https://www.faz.net/-irf-9ybme

Einspruch exklusiv : Gesundheits- und Datenschutz schließen sich nicht aus

  • -Aktualisiert am

Eine Corona-Tracking-App muss den Datenschutz von Anfang an mitdenken Bild: dpa

Eine App zur Kontaktnachverfolgung könnte theoretisch sogar verpflichtend ausgestaltet werden. Sie darf aber nicht mehr Daten erheben, als unbedingt nötig – und auch diese nur zweckgebunden und zeitlich begrenzt.

          5 Min.

          Weltweit ist man derzeit auf der Suche nach technischen Verfahren, um Infektionsketten zuverlässig und in kurzer Zeit nachzuverfolgen, Kontaktpersonen von Infizierten ausfindig zu machen oder zumindest zu warnen und Infektionsrisiken zu bestimmen. Einige Länder haben zudem Wärmebildkameras an Flughäfen im Einsatz, um anhand der Körpertemperatur der Reisenden mögliche Infektionen zu entdecken. Auch die Überwachung von Isolation und Ausgangsbeschränkungen mittels Mobilfunkdaten, Kreditkarteninformationen, Verkehrskameras und Apps spielt in der aktuellen Diskussion eine Rolle.

          In der Volksrepublik China, Südkorea, Singapur, Israel und anderen Staaten sind derartige Verfahren mit unterschiedlichen Ansätzen bereits Realität. Auch Staaten in Europa arbeiten unter Hochdruck an eigenen Lösungen, die mit hiesigen Werten und rechtlichen Anforderungen vereinbar sind. So hat Norwegen kürzlich per Gesetz den Weg für eine Corona-App bereitet. Österreich diskutiert gegenwärtig die verpflichtende Nutzung einer App.

          In der Bundesrepublik Deutschland haben sich Bestrebungen zur Nutzung von Positionsdaten bislang aufgrund verfassungs- und datenschutzrechtlicher Bedenken nicht durchsetzen können. Dennoch mehren sich die Stimmen in Wissenschaft und Politik, die eine Nutzung elektronischer (Standort-)daten für unverzichtbar halten.

          Verschiedene Verfahren – unterschiedliche Probleme

          Die Nutzung von Mobilfunkverkehrsdaten bringt verschiedene Probleme mit sich. Standortbestimmung mittels Funkzellenabfrage bzw. Triangulation gilt als relativ ungenau. Berichten zufolge lässt sich mit derartigen Methoden der Standort einer Person im städtischen Bereich nur auf etwa hundert Meter genau bestimmen. Im ländlichen Bereich können es auch leicht mehrere Kilometer sein. Als Kontaktperson eines Infizierten gilt nach der Definition des Robert Koch-Instituts vereinfacht dargestellt allerdings erst, wer eine gewisse Zeitspanne im engen Kontakt mit einem Infizierten verbracht hat. Der Staat würde also auch die Daten von sehr vielen unbeteiligten Personen erheben. Somit sind die oben genannten Methoden nur sehr eingeschränkt geeignet, Kontaktpersonen ausfindig zu machen.

          Genauere Ergebnisse könnte eine Standortbestimmung mittels GPS-Ortung oder ähnlicher Verfahren liefern. Eine Dauerüberwachung der Bewegungen großer Teile der Bevölkerung würde jedoch erheblich in das verfassungsrechtlich geschützte Persönlichkeitsrecht der Betroffenen eingreifen. Einzelne Datenschutz-Aufsichtsbehörden haben bereits aufgrund der europäischen Datenschutzvorgaben Bedenken gegen eine flächendeckende Erfassung von GPS-Daten angemeldet.

          Eine Corona-App als mögliche Lösung

          In den letzten Tagen ist ein Vorschlag im Aufwind, der eine App befürwortet, die vor allem Bluetooth und ggf. WLAN nutzen soll, um Kontakte nachzuvollziehen. Diese Lösung soll freiwillig und selbstbestimmt sein. In diesem Punkt scheinen sich einige Politiker und Datenschützer einig zu sein.

          Für Aufsehen hat insbesondere eine technische Plattform mit der Bezeichnung Pan-European Privacy-Preserving Proximity Tracing (kurz: „PEPP-PT“) gesorgt. PEPP-PT verspricht eine datenschutzfreundliche, paneuropäische Plattform, die sich in andere Apps einbinden lässt. Sie will ohne personenbezogene Daten und ohne Standortdaten auskommen. Hierfür sollen nach Angaben des PePP-PT e.V. i.G. Smartphone-Nutzer, die sich über einen bestimmten Zeitraum in einem definierten Abstand zueinander aufhalten, über Radiosignale wie Bluetooth eine einzigartige, anonyme ID austauschen. Die so erfassten IDs speichert das jeweilige Smartphone verschlüsselt für einen begrenzten Zeitraum. Nur nach einem positiven Test kann der infizierte App-Nutzer die IDs aus seinem Kontaktspeicher auf freiwilliger Basis an eine zentrale, nationale Stelle senden. Hierfür benötigt er einen TAN-Code, um Fehlalarm und Missbrauch vorzubeugen. Wenn Kontaktpersonen nun bei der zentralen Stelle mithilfe der App eine Statusabfrage für ihre ID starten, werden sie über das Infektionsrisiko informiert und können sich selbst testen lassen.

          Datenschutzrechtliche Anforderungen an eine Corona-App

          Unabhängig von der korrekten Funktionsweise einer Corona-App muss sie datenschutzrechtliche Vorgabe und Anforderungen an die IT- und Datensicherheit erfüllen. Den Datenschutz als „Notstandsmaßnahme“ zugunsten des Gesundheitsschutzes außer Kraft zu setzen oder die Kompetenzen von Datenschutz-Aufsichtsbehörden zu beschneiden, ist für EU-Staaten keine Lösung. Denn die EU Datenschutz-Grundverordnung (DSGVO) gilt als EU-Verordnung in allen Mitgliedsstaaten einschließlich der Bundesrepublik Deutschland. Sie hat Vorrang vor entgegenstehendem nationalem Recht. Die DSGVO regelt auch die Unabhängigkeit und Befugnisse der Datenschutz-Aufsichtsbehörden.

          Datenverarbeitungen müssen nach den Vorgaben der DSGVO insbesondere rechtmäßig, d.h. erlaubt sein. Ohne Einwilligung oder eine andere gesetzliche Erlaubnis darf ein App-Betreiber personenbezogene Daten nicht verarbeiten. Personenbezogene Daten dürfen zudem nur für klar bestimmte Zwecke verarbeitet werden. Es dürfen nicht mehr Daten als erforderlich verarbeitet werden. Daten sollten daher möglichst anonymisiert oder zumindest pseudonymisiert sein. Zudem muss der für die Datenverarbeitung Verantwortliche die App-Nutzer als betroffene Personen in transparenter Weise über die Datenverarbeitung und ihre Rechte informieren. Sobald personenbezogene Daten nicht mehr benötigt werden, sind diese zu löschen.

          Gesundheitsdaten gelten als sensible Daten. Deren Verarbeitung ist grundsätzlich untersagt und nur in eng begrenzten Ausnahmefällen und unter erhöhten Voraussetzungen rechtlich zulässig. Erfahrungsgemäß stellen deutsche Datenschutz-Aufsichtsbehörden an eine digitale Verarbeitung von Gesundheitsdaten hohe Anforderungen. Diese gilt es in Einklang zu bringen mit dem öffentlichen Interesse an einer wirkungsvollen Bekämpfung der aktuellen Pandemie-Lage.

          Eine Lösung könnte dabei eine Einwilligung des App-Nutzers in die Verarbeitung seiner Gesundheitsdaten sein. Einwilligungen sind aber nur wirksam, wenn sie freiwillig abgegeben werden. Nur wer sich also aktiv für die Preisgabe seiner Daten entscheidet und dabei eine echte Wahl hat, kann eine wirksame Einwilligung abgeben. Eine gesetzliche Pflicht zur Nutzung einer Corona-App würde dem Nutzer diese Wahlfreiheit nehmen. Wer einmal eingewilligt hat, kann seine Einwilligung zudem jederzeit widerrufen.

          Freiwilligkeit der Einwilligung bzw. der App-Nutzung an sich stellen den Betrieb einer App, die auf die Beteiligung möglichst vieler Personen ausgelegt ist, vor praktische Herausforderungen. Damit eine Corona-App einen wirksamen Beitrag zur Pandemiebekämpfung leisten kann, müsste wohl der Großteil aller Smartphone-Nutzer in der Bundesrepublik dieselbe App verwenden. Eine Pflicht zur Nutzung einer Corona-App wäre jedenfalls aus datenschutzrechtlicher Sicht nicht kategorisch ausgeschlossen. Das gilt insbesondere für Apps, die nahezu vollständig auf anonyme Daten zurückgreifen, also für die wesentlichen Funktionen keine personenbezogenen Daten sammeln und weiterleiten. Zudem sieht das Infektionsschutzgesetz die Möglichkeit vor, als Maßnahme zum Schutz vor Krankheiten anzuordnen, bestimmte Orte nur unter Bedingungen zu betreten. Eine solche Bedingung könnte gegebenenfalls auch das Mitführen eines Smartphones mit aktivierter Corona-App sein.

          Eigene gesetzliche Grundlage könnte geschaffen werden

          Die DSGVO eröffnet auch die Möglichkeit, Gesundheitsdaten zu verarbeiten, wenn dies im öffentlichen Interesse liegt. Ein Beispiel hierfür ist der Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren – also einer Pandemie. Eine solche Datenverarbeitung erfordert aber eine zusätzliche gesetzliche Grundlage, die auch spezifische Maßnahmen zum Schutz der personenbezogenen Daten vorsieht. Hier müsste der europäische oder deutsche Gesetzgeber erst noch tätig werden.

          Eine zentrale Anforderung an Corona-Apps ist die Sicherheit der Daten. Unzureichend geschützte, digitale Gesundheitsdaten können ein attraktives Ziel für Kriminelle und andere Angreifer darstellen. Die Daten müssen daher auf dem Smartphone, auf zentralen Servern und Datenbanken und bei allen Übertragungsvorgängen sicher sein. Hierbei spielen unter anderem Verfahren zur Verschlüsselung von Daten eine wichtige Rolle. Die Datensätze müssen aber nicht nur vor unberechtigtem Zugriff, sondern auch vor Verlust und gegen Veränderung geschützt sein.

          Diese Anforderungen müssen Corona-Apps erfüllen, die uns künftig dabei helfen sollen, die Pandemie einzudämmen. Gesundheits- und Datenschutz schließen sich nicht aus. App-Entwickler und Datenschützer sind jetzt aufgerufen, gemeinsam nach pragmatischen Lösungen zu suchen, die einen wertvollen Beitrag zur Pandemiebekämpfung leisten und unerwünschte datenschutzrechtliche Nebenwirkungen für potentiell Millionen Nutzer in verhältnismäßigen Grenzen halten.

          Dr. Wolf-Tassilo Böhm, CIPP/E ist Rechtsanwalt im Frankfurter Büro von Latham & Watkins. Er berät umfassend zum Datenschutz, insbesondere bei digitalen Anwendungen.

          Frankfurter Allgemeine Einspruch

          Alles was Recht ist

          Zur kompletten Ausgabe

          Jetzt mit F+ lesen

          Eine Polizeistreife am Strand von Sardinien im Mai

          Sardinien braucht Touristen : Bloß keine Amerikaner

          Sardinien ist auf den Tourismus angewiesen, doch aus Angst vor Corona bleiben viele Besucher weg. Die Branche wünscht sich eine überschaubare, zahlungskräftige Kundschaft. Aber offenbar nicht aus jedem Land.
          Eine Razzia in einer Shisha-Bar in Bochum

          Aussteigerprogramm : Raus aus dem Clan

          Nordrhein-Westfalen will den Ausstieg aus kriminellen Großfamilien erleichtern. Das Programm läuft gut an, doch die Erfahrungen lehren auch: Wer den Ausstieg wagt, wird meist brutal zurück gezwungen.
          Bundestagspräsident Wolfgang Schäuble (CDU)

          Gastbeitrag Wolfgang Schäuble : Aus eigener Stärke

          Krisenhafte Entwicklungen hat es in Europa schon lange gegeben. Jetzt sollten wir die Corona-Pandemie dazu nutzen, uns zu fragen: Was haben wir in der Vergangenheit übertrieben? Wo sollten wir maßvoller werden? Und was können wir für die Zukunft besser machen? Ein Gastbeitrag.
          Dieser Artikel wurde Ihnen von einem Abonnenten geschenkt und kann daher kostenfrei von Ihnen gelesen werden.
          Zugang zu allen F+Artikeln