kontaktverbote, faktische Berufsverbote für manche Berufsgruppen, Mundschutzpflichten in der Öffentlichkeit, das Angebot einer freiwilligen Corona-App bis hin zu einer Pflicht zur Installation einer App oder bei Verfügbarkeit eines Impfstoffes gar einer Impfpflicht auch immer erwägt oder anordnen kann, ist letztlich immer eine Frage der generellen Einschränkbarkeit von Freiheiten in der Pandemie. Ist eine „Corona-App“ datenschutzkonform, dann ist sie unabhängig von der Frage nach freiwilliger Installation oder gesetzlicher Anordnung und losgelöst von ihrem digitalen Charakter grundsätzlich ebenso einzuordnen wie jede körperliche Maßnahme.

          Auch pseudonyme Daten unterfallen der DSGVO

          Der entscheidende Punkt für die Einführung einer App ist also deren Datenschutzkonformität. Derzeit werden Ansätze mit anonymen Daten diskutiert. Laut Heinrich-Hertz-Institut sollen selbst bei länderübergreifender Nutzung des dortigen Ansatzes „keine persönlichen Daten, kein Standort, keine MAC-Adresse der Nutzerin oder des Nutzers gespeichert oder übertragen“ werden. Man komme ohne Erfassung von Funkzellen-, GPS- oder WLAN-Daten aus. Die Idee scheint zu sein, jedem Nutzer der App eine Identifikationsnummer zuzuweisen. Mittels Bluetooth soll diese Nummer an andere Smartphones übermittelt werden, auf denen die App installiert ist. Die Bluetooth-Übertragung erfasst nur Geräte in unmittelbarer Nähe eines anderen Nutzers, der Bluetooth aktiviert hat. GPS-Daten lassen eine derart exakte Bestimmung räumlich naher Personen nicht zu.

          Das klingt recht ähnlich wie ein Lösungsansatz der Juristen Matthias Bäcker und Ulf Buermeyer und des Wirtschaftswissenschaftlers Johannes Abeler. Sie wollen ebenfalls die Zuteilung einer anonymen ID an jeden Nutzer der App per Bluetooth ermöglichen. Ein Rückschluss auf die Identität der Nutzer der App sei nicht möglich. Sprachlich ist der Begriff der anonymen Identifikation ein Widerspruch in sich, da Anonymität dem Wortsinn nach eine Identifikation ausschließt. So sieht es auch das europäische Datenschutzrecht (ErwG 26 S. 6). Die Konsequenz ist bedeutsam, weil anonyme Daten dem Datenschutzrecht gar nicht unterstehen. Unter der Prämisse, dass nur sog. TempIDs als sog. hash-Werte auf dem Endgerät der Corona-App-Nutzer gespeichert werden, also als nicht zurückrechenbare und nicht zufällig erratbare digitale Quersumme der TempID, läge nach Maßgabe der DSGVO aber immer noch ein Pseudonym vor (Art. 4 Nr. 5 DSGVO mit ErwG 26 S. 5) und kein anonymes Datum. Denn zumindest auf der Corona-App muss ja – um einen Kontakt zu einer als Corona-positiv ermittelten Person zu verifizieren – ein Abgleich der archivierten verschlüsselten TempIDs, erfolgen; allerdings ohne Offenlegung der Identität der infizierten Kontaktperson(en).

          Der Prozess dürfte wie folgt ablaufen: Um den Warnzweck zu erreichen, muss das Endgerät, auf dem die Corona-App läuft, neben der eigenen aktuellen TempID und sämtlichen bisherigen TempIDs auch die TempIDs sämtlicher Corona-App-Nutzer verschlüsselt speichern, zu denen für einen vordefinierten Mindestzeitraum von x Minuten der Mindestabstand von 1,5-2 Metern unterschritten wurde und deswegen Infektionsgefahr bestand. Wird bei einem Nutzer der App eine Infektion festgestellt und dem RKI gemeldet, sendet dieses nur eine Liste sämtlicher TempIDs, die der Infizierte bislang hatte, mit Einwilligung des Infizierten an alle Nutzer der App. Die Apps gleichen ihre verschlüsselte TempID-Datenbank mit der Liste der zugesandten verschlüsselten TempIDs ab, ohne dass bekannt wird, um wen es geht.

          Besteht, wie hier, die Möglichkeit zur de-Anonymisierung, geht der Europäische Gerichtshof davon aus, dass pseudonymisierte, also personenbeziehbare und deshalb nicht anonyme Daten vorliegen, die in den Anwendungsbereich des Datenschutzrechts fallen. Auch wenn die Frage in Einzelfällen hoch umstritten ist, ist klar, dass allein die Möglichkeit der Personenbeziehbarkeit europarechtlich explizit ausreicht, um den Datenschutz zu aktivieren. Die rechtlichen Anforderungen für den Personenbezug müssten also bei den diskutierten Apps auch deshalb gewahrt bleiben, weil die Anonymität möglicherweise nur eine vermeintliche ist. Im Ergebnis dürfte es also um pseudonyme Daten gehen und die DSGVO gelten, weil personenbeziehbare Daten automatisiert mit dem Zweck der Offenlegung gegenüber dem RKI verarbeitet werden. Wegen der Beteiligung fremder Dritter, scheitert die Anwendbarkeit der DSGVO auch nicht an der Haushaltsausnahme, die ausschließlich familiäre oder persönliche Datenverarbeitung von der DSGVO ausnimmt.

          Die datenschutzrechtliche Rechtmäßigkeit hängt aber nicht am Begriff der Anonymisierung. Auch pseudonyme Daten, die man nachträglich einer Person zuordnen kann, können die Voraussetzungen der DSGVO erfüllen. Das hier diskutierte Modell kommt nahe an eine Anonymisierung heran, da es die Risiken der Offenlegung der Identität betroffener Personen, die sich hinter einer TempID verbergen, minimiert. Nur, wer die App installiert hat, kann erkennen, dass er zu den Personen gehört, die ausweislich einer Push-Token-Nachricht des RKI Kontakt zu einem Infizierten hatten. Etwas anderes gilt etwa, wenn ein Angreifer sich die gespeicherten verschlüsselten TempIDs (Hashwerte) von Personen in seinem Umfeld etwa per Hack beschafft hat und Personen zuordnet. Abgesehen von der freiwilligen Offenlegung der Daten im Falle einer Infektion sieht aber im Normalfall niemand, auch nicht das RKI oder der TK-Provider, welche TempID ein Nutzer in der Vergangenheit hatte und zu welchen anderen Personen ein Corona-App-Nutzer Kontakt hatte.

          Datensicherheit muss mitgedacht werden

          Da die datenschutzrechtlichen Anforderungen hier also – anders als bei vollständig anonymen Daten – grundsätzlich gelten, müssen Datenschutz und Datensicherheit in die App eingebaut werden. Die Qualität der App und ihre Datenschutzkonformität hängt bei der gerade stattfindenden Entwicklung zum einen von der Qualität des Algorithmus ab, mit dem die TempIDs verschlüsselt werden und zum anderen von den Schutzmaßnahmen, die ergriffen werden, um die auf den Endgeräten der Corona-App-Nutzer gespeicherten, verschlüsselten TempIDs gegen den unbefugten Zugriff Dritter zu schützen. Hierbei sind auch weitere, etwa organisatorische Punkte, wichtig. Dazu zählt die Speicherdauer der Daten. Ein zentraler Datentreuhänder, etwa das Robert-Koch-Institut, soll nach der Idee von Abeler/Bäcker/Buermeyer die gefährdeten Personen mit Push-Nachricht informieren, ohne gleichzeitig Kenntnis ihrer Identität zu erhalten. Für den Nutzer der App ist es wichtig zu wissen, dass die Daten mit Zweckerreichung, also nach der Pandemie, gelöscht oder vollständig anonymisiert werden.

          Der Rechtsstaat kann und muss das zusichern und gewährleisten. Die Institution, bei der die Daten zusammenfließen, trägt eine erhebliche Verantwortung und braucht feste, auch gesetzlich vorgegebene Regeln für den Umgang mit den Infektionsdaten, weil ihr eine Vielzahl von Gesundheitsdaten anvertraut sind.  Man muss sich bei allem Verständnis für die Eile auch jetzt Gedanken über die treuhänderische „Verwaltung“ und Organisation der Daten machen. Dass Dritte sich in deren Systeme hacken, wie es derzeit bei Videokonferenzen geschieht, oder andere Sicherheitslücken bestehen, kann man sich nicht leisten. Die insbesondere von der Datenethikkommission der Bundessregierung ins Gespräch gebrachte Institution des Datentreuhänders spielt in der Digitalstrategie der Bundesregierung zu Recht eine wichtige Rolle.

          Berücksichtigt man bei der Programmierung der App all das, dann steht es gut um den Datenschutz und die „Corona-App“. Der Staat kann dann guten Gewissens darüber entscheiden, wie sie zum Einsatz kommen soll. Wenn die App gut gemacht wird, kann sie schonender für die Freiheit sein, als körperlich wirkende Maßnahmen. Ein harmonisches Miteinander von Datenschutz, körperlicher Unversehrtheit und Fortbewegungsfreiheit im Kampf gegen die Pandemie wäre ein schöner Erfolg in schweren Zeiten.

          Professor Dr. Rolf Schwartmann ist Leiter der Kölner Forschungsstelle für Medienrecht an der Technischen Hochschule Köln, Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. und Mitglied der Datenethikkommission der Bundesregierung.

          Robin Mühlenbeck ist wissenschaftlicher Mitarbeiter an der Kölner Forschungsstelle für Medienrecht an der Technischen Hochschule Köln und Mitglied der Fokusgruppe Datenschutz der Plattform Sicherheit, Schutz und Vertrauen für Gesellschaft und Wirtschaft für das BMI im Rahmen des Digital Gipfels der Bundesregierung unter der Leitung von Rolf Schwartmann.

          Die Fokusgruppe hat sich intensiv den im Beitrag diskutierten Pseudonymisierungsverfahren befasst. Materialien unter: https://www.de.digital/DIGITAL/Redaktion/DE/Textsammlung/digital-gipfel-plattform-sicherheit-schutz-vertrauen-fg3.html

          Frankfurter Allgemeine Einspruch

          Alles was Recht ist

          Zur kompletten Ausgabe

          Jetzt mit F+ lesen

          Ein Mund-Nasen-Schutz liegt auf dem Asphalt einer Einkaufsstraße.

          Corona-Pandemie : Neue Corona-Kennwerte braucht das Land

          Steigende Neuinfektionen versetzen Deutschland in Corona-Panik. Doch auch andere Parameter als allein die Zahl der Infizierten sind jetzt entscheidend für die Einschätzung der Corona-Pandemie in diesem Winter.
          Am Rande der Demonstration der Initiative „Querdenken“ in Konstanz am 4. Oktober.

          Corona-Politik : Die Aerosole der Freiheitsapostel

          Corona fordert den Gemeinsinn heraus. Das funktioniert erstaunlich gut. Gefährdet wird dieser Erfolg aber durch einen falschen Begriff von Freiheit.
          Rama X. am Freitag in Bangkok

          Thailands Phantom : Das verborgene Leben von König Rama X. in Bayern

          Der thailändische König hält sich gern und oft in Bayern auf. In Garmisch steigt er im Grand Hotel ab, am Starnberger See besitzt er eine Villa. Gelegentlich wird er beim Fahrradfahren beobachtet. Doch so richtig nahe kommt man Rama X. trotzdem nicht.
          Canan Topçu und Krsto Lazarević

          Streitgespräch : Gibt es Sprechverbote in Deutschland?

          Sie stimmt nicht mit den Menschen überein, die Deutschland einen allgegenwärtigen Rassismus attestieren. Für ihn dagegen ist Rassismus Alltag. Ein Streitgespräch über Identitätspolitik zwischen Canan Topçu und Krsto Lazarević.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.
          Dieser Artikel wurde Ihnen von einem Abonnenten geschenkt und kann daher kostenfrei von Ihnen gelesen werden.
          Zugang zu allen F+Artikeln