datenschutzexperte.de und Deloitte Legal unterstützen seit Anfang an GesundZusammen, eine Initiative der deutschen Digitalwirtschaft, um das Corona-Virus mit digitalen Lösungen schnellstmöglich einzudämmen. Zentral hierbei ist eine COVID-Tracing App.
Wir haben uns dazu mit unserem Gründer Alexander Ingelheim und Dr. Nikolai Wessendorf, Counsel bei Deloitte Legal unterhalten, wie sie das Vorhaben aus Datenschutz-Sicht beurteilen, welche Apps sie sicher nicht verwenden würden und was ihre Auffassung zum Thema Immunitätsausweis ist.
Hallo Alexander, Hallo Nikolai, vielleicht stellt ihr Euch und Eure Rolle bei GesundZusammen kurz vor.
Alexander Ingelheim: Ich bin einer der Gründer hinter dem großartigen Team von datenschutzexperte.de. Als Teil der #GesundZusammen Initiative ist es unsere Rolle, die Entwicklungs-Projekte datenschutzrechtlich zu begleiten und zu gestalten. Hier ist vor allem die Entwicklung einer Corona-Tracing-App in den Vordergrund zu stellen. Die DSGVO hat dafür eine eigene, sehr passende Formulierung parat: „privacy by design“. Übersetzt heißt das, Datenschutz nicht als nachgelagerten, sondern integralen Bestandteil beim Aufbau neuer Produkte zu sehen. Daneben stehen auch Koordinationsaufgaben wie die Abstimmung mit Medien und Behörden wie dem Bundesdatenschutzbeauftragten im Fokus.
Nikolai Wessendorf: Ich bin Rechtsanwalt bei Deloitte Legal und arbeite jeden Tag u.a. mit vielen Start-ups, die Tag für Tag unsere Welt mit neuen digitalen Lösungen verändern. Meist spielen dabei Daten eine große Rolle, sodass der Schwerpunkt der Beratung auch immer auf einem verantwortungsvollen Umgang mit diesen Daten liegt. Alexander und ich haben deshalb auch bei der #GesundZusammen-Initiative die Aufgabe übernommen, sicherzustellen, dass nicht nur einfach die rechtlichen Vorgaben umgesetzt werden, sondern der Datenschutz so gestaltet wird, dass Transparenz, Freiwilligkeit und vollkommene Selbstbestimmung der Nutzer hinsichtlich der Verwendung ihrer Daten im Vordergrund stehen – und die App dabei bestmöglich funktioniert.
Lasst uns über die Initiative GesundZusammen reden. Wie seid Ihr darauf gekommen?
Alexander Ingelheim: Im März, als wir wohl alle gemerkt haben, dass das Leben sich sehr bald fundamental ändern wird, haben wir gemeinsam mit vielen weiteren deutschen Start Ups und Datenschutzexperten den Entschluss gefasst, dass wir etwas tun müssen. Darunter sind beispielsweise das Insurtech Wefox, der Fintech-Inkubator finleap, N26, Celonis und Ada Health. Es gibt eine unfassbar starke deutsche Gründercommunity, die bewiesen hat, dass Deutschland Technologie kann. Die nötigen Kompetenzen, nämlich Schnelligkeit, technologische Skills und Vermarktung hatten wir daher in einer atemberaubenden Geschwindigkeit zusammen. Da das Ziel der Initiative seit Anfang an war, den Bürger:innen Lösungen zu bieten, denen sie 100% vertrauen können, war das Thema Datenschutz ein fundamentaler Bestandteil der Initiative. Gut vernetzt in der Datenschutz-Community haben wir in wenigen Tagen einige weitere der renommiertesten Datenschutzexperten der Republik zusammengetrommelt. Aktuell sind wir über 10 beteiligte Datenschutz-Organisationen von Start Ups bis hin zu Kanzleien – das ist ein unfassbar starkes Signal der Community! Bei den Datenschutzexperten sind neben uns und Deloitte Legal u.a. Usercentrics, SKW Schwarz, CMS, ReedSmith und Bird & Bird dabei – das ist geballtes Know-How!
Könnt ihr uns kurz und knapp die Funktionsweise der geplanten App erklären?
Alexander Ingelheim: Grundsätzlich gab es in der letzten Zeit viel Verwirrung um die unterschiedlichen Applikationen zur Pandemie-Bekämpfung. Die Eins-App der #GesundZusammen-Initiative ist eine Tracing App – also eine Smartphone-App, die im Hintergrund läuft, und sich anonym merkt, mit wem ich länger als 15 min Kontakt hatte. Falls einer der Kontakte später angibt, infiziert zu sein, werden alle Kontakte darüber informiert. So können sie weitere Mitmenschen vor Ansteckung schützen – bspw. durch einen Test beim Arzt / Ärztin oder Quarantäne. Das erfolgt selbstverständlich mit dem höchstmöglichen Grad an Pseudonymisierung und ohne, dass ich sehe, wer infiziert ist, und wo ich diese Person ggf. getroffen habe.
Nikolai Wessendorf: Wichtig ist zu wissen, dass die App mit weitaus weniger personenbezogenen Daten auskommt als ein herkömmliches Formular, das man derzeit etwa bei einem Restaurantbesuch ausfüllen muss. Für die Nutzung der App muss man überhaupt keine Daten, wie Name, Adresse oder Telefonnummer angeben. Die App erstellt lediglich eine ID, die mit anderen Geräten ausgetauscht wird. Andere Nutzer können nicht nachvollziehen, wer hinter dieser ID steht.
datenschutzexperte.de war als Teil von #GesundZusammen eines der Start-Ups, die in diesem Zusammenhang einen offenen Brief an das Kanzleramt geschrieben haben. Wie kam es dazu und was stand darin zu lesen?
Alexander Ingelheim: Im Grunde ging es hier um eine gemeinsame Stimme der deutschen Digitalwirtschaft an die Politik, sich nicht zu sehr auf Google & Apple zu verlassen, sondern auch zu schauen, was es vor der eigenen Haustüre gibt. Weitere Daten in Händen weniger amerikanischer Konzerne sollte vermieden werden. Ehrlich gesagt war die Abstimmung mit der Bundesregierung nicht immer leicht, wobei es dafür auch einige, sehr nachvollziehbare Gründe gibt. Die Situation ist für uns alle nicht nur einmalig, sondern vor allem herausfordernd. Trotz allem hatten wir einen extrem guten, und transparenten Austausch mit den Datenschutzbehörden – vom Bundesdatenschutzbeauftragten bis hin zu Landesbehörden. Hier haben wir einen extrem kooperativen und konstruktiven Ansatz gespürt. Von wegen, Datenschutz bremst Gesundheitsschutz.
Wie geht es mit der Entwicklung der App jetzt weiter?
Alexander Ingelheim: Um die Verwirrung um die Standards (geolocation / zentral vs. dezentral, etc.) vorwegzunehmen: Die EINS-App war immer Technologie-agnostisch aufgebaut, und wir haben jede Technologie zuerst auf technologische Sinnhaftigkeit und Entwicklungsstatus geprüft. Fakt ist, dass ein Teil der Initiative mittlerweile in die App-Entwicklung der offiziellen Corona-App der Bundesrepublik (Corona-Warn-App), geführt von SAP und Telekom, aufgegangen ist. Das ist ein unglaublicher Erfolg! Trotzdem ist auch die eigene Lösung nicht aufgegeben.
Nikolai Wessendorf: Die EINS-App ist im Wesentlichen seit Anfang April fertig. Seither haben sich die Entwickler darum gekümmert, dass die App auch interoperabel ist mit anderen Apps, etwa in anderen Ländern, also auch mit diesen Apps kommunizieren kann. Nachdem sich hierfür in Europa die sog. DP-3T-Technik als maßgeblicher Standard herausgestellt hat, wurde die App jüngst auf diese Technologie angepasst. Vorbehaltlich einiger technischer Tests und der erforderlichen Anpassung in den Datenschutzdokumenten kann die App wahrscheinlich im Juni in die App-Stores gehen.
Werdet ihr eine solche Tracing-App benutzen, wenn sie auf dem Markt ist?
Alexander Ingelheim: Ja natürlich stehe ich voll hinter einer solchen Lösung. Wir in Deutschland sitzen im gleichen Boot: die Pandemie kostet Menschenleben und Arbeitsplätze. Eine gut funktionierende App kann beides eindämmen und den Weg zurück in die Normalität ebnen. Da der Einsatz einer solchen App in Deutschland im Gegensatz zu vielen autoritären Regimen zu Recht freiwillig ist, müssen wir es trotzdem schaffen, dass mehr als 60% der Bürgerinnen und Bürger eine solche Applikation einsetzen. Ich sehe es als meine Bürgerpflicht an, Teil dieser Gruppe zu sein – nur so können Mitmenschen vor den Auswirkungen der Pandemie geschützt werden.
Nikolai, das heißt, auch als Datenschützer steht ihr voll hinter dem Einsatz einer solchen App?
Nikolai Wessendorf: Ganz klar ja. Ich war schon sehr verwundert über die Diskussionen der vergangenen Wochen. Die Menschen sind bereit, sich Kochbuch-Apps auf ihr Handy zu laden, die bei Weitem mehr Daten von ihnen abgreifen als die Tracing App. Dagegen bereitet eine Corona-App, die das Ziel hat, uns zu schützen und uns eine Rückkehr in die Normalität zu ermöglichen, bei vielen Menschen solche Sorgen, obwohl sie auf maximale Transparenz, Datensparsamkeit und -sicherheit setzt. Die App will gar nicht wissen, wer sie auf dem Handy hat oder wo er oder sie waren. Für die Kontaktnachverfolgung ist lediglich eine ID erforderlich, die übrigens in regelmäßigen Abständen erneuert wird. Das reicht schon für die Information, potentiell in Kontakt mit einem Infizierten gewesen zu sein. Dagegen erfolgt die Kontaktnachverfolgung bisher noch mühsam über Briefpost, Telefonanrufe und sogenannte Containment-Scouts. Dabei müssen deutlich mehr Informationen über uns gesammelt und genutzt werden als bei der App. Schließlich frage ich mich: Fühle ich mich wohler, wenn ein Zettel mit allen meinen Daten samt Adresse, Telefonnummer und Unterschrift bei einem Restaurant oder Laden in der Schublade liegt oder eine pseudonymisierte ID auf dem Gerät anderer Nutzer:innen gespeichert wird, welche diese nicht entschlüsseln können? Ich sehe uns in der Verantwortung, hier für mehr Klarheit und Vertrauen zu sorgen.
Es gibt ja auch abseits der App verschiedene Bestrebungen, wie mit der momentanen Situation umzugehen ist. Bundesgesundheitsminister Jens Spahn will beispielsweise einen Immunitätsausweis einführen. Gedanken hierhinter führen noch weiter: In einem solchen könnte nicht nur eine überstandene Corona-Erkrankung hinterlegt sein, sondern auch andere etwaige ansteckende Krankheiten wie HIV und der Impfstatus, auf den dann auch Arbeitgeber:innen Zugriff bekommen sollten. Haltet ihr eine solche Lösung für sinnvoll?
Alexander Ingelheim: Was auf den ersten Blick nach einer smarten Lösung ausschaut, und Betrieben, Geschäften und Bürgern die Rückkehr ins normale Leben ermöglichen kann, wirft schnell zahlreiche Fragezeichen auf. Vor harten Diskussionen muss erst die Sinnhaftigkeit geklärt werden. Die WHO sagt weiterhin, dass es aktuell noch keinen Test gibt, der 100% zuverlässig widergibt, ob man infiziert ist. Zudem müssen genügende Leute getestet werden können. Wenn nur Leute frei ihrem Alltag nachgehen können, die einen solchen Test gemacht haben, wie wählt man diese Menschen aus und was ist mit dem Rest? Das sind Abwägungen, bei denen wir sorgfältig Einschränkungen unserer Privatsphäre diskutieren müssen. Wenn man nach China schaut, wo solche Applikationen laufen, sieht man wohin das führen kann. Von der Aufnahme weiterer sensibler Daten möchte ich hier gar nicht sprechen. Das geht über jegliche Verhältnismäßigkeit hinaus.
Nikolai Wessendorf: Ich stimme Alexander zu. Hier steht und fällt alles mit den Zwecken, für die ein solcher Immunitätsausweis zum Einsatz kommt. Hierfür ließen sich gesetzliche Leitplanken definieren. Dabei müssen meiner Meinung nach ethische Überlegungen im Vordergrund stehen und der Zusammenhalt in unserer Gesellschaft im Blick behalten werden. Viele Wirtschaftstreibende verbinden mit dem Immunitätsausweis gewisse Hoffnungen. Aus ihrer Sicht könnten etwa wieder Konzerte stattfinden, wenn der Zutritt nur immunisierten Gästen zustünde. Klar ist aber, dass ein solcher Ausweis nicht zu Ausgrenzung oder etwa dazu führen darf, dass ich keinen Job mehr bekomme, weil ich nicht immun bin und in meiner Verzweiflung noch versuche, mich durch eine Ansteckung zu immunisieren. Das wäre furchtbar. Die Entscheidung von Jens Spahn, die Frage dem Ethikrat vorzulegen, finde ich daher nachvollziehbar. Es ist also eher eine ethische als juristische Frage. Und am Ende eine politische.
Bei den Äußerungen in diesem Interview handelt es sich um die persönlichen Meinungen von Alexander und Nikolai.
Das Interview führte Kathrin Strauß
Artikel veröffentlicht am: 03. Juni 2020
