Corona-Pandemie und Datenschutz
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
2/2020
43. Jahrgang
ISSN 0137-7767
14,00 Euro
Deutsche Vereinigung für Datenschutz e.V.
Corona-Pandemie und Datenschutz
www.datenschutzverein.de
■ Mit digitaler Technik gegen die Pandemie ■ Tracing-Apps datenschutz-
freundlich gestalten ■ Videokonferenz-Software ■ Corona-Nachrichten ■
Handydaten zur Eindämmung des Coronavirus? ■ Pressemitteilungen ■ E-
Payment in Taiwan ■ Nachrichten ■ Rechtsprechung ■ Buchbesprechungen ■
Inhalt
Thilo Weichert Pressemitteilung der Gesellschaft für Freiheitsrechte
Mit digitaler Technik gegen die Pandemie 80 (GFF) vom 27.12.2019
Studie: Handyauswertung bei Geflüchteten ist
Kirsten Bock, Christian Ricardo Kühne, teuer, unzuverlässig und gefährlich 108
Rainer Mühlhoff, Měto R. Ost, Jörg Pohle,
Rainer Rehak Presserklärung des Gen-ethischen Netzwerks und des
Tracing-Apps datenschutzfreundlich gestalten 92 Netzwerks Datenschutzexpertise
Gefährlicher Unsinn bei mymuesli:
Heinz Alenfelder genetische Konsumberatung 109
Videokonferenz-Software und der Datenschutz 96
Shu-Ru Wu
Corona-Nachrichten 98 E-Payment in Taiwan 110
Auszug aus der „Bayerischen Staatszeitung“ Datenschutznachrichten
Nr. 14 v. 03.04.2020, S. 2
Sollen zur Eindämmung des Coronavirus Deutschland 114
Handydaten genutzt werden dürfen? 105
Ausland 122
Digitale Gesellschaft / Digitalcourage /
Deutsche Vereinigung für Datenschutz / Technik-Nachrichten 128
Netzwerk Datenschutzexpertise –
Pressemitteilung vom 4.3.2020 Rechtsprechung 130
Europäische Menschenrechts- und Digitalrechts Buchbesprechungen 131
organisationen warnen vor illegalen Online-
Werbemethoden durch Apps 106
Schreiben an die deutschen
Datenschutzaufsichtsbehörden
Die Industrie für digitale Werbung verletzt die
Privatsphäre der Verbraucher 107
Termine
Samstag, 01. August 2020
Redaktionsschluss DANA 3/2020
Montag, 14. September 2020
Sommerakademie des Unabhängigen Landeszentrums für
Datenschutz Schleswig-Holstein
Kiel
Freitag, 18. September 2020
BigBrotherAwards
Stadttheater Bielefeld
Foto: Pixabay..com
DANA • Datenschutz Nachrichten 2/2020
78
DANA
Editorial
Datenschutz Nachrichten
ISSN 0137-7767
43. Jahrgang, Heft 2
Herausgeber
Deutsche Vereinigung für
Datenschutz e.V. (DVD)
DVD-Geschäftsstelle:
Reuterstraße 157, 53113 Bonn
Tel. 0228-222498
IBAN: DE94 3705 0198 0019 0021 87
Sparkasse KölnBonn
E-Mail: dvd@datenschutzverein.de
www.datenschutzverein.de
Redaktion (ViSdP) Langfristig war geplant, dass sich das vorliegende Heft 2 der Datenschutz Nachrich-
Dr. Thilo Weichert ten mit elektronischen Zahlungssystemen und deren Relevanz für den Schutz von
c/o Deutsche Vereinigung für
Datenschutz e.V. (DVD)
Privatheit und Grundrechten befasst. Doch ist die Aktualität der Corona-Pandemie
Reuterstraße 157, 53113 Bonn dazwischen gekommen: Die Diskussion über die Frage, was zur Eindämmung des Vi-
dvd@datenschutzverein.de rus nötig ist, insbesondere wenn dadurch Grundrechte betroffen sind, macht vor
Den Inhalt namentlich gekenn- dem Grundrecht auf Datenschutz nicht halt.
zeichneter Artikel verantworten die
jeweiligen Autorinnen und Autoren. Corona-Apps, Datenspende-Apps, fragwürdige Datenübermittlungen und mehr haben
Layout und Satz mit dem Virus plötzlich das Thema Datenschutz in den gesellschaftlichen Vordergrund
Frans Jozef Valenta, 53119 Bonn gepusht. Dabei führt die Globalität der Gesundheitsbedrohung fast zwangsläufig dazu,
valenta@datenschutzverein.de
das Thema weltweit in den Blick zu nehmen. Hierbei sticht der Systemgegensatz zwi-
Druck schen Europa und China hervor, der unter dem Brennglas der Coronabekämpfung be-
Onlineprinters GmbH sonders gut zu erkennen ist, und der zugleich klarmacht, welche globale Aufgabe dem
Rudolf-Diesel-Straße 10
europäischen Datenschutz zukommt. Verblüffend und erfreulich ist, dass sich – zu-
91413 Neustadt a. d. Aisch
www.diedruckerei.de mindest zum Zeitpunkt des Redaktionsschlusses dieses Heftes (Ende April) – vernunft-
Tel. +49 (0) 91 61 / 6 20 98 00 und grundrechtsorientierte Politik in weiten Teilen Europas durchzusetzen scheint.
Fax +49 (0) 91 61 / 66 29 20
Bezugspreis Es bleiben viele weitere Themen auf der Tagesordnung. Diese haben teilweise eng
Einzelheft 14 Euro. Jahresabonnement mit der Corona-Pandemie zu tun, etwa wenn sich wegen körperlicher Kontaktver-
48 Euro (incl. Porto) für vier bote digitale Videokontaktangebote geradezu aufzwängen. Corona ist nicht alles,
Hefte im Kalenderjahr. Für DVD-Mit- weshalb insbesondere im Service- und Nachrichtenteil weitere aktuelle Fragestel-
glieder ist der Bezug kostenlos. Das Jah- lungen – und auch dies weltweit – behandelt werden. Einen Blick in die Welt der
resabonnement kann zum 31. Dezember
eines Jahres mit einer Kündigungsfrist Zahlungssysteme gibt Frau Prof. Wu mit ihrer Darstellung des E-Payment in Taiwan.
von sechs Wochen gekündigt werden. Die
Kündigung ist schriftlich an die DVD- Die DANA-Redaktion
Geschäftsstelle in Bonn zu richten.
Copyright
Die Urheber- und Vervielfältigungsrechte Autorinnen und Autoren dieser Ausgabe:
liegen bei den Autoren.
Der Nachdruck ist nach Genehmigung Heinz Alenfelder
durch die Redaktion bei Zusendung von Vorstandsmitglied in der DVD,
zwei Belegexemplaren nicht nur gestat- alenfelder@datenschutzverein.de, Köln
tet, sondern durchaus erwünscht, wenn
auf die DANA als Quelle hingewiesen Kirsten Bock, Christian Ricardo Kühne, Rainer Mühlhoff, Měto R. Ost,
wird. Jörg Pohle, Rainer Rehak
WissenschaftlerInnen und DatenschützerInnen im Forum InformatikerInnen für
Leserbriefe Frieden und gesellschaftliche Verantwortung (FIfF) e.V., dsfa-corona@fiff.de
Leserbriefe sind erwünscht. Deren
Publikation sowie eventuelle Kürzungen Dr. Thilo Weichert
bleiben vorbehalten. Vorstandsmitglied in der DVD, Netzwerk Datenschutzexpertise,
Abbildungen, Fotos weichert@datenschutzverein.de, Kiel
Frans Jozef Valenta, Prof. Shu-Ru Wu
Pixabay, iStock Department of Law, Chinese Culture University, Taipei
rechtswissenschaft@hotmail.com, https://law.pccu.edu.tw/bin/home.php
DANA • Datenschutz Nachrichten 2/2020
79
Corona-Pandemie und Datenschutz
Thilo Weichert
Mit digitaler Technik gegen die Pandemie
– mit oder ohne Bürgerrechte? –
1 Einleitung Im Folgenden werden bisherige prak- ten die Entwickler, ob die App erkennt,
tische Erfahrungen sowie Planungen wenn sich andere Nutzer in der Nähe be-
Im Zeitalter des Smartphones ist die beschrieben (Stand 01.05.2020). Dabei finden.1
Ansicht weit verbreitet, mit Hilfe die- werden Informationen aus den Medi-
ses digitalen Wunderdings ließe sich ir- en dargestellt, ohne dass immer durch 3 Von China …
gendwie fast jedes Problem lösen. Ange- Vergleich mit weiteren Berichten ge-
sichts der aktuellen Corona-Pandemie prüft werden konnte, ob die Angaben Diese Entwicklung wurde durch das
scheint es so naheliegend, das Smart- zutreffen. Dann wird diskutiert, welche Coronavirus (SARS-CoV-2) überholt bzw.
phone gegen diese globale Gesund- Anforderungen an einen App-Einsatz beschleunigt. Das Virus breitet sich seit
heitsgefahr zum Einsatz zu bringen. In- gegen die Verbreitung des Virus durch Ende 2019, von Wuhan in China ausge-
formationstechnik kann nicht das Virus unsere freiheitliche und demokratische hend, weltweit aus. In asiatischen Län-
vertreiben. Viele hoffen aber, mit ihr das Rechtsordnung zu stellen sind, also wie dern kamen technische Überwachungs-
vom Coronavirus (SARS-CoV-2) ausge- bürgerrechtskonformer digitaler Ge- instrumente zum Einsatz, die zuvor zur
hende Risiko für die Menschen zu be- sundheitsschutz möglich ist. Bekämpfung von Gesundheitsgefahren
schränken und dessen Ausbreitung ein- nicht denkbar waren:
zuschränken. Dass dies nicht abwegig 2 Mit Ebolapp gegen Ebola In der Volksrepublik China war man
ist, wurde in China oder in Südkorea ge- noch nie zimperlich bei der Überwa-
zeigt, wo digitale Überwachung einen Die Idee mit Smartphone-Apps ge- chung der Bevölkerung. Im Februar
Beitrag dazu leistet, die Ausbreitung gen die Ausbreitung von ansteckenden 2020 startete die dortige Regierung die
des Virus einzuschränken. Damit steht Krankheiten vorzugehen, hatte Micha- Plattform „Close Contact Detector“, mit
die Frage im Raum: Was bringt was? Und el Kölsch, Honorarkonsul der Republik der sich ermitteln lässt, wie nahe man
inwieweit ist der Einsatz solcher Instru- Liberia in Leipzig, während der verhee- einem Infizierten gekommen ist. Die
mente mit Grundrechten, Demokratie renden Ebola-Epidemie in Westafrika App wertet dafür die Datenbanken öf-
und Rechtsstaatlichkeit und insbeson- 2014, bei der mehr als 11.000 Menschen fentlicher Verkehrsmittel aus. In China
dere mit dem Datenschutz in Einklang zu starben. In Kooperation mit dem Verein müssen sich nicht nur Flug-, sondern
bringen? Freunde Liberias organisierte er, dass auch Zug- und in manchen Städten so-
Die Eindämmung der Infektionen mit Ärzte aus Deutschland in die Region ge- gar U-Bahnreisende mit vollem Namen
dem neuartigen Coronavirus, der die schickt wurden. Seine Überlegung war: und Ausweisnummer für ausgewiese-
Lungenkrankheit Covid-19 auslöst, ist „Da in Afrika fast jeder ein Mobiltele- ne Sitzplätze registrieren. Die App gibt
eine hinsichtlich ihrer Größenordnung fon hat, könnte man die Technik doch Auskunft darüber, ob man drei Reihen
und Globalität bisher unbekannte Her- vielleicht dazu verwenden, möglichst vor oder hinter einem Infizierten saß.
ausforderung für demokratische Gesell- frühzeitig Menschen zu warnen, die mit Zudem erstellen die drei großen staat-
schaften. Diese müssen der Pandemie Infizierten in Kontakt gekommen sind.“ lichen Mobilfunkanbieter über ihre
und ihren Folgen entgegentreten und Er glaubte, man könne die „Ebolapp“, so Kunden anhand der Funkzellenlokali-
zugleich ihre grundlegenden Werte be- wurde das Projekt genannt, so schnell sierung Bewegungsprofile für jeweils
wahren. Die Forderung, Datenschutz entwickeln, dass man sie noch während 14 Tage. Chinesische Arbeitgeber fragen
und Bürgerrechte müssten hinter der des Ausbruchs in Westafrika einsetzen diese Profile ab, bevor sie ihre Mitarbei-
Infektionsbekämpfung zurückstehen, könnte: „Doch dann wurde mir bewusst, ter aufs Firmengelände lassen.
findet viele Befürworter, als ob Gesund- dass das ein Riesenprojekt ist.“ Es fan- In Hangzhou, Sitz des Onlinehändlers
heitsschutz und Datenschutz zueinan- den sich Unterstützer, die das Projekt Alibaba, installierte das Unternehmen
der in einem Widerspruch stehen wür- mit Spenden finanzierten. Program- eine App namens „Gesundheitscode“,
den. Weltweit erfolgen derzeit massive miert hat die Software eine Leipziger bei der die Informationen der regist-
Beschränkungen der Freizügigkeit, die Firma, auch mit viel ehrenamtlichem rierten Kunden mit den Datenbanken
mit Maßnahmen der Datenerfassung Einsatz. Nach fünf Jahren war die App der Gesundheitsbehörden abgeglichen
und Überwachung einhergehen. Diese fertig. Ein erster Testlauf an einer Leip- werden. Über einen Farbcode wird dann
können zur Totalkontrolle und zur um- ziger Klinik war offenbar erfolgreich. die errechnete „Gefährdung“ angezeigt:
fassenden Zusammenführung unter- Mit Hilfe von Pflegekräften und Ärzten, Grün bedeutet freie Bewegung, bei Gelb
schiedlichster Datenbestände führen. die die App installierten, untersuch- wird eine 7-, bei Rot eine 14-tägige Qua-
DANA • Datenschutz Nachrichten 2/2020
80
Corona-Pandemie und Datenschutz
rantäne empfohlen. Die App teilt ihre Bricht die Verbindung ab oder verlässt Land.5 Nachdem am 19.02.2020 die Zahl
Daten nicht nur mit den Gesundheits- ein Patient seine Wohnung, wird die Ge- der Infizierten im südkoreanischen Ort
behörden, sondern auch mit der Polizei. sundheitsbehörde alarmiert. Die Men- Daegu rapide angestiegen war, wo kurz
Ende März 2020 war das Verfahren von schenrechtlerin Maya Wang meinte, der zuvor ein großes Sektentreffen stattge-
Alibaba schon in mehr als 200 Städten Ausbruch des Coronavirus erweise sich funden hatte, wurden ausnahmslos die
der Volksrepublik eingeführt, auch in als „ein Meilenstein in der Geschichte ca. 10.000 örtlichen Sektenmitglieder
der Provinz Hubei mit der Provinzhaupt- der Massenüberwachung“. getestet. Am Ende wurden alle bekann-
stadt Wuhan, dem Ausgangsort der Pan- In Taiwan wurde früh damit begon- ten 240.000 Sektenanhänger im Land
demie. Alibaba-Konkurrent Tencent ent- nen, „elektronische Zäune“ um Men- getestet und isoliert, ebenso wie alle
wickelte und verbreitet eine ähnliche schen in Quarantäne zu ziehen. Loggt Menschen, die enger mit ihnen zu tun
App. „Anti-Virus Code“ teilt zusätzlich sich ein Mobiltelefon eines Infizierten hatten. Kontaktpersonen werden auch
zum Farbcode mit, wie weit man sich ge- in eine Funkzelle ein, die nicht seinen mithilfe von Location-Tracking von
rade von einem bestätigten Coronafall Wohnort abdeckt, so wird die Polizei Smartphones und Kreditkartennutzun-
aufhält. Gerät man in eine Polizeikon- alarmiert. gen erkannt. Dafür arbeitet die Regie-
trolle, checkt in einem Hotel ein oder Seit 20.03.2020 wird im autoritär rung mit 3 Telekommunikations- und 22
betritt einen Supermarkt, so wird man regierten Singapur mit Unterstützung Kreditkartenunternehmen zusammen.
aufgefordert, die App vorzuzeigen. des Gesundheitsministeriums durch Bis zu 15.000 Tests werden täglich in
Ohne positives Rating ist die Aufnah- die Singapur Government Technology dem Land zur frühestmöglichen Erken-
me von Arbeit oder die Nutzung von Agency die freiwillige Smartphone-App nung durchgeführt. Mehr als 50 süd-
Bahn oder Flugzeug nicht möglich. „TraceTogether“ verbreitet, mit der die koreanische Sonderbeamte sind hierfür
Während einer Pressekonferenz Ende Nutzenden über einen zentralen Ser- abgestellt. Über die Apps werden die
Februar wurde behördlich mitgeteilt, ver identifiziert werden. Ein hierüber Menschen zudem informiert, wie hoch
dass mehr als 50 Mio. Menschen in der vergebenes Pseudonym wird an die die Ansteckungswahrscheinlichkeit ist.
Provinz Zhejiang den Dienst von Ali- App gesendet, das per Bluetooth mit in Dies ermöglichte es, die weitere Aus-
baba auf ihren Smartphones installiert der Nähe befindlichen Geräten ausge- breitung der Infektion zu bremsen. Bis
hätten, ca. 90% der Bevölkerung die- tauscht wird. Diese Daten werden an ei- zum 16.04.2020 waren nach offiziellen
ser Provinz. Von den Codes seien 98,2% nen Zentralserver gesendet. Im Falle der Angaben in dem Land 229 Coronatote zu
grün gewesen. Dies bedeutet, dass fast Infektion werden die Kontakte ermittelt beklagen.6
eine Millionen Menschen gelbe oder und die entsprechenden Personen in- Im 1,3 Milliarden-Staat Indien werden
rote Codes zugeteilt bekommen hatten. formiert, um diese in Quarantäne zu am Flughafen Einreisende gesundheit-
Täglich werden in China ca. 50.000 schicken. In dem Stadtstaat sollen Ende lich überprüft und 14 Tage in häusliche
Tests durchgeführt. Seit Ende März April nur 20% der Menschen die App he- Quarantäne gesteckt. Die Adressen von
durften nichtchinesische Staatsbür- runtergeladen haben. Die Quarantäne Tausenden unter Quarantäne stehenden
ger nicht mehr einreisen. Chinesische wird dort durch Überwachung der infi- Personen werden im Bundesstaat Ban-
Staatsbürger müssen 14 Tage vor ihrer zierten Personen anhand der GPS-Daten galore online veröffentlicht. Die isolier-
Einreise per Flugzeug jeden Tag ihren ihrer Smartphones durchgesetzt; die In- ten Personen werden aufgefordert, eine
Gesundheitsstatus über eine App mel- fizierten müssen mithilfe von spontan App herunterzuladen, über die teilweise
den. Bei der Einreise selbst müssen sie abgefragten Fotos ihrer Wohnumgebung stündlich ein Selfie abgefordert wird.
sich testen lassen und danach 14 Tage in nachweisen, dass sie sich tatsächlich in Anhand der GPS-Koordinaten in der
eine überwachte Quarantäne begeben.2 ihrer Wohnung aufhalten.4 Bilddatei kann von den Beamten der
Die Weltgesundheitsorganisation Die Regierung von Südkorea will sich Standort festgestellt werden. Die indi-
(World Health Organization – WHO) lob- nach der Masseninfektion mit MERS sche Regierung hat landesweit die App
te den chinesischen Digitaleinsatz zur (Middle East Respiratory Syndrom) fünf Aarogya Setu („Gesundheitsbrücke“)
Coronabekämpfung ausdrücklich. In Jahre zuvor nicht erneut dem Vorwurf veröffentlicht, die Nutzer warnen soll,
Sachen Informationstechnik (IT) sind aussetzen, nicht vor Infizierten gewarnt wenn sie mit Infizierten in Kontakt ge-
viele chinesische Produkte Exportschla- zu haben. Die Behörden versenden Text- kommen sind. Sie müssen ihre Handy-
ger, unabhängig davon, wie grund- nachrichten in das Wohnviertel der Per- nummer, ihr Geschlecht, ihren Namen,
rechtskonform sie sind. Es ist nahelie- sonen, die positiv getestet worden sind, Alter und Beruf angeben. Die App ver-
gend, dass das chinesische Exempel für mit Angaben zu Alter, Geschlecht, Natio- sendet regelmäßig GPS-Daten.7
andere Länder zum Vorbild genommen nalität und dem Bewegungsprofil der In- Das in Singapur praktizierte Verfah-
wurde.3 fizierten. Die Namen der Infizierten wer- ren war Vorbild für das demokratische
den nicht angezeigt, doch sind diese im Australien, wo auf freiwilliger Grund-
4 … über das weitere Asien, Australien … Einzelfall leicht z.B. von Nachbarn her- lage die „COVIDSafe“-App zum Einsatz
auszubekommen. In dem Land wurden kommt. Zum Freischalten der App sind
In Hongkong wurden seit Anfang Fe- millionenfach GPS-basierte Warnapps von jedem Nutzenden Name (auch Pseu-
bruar Quarantänepflichtige gezwungen, heruntergeladen. „Corona 100 Meter“, donym möglich), Telefonnummer, Al-
mit einem Smartphone verbundene „Corona Doctor“ und „Corona Map“ ge- tersgruppe und Postleitzahl anzugeben.
elektronische Armbänder zu tragen. hören zu den meistgeladenen Apps im Die Polizei erhält keinen Zugriff auf
DANA • Datenschutz Nachrichten 2/2020
81
Corona-Pandemie und Datenschutz
die Daten. GPS-Standortdaten werden oder befunden haben. Verteidigungs- Das verständigt über die App die Kon-
nicht erfasst. Nach 21 Tagen werden die minister Naftali Bennett erwägte ein taktpersonen der vergangenen 3 Kalen-
an einen zentralen Server gemeldeten System, das die Bewegung Infizierter dertage. Hierbei wird u.a. auch die Mo-
Bluetooth-Kontaktdaten wieder ge- in Echtzeit überwacht – in Kooperati- bilfunknummer der Infizierten erfasst.
löscht. Am ersten Tag der Bereitstellung on mit umstrittenen Dienstleistern für Entwicklung und Betrieb liegen in den
hatten schon 2 Mio. Menschen die App Spionagesoftware wie der Fa. NSO. Hier- Händen von Accenture; die Dienste
auf ihre Geräte geladen. Die australische gegen legte das Justizministerium sein werden in der Microsoft Azure Cloud ge-
Gesundheitsbehörde hofft auf eine Nut- Veto ein. hostet und für die Benachrichtigungen
zung durch gut die Hälfte der 25 Mio. wird Googles Firebase Cloud Messaging
Einwohnerinnen und Einwohner.8 6 … nach Europa verwendet. Ende April 2020 war die App
über 400.000 Mal installiert worden. Der
5 … und Israel … Die Berichte aus Asien führten in Quellcode ist veröffentlicht. Die App,
Europa dazu, dass auch hier digitale die Ende April noch nicht ohne Kom-
In Israel hat die von Benjamin Netan- Coronabekämpfung auf die Tagesord- munikation über einen zentralen Server
jahu geführte Übergangsregierung per nung kam.10 In Tschechien wurde an auskam, sollte nicht unter das gemein-
Notstandsverordnung die Bürgerüber- der Technischen Hochschule Prag eine same europäische Dach von PEPP-PT
wachung durch Smartphonedaten in Anwendung „Freman contra Covid“ ent- gebracht werden, sondern als besonders
die Hände des Inlandsgeheimdienstes wickelt, die „nichts vorschreibt, nichts datenschutzfreundliche Lösung zum
Schin Bet gelegt und hierbei zunächst verbietet, niemanden verfolgt und kei- Vorzeigemodell werden (s.u. 13).12
nicht einmal das Parlament eingebun- ne persönlichen Daten sammelt“. Das Am 08.04.2020 beschloss die EU-
den. Im Rahmen der Coronakrise ent- Programm will Menschenansammlun- Kommission eine Empfehlung zur
hüllten die Journalisten Ronen Berg- gen verhindern, indem es Prognosen Etablierung eines Verfahrens mit den
man und Ido Shvartztuch, dass Schin aufgrund von Bewegungsdaten trifft Mitgliedstaaten zur Entwicklung eines
Bet eine Datenbank („das Werkzeug“) und z.B. dann rät, später einzukaufen. gemeinsamen europäischen Ansatzes
besitzt, die Informationen zu jedem Die auf pseudonymer Basis arbei- („Toolbox“) zum Einsatz digitaler Mit-
Bürger enthält und schon vor Corona tende App „Bleib gesund“ aus der Slo- tel, die es den Bürgern ermöglicht,
Bewegungs- und Gesprächsdaten der Is- wakei warnt auf freiwilliger Grundlage zielgerichtet Ansteckungskontakte zu
raelis sammelte. Nun löste jeder positive Handynutzende, wenn sich ein regist- vermeiden.13 Am 15.04.2020 veröffent-
Coronatest eine Kette von Datenanfra- rierter Infizierter auf 50 Meter nähert. lichte die EU-Kommission und der EU-
gen aus, über die erkundet werden soll- Zugleich kann die App überwachen, ob Rat einen Fahrplan für die Aufhebung
te, mit wem die betroffene Person wo wie sich Infizierte an die Quarantäne hal- des Maßnahmen zur Eingrenzung von
lange in den vergangenen zwei Wochen ten. Die Regierung ließ sich mit einem Covid-19, der u.a. die Schaffung eines
in Kontakt gewesen ist. Dazu wurden 14 „Lex Korona“ das Tracken aller Mobilte- Rahmens für „contact tracing and war-
Sensoren des Smartphones ausgewertet lefone gestatten. ning“ mit Mobilgeräten vorsieht. Diese
einschließlich GPS-Standort, Bewe- In Polen ist seit dem 19.03.2020 die Maßnahme soll auf freiwilligen Einwilli-
gung, Beschleunigung, Lichtverhält- App „Kwarantanna Domowa“ (Haus- gungen basieren und die europäischen
nisse, WLAN- und Bluetooth-Kontakte. quarantäne) im Einsatz, mit der die Po- Datenschutznormen respektieren.14
Cybersecurity-Spezialist Isaac Ben- lizei die Personen in Quarantäne digital Am 21.04.2020 beschloss der Europäi-
Israel erläuterte: „Man kann richtig in über eine GPS-Lokalisierung kontrol- sche Datenschutzausschuss (EDSA, Euro-
die Inhalte hinein, in die sozialen Netz- liert. Davon waren Anfang April bereits pean Data Protection Board, edpd) Emp-
werke desjenigen und in seine E-Mails.“ 300.000 Menschen betroffen. Wer die fehlungen für den Einsatz von Stand-
Es wurde nicht offengelegt, wie die er- App auf sein Gerät lädt, erhält zu wech- ortdaten und Kontaktverfolgungsins-
langten Daten mit bereits vorhandenen selnden Zeiten eine SMS. Danach muss trumenten im Zusammenhang mit der
Daten abgeglichen werden und ob bzw. der Nutzer innerhalb von 20 Minuten ein Covid-19-Krankheit. Der EDSA fordert
wann die Daten gelöscht werden. Foto aufnehmen und abschicken. Die freiwillige Lösungen, lehnt die Verarbei-
Bürgerrechtsorganisationen riefen App ist seit dem 01.04.2020 verpflich- tung von Standortdaten ab und formu-
den Obersten Gerichtshof an, der zwar tend. In der Praxis litt die App immer liert Anforderungen zur Zweckbindung,
die Einberufung des Parlaments, der wieder an Funktionsstörungen. Die Da- Datensparsamkeit und Transparenz, legt
Knesset verlangte, aber die Überwa- ten sollen sechs Jahre lang gespeichert sich aber nicht auf eine dezentrale oder
chung vorerst bis zum 30.04. genehmig- werden.11 zentrale technische Lösung fest.15
te.9 Das Gericht forderte dann mit einer Am 25.03. 2020 wurde in Österreich
Entscheidung vom 26.04.2020 eine ge- vom dortigen Roten Kreuz (ÖRK) die 7 Die Diskussion in Deutschland
setzliche Grundlage und die Einstellung App „Stopp Corona“ veröffentlicht. Die-
der Überwachung. se tauscht eindeutige Nutzerkennungen In Deutschland startete die offizielle
1,6 der 6,5 Mio. Smartphonebesitzer zwischen einander nahen Smartphones Suche nach digitalen Hilfsmitteln gegen
in Israel nutzen die App „HaMagen“ (das aus, welche die Kontakte speichern. Corona Ende Februar, als ein Projekt-
Schutzschild), die anzeigt, ob sie sich in Im Falle einer Infektion sollen sich die team um Gernot Beutel von der Medi-
der Nähe eines Verdachtsfalls befinden Nutzer über die App beim ÖRK melden. zinischen Hochschule Hannover, Jens
DANA • Datenschutz Nachrichten 2/2020
82
Corona-Pandemie und Datenschutz
Wille von Ubilabs und Maxim Gleser von bilfunkanbieter A1 in Österreich stellte gespeichert. Die Werbung für diesen
der IPGloves ihr „Datenspende- und Auf- der dortigen Regierung ähnliche Daten- Dienst ging unter anderem an eine Rei-
klärungsprojekt GeoHealth“ dem Bun- sätze zur Verfügung. Mitte April stellte he von Kunden eines Unternehmens
desgesundheitsministerium und dem auch Apple aus seinem Kartendienst für Arbeitsschutz in Marl, wo vermutet
RKI präsentierte. Bisher wird mit Hilfe Apple Maps Mobilitätsdaten öffentlich wird, dass ein ehemaliger Mitarbeiter,
von Interviews der Infizierten versucht, frei im CSV-Form (comma-separated der nun für den Anbieter der App Wer-
die Wege von deren Infektion nachzu- values) für Analysen zum Herunterla- bung betreibt, eine Kundendatei mit
vollziehen.16 Die Idee von GeoHealth den bereit, um Anhaltspunkte zum Er- zahlreichen Privatadressen „mitgenom-
bestand darin, auf GPS-Basis erstellte folg von Ausgangsbeschränkungen im men“ hatte.22
Bewegungsdaten auszuwerten und mit Kampf gegen die Ausbreitung des Virus Die Fa. BS Software Development be-
Farbcode das Infektionsrisiko anzuzei- SARS-CoV-2 zu liefern. Auf dieser Basis wirbt eine App, mit der die Mitteilung
gen. Mit der GeoHealth-App sollten die errechnete Apple z.B. im April, dass der von Corona-Testergebnissen beschleu-
Nutzenden „anonymisiert“ ermitteln Autoverkehr seit dem Lockdown in Ber- nigt und zugleich das Telefonnetz ent-
können, ob sie sich mit Infizierten über lin um 54% gesunken war und in Mün- lastet werden soll. Die Telekom stellt
einen bestimmten Zeitraum gemein- chen um 64%.19 dafür eine Healthcare Cloud zur Ver-
sam an einem Ort, etwa während einer fügung, in der die Testergebnisse der
Veranstaltung oder bei einer Fahrt in 8 Gescheiterter Gesetzgebungsversuch Patienten gespeichert werden. User
öffentlichen Verkehrsmitteln aufgehal- scannen den QR-Code eines Etiketts,
ten haben. Die Infizierten sollten ihre In einer Formulierungshilfe für einen das sie beim Test vom Arzt erhalten,
digitalen Bewegungsprofile per „Daten- Gesetzentwurf „zum Schutz der Bevölke- über die App ein. Sobald das Testergeb-
spende“ zur Verfügung stellen.17 rung bei einer epidemischen Lage von nis vorliegt, erhalten sie eine Push-Be-
Die Deutsche Telekom unterstützt das nationaler Tragweite“ vom 20.03.2020 nachrichtigung, um dann das Ergebnis
RKI seit dem 17.03.2020 mit Handyda- schlug das Bundesgesundheitsminis- auf ihrem Smartphone abzurufen. Eine
ten. Hierfür machte das Unternehmen terium (BMG) mit einer umfassenden Überprüfung des Angebots zeigte, dass
der Behörde zunächst 5 Gigabyte seiner Änderung des Infektionsschutzgeset- die App das Zertifikat des https-Servers
Kundendaten in anonymisierter Form zes (IfSG), die weitgehend auch später nicht überprüfte, das zudem seit Jahren
zugänglich. Eine RKI-Sprecherin er- Gesetz wurde20, im § 5 Abs. 10 IfSG vor, abgelaufen war, und dass eine veraltete
klärte: „Damit lassen sich Bewegungs- dass das RKI „zum Zweck der Nachver- Verschlüsselungstechnik zum Einsatz
ströme modellieren – bundesweit, auf folgung von Kontaktpersonen techni- kam. BS Software Development musste
Bundesland-Ebene sowie bis auf die sche Mittel einsetzen (kann), um Kon- seinen Server herunterfahren und kün-
Kreis-Gemeinde-Ebene heruntergebro- taktpersonen von erkrankten Personen digte an, eine aktualisierte Version der
chen. Ein Tracking einzelner Menschen zu ermitteln“. Hierfür sollte das RKI App zu veröffentlichen.23
ist damit aber nicht möglich.“ Von Me- von Mobilfunkbetreibern die Standort- Um unnötige Arztbesuche zu ver-
dien und Bürgerrechtlern wurde hin- daten und die erforderlichen Daten der meiden, bei denen sich Patienten im
terfragt, ob die gelieferten Daten wirk- möglichen Kontaktpersonen abfragen schlimmsten Fall anstecken könnten,
lich aggregiert und anonym sind. Eine können. Der Zweck sollte es sein, die hat die Berliner Charité mit Unterstüt-
Telekom-Sprecherin gab bekannt, dass „ermittelten Kontaktpersonen von dem zung durch das Bundesgesundheits-
die Ortung in Städten auf etwa 500 Me- Verdacht einer Erkrankung (zu) infor- ministerium (BMG) und das RKI einen
ter genau sei, auf dem Land noch unge- mieren“. Das Bundesjustizministerium Online-Corona-Test veröffentlicht, über
nauer. Diese Daten werden seit 2015 zur meldete verfassungsrechtliche Beden- den durch die Beantwortung von 26
Berechnung von Verkehrsströmen Ver- ken an, ebendies taten auch Daten- Fragen die Nutzenden mehr Klarheit er-
kehrsunternehmen oder Kommunen, schützer. Sie wiesen zudem darauf hin, halten sollen, ob eine Coronainfektion
also regional begrenzt, zur Verfügung dass die im Entwurf vorgesehene Funk- vorliegt, wozu dann weitere Handlungs-
gestellt. Zur Datenweitergabe an das zellenortung viel zu grob ist, um mög- empfehlungen gegeben werden.24
RKI hieß es: „So umfangreiche Daten liche Ansteckungen zu identifizieren.21
haben wir noch nie jemandem weiterge- 10 Die Politik
geben.“ Der Bundesbeauftragte für den 9 Überall Apps
Datenschutz und die Informationsfrei- Inzwischen wurde bekannt, dass eine
heit (BfDI), Ulrich Kelber erklärte, die Derweil versuchen Unternehmen mit Basissoftware für Corona-Apps unter
Weitergabe der Telekom-Mobilfunkda- Apps und der Corona-Angst Geschäfte dem sperrigen Namen „Pan-European
ten an das RKI sei „datenschutzrecht- machen. So wurden Arbeitgeber von Privacy-Preserving Proximity Tracing“,
lich unbedenklich“. Bei dem Verfahren einem dubiosen Firmenkonsortium kurz PEPP-PT, in der Fertigstellung ist.
würden mindestens 30 Datensätze zu- aufgefordert, von ihren Beschäftigten Diese Entwicklung wird von der Bundes-
sammengefasst, um eine nachträgliche Gesundheitsdaten zu sammeln „nur regierung sowie von den Landesregie-
Repersonalisierung zu erschweren.18 € 16,90 pro Woche und Mitarbeiter“. rungen unterstützt, die am 15.04.2020
Der Telekom folgten weitere Mobil- Die „covid-19 check“-App, sei angeblich Folgendes beschlossen:
funkanbieter, die dem RKI aggregierte „100% DSGVO-konform“ und die Daten Zur Unterstützung der schnellen und
Mobilitätsdaten weitergaben. Der Mo- würden „nach ISO 27001 zertifiziert“ möglichst vollständigen Nachverfolgung
DANA • Datenschutz Nachrichten 2/2020
83
Corona-Pandemie und Datenschutz
von Kontakten ist der Einsatz von digita- die eine digitale Abfrage der Sympto- tragte (BfDI) und das Bundesamt für
lem „contact tracing“ eine zentral wich- me ermögliche – die Anwendung solle Sicherheit in der Informationstechnik
tige Maßnahme. Bund und Länder unter- für Nutzer freiwillig sein, für die Ämter (BSI) eingebunden. Es bestand Kon-
stützen hierbei das Architekturkonzept hingegen verpflichtend. Die für Digital- sens unter allen Beteiligten, dass es
des „Pan-European Privacy-Preserving politik zuständigen Jens Zimmermann keine App-Nutzungspflicht geben soll.
Proximity Tracing“, weil es einen gesamt- (SPD-Bundestagsfraktion) und Maria Die Wissenschaftler hoffen, dass 60%
europäischen Ansatz verfolgt, die Einhal- Klein-Schmeink (Grüne) äußerten um- der Bevölkerung eine solche App nut-
tung der europäischen und deutschen gehend die Befürchtung, die neue App zen. Dies wären bundesweit 50 Mio.
Datenschutzregeln vorsieht und lediglich solle auch zur „Kontrolle der Quarantä- Menschen. Da vor allem ältere, beson-
epidemiologisch relevante Kontakte der ne-Maßnahmen“ genutzt werden, wo- ders gefährdete Menschen oft kein
letzten drei Wochen anonymisiert auf durch zugleich der Erfolg der Warn-App Smartphone nutzen, sollten Bluetooth-
dem Handy des Benutzers ohne die Er- aufs Spiel gesetzt werde.25 Armbänder oder andere tragbare Geräte
fassung des Bewegungsprofils speichert. verteilt werden. In einer Umfrage der
Darüber hinaus soll der Einsatz der App 11 PEPP-PT Universität Oxford haben etwa 70% der
auf Freiwilligkeit basieren. Sobald auf Deutschen signalisiert, dass sie sich
Grundlage der bereits vorgestellten Ba- Hinter PEPP-PT steht die EU-Kommis- eine Nutzung einer solchen Tracing-App
sissoftware eine breit einsetzbare Anwen- sion, die versucht, sich unter den EU- vorstellen können.
dungssoftware (App) vorliegt, wird es Mitgliedern auf gemeinsame Standards Das PEPP-PT-Projekt mit seinem tech-
darauf ankommen, dass breite Teile der zu verständigen (s.o. 6). Dadurch soll es nischen Gerüst und dem vorgesehenen
Bevölkerung diese Möglichkeit nutzen, auch möglich sein, grenzüberschreitend Zertifizierungsrahmen war zwar kein
um zügig zu erfahren, dass sie Kontakt zu Corona-Warnungen zu kommunizieren. offizielles EU-Vorhaben. Doch will die
einer infizierten Person hatten, damit sie Zu Beginn entwickelten 130 europäische EU-Kommission für eine einheitliche
schnell darauf reagieren können. Bund Wissenschaftler und IT-Experten, koor- Referenzimplementierung eine Art poli-
und Länder werden dazu aufrufen. Fer- diniert von Chris Boos, IT-Unternehmer tischen und rechtlichen Überbau schaf-
ner werden alle diejenigen, die unabhän- der Fa. Aarago, eine Basissoftware für fen. Zugleich will sie Apps verhindern,
gig davon an Tracing-Apps arbeiten, ein- Corona-Apps. Die Plattform ist ein Soft- die gegen das europäische Datenschutz-
dringlich gebeten, das zugrundeliegende ware-Gerüst, auf dem App-Entwickler recht verstoßen. Über die Zusammenar-
Architekturkonzept zu nutzen, damit alle aufsetzen können. Der Quellcode sollte beit mit dem Europäischen Zentrum für
Angebote kompatibel sind. Ein Flicken- unter der Open-Source-Lizenz der Mozil- Prävention und die Kontrolle von Krank-
teppich von nicht zusammenwirkenden la Foundation veröffentlicht werden. An heiten (ECDC) soll zudem ein Datenaus-
Systemen würde den Erfolg der Maßnah- der deutschen Entwicklung beteiligten tausch mit öffentlichen Stellen in ag-
me zunichte machen. sich das RKI und das Heinrich-Hertz- gregierter Form sichergestellt werden.27
Nach Auseinandersetzungen mit der Institut. Maßgeblich beteiligt war auch Am 15.04.2020 veröffentlichte das
Architektur von PEPP-PT zogen sich die Ecole Polytechnique Fédérale de eHealthNetwork, das Netzwerk für elek-
aus dem Projekt viele Partner, auch aus Lausanne (EPFL). Das Konzept basiert tronische Gesundheitsdienste der EU-
Deutschland zurück (s.u. 13). In dieser auf Bluetooth-Low-Energy-Funktechnik Mitgliedstaaten, ein 44-seitiges Papier,
ohnehin schwierigen Situation brachte (BLE). Die Nutzung soll besonders ener- das die Anforderungen für Bluetooth-
Bundesgesundheitsminister Jens Spahn giesparend sein und nur einige Meter basierte Tracing-Dienste klarstellt und
am 20.04.2020 auf einer Pressekonfe- weit reichen. Jedes Handy, das die Soft- präzisiert: Freiwilligkeit, staatliche
renz, bei der es insbesondere um eine ware lädt, erhält eine zufällige Identi- Anerkennung, Datenschutzkonformität
bessere Ausstattung der Gesundheits- fikations-(ID-)Nummer, die sich alle 30 und zeitliche Begrenzung.28 Das Kon-
ämter ging, eine „Quarantäne-App“ ins Minuten ändert. Andere Geräte, die sich zept baut auf Empfehlungen des Europä-
Gespräch, mit der die Einhaltung der für einen bestimmten Zeitpunkt in der ischen Datenschutzausschusses (EDSA/
Quarantäne überwacht werden kön- kritischen Reichweite von weniger als epdb) von 14.04.2020 auf, die darlegen,
ne. Auf Presseanfragen hin verwies das zwei Meter befinden, werden mit ihrem dass für Zwecke der Kontaktverfolgung
BMG auf einen Beschluss des Corona- Pseudonym lokal verschlüsselt gespei- und Warnung eine Lokalisierung unnö-
Kabinetts, in dem von einem „Quaran- chert. Nach einer positiven Diagnose tig ist, und dass lokale Verarbeitungslö-
täne-Tagebuch“ die Rede ist. Mit diesem überträgt der Erkrankte die Liste der IDs sungen zentralisierten Verfahren vorzu-
wolle man das Personal in den Gesund- auf einen zentralen Server. Dieser fordert ziehen sind.29
heitsämtern bei der „Überwachung der per Push-Nachricht die Kontaktperso- Es sollte mehrere Apps auf einer ge-
in häuslicher Quarantäne befindlichen nen auf, sich testen zu lassen. Persönli- meinsamen technischen Grundlage in
Bürgerinnen und Bürger“ entlasten. Die che Informationen, Standortdaten oder Deutschland geben, u.a. eine vom RKI.
Kontrolle des aktuellen gesundheitli- andere Merkmale würden nicht gespei- Die Initiative „gemeinsam gesund“ ist
chen Zustandes erfolge aktuell durch chert. Ältere Daten, die keinen epide- von Anfang an eingebunden. Zwecks
zwei Anrufe oder Hausbesuche pro Tag. miologischen Wert mehr haben, werden Koordinierung bedarf es einer zentra-
Zur Vereinfachung des Prozesses wer- automatisch gelöscht.26 len Stelle. Die Apps müssen sich von
de das BMG den Gesundheitsämtern Bei der Entwicklung in Deutschland dem Entwickler-Konsortium zertifizie-
eine Plattform zur Verfügung stellen, wurden der Bundesdatenschutzbeauf- ren lassen. Die Corona-Warn-Apps auf
DANA • Datenschutz Nachrichten 2/2020
84Corona-Pandemie und Datenschutz
Basis der PEPP-PT-Plattform sollten je müssen demnach von Ärzten oder Labo- ternational Association for Cryptologic
nach Land verschiedene zusätzliche ren bestätigt werden, um das Risiko von Research (IACR) sowie viele deutsche
Funktionalitäten enthalten können, Fehlalarmen zu reduzieren und Trolle Wissenschaftler, die im Bereich Com-
etwa zur Kommunikation mit den Ge- abzuschrecken, die das System mit ab- putersicherheit oder in angrenzenden
sundheitsämtern. Boos erklärte: „Wie sichtlichen Fehlalarmen stören könn- Themengebieten arbeiten.
das ausgestaltet werden wird, wird jedes ten. Die Wissenschaftler formulierten
Land entsprechend seiner gesetzlichen In einem zweiten Schritt wollen vier allgemeine Anforderungen an ein
Regelungen für sich entscheiden.“ Ent- Apple und Google die Bluetooth-Tra- vertrauenswürdiges Contact-Tracing-
scheidend sei, dass ohne die freiwillige cing-Funktion direkt in ihre jeweiligen System: So dürften die Kontaktverfol-
Einwilligung der Nutzer keinerlei Daten Betriebssysteme integrieren. Nutzer gungs-Apps ausschließlich eingesetzt
übertragen werden. Er wies jedoch auch müssten dann keine App mehr herun- werden, um Covid-19 einzudämmen.
darauf hin, dass es sich in Deutschland terladen, sondern nur noch der Nutzung Das System dürfe nicht in der Lage sein,
bei Covid-19 um eine meldepflichtige zustimmen. Hat das System einen Risi- mehr Daten zu sammeln, als zu diesem
Erkrankung handelt. Die Betroffenen kokontakt bestätigt, sollen Nutzer je- Zweck notwendig ist. Jedes in Betracht
sind also verpflichtet, sich persönlich doch auch aufgefordert werden, zusätz- kommende System müsse „vollkom-
bei ihrem Gesundheitsamt zu melden. lich eine entsprechende App der jeweili- men transparent“ sein, einschließlich
„Dies kann möglicherweise über eine gen Gesundheitsbehörden ihres Landes der Protokolle und ihrer Implementie-
App abgebildet werden.“30 zu installieren. Nur diese zertifizierten rungen sowie der Teilkomponenten.
Apps sollen laut Apple und Google Zu- Es müsse immer die technische Option
12 Zwei US-Unternehmen griff auf die Daten bekommen. gewählt werden, die die Privatsphäre
Das Massachusetts Institute of Tech- besser schütze. Schließlich müsse die
Die Hersteller der mobilen Betriebs- nology in Cambridge/USA (MIT) arbei- Nutzung der Apps freiwillig sein. Die
systeme Apple (iOS) und Google (An tet an einem ähnlichen System unter Systeme sollten nach der aktuellen Kri-
droid) kündigten am 10.04.2020 ge- dem Namen „Safe Paths“.32 Der Krypto- se abgeschaltet werden und die Daten
meinsam an, sie wollten Bluetooth- grafie-Experte Moxie Marlinspike, Ent- müssten alle gelöscht werden können.
Funktechnik nutzen, um Kontaktperso- wickler des Verschlüsselungs-Protokolls Schon in den Tagen zuvor hatten sich
nen von Corona-Infizierten frühzeitig zu im Messenger Signal, wies aber auf die zahlreiche Projektpartner, insbesondere
ermitteln, ohne die Identität der Betei- Gefahr hin, dass über die bestehende aus den Bereichen IT-Sicherheit, Daten-
ligten zu offenbaren. Ähnlich wie beim Bluetooth-Tracking-Infrastruktur die schutz und Privatsphäre, von PEPP-PT
PEPP-PT-Konzept verschicken Smart- Werbeindustrie die IDs sammeln und so distanziert. Die Kontakte zu den Wis-
phones über die Bluetooth-Technik BLE in Erfahrung bringen könne, wer Covid- senschaftlern, die an einer dezentralen
ständig eine Identifikationsnummer positiv ist.33 Architektur unter dem Namen „DP3T
(ID), die dann andere Handys in der (Decentralized Privacy-Preserving Pro-
Nähe speichern. So soll im Nachhinein 13 Kritik an PEPP-PT ximity Tracing)“ gearbeitet hatten,
festgestellt werden, welche Geräte – und waren auf Arbeitsebene abgebrochen
damit in den meisten Fällen auch deren Am 20.04.2020 warnten 300 interna- worden. Ninja Marnau vom CISPA Helm-
Besitzer – sich lange genug räumlich tionale Wissenschaftler in einem Brand- holtz Center for Information Security,
nahe genug waren, um eine Ansteckung brief an die Politik davor, dass einige begründete den CISPA-Rückzug damit,
zu befürchten. Wer später positiv auf das der Lösungen für Kontaktverfolgung- dass es sich bei dem Konzept „um einen
Virus getestet wird, kann seine ID im Apps, „schleichend zu Systemen führen zentralen Ansatz mit unrealistischen
System veröffentlichen. Die Geräte der- könnten, die eine noch nie dagewesene und risikoreichen Vertrauensannah-
jenigen Nutzer, die in der Nähe dieser ID Überwachung der Gesellschaft als Gan- men handelt. Außerdem ist nicht klar,
waren, werden benachrichtigt und z.B. zes ermöglichen würden“. Systeme, die ob tatsächlich der gesamte Code veröf-
aufgefordert, sich testen zu lassen. Die eine Rekonstruktion des „sozialen Gra- fentlicht werden wird.“ Es sei proble-
Geräte-IDs, die täglich gewechselt wer- phen“ einer Person erlauben, sollten matisch, dass es sich bei PEPP-PT nicht
den, sollen nie einer bestimmten Person „ohne weitere Diskussion“ abgelehnt um eine Plattform mit verschiedenen
zugeordnet werden. Eine Erfassung von werden. Sie weisen darauf hin, dass Ausprägungen, sondern lediglich um
Standortdaten soll nicht erfolgen.31 Die Google und Apple von Befürwortern eine Kommunikationsplattform von
Schnittstellen in iOS und Android soll- zentral organisierter Lösungen unter verschiedenen Projekten handeln soll.
ten umgehend geöffnet werden, damit Druck gesetzt werden, ihre Systeme für Mehrere Länder würden sehr unter-
Gesundheitsbehörden diese weltweit in umfangreichere Datenerfassungen zu schiedliche Ansätze verfolgen, die nicht
ihre eigenen Apps einbauen können. öffnen. Zu den Unterzeichnern der Stel- miteinander interoperabel seien. Auch
Über die Schnittstellen, auf die aus- lungnahmen gehören zahlreiche Mit- die Turiner Forschungsstiftung ISI (Is-
schließlich von hoheitlich autorisierten glieder wissenschaftlicher Akademien, tituto per l‘Interscambio Scientifico),
Apps zugegriffen werden können soll, Fellows von prominenten IT-Verbänden die Eidgenössischen Technischen Hoch-
kommunizieren auch die jeweiligen wie Association for Computing Machi- schulen (ETH) Zürich und Lausanne so-
Apps der iOS- und der Android-Geräte nery (ACM), Institute of Electrical and wie die Katholische Universität Leuven
untereinander. Covid-19-Diagnosen Electronics Engineers (IEEE) und In- zogen sich vom PEPP-PT zurück und ori-
DANA • Datenschutz Nachrichten 2/2020
85Corona-Pandemie und Datenschutz
entierten sich nur noch auf das dezent- Form, Daten zur epidemiologischen For- einer neuen Herausforderung die Ver-
rale Projekt DP3T.34 schung und Qualitätssicherung an das hältnismäßigkeit staatlicher Eingriffe
Robert-Koch-Institut übermitteln kön- sicherzustellen, also dafür zu sorgen,
14 Datenspeicherung und -abgleich nen. Dazu sollen unter anderem bereits dass die ergriffenen Maßnahmen mit
dezentral von der Fraunhofer-Gesellschaft entwi- ihren Grundrechtseinschränkungen ge-
ckelte Komponenten genutzt werden.36 eignet, erforderlich und angemessen
Am 26.04.2020 erfolgte dann eine sind, um ein grundrechtswahrendes Ziel
erstaunliche Wende der deutschen Bun- 15 Gesundheit gegen Bürgerrechte? zu erreichen.
desregierung in der Warn-App-Diskussi-
on. Bisher hatte sie auf PEPP-PT mit einer Während zu Beginn der Coronakrise die 16 Unsichere Fakten und Bewer-
serverbasierten Abgleichs- und Kommu- vom Staat geforderten einschränkenden tungsgrundlagen
nikationslösung gesetzt. Nach massiver Maßnahmen von der großen Mehrheit
öffentlich geäußerter Kritik an PEPP-PT akzeptiert wurden, tauchen seit März Das Problem beim Coronavirus ist,
drohte die Akzeptanz für die Lösung 2020 zunehmend kritische Stimmen auf, dass dieses vor wenigen Monaten noch
zu schwinden. Zuletzt hatten der Cha- die forderten, den „Lockdown“ zurückzu- völlig unbekannt und unerforscht war.
os Computer Club e.V (CCC), D64, LOAD fahren. Zwei Begründungsmuster domi- Ausbreitungswege, Risiken und Be-
e.V., das Forum InformatikerInnen für nieren dabei: Zum einen wird der ökono- kämpfungsmöglichkeiten waren und
Frieden und gesellschaftliche Verant- mische Stillstand beklagt. Die Wirtschaft sind weiterhin in vieler Hinsicht unklar.
wortung e.V. (FIfF), die Gesellschaft für müsse wieder hochgefahren werden, um Dies bedingt, dass die Politik zu einem
Informatik (GI) und die Stiftung Daten- zu vermeiden, dass die Nebenwirkungen Vorgehen gezwungen ist, das von Ver-
schutz in einem offenen Brief an Bun- der Coronabekämpfung schlimmere Ef- such und Irrtum geprägt ist. Das Prob-
desgesundheitsminister Jens Spahn und fekte verursachen als das Virus selbst. lem der Unsicherheit wird dadurch ver-
Kanzleramtschef Helge Braun gewarnt, Zum anderen wird rechtsstaatlich argu- stärkt, dass etwa die Hälfte der Corona-
die geplante zentrale Lösung sei „höchst mentiert: Staatsrechtler klagten, wir leb- infektionen offenbar präsymptomatisch
problematisch“.35 Ungewollt gefördert ten in einem „Krankheitsabsolutismus“ erfolgt, also bevor der Überträger des
haben den Schwenk möglicherweise die (Uwe Volkmann, Universität Frankfurt), Virus überhaupt Anzeichen einer Krank-
für den Gesundheitsschutz zuständigen in einem „quasi grundrechtsfreien Zu- heit bemerkt hat. Effekte von Maßnah-
Kommunen, die als Deutscher Land- stand“ (Christoph Möllers, Humboldt- men lassen sich nur mit Zeitverzöge-
kreistag in einem Brief an Spahn und Universität Berlin); wir stünden „vor Hy- rung messen.
Braun forderten, alle mit der Tracing- gienemaßnahmen ganz anderer Art: Der Grundlage für alle Maßnahmen muss
App gesammelten Daten auswerten zu Rechtsstaat ist schwer beschmutzt. Die in einem aufgeklärten Rechtsstaat sein,
können. Fraglich war schließlich, in- rechtsstaatliche Hygiene muss dringend dass sämtliche Maßnahmen trotz der
wieweit die PEPP-PT-Lösung mit den wieder hergestellt werden, sonst droht Unkenntnis vieler Wirkmechanismen –
durch Apple und Google bereit gestell- hier das größte Infektionsrisiko“ (Oliver soweit wie möglich – wissenschaftlich
ten Schnittstellen technisch umsetzbar Lepsius, Universität Münster).37 Edward begründet sind.
gewesen wäre. Die Regierung favori- Snowden, der 2013 das weltumspannen- Es gibt keine klaren Vorgaben, wie die
siert nun ein dezentrales Modell. Dabei de Überwachungssystem der britischen Grundrechte in Beziehung zueinander zu
übermitteln die Smartphones nur ihre und US-amerikanischen Geheimdienste stellen sind. Nach unserem Verfassungs-
Schlüssel (IDs) auf einen Server. Andere offengelegt hat, sprach von einer „Ar- verständnis gibt es keinen Vorrang eines
Geräte fragen diese Liste regelmäßig ab, chitektur der Unterdrückung“, die, wenn Grundrechtes, weder der unternehmeri-
ob eine der IDs in ihrem Kontakttage- auch in bester Absicht, in Reaktion auf schen Freiheit (Art. 16 GRCh), die z.B.
buch auftaucht. Corona entsteht.38 in seiner US-amerikanischen Lesart der
Das nun zu verwirklichende Modell Die Warnungen vor einem Abbau US-Präsident Donald Trump über alles
orientiert sich am DP3T-Konzept. Mit freiheitlicher und rechtsstaatlicher Ga- stellt, oder auch nicht des Grundrechts
der Entwicklung wurden neben CISPA in rantien sind nicht unbegründet. Doch auf körperliche Unversehrtheit und auf
Deutschland auch die Deutsche Telekom ist die Situation nicht einzigartig: Bei Gesundheit (Art. 2 Abs. 1 GG, Art. 3, 35
und SAP beauftragt. Für die Auswahl der jedem politischen und gesellschaftli- GRCh).39
Unternehmen soll eine Rolle gespielt ha- chen Umbruch gibt es Kräfte, die die-
ben, dass diese beiden deutschen Firmen sen zu nutzen versuchen, um autoritä- 17 Abwägen
„auf Augenhöhe“ mit Google und Apple re Strukturen zu stärken. Die deutsche
verhandeln könnten. Die Veröffentli- Gesellschaft hat Erfahrung mit solchen Auch in der Coronakrise ist der Schutz
chung sollte, so Spahn in den „nächsten Bestrebungen, die nun Corona zu nut- der Persönlichkeitsrechte eine „ele-
Wochen“ erfolgen. Die Schweiz kündig- zen versuchen. Es geht nun darum, die mentare Funktionsbedingung eines auf
te an, den dezentralen Ansatz bereits Grundlagen unserer Gesellschaft zu Handlungs- und Mitwirkungsfähigkeit
zum 11.05.2020 im Land einzuführen. wahren, zu denen sowohl der Gesund- seiner Bürger begründeten freiheit-
Integriert werden soll in die deutsche heitsschutz als auch die Wahrung un- lich demokratischen Gemeinwesens“.40
Tracing-App auch die Möglichkeit, dass serer bürgerlichen Freiheiten gehören. Kommen Apps zum Einsatz, ist nicht
Bürger freiwillig, in pseudonymisierter Die Aufgabe besteht darin, angesichts nur das Grundrecht auf Datenschutz,
DANA • Datenschutz Nachrichten 2/2020
86Corona-Pandemie und Datenschutz
sondern sind möglicherweise auch das meine Polizeirecht, wonach die Polizei tung und Bekämpfung von übertragba-
Telekommunikationsgeheimnis (Art. 10 und die Ordnungsbehörden die Befug- ren Krankheiten, soweit erforderlich,
GG, Art. 7 GRCh), der Schutz der Familie nis haben, die zur Abwehr einer konkre- personenbezogene Daten zu verarbei-
(Art. 6 GG, Art. 7 GRCh), das Wohnungs- ten Gefahr notwendigen Maßnahmen zu ten. Nach § 4 Abs. 3 IfSG ist das RKI auch
grundrecht (Art. 13 GG, Art. 7 GRCh) und ergreifen. Neben der polizeirechtlichen zur internationalen Kooperation befugt
die Freizügigkeit (Art. 11 GG, Art. 21 Generalklausel, die aber nur die Abwehr zur Vorbeugung einer möglichen grenz-
AEUV) betroffen. Auch dem allgemei- einer konkretisierten Gefahr gegen eine überschreitenden Ausbreitung über-
nen Persönlichkeitsrecht (Art. 2 Abs. 1 bestimmte Person per Verwaltungsakt tragbarer Krankheiten und zur dauer-
i.V.m. 1 Abs. 1 GG) und den diesen kon- ermöglicht, gibt es das Instrument der haften wissenschaftlichen Zusammen-
kretisierenden Grundrechten kommt Allgemeinverfügung, das Gefahren ab- arbeit. Es darf auch insofern im Rahmen
kein grundsätzlicher Vorrang zu. Nö- wehrende Maßnahmen gegenüber ei- der Erforderlichkeit personenbezogene
tig ist eine praktische Konkordanz der nem größeren Adressatenkreis vorsehen Daten austauschen.
Grundrechte. kann. Ob dem Staat ein Nothilferecht Angesichts der neuen Herausforde-
Maßnahmen dürfen nicht vorschnell zusteht, ist stark umstritten; dieses be- rungen durch die Corona-Pandemie
ergriffen werden. Sie bedürfen der sorg- schränkt sich aber in jedem Fall auf die wurde das Gesetz im März 2020 ergänzt
sam abwägenden Bewertung und einer Abwehr von im Hinblick auf Ort, Zeit insbesondere um die §§ 5, 5a mit Rege-
gesetzlichen Eingriffsgrundlage. Sie dür- und Personen konkretisierten Gefahren. lungen zur „Epidemischen Lage von na-
fen nicht dauerhaft erfolgen und müssen Das Katastrophenschutzrecht der tionaler Tragweite“.43 In § 5 Abs. 2 Nr. 1,
auf ihre Berechtigung hin immer wieder Länder sieht bisher keine spezifischen 2 IfSG ist vorgesehen, dass „ausschließ-
überprüft werden. Alle neu erwogenen informationellen Maßnahmen vor. An- lich zur Feststellung und Verhinderung
Maßnahmen müssen sich daran messen wendbar ist das Infektionsschutzgesetz einer Einschleppung einer bedrohlichen
lassen, ob sie für eine wirkungsvolle Pan- des Bundes (IfSG). übertragbaren Krankheit“ von Einrei-
demiebekämpfung wirklich zielführend Die Nationale Akademie der Wissen- senden und Beförderungsunternehmen
und erforderlich sind und ob sie den schaften Leopoldina schlug in ihrer personenbezogene Daten erhoben wer-
Verfassungsgrundsatz der Verhältnismä- 3. Ad-hoc-Stellungnahme vom 13.04.2020 den dürfen. In den §§ 6 ff. IfSG ist aus-
ßigkeit einhalten. Notfallmaßnahmen vor, den Rechtsrahmen des Datenschut- führlich und detailliert die Meldepflicht
dürfen nicht zu einer langwirkenden Ver- zes im Zusammenhang mit der Pande- von Verdächten, Erkrankungen und To-
schiebung zugunsten staatlicher Über- miebekämpfung zu überprüfen: „An- desfällen zu spezifischen Krankheiten
wachung und zu Lasten freier und unbe- gesichts der Erfahrung der derzeitigen normiert einschließlich innerdeutscher
obachteter Aktion, Bewegung und Kom- Pandemie sollten auf europäischer Ebe- (§ 11 IfSG) und völker- und unions-
munikation der Bürgerinnen und Bürger ne die Datenschutzregelungen für Aus- rechtlicher (§ 12 IfSG) Übermittlungen.
führen. Die Menschen erwarten von allen nahmesituationen überprüft und ggfs. Die Meldepflicht des Coronavirus (2019-
Beteiligten, dass sie die für die Vorsorge mittelfristig angepasst werden. Dabei nCoV) wurde mit der Verordnung über
und Bekämpfung der Pandemie notwen- sollte die Nutzung von freiwillig be- die Ausdehnung der Meldepflicht nach
digen Informationen zur Verfügung stel- reit gestellten personalisierten Daten, §§ 6 Abs. 6 S. 1 Nr. 1, 7 Abs. 1 S. 1 IfSG
len und die Maßnahmen nachvollziehbar wie beispielsweise Bewegungsprofilen des BMG vom 30.01.2020 (CoronaVMel-
und transparent begründen. (GPS-Daten) in Kombination mit Con- deV) eingeführt. Im Rahmen der Mel-
Damit einher geht die Pflicht der Ver- tact-Tracing in der gegenwärtigen Kri- depflicht sind neben Namen, weiteren
antwortlichen zum sorgsamen Umgang sensituation ermöglicht werden.“42 Die- Identifizierungsdaten sowie präzisen
mit personenbezogenen Daten. Das se Passage der Stellungnahme spielte in Angaben zur Krankheit anzugeben, die
Recht des Einzelnen auf Schutz seiner der weiteren Diskussion um notwendige „k) wahrscheinliche Infektionsquelle,
personenbezogenen Daten – insbeson- Maßnahmen zwar keine wesentliche einschließlich der zugrunde liegenden
dere soweit es sich um Gesundheitsda- Rolle, lässt aber erkennen, dass von Tatsachen, l) in Deutschland: Landkreis
ten handelt – steht auch in Krisenzeiten den Wissenschaftlern der aktuell gere- oder kreisfreie Stadt, in dem oder in der
nicht zur Disposition der Gesetzgeber gelte Datenschutz als ein Hindernis zur die Infektion wahrscheinlich erworben
oder der Behörden. Bei der Auslegung Covid-19-Bekämpfung angesehen wird. worden ist, ansonsten Staat, in dem
des Datenschutzrechts müssen die le- die Infektion wahrscheinlich erworben
bens- oder gesundheitswichtigen In- 19 Infektionsschutzgesetz worden ist“ (§ 9 Abs. 1 Nr. 1 IfSG). Ge-
teressen der Menschen und der Gesell- mäß § 14 IfSG richtet das RKI ein elek-
schaft berücksichtigt werden. Das Recht Die Anwendung des IfSG als speziel- tronisches Melde- und Informationssys-
verlangt auch insofern von den Verant- les Gefahrenabwehrrecht führt dazu, tem ein.
wortlichen eine sachgerechte Interessen- dass in den geregelten Bereichen der § 16 Abs. 1 S. 1 IfSG erlaubt den zu-
abwägung.41 Rückgriff auf das allgemeine Polizei- ständigen Behörden, also dem RKI, den
recht ausgeschlossen ist. In § 4 Abs. 1 obersten Landesgesundheitsbehörden
18 Rechtsgrundlagen IfSG ist dem Robert Koch-Institut (RKI) sowie den nachgeordneten Gesund-
als zuständiger nationaler Behörde die heitsämtern der Städte und Kreise (§ 54
Die Rechtslage zur Pandemiebekämp- Befugnis eingeräumt, im Rahmen von IfSG), nach Feststellung von Tatsachen,
fung ist übersichtlich: Es gilt das allge- Maßnahmen zur Überwachung, Verhü- „die zum Auftreten einer übertragbaren
DANA • Datenschutz Nachrichten 2/2020
87Sie können auch lesen
