Datenschutz bei Corona-Tracing-Apps

Um die weltweite Ausbreitung der Corona-Pandemie schnellstmöglich einzugrenzen, wird immer mehr auf die Ermittlung von Infektionswegen mittels Smartphone-Apps gesetzt. Doch welche Daten sollen dabei erhoben werden? Wer bekommt die Daten? Und wie sieht es mit dem Datenschutz aus? Ein Überblick zum aktuellen Stand!

Update, Juni 2020: Zum Datenschutz der mittlerweile verfügbaren „offiziellen“ Corona-Tracing-App haben sich mehrere deutsche Datenschutz-Aufsichtsbehörden in überwiegend positivem Ton geäußert, aber auch darauf hingewiesen, dass die App nicht missbraucht bzw. zweckentfremdet werden darf:

  • Bayerisches Landesamt für Datenschutzaufsicht: Wahrung der Vertraulichkeit bei Kontaktdatenerfassung in der Gastronomie -Keine Zweckentfremdung der Corona-Warn-App, Pressemitteilung vom 25. Juni 2020
  • Der Landesbeauftragte für den Datenschutz und die Informationssicherheit Rheinland-Pfalz: Kugelmann pocht auf Freiwilligkeit der Corona-Warn-App – Sie darf nicht zur Eintrittskarte werden, Pressemitteilung vom 25. Juni 2020
  • Bayerisches Landesamt für Datenschutzaufsicht: Corona-Warn-App, Infoseite ohne Datum
  • Der Landesbeauftragte für den Datenschutz und die Informationssicherheit Rheinland-Pfalz: Corona-Warn-App ist aus „Datenschutz-Sicht okay“ – Kugelmann: App darf aber nicht zur Dauerlösung werden, Pressemitteilung vom 16. Juni 2020
  • Bundesbeauftragter für den Datenschutz und die Informationssicherheit: Datenschutz bei Corona-Warn-App ausreichend, Pressemitteilung vom 16. Juni 2020

Wie funktioniert die Technologie für Deutschland und Europa?

Ein Team aus verschiedenen Experten aus insgesamt acht europäischen Ländern hat jüngst eine Technologie entwickelt, um das sog. Tracing, also die Rückverfolgung von Personen, die Kontakt mit einer Corona-infizierten Person hatten, zu ermöglichen. Das verfolgte Ziel ist, die mögliche Verbreitung von COVID-19-Infektionen nachzuvollziehen und entsprechend eindämmen zu können, um die überall gegenwärtigen Kontaktbeschränkungen bzw. -verbote so kurz wie möglich zu halten. An dem multinationalen europäischen Gemeinschaftsprojekt ist u.a. das Robert-Koch-Institut beteiligt, das im Rahmen der Forschung rund um das Corona-Virus in Deutschland federführend ist.

Die am 1. April 2020 vorgestellte neue Technologie nennt sich Pan European Privacy-Protecting Proximity Tracing (PEPP-PT). Diese basiert auf der Bluetooth-Technik, die eine Datenübertagung per Funk von einem Smartphone auf ein anderes ermöglicht.

Auf Grundlage dieser Technologie sollen in naher Zukunft Apps entwickelt werden, die ein Corona-Infektions-Tracing ermöglichen. Um zu ermitteln, mit wem eine infizierte Person länger physisch engeren Kontakt hatte, sind eine gewisse Dauer und Nähe vonnöten. Damit soll sichergestellt werden, dass tatsächlich nur Gegebenheiten erfasst werden, bei denen aufgrund der geringen Entfernung und auch der entsprechenden Dauer des Kontakts eine Ansteckungsgefahr bestand.

Welche Daten übertragen Corona-Apps?

Ist eine auf der PEPP-PT-Technologie basierende App installiert und Bluetooth aktiviert, wird eine temporär gültige authentifizierte ID des Smartphones generiert, die dem Empfänger keinen direkten Rückschluss zum Besitzer erlaubt. Es handelt sich also um ein Pseudonym. Die Daten, die Smartphones miteinander austauschen, sollen nur verschlüsselt auf dem jeweils eigenen Gerät abgelegt und ausgewertet werden können.

Wird bei einem Nutzer der App aber eine Infektion mit dem Corona-Virus bestätigt, werden die IDs, die durch näheren Kontakt mit anderen Smartphonebesitzern generiert wurden, an einen Server übertragen. Nach starker Kritik wegen einer Vielzahl an Mängeln in Bezug auf Datenschutz und Informationssicherheit in der Vorabversion der App, gab es bei der Bundesregierung Ende April einen Richtungswechsel. Um das Vertrauen der Bürger in die App aufrechtzuerhalten, wird nunmehr ein sogenannter dezentraler Ansatz der Tracing-App verfolgt. Dies bedeutet, dass mit dem Corona-Virus infizierte Bürger die eigenen auf dem Smartphone gespeicherten IDs an einen Server senden, so dass andere Bürger diese runterladen und lokal abgleichen können, um herauszufinden, ob sie möglicherweise infiziert sind. Bei positivem Ergebnis, können diese Personen dann entsprechende Maßnahmen treffen, etwa sich in Quarantäne begeben oder sich einem Corona-Test unterziehen. Das Protokoll, auf dem die Funktion basiert, nennt sich Decentralised Privacy-Preserving Proximity Tracing (DP-3T-Protokoll). Soweit bekannt, wird die Identität des Infizierten hierbei nicht offengelegt, sondern es wird lediglich darüber informiert, dass Kontakt zu einer infizierten Person bestand.

Die Anbieter der Smartphone-Betriebssysteme iOS (Apple) und Android (Google) verfolgen ebenso den Ansatz einer dezentralen Datenspeicherung, damit möglichst viele Daten auf dem eigenen Smartphone verbleiben. Die Konzerne entwickeln daher aktuell Bluetooth-Schnittstellen, die einen effizienten Datenaustausch via Bluetooth ermöglichen sollen.

Die Bürger sollen freiwillig darüber entscheiden, ob sie eine etwaige App nutzen wollen oder nicht und auch ob sie freiwillig weitere Daten über die App bspw. zu Forschungszwecken teilen wollen.

Es ist derzeit noch nicht abzusehen, wie PEPP-PT-basierte Apps im Detail funktionieren. Demnach ist es noch nicht möglich, eine datenschutzrechtliche Bewertung des Datenaustauschs zu treffen.

Sollen auch Standortdaten ausgetauscht werden?

Der ursprüngliche Vorstoß von Gesundheitsminister Jens Spahn sah vor, ein Gesetz zu erlassen, dass Standort- und Verkehrsdaten von Mobilfunkgeräten infizierter Personen von Telekommunikationsdiensten herausgeben werden müssen. Ein solches Gesetz tritt zunächst nicht in Kraft, wird aber weiterhin von der Bundesregierung diskutiert. Dieser Ansatz ist insbesondere bei Datenschützern auf harsche Kritik gestoßen.

Nach Auskunft der Entwickler der PEPP-PT-Technologie sollen ausdrücklich keine Standortdaten erfasst oder Bewegungsprofile kreiert werden. Stattdessen sollen nur die Daten verwendet werden, die für die Zweckerreichung erforderlich sind und somit das Prinzip der Datenminimierung eingehalten werden. Die Technologie funktioniere auch nur, wenn die Bluetooth-Funktion dauerhaft auf dem Smartphone eingeschaltet ist.

Was ist der Nutzen von Corona-Apps?

Die Idee der Rückverfolgung basiert auf dem Gedanken, dass es nicht ausreicht, nur die bereits Infizierten ausfindig zu machen. Wichtig ist es auch, möglicherweise infizierte Kontaktpersonen schnell zu finden, insbesondere solche, die keine Symptome haben, aber dennoch ansteckend sind.

In Deutschland sollen die Bürger freiwillig entscheiden können, ob sie eine Corona-App nutzen wollen oder nicht. Das Ziel, mittels Apps eine umfassende Rückverfolgung zu ermöglichen und mögliche Infizierte umgehend zu isolieren, könnte jedoch erst erreicht werden, wenn mindestens 60 Prozent der Bevölkerung eine solche App nutzen würden. Demnach müssten zwei Drittel der derjenigen, die ein Smartphone besitzen, also rund 50 Millionen Menschen auch eine Corona-App nutzen, was ohne Zwang kaum umzusetzen sein dürfte.

Einige befürchten zudem, dass die Nutzung der erhobenen Daten die Gefahr der staatlichen digitalen Überwachung und der Einschränkung der Freiheitsrechte der Bürger unter dem Deckmantel der Corona-Bekämpfung birgt.

Gesetzliche Regulierung von Corona-Apps?

Durch Corona-Apps werden personenbezogene Daten verarbeitet, was einer rechtlichen Grundlage bedarf.  Ein Gesetz, welches die Nutzung von Corona-Apps reguliert, existiert bisher nicht. Ebenfalls bietet das Infektionsschutzgesetz keine geeignete Rechtsgrundlage zur Datenverarbeitung.

Die Datenverarbeitung in Corona-Apps auf eine Einwilligung der Nutzer zu stützen, ist unsicher, da eine Einwilligung nur wirksam ist, wenn diese auch freiwillig erteilt wird. Dies kann nicht in allen Szenarien zur Pandemie-Bekämpfung sichergestellt werden, insbesondere dann nicht, wenn es um die Entscheidung zur Nutzung der Corona-App oder eines ganzheitlichen nationalen Lockdowns geht.

Eine Gruppe renommierter Datenschützer hat daher am 3. Mai 2020 einen Vorschlag für ein Gesetz zur Einführung und zum Betrieb einer appbasierten Nachverfolgung von Infektionsrisiken mit dem SARS-CoV2-Virus mit insgesamt 14 Paragraphen veröffentlicht.  Ausdrückliches Ziel dieses Gesetzes ist es

„die Datenverarbeitung durch eine App zu regeln, die für das Erkennen von Begegnungen mit Menschen erforderlich ist, die ein relevantes Risiko dafür bergen, dass eine Übertragung einer Corona-Infektion stattgefunden hat und die für die Benachrichtigung von Nutzenden über diese Begegnungen erforderlich ist“,

was mittels appbasiertem Contact-Tracing und entsprechender Warnung an potentiell infizierte Personen erfolgen soll. Hiermit soll eine Überlastung des Gesundheitssystems vorgebeugt werden.

Der Gesetzesentwurf trifft keine eindeutige Aussage darüber, ob ein Contact-Tracing überhaupt erforderlich ist und ob die hierfür anvisierte Technik mittels Bluetooth-Technologie dafür geeignet ist.

Ob das Gesetz in Kraft treten wird, hängt nun primär davon ab, wie die aktuelle Regierungskoalition einem solchen Gesetz gegenübersteht. Außerdem bedarf es noch einer konkreten Corona-App, die durch das Robert-Koch-Institut herausgegeben werden soll.

Ausblick

Ab Mitte Juni diesen Jahres sollen in Deutschland die ersten Corona-Apps, die auf der neuen Technologie PEPP-PT basieren, verfügbar sein. Die Entwicklung übernehmen hier die Konzerne SAP und die Deutsche Telekom. Erst danach kann weiter darüber bestimmt werden, ob und wie Corona-Apps gesetzlich reguliert werden können. Derzeit wird die Funktionalität und Genauigkeit der Datenerfassung noch durch die Entwickler getestet. Wie effektiv solche Apps im Rahmen der Corona-Bekämpfung in der Praxis sind und ob diese tatsächlich datenschutzkonform ausgestaltet sind, wird sich erst im Laufe der Zeit zeigen. Nachdem die Maßnahmen zur Ausbreitung der Corona-Pandemie bereits wieder gelockert wurden und die Infektionszahlen im Vergleich zum Beginn der Pandemie gesunken sind, stellt sich die Frage, ob eine Corona-App, deren Veröffentlichungstermin bisher immer weiter nach hinten verschoben wurde, dann noch erforderlich ist.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.