Datenschutz und Corona – Informationen über Apps

Letzte Woche besprachen wir in unserem ersten Blogbeitrag zur Corona-Krise, wie das Berufsleben für Arbeitnehmer und -geber rasch auf die neuen Anforderungen durch das grassierende Corona-Virus umgestellt werden kann.

AKTUALISIERUNG: Die Corona-App ist da!

Hier geht es zum aktuellen Beitrag

Die schnelle Umstellung auf Home-Office oder Einführung von Regeln zur Bekämpfung des Virus im Betrieb, stellt den Datenschutz vor neue Herausforderungen – die von allen Seiten Flexibilität und Pragmatismus erfordern.

Dieser Blog-Beitrag nimmt die Debatte um mögliche Smartphone-Apps unter die Lupe, die die weitere Ausbreitung des Virus bekämpfen sollen und so eine Rückkehr in einen (einigermaßen) gewohnten Alltag ermöglichen könnten.

Was für Corona-Apps stehen zu Debatte?

Gegenwärtig gibt es bisher eine App des Robert Koch Instituts (RKI), die man sich freiwillig auf seinem Handy speichern kann. Mithilfe eines Wearables, wie einer Smartwatch oder einem Fitnessarmband, übermittelt die App pseudonymisiert Gesundheitsdaten des Trägers an das RKI.

Es handelt sich dabei um besonders schutzbedürftige Daten, die normalerweise wohl kaum jemand leichtfertig preisgeben würde. Der Trost der RKI-App: Die Daten werden nicht mit dem Namen oder Adressdaten des Anwenders an das RKI übermittelt.

Corona-App Varianten und Tracking

Hierfür vergibt die App automatisch an jeden Nutzer eine anonyme ID. Da es sich hierbei aber um eine feststehende ID handelt, werden die Daten nicht anonymisiert. Sie lassen sich also zurückverfolgen.

Auch weitere Aspekte der App sind aus datenschutzrechtlicher Perspektive bedenklich. Denn die Nutzungsbedingungen der App stellen nicht eindeutig fest, wer alles Zugriff auf welche Datenschutz-Kategorien nehmen kann oder wohin sie zur Verarbeitung übermittelt werden.

Tracing- oder Tracking-Lösung im Kampf gegen Corona?

Neben dieser Gesundheits-App gibt es noch zwei weitere Varianten einer App, an denen von verschiedenen Herstellern und scheinbar der Bundesregierung selbst gegenwärtig gearbeitet werden.

Das eine Verfahren setzt auf das sogenannte Tracing. Hierbei würde sich die App nicht mit dem GPS-Sensor verbinden und nur über Bluetooth andere Nutzer (wiederum unter einem Pseudonym) erfassen. Die Nutzer der App tragen in dieser ein, ob sie an Covid-19 erkrankt sind oder nicht. Wenn das Handy über Bluetooth feststellt, dass sich eine erkrankte Person im eigenen Umfeld befindet, kann das Handy davor warnen. Außerdem könnte das System dabei helfen, Ansteckungsketten nachzuvollziehen.

Das andere Verfahren geht einen Schritt weiter. Hierbei kommt es zum regelrechten Tracking der Nutzer. Jeder der die App auf seinem Handy hat, würde über GPS erfasst werden. Um Ansteckungsketten zurückzuverfolgen, wird ein regelrechtes Bewegungsprofil des Nutzers erstellt.

Jedem Datenschutzexperten oder Aktivisten stehen bei diesen Vorstellungen die Haare zu Berge!

Das Problem mit der Freiwilligkeit von Corona-Apps

Deutsche Entwickler einer App mit dem Namen PEPP-PT gehen davon aus, das eine App mindestens von 60 Prozent der Einwohner installiert werden müsste, damit sie eine Wirkung hätte. Das bedeutet im Falle Deutschlands: Mindestens 50 Millionen Smartphone-Nutzer müssten eine solche App auf ihr Gerät herunterladen.

Die gegenwärtige Beschlusslage der Bundesregierung sieht vor, das die Nutzung der App rein freiwillig erfolgen würde.

Demgegenüber stehen erste Stimmen, auch aus der CDU, dass eine solche App ebenso wie in China, Süd-Korea oder Singapur verpflichtend sein müsse, da sie sonst nicht genügend Nutzer haben würde. Die Annahme ist, dass nicht genügend Nutzer die App aktiv herunterladen würden.

Eine Verpflichtung von Bürgern, eine App zu nutzen, die ihre Standortdaten abfragen würde und zur Erstellung eines Bewegungsprofils genutzt werden kann, ist nach gegenwärtigen deutschen und europäischen Datenschutzrichtlinien nicht vereinbar. Hierfür müsste wieder eine Ausnahmeregel in einem Gesetz niedergeschrieben werden.

Gibt es einen Mittelweg zwischen Pflicht und Freiwilligkeit?

Einen Mittelweg zwischen Zwang und Freiwilligkeit schlagen Google und Apple vor. Die beiden Hersteller der populärsten Betriebssysteme für Smartphone Android und iOS, überlegen, ihre Versionen einer Corona-App mit einem Update automatisch auf Smartphones aufzuspielen.

Aber auch hier bestehen datenschutzrechtliche Bedenken. Ist die App dann automatisch aktiv – inklusive der Positionserfassung? Oder müssen die Nutzer der Installation aktiv zustimmen und ihren Standort freigeben?

Die Datenschutzbeauftragten von Bund und Ländern haben bereits klargestellt, dass Nutzer nicht dazu gezwungen werden dürfen, Daten von sich zu übermitteln. Auch gesellschaftliche Nachteile dürfen nicht entstehen, wenn jemand sich gegen die Nutzung seiner Daten entscheidet.

Apps im Kampf gegen Corona einzusetzen ist unter zwei Gesichtspunkten datenschutzrechtlich unbedenklich: Die Nutzung der App muss freiwillig sein und die Verarbeitung der Daten transparent dargestellt werden.

Weil gerade die Verarbeitung der Daten durch die RKI-App nicht eindeutig sei, wird diese gegenwärtig vom Bundesdatenschutzbeauftragten geprüft.

Leave a Reply