Der Datenschutz ist kein Hindernis für eine Corona-App

Corona_App_Blog_Artikel_Header

Die von der Bundesregierung geplante Tracing-App kann helfen, die Pandemie effektiv einzudämmen und Lockerungen an anderer Stelle zu ermöglichen. Kritiker hegen datenschutzrechtliche Bedenken. Doch dazu besteht kein Anlass.

Seit Länder wie Singapur oder Südkorea Erfolge bei der Corona-Bekämpfung auch ohne Lockdown vermeldeten, ist die Einführung einer Corona-App im Gespräch. Die Erwartungen sind riesig, trotzdem wurde der Start immer wieder verschoben. Im April stellte eine Gruppe von Wissenschaftlern aus zahlreichen EU-Ländern eine Technologie namens „Pan-European Privacy-Preserving Proximity Tracing“ (PEPP-PT) als Grundlage vor.

Nachdem sich die Bundesregierung zunächst für diese Technologie ausgesprochen hatte, steuerte sie nach lautstarkem Protest von Wissenschaftlern, Datenschützern und dem Chaos Computer Club um. Nun setzt sie auf eine dezentrale Datenspeicherung auf den Handys der Nutzer. Die beiden Dax-Konzerne SAP und Deutsche Telekom wurden beauftragt, eine Corona-App auf Basis einer Open-Source-Lösung zur Marktreife zu bringen. Die Fraunhofer-Gesellschaft und das Helmholtz-Zentrum CISPA sollen die Entwickler beraten, herausgegeben werde die App vom Robert Koch-Institut. Apple und Google wollen das Tracing gemeinsam unterstützen, in einem ersten Schritt sollen ihre Handy-Betriebssysteme entsprechende Schnittstellen bekommen, auf die Corona-Apps zugreifen können.

Wie funktioniert die Corona-App?

Die Corona-App soll ein Contact Tracing erlauben: Begegnen sich zwei Smartphones (und ihre Besitzer), tauschen die Geräte (pseudonyme) Kennungen aus. Die Endgeräte der Nutzer kommunizieren – ohne zentralen Server – über Bluetooth miteinander. Ist ein Nutzer positiv auf SARS-CoV-2 getestet worden, werden seine Kontaktpersonen darüber informiert, sodass sie entsprechende Sicherheitsmaßnahmen vornehmen – sich etwa testen oder in häusliche Quarantäne be-geben – können. So sollen Infektionsketten frühzeitig unterbrochen werden. Die App erleichtert damit die Arbeit der Gesundheitsämter, denn bis die die Kontaktpersonen von positiv getesteten Bürgern ermittelt haben, vergeht zu viel Zeit, um die Infektionsketten zu unterbrechen. In der Zwischenzeit haben diese Personen ohne ihr Wissen möglicherweise wieder andere angesteckt. Undsoweiter. Aber solange die Infektionsketten nicht wirksam unterbrochen werden. können die Alltagsbeschränkungen nicht aufgehoben werden. Die App ist also ein wichtiger Mosaikstein, das gesellschaftliche Leben wieder normalisieren zu können.

Die Vorgaben der DSGVO

Alle Daten sollen anonymisiert werden und damit keine Rückschlüsse auf einzelne Personen zulassen. Die Warnung erfolge mithilfe eines anonymen ID-Schlüssels, betonen die neuen Entwickler. Träfe dies zu, ließen sich die Daten also keiner natürlichen Person zuordnen. Dann wären datenschutzrechtliche Beschränkungen nicht zu beachten, denn das Daten-schutzrecht gilt nur für personenbezogene Daten.

Damit aber nicht nur umgangssprachlich, sondern auch datenschutzrechtlich von „Anonymisierung“ gesprochen werden kann, muss sichergestellt werden, dass die von der App erstellten Pseudonyme nicht aufgelöst werden können. „Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren“, heißt es dazu in der Datenschutzgrundverordnung (DSGVO).

Eine vollständige Anonymisierung dürfte sich angesichts der strengen Linie des Europäischen Gerichtshofs in der technischen Umsetzung allerdings als schwierig erweisen. Personenbezogene Daten sind nicht nur solche, die unmittelbar einer Person zugeordnet werden können (z. B. Name, Anschrift, Handynummer), sondern auch Informationen, die sich nur mittelbar einer Person zuordnen lassen – und zwar selbst dann, wenn eine solche Zuordnung nur mithilfe von Zusatzinformationen (z. B. auf Basis der IP-Adresse, mit der der Anschlussinhaber durch den Provider ermittelt werden kann) möglich ist.

Die Bundesregierung setzt ganz auf Freiwilligkeit. Um die Corona-Bekämpfung wirklich voranzubringen, müsse die Bevölkerung Vertrauen in die App gewinnen. Angeblich, so der all-gemeine Befund, hätten die Deutschen große Angst um ihre Daten. Vielen Politikern sind vermutlich noch die massiven Proteste gegen die Volkszählung Mitte der Achtzigerjahre präsent. Das Bundesverfassungsgericht hatte die staatlichen Maßnahmen damals zum Anlass genommen, das Recht auf informationelle Selbstbestimmung aus der Menschenwürde und dem allgemeinen Persönlichkeitsrecht abzuleiten. Damit ist das Recht eines jeden Bürgers gemeint, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. In den Medien wird daher oftmals auch behauptet, jede staatliche Datenverarbeitung sei ausschließlich aufgrund einer Einwilligung zulässig.

Es geht auch ohne Einwilligung

In den Medien wird daher oftmals auch behauptet, jede staatliche Datenverarbeitung sei aus-schließlich aufgrund einer Einwilligung zulässig. Das stimmt aber nicht. In der DSGVO gibt es – gleichberechtigt neben der Einwilligung – zahlreiche weitere Rechtsgrundlagen, mit denen die Datenverarbeitung durch die App gerechtfertigt werden kann.

Dieser Ansicht sind auch die deutschen Gemeinden. Infektionsschutz ist in Deutschland eine kommunale Angelegenheit, die Kommunen möchten mitreden. Der Deutsche Landkreistag hat vor wenigen Tagen gefordert, die Gesundheitsämter müssten alle Daten bekommen, die von der App gesammelt werden, und zwar die „Kontaktdaten der betroffenen Person sowie die jeweiligen örtlichen und zeitlichen Gegebenheiten“. Die Bekämpfung der Infektionsketten wer-de damit erheblich beschleunigt. Wer mit einem infizierten Kontakt hatte, könnte wenige Minuten später per Mausklick eine Quarantäneanordnung bekommen. Auf Freiwilligkeit zu setzen, reiche nicht aus, so der Präsident des Landkreistages Reinhard Sager aus Ostholstein. Der Datenschutz müsse berücksichtigt werden, aber „aufhalten dürfen solche Fragen die Entwicklung nicht“. Schließlich sei ein Gesundheitsamt kein Internetkonzern, für den die Daten Geschäftsmodell seien.

Die Digitalpolitiker nahezu aller Bundestagsfraktionen in Berlin mögen das für indiskutabel halten, weil sie eine übertriebene Angst vor dem öffentlichen – oder eher dem veröffentlichten – Vorwurf haben, die Bundesregierung nutze die Pandemie, um ihre Befugnisse über Gebühr auszuweiten. Rechtlich steht die DSGVO der verpflichtenden Installation und Nutzung der App aber nicht entgegen.

Das Datenschutzgrundrecht steht nicht über den anderen Grundrechten der Verfassung. Natürlich kann auch der Datenschutz in einer Krisensituation eingeschränkt werden, ein solcher Eingriff muss „lediglich“ mit den ebenfalls betroffenen Grundrechten abgewogen werden. Die bisher allenfalls abstrakt bestehenden datenschutzrechtlichen Risiken durch den Einsatz der App stehen die Einschränkungen beispielsweise des Versammlungsrechts oder der Bewegungsfreiheit gegenüber.

Auch der durch die App beabsichtigte verbesserte Gesundheitsschutz insbesondere älterer Menschen und die gesundheitlichen Folgeschäden einer Rezession, die die Bundesrepublik in diesem Ausmaß seit ihrem Bestehen noch nicht erlebt hat, können in die Waagschale gelegt werden. Der europäische Gesetzgeber hat für Einzelfälle auch bereits eine Abwägung vorgenommen: So erlaubt es Art. 9 der DSGVO, Gesundheitsdaten zu verarbeiten, sofern das „dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren“ diene“. Und nach Art. 6 der DSGVO ist eine Datenverarbeitung zulässig, wenn sie notwendig ist, um lebenswichtige Interessen zu schützen. Diesen Erwägungen scheinen sich viele Datenschützer mit ihrem fundamentalen Datenschutzverständnis zu entziehen.

Zweckbindung verhindert Weitergabe

Darüber hinaus dürfen Daten ausschließlich für den ursprünglichen Zweck verwendet werden (sogenannte Zweckbindung). Dies verhindert eine Weitergabe an die Polizei zu Strafverfolgungszwecken oder Unternehmen für eine personalisierte Werbung. Auch müssen die Daten umgehend gelöscht werden, wenn sie für die Corona-Bekämpfung nicht mehr benötigt wer-den. Beides ergibt sich ebenfalls aus der DSGVO. Und es gibt hier immer noch die Gerichte, die Missbräuche jederzeit unterbinden können.

Eine Corona-App ist – neben anderen Maßnahmen wie Social Distancing, Maskenpflicht und Hygienevorschriften – ein sinnvoller Ansatz, die Pandemie schnell und effektiv einzudämmen und Lockerungen an anderer Stelle zu ermöglichen. Das Datenschutzrecht steht diesem Potenzial nicht entgegen. Lange sollte mit der Umsetzung aber nicht gewartet werden. Sonst haben wir einen Impfstoff noch vor Einführung der Corona-App.

Die Veröffentlichung erfolgt mit freundlicher Genehmigung der Redaktion des Magazins Capital, das in Verlag Gruner + Jahr erscheint. Eine gekürzte Fassung des Beitrags wurde am 3. Mai 2020 auf capital.de veröffentlicht.

Bei allen rechtlichen Fragen rund um das Thema Corona-Virus helfen wir Ihnen gerne!

Besuchen Sie die Website: https://fps-law.de/corona-task-force/
Schreiben Sie uns: taskforce20@fps-law.de

Teilen Sie diesen Beitrag