China, Südkorea und Israel setzten als erste Länder Handystandortdaten im Kampf gegen Corona ein. Da besonders die Volksrepublik China ohnehin ein intensives Tracking ihrer Bevölkerung betreibt, geht die Nutzung von Handydaten so weit, dass man öffentliche Verkehrsmittel nur noch nutzen kann, wenn die Tracking-App bestätigt, dass keine Infizierung mit Corona bekannt ist. Außerdem existieren Apps, die per Live-Karte zeigen, wo sich der/die nächste registrierte Infizierte befindet. Die Nutzung der Apps ist in diesen Ländern außerdem verpflichtend. Fern sind solche Gedanken aber auch nicht von uns: Auch in Österreich wird ein verpflichtender Einsatz diskutiert. Dieses Szenario dürfte nicht nur bei Datenschützern ein mulmiges Gefühl hervorrufen. Müssen wir mit so etwas auch in Deutschland rechnen?
Wie sollen Standortdaten für die Bekämpfung von Corona in Deutschland und Europa eingesetzt werden?
Die Deutsche Telekom liefert bereits jetzt anonymisierte Standortdaten von Millionen deutschen Kunden an das Robert Koch-Institut. Nun hat der Konzern zusammen mit sieben weiteren europäischen Mobilfunkanbietern entschieden, diese Daten auch an die EU weiterzugeben. Vorausgesetzt die Daten wurden im Sinne der DSGVO erfolgreich anonymisiert, handelt es sich hier nicht mehr um personenbezogene Daten, wodurch die DSGVO keine weitere Anwendung findet und somit auch keine Betroffenenrechte gefährdet sind. Mit diesen anonymisierten Daten ließen sich aber nur Aussagen darüber treffen, ob und wie gut sich die Menschen an die Ausgangssperren halten. Eine Identifizierung von Einzelpersonen ist dank Anonymisierung nicht mehr möglich, was datenschutzrechtlich natürlich zu begrüßen ist. Allerdings wird sich der Mehrwert für die Eindämmung von Corona wahrscheinlich in Grenzen halten, auch weil Handyortung, die nicht über GPS oder WLAN, sondern Funkmaste stattgefunden hat (was der Fall bei den Daten der Telekommunikationsunternehmen ist), nicht sehr genau ist.
Darum wird von verschiedenen Instituten und App-Entwicklern noch eine weitere Strategie verfolgt, um Handydaten nutzbar zu machen. Z.B. das Robert-Koch-Institut hat mit einem etwa 25 Personen starken Team eine App entwickelt und auf den Markt gebracht. Diese App funktioniert nur mit einer Smartwatch /Fitnessarmband und arbeitet mit einer Art Heatmap, um zu sehen, ob Personen, die ihre Daten freigeben, Corona-Symptome haben. D.h. es werden hier weder Standortdaten erhoben noch wird ein direktes Ziel der Eindämmung verfolgt. Ziel ist lediglich die grobe Beobachtung der Bevölkerung und dadurch der Corona-Verbreitung. Im Moment muss mit jedem, der positiv auf Corona getestet wurde, ein Interview geführt werden, durch das alle Personen, mit denen der/die Erkrankte in den letzten zwei Wochen Kontakt hatte, ermittelt und kontaktiert werden sollen. Das ist zeit- und personalintensiv und natürlich auch fehleranfällig.
Die Idee hinter den meisten Apps, die im Kampf gegen Covid-19 helfen sollen, ist, dass Nutzer:innen sich freiwillig bei der App registrieren und der Datenverarbeitung nach Erhalt von genaueren Informationen zustimmen. Ab dann werden alle Begegnungen mit anderen Bluetooth-Netzen gespeichert. Wenn die andere Person auch bei der App registriert ist, könnte sie direkt kontaktiert werden, ansonsten ließe sich wenigstens die Zahl der Menschen, mit dem der/die Infizierte in Kontakt kam, genau ermitteln. Das Ziel ist, dass auch Menschen, die bisher keine Symptome zeigen, so schnell wie möglich erfahren, wenn sie mit einem:r Infizierten Kontakt hatten und sich daraufhin in strenge Quarantäne begeben, um so die Ansteckungskette zu stoppen. Damit dieses System Erfolg haben kann, müssten laut der Aussage von Virologen allerdings 30-60% der Bevölkerung mitmachen und eine solche App nutzen. Außerdem besitzt auch das Tracking über Bluetooth nur eine eingeschränkte Genauigkeit. Besonders in Großstädten leben Menschen so nah aufeinander, dass die Gefahr besteht, dass die App Begegnungen zählen würde, die gar keine waren.
Welche datenschutzrechtlichen Probleme könnten dadurch entstehen?
Auch wenn es in den Medien häufig so dargestellt wird, als verhindere der Datenschutz technischen Fortschritt im Allgemeinen und die derzeitigen Bemühungen im Speziellen, trifft dies auf keinen Fall zu, solange datenschutzrechtliche Aspekte von Anfang an mitgedacht werden. Der Bundesdatenschutzbeauftragte Ulrich Kelber bewertet den Einsatz von Handyortung sowie die Nutzung der Standortdaten zwar als einen massiven Eingriff in die Privatsphäre, allerdings ist es für ihn nicht ausgeschlossen, solche Maßnahmen angesichts der aktuellen Krise zu rechtfertigen: „Etwa, wenn die Datenerhebung auf Basis einer datenschutzkonformen Einwilligung der betroffenen Personen erfolgt“.
Auch die Regierung der Schweiz spricht sich für die Verwendung von Handydaten aus und argumentiert, dass das Epidemie-Gesetz aktuell über dem Datenschutzgesetz stehen müsse. Die als in der Schweiz initiierte und aus einem breiten Verbund aus Stiftungen, Universitäten, Forschungseinheiten und Unternehmen bestehende Non-Profit Organisation PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing) hat Anfang April seine vielversprechende technische Grundlage für Apps vorgestellt. Über 130 Wissenschaftler:innen, IT-Experten/-innen, Virologen/-innen und Datenschützer:innen aus acht europäischen Ländern arbeiten hier an einem anonymen und DSGVO-konformen digitalen Ansatz zur länderübergreifenden Kontaktverfolgung. Die PEPP-PT- Technologie soll ohne die Verarbeitung von persönlichen Daten, Standortdaten und MAC-Adressen der Nutzer:innen funktionieren. Der Bundesdatenschutzbeauftragte Ulrich Kelber und das Bundesamt für Sicherheit für Informationstechnik waren hier eng eingebunden. Diese Technologie soll verschiedenen Apps als gemeinsame Grundlage dienen, damit diese Apps miteinander kompatibel sind. So kann schneller eine kritische Maße an Daten von Usern erreicht werden.
Auch der ehemalige Bundesdatenschutzbeauftragte Peter Schaar befürwortet den digitalen Ansatz im Kampf gegen Corona, solange die Nutzung einer App auf Freiwilligkeit beruhe und die Eingriffe in die Freiheitsrechte zeitlich begrenzt wären. Eine große Sorge von Datenschützer:innen ist nämlich, was nach der Krise mit den Daten und der Infrastruktur für die Datenerfassung passiert. In den USA wurde z.B. 9/11 als Rechtfertigung für permanente Einschnitte in die Privatsphäre der Bürger:innen genutzt. Der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski mahnte in einem Brief an die Kommission außerdem, klar zu definieren, welche Daten angefordert werden. Wenn Standortdaten durch eine informierte Einwilligung DSGVO-konform verarbeitet werden sollen, gehört es auch zur Informationspflicht des Verantwortlichen Antworten auf folgende Fragen zu geben:
Was ist der Zweck der Datenverarbeitung?
Welche Daten werden erfasst?
Wer hat Zugriff auf die Daten?
Wo und wie lange werden sie gespeichert?
Dies sind jedoch Fragen, auf die es z.T. noch keine Antworten geben dürfte. Niemand weiß z.B. wie lang die Corona-Krise noch andauern wird. Mit Sicherheit sind Forschungseinrichtungen und Gesundheitsbehörden an den Daten interessiert, doch wer noch an deren Verarbeitung beteiligt sein könnte, ist unklar. Die Europäische Datenschutzbehörde rät deshalb dazu, die Bevölkerung möglichst bald transparent über die Verwendung von Handydaten aufzuklären und eine Zugriffsberechtigung auf Experten zu beschränken.
Auch datenschutzexperte.de ist als Founding Partner bei der Erarbeitung einer digitalen Lösung dabei. Zusammen mit der Initiative GesundZusammen wirken wir an einer App mit, die das Gesundheitssystem entlasten und die Menschen aktiv schützen soll. Um dabei die Einhaltung des Datenschutzes garantieren zu können, stehen wir GesundZusammen mit unserem Expertenwissen in puncto Datenschutz zur Seite und wollen einen Beitrag leisten, effektive Maßnahmen gegen Covid-19 zu schaffen, die unsere Rechte auf Privatsphäre und Freiheit nicht beschneiden. Mehr über GesundZusammen erfahren Sie hier.
Autorinnen: Maike Weiss und Kathrin Strauß
Artikel veröffentlicht am: 06. April 2020