Datenschutz in Zeiten von Corona – Einigung bezüglich der „Corona-App“ im Einklang mit den aktuellen Richtlinien des Europäischen Datenschutzausschusses?
Datenschutz in Zeiten von Corona – Einigung bezüglich der „Corona-App“ im Einklang mit den aktuellen Richtlinien des Europäischen Datenschutzausschusses?
29. April 2020
ARQIS berichtete « an dieser Stelle » bereits über die geplante Einführung einer Corona-App und den damit zusammenhängenden rechtlichen Herausforderungen. Nun scheint die Bundesregierung die letzte Kontroverse hinsichtlich der konkreten technischen Ausgestaltung der App entschieden zu haben: Eine Tracing-App, die auf eine spezielle Bluetooth-Technologie zurückgreift, um nahe Kontakte und damit ein Infektionsrisiko zu erkennen, soll umgesetzt werden. Mit einer Veröffentlichung der App ist frühestens bis Mitte Mai zu rechnen. Über die genaue Umsetzung und die Vereinbarkeit mit dem Datenschutzrecht bestand bis zuletzt Uneinigkeit.
Eine wichtige Orientierungshilfe bezüglich der Rechtmäßigkeit einer solchen Tracing-App bieten die am 21. April 2020 veröffentlichten Richtlinien der Europäische Datenschutzausschuss (EDSA) zur Nutzung von Gesundheitsdaten sowie Standortdaten bzw. Daten zur Kontaktverfolgung im Zusammenhang mit der COVID-19-Pandemie. Laut EDSA stehe der Datenschutz einer Tracing-App nicht grundsätzlich im Wege. Es müsse keine Wahl zwischen einer effektiven Antwort auf die derzeitige Krise und dem Schutz fundamentalter Freiheits- und Datenschutzrechte getroffen werden – man könne beides haben, wenn bei der Entwicklung der Tracing-App bestimmte Vorkehrungen getroffen und Regeln beachtet werden:
- Eine Verwendung der App müsse auf freiwilliger Basis der Bürger erfolgen und eine jederzeitige Kontrolle der eigenen Daten ermöglichen.
- Die Erhebung von Standortdaten sei grundsätzlich abzulehnen und solche Daten zur Unterbindung der Infektionsketten auch nicht nötig. Ausreichend sei viel mehr die Einholung von Informationen über die räumliche Nähe zwischen Personen unabhängig von deren Standort.
- Nach der Diagnose eines App-Nutzers solle die Information bezüglich seiner COVID-19 Infizierung lediglich an die Personen weitergegeben werden, die im epidemiologisch relevanten Zeitraum in engem Kontakt zu dem infizierten Nutzer gestanden haben.
- Der Einsatz eines zentralen Servers zum Betrieb der App sei nicht grundsätzlich abzulehnen. Sollte ein solcher erforderlich sein, müssten die vom zentralen Server verarbeiteten Daten jedoch auf das absolute Minimum beschränkt werden.
Bezüglich der Verarbeitung von Gesundheitsdaten stellt der Europäische Datenschutzausschuss auf folgende Punkte ab:
- Die DSGVO (Datenschutzgrundverordnung) erlaube grundsätzlich eine Verarbeitung von Gesundheitsdaten für wissenschaftliche Forschungszwecke (Art. 9 Abs 2 lit. i) und j) DSGVO). Eine solche Verarbeitung müsse jedoch immer durch eine nationale Rechtsgrundlage gedeckt sein und können deshalb bezüglich der Bedingungen und des Umfangs einer solchen Verarbeitung in den einzelnen Mitgliedsstaaten unterschiedlich ausfallen.
- Aufgrund der bestehenden Verarbeitungsrisiken sei es unerlässlich, geeignete technische und organisatorische Maßnahmen gemäß Art. 5, 32 und 89 DSGVO zu treffen und damit die Sicherheit der Daten zu gewährleisten. Im Rahmen einer Datenverarbeitung für wissenschaftliche Zwecke müsse eine entsprechende Garantie gegeben werden.
- Unter Berücksichtigung verschiedener Kriterien wie Länge und Zweck der Forschung müssten verhältnismäßige Speicherfristen für die Daten geregelt werden.
- Die grundlegenden Rechte der betroffenen Personen bezüglich der eigenen Daten in Art. 12 bis 22 DSGVO (u.a. Informations-, Auskunfts- und Mitteilungsrechte, Recht auf Berichtigung und Löschung) dürften grundsätzlich weder eingeschränkt noch ausgeschlossen werden. Einzelne Einschränkungen durch den jeweiligen nationalen Gesetzgeber seien jedoch nach Art. 89 Abs. 2 DSGVO (Verarbeitung personenbezogener Daten zu Forschungszwecken) ausnahmsweise möglich.
Die von der Bundesregierung angestrebte Lösung steht nach derzeitiger Einschätzung im Einklang mit diesen Richtlinien. Insbesondere die Freiwilligkeit bezüglich der Nutzung der App sowie der gänzliche Verzicht auf die Speicherung von Standortdaten wurden wiederholt als besondere Kriterien einer datenschutzkonformen Ausgestaltung der App herausgestellt. Nach wochenlangem Streit hat sich die Bundesregierung zudem für die datenschutzfreundlichere Lösung der dezentralen Speicherung der erfassten Kontaktdaten entschieden. Diese Entscheidung ist zu begrüßen.
Ob all die Maßnahmen im Sinnen einer Privacy-by-Design bei den Bürgern Vertrauen schafft und ähnlich wie das Tragen von Mund-Nasen-Masken akzeptiert wird, bleibt letztlich abzuwarten. Die Voraussetzungen sind aus datenschutzrechtlicher Perspektive gesetzt.
Dr. Philipp Maier, Counsel
M +49 172 990 1195
E philipp.maier@localhost
WIE KÖNNEN WIR IHNEN WEITERHELFEN?
Wenn Sie Fragen haben, schreiben Sie uns.