.png){kind=logo}
Ein Beitrag von Richard Jansen und Tristan Radtke
Wissenschaftler und Entwickler aus mehreren europäischen Ländern haben gestern eine Technologie (Pepp-PT, Pan European Privacy Protecting Proximity Tracing) vorgestellt, mit Hilfe derer durch die Identifikation von Kontaktpersonen die Unterbrechung von Infektionsketten ermöglicht und so die Ausbreitung von Corona / COVID-19 weiter eingedämmt werden soll. Nach anfänglich anderen Vorschlägen hat man sich dabei für eine Lösung entschieden, die auf eine freiwillige Mitwirkung der Bevölkerung und die Verwendung des allgemeinen Bluetooth-Standards setzt - eine Sternstunde des Datenschutzrechts und der informationellen Selbstbestimmung in Europa?
Die Idee hinter Pepp-PT: Um feststellen zu können, wem eine (infizierte) Person "zu nahe" gekommen ist, soll auf die in jedem modernen Mobilfunkgerät vorhandene Bluetooth-Technologie zurückgegriffen werden. Begegnen sich zwei Smartphones (und ihre Besitzer) tauschen die Geräte (pseudonyme) Kennungen aus. Diese werden bis zu 21 Tage auf dem Gerät gespeichert. Wird eine Person positiv auf Sars-CoV-2 getestet, hat sie die Möglichkeit - freiwillig - zu entscheiden, ob sie die gesammelten "Kontakte" freigibt. Diese werden dann an einen zentralen Server übertragen, um über diesen via Smartphone-Benachrichtigung (potenzielle) Kontakte informieren zu können.
Eine Aufgabe für das Datenschutzrecht
Im Zusammenhang mit dem Konzept wird regelmäßig davon gesprochen, dass lediglich anonyme Daten ausgetauscht werden. Träfe dies zu, ließen sich die Daten also keiner natürlichen Person zuordnen, wären datenschutzrechtliche Beschränkungen nicht zu beachten, denn das Datenschutzrecht gilt nur für personenbezogene Daten (Art. 2 Abs. 1, 4 Nr. 1, 2 DSGVO).
Eine vollständige Anonymisierung dürfte sich in der technischen Umsetzung allerdings zumindest als schwierig erweisen. Personenbezogene Daten sind schließlich nicht nur solche, die unmittelbar einer Person zugeordnet werden können (z.B. Name, E-Mail-Adresse, Anschrift), sondern auch Informationen, die sich nur mittelbar einer Person zuordnen lassen - und zwar selbst dann, wenn eine solche Zuordnung nur mit Hilfe von Zusatzinformationen (z.B. auf Basis der IP-Adresse, mit welcher der Anschlussinhaber ermittelt werden kann) möglich ist.
Zwar kann der App-Betreiber Kennungen solange keinen Nutzern zuordnen, wie diese Kennungen lokal auf den Smartphones erzeugt werden und auch dort verbleiben. Sobald sich ein Nutzer jedoch als infiziert meldet und die Daten freigibt, übermittelt sein Smartphone neben seiner Kennung und den bei ihm gespeicherten Kennungen anderer Nutzer (eben dieser, denen er zuvor “begegnet” ist) auch die IP-Adresse des Smartphones an den zentralen Server. Regelmäßig hat der App-Betreiber damit jedenfalls theoretisch die Möglichkeit (über den Umweg des Mobilfunkanbieters), die Kennung des Infizierten einer IP-Adresse und damit auch dem dahinter stehenden Nutzer zuordnen. Jedenfalls zu diesem Zeitpunkt hat der App-Betreiber also im datenschutzrechtlichen Sinne Zugriff auf personenbezogene (personenbeziehbare) Daten.
Ausgehend von der Meldung des Nutzers sollen die anderen Nutzer, die dem App-Betreibers bisher nur durch ihre Kennungen “bekannt” sind, benachrichtigt werden. Wie dies genau geschieht, hängt von der Umsetzung des Konzepts im Einzelfall ab. Dabei wird es jedoch regelmäßig zumindest zur Kontaktaufnahme zwischen dem Server des App-Betreibers und den potenziell Infizierten Nutzern kommen. Jedenfalls dann, wenn dem App-Betreiber eine Zuordnung der zu benachrichtigenden Kennungen zu IP-Adressen möglich ist, liegen auch insoweit personenbezogene Daten vor.
Das Datenschutzrecht wird also (auch) auf den App-Betreiber Anwendung finden.
Die Einwilligung als Instrument für Freiwilligkeit
Soweit sich die Kennungen einem Nutzer zuordnen lassen, geben sie womöglich Aufschluss darüber, (i) wem bzw. welchen Kennungen der Nutzer nahe gekommen ist, (ii) wann der Nutzer besonders viele Kontakte getroffen hat (z.B. weil er sich in der Öffentlichkeit aufgehalten hat oder sich entgegen der Kontaktbeschränkungen mit mehreren Kontakten getroffen hat) und (iii) dass er - ab der entsprechenden Krankmeldung durch einen ihm begegneten Nutzer - mit einer gewissen Wahrscheinlichkeit infiziert ist.
Die gespeicherten Kennungen selbst geben, im Unterschied zu der Speicherung von Standortdaten, keinen Aufschluss über konkrete Bewegungsabläufe, d.h. die Information, wann sich das Smartphone wo befunden hat. Damit fallen zumindest keine Standortdaten als “sensible” (S. 2, 4) Informationen an.
Es bleibt jedoch die Information über den Gesundheitszustand der Person als besonders sensible Information (Gesundheitsdatum, Art. 4 Nr. 15 DSGVO). Der, der sich als infiziert meldet und seine gespeicherten Kennungen freigibt, gibt damit gegenüber dem App-Betreiber seine Infektion preis. Für die Verarbeitung einer solchen besonders sensiblen Information bedarf es nach Art. 9 DSGVO einer besonderen Rechtsgrundlage.
Die gute Nachricht: Über die beabsichtige (informiert, ausdrücklich und freiwillig abgegebene) Einwilligung der Nutzer der App kann diese Verarbeitung legitimiert werden (Art. 9 Abs. 2 lit. a DSGVO). Die Smartphone-App ist daher idealerweise so gestaltet, dass sie Nutzer zu Beginn, vor allem aber vor der Freigabe ihres Kontaktverlaufs, ausdrücklich nach ihrer Einwilligung fragt. Zudem stellt sie dem Nutzer die wesentlichen Informationen über die Verarbeitungen zur Verfügung (Art. 13, 14 DSGVO).
Die Geeignetheit
Der Grundsatz der Verhältnismäßigkeit und der Erforderlichkeit im Datenschutzrecht verlangen zudem, dass die Verarbeitungen tatsächlich den beabsichtigen Zweck fördern, mithin geeignet sind. Die altbekannte Bluetooth-Technologie könnte insoweit wegweisend sein: Anders als GPS- oder Funkzellen-Abfragen dürfte sie die größte Präzision versprechen, wenn es darum geht, sich annähernde Personen zu erkennen.
Nichtsdestotrotz ist eine Smartphone-App auf der Grundlage des Pepp-PT-Projekts erst dann erfolgversprechend, wenn sie von möglichst vielen Menschen genutzt wird. Insoweit ist jedoch schon die Förderung des verfolgten Ziels (datenschutzrechtlich) ausreichend. Wie nahe man, über die datenschutzrechtliche Zulässigkeit hinaus, dem großen Ziel einer effektiven Eindämmung der Pandemie kommt, liegt letztlich in den Händen der Nutzer.
Einmal Corona, immer Corona
Die Informationen darüber, welche Smartphones Funk- und dessen Besitzer damit möglichen Infizierungskontakt hatten, dürfen nur zu dem einmal festgelegten Zweck verarbeitet werden - sieht man von wenigen Ausnahmen wie dem Forschungsprivileg einmal ab. Das Konzept der Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO) schützt damit grundsätzlich auch vor einem Besuch von Polizei und Ordnungsamt, die andernfalls angesichts im Fall zahlreich erfasster Kontakte womöglich einmal nachfragen wollen würden, ob die Kontaktbeschränkungen tatsächlich eingehalten wurden.
Flankiert werden sollte dies durch besondere Schutzmaßnahmen (Art. 32 DSGVO), welche die Sicherheit der Daten zu jeder Zeit gewährleisten. Hierzu zählt etwa die angedachte Verwendung von pseudonymen Kennungen, also solchen, die jedenfalls für sich genommen keinen unmittelbaren Rückschluss auf den Nutzer zulassen. Darüber hinaus ist die Sicherheit der gespeicherten Kennungen auf den Smartphones - vgl. geäußerte Sicherheitsbedenken zur Bluetooth-Technologie -, vor allem aber auf dem zentralen Server ab der Meldung als “infiziert” sicherzustellen. Ist der Zweck der konkreten Verarbeitung erfüllt, sind die Kennungen auch von dem zentralen Server des App-Betreibers zu löschen (Art. 5 Abs. 1 lit. c, e DSGVO).
Die Corona-App in Deutschland
Nun ist es an den zuständigen Behörden und Instituten wie dem RKI und dem Fraunhofer HHI die Technologie in eine konkrete Form zu gießen. Man darf gespannt sein, wie diese aussehen wird und welchen Beitrag sie zur Bewältigung der Krise zu leisten vermag. Die Herausforderungen des Datenschutzrechts dürften diesem Projekt jedenfalls nicht entgegenstehen.