Privatsphäre in der Corona-Krise

Verstoßen die neuen Maßnahmen gegen den Datenschutz?

Ein Beitrag von Fiona Schönbohm

Die Maßnahmen gegen Covid 19 zu kritisieren, ist schwierig. Einerseits, weil niemand wirklich weiß, was richtig und was falsch ist, welche Maßnahmen am Ende wirklich erforderlich sind, um Leben zu retten und gleichzeitig möglichst viel wirtschaftliche und private Freiheit zu ermöglichen. Andererseits, weil das Argument „Leben retten“ eben doch recht unschlagbar ist und niemand auf der anderen Seite der Lebensretter stehen möchte – außer vielleicht Donald Trump.

Doch der Datenschutz hat seit der Beginn der Pandemie einen dermaßen rasanten Abstieg genommen, dass es sich lohnt, die entsprechenden Maßnahmen unter die Lupe zu nehmen und zu fragen: Darf man denn in der Krise alles machen mit meinen Daten?

Telekom gibt Standortdaten weiter

Mal abgesehen davon, dass man sich früh bei der Ein- und Ausreise aus einem Land registrieren und verfolgen lassen musste, begann die Diskussion um die Bedeutung des Datenschutzes eigentlich, als die Telekom zur effektiven Bekämpfung des Corona-Virus Standortdaten ihrer Nutzer weitergab.

Durch die Daten sollten Wissenschaftler des Robert-Koch-Instituts in die Lage versetzt werden, den Erfolg der Maßnahmen gegen die Ausbreitung des Virus besser überprüfen zu können. Ob diese Weitergabe rechtmäßig war, ist unter Juristen umstritten.

Zwar gilt das Datenschutzrecht nicht, wenn weitergegebene Daten zuvor anonymisiert wurden. Denn die Datenschutzgrundverordnung (DSGVO) gilt nur, wenn personenbezogene Daten verarbeitet werden. Dieses Kriterium ist bei anonymisierten Daten nicht erfüllt.

Wann sind Daten anonym?

Die entscheidende Frage lautet aber: Wann sind Daten hinreichend anonymisiert? Vorgaben im deutschen Recht fehlen. Der Bundesbeauftragte für Datenschutz und die Informationsfreiheit hat sich zu den Kritierien bisher nicht geäußert – dennoch hält er das Vorgehen der Telekom für rechtmäßig.

Der Europäische Gerichtshof (EuGH) kennt dafür zwei Alternativen:

1. Es kann nachgewiesen werden, dass die Re-Identifizierung einer Person aus den Daten unmöglich ist oder
2. die Re-Identifizierung aus dem Datensatz würde gegen das Gesetz verstoßen.

Ob eine dieser Voraussetzungen von der Telekom eingehalten wurde, ist bislang nicht bekannt. Die bisher bekannten Fälle aus der Rechtsprechung indizieren aber, dass zur rechtssicheren Anonymisierung ein erheblicher technischer und zeitlicher Aufwand erforderlich ist.

Datenschutzrecht: Voraussetzungen und Folgen

Darüber hinaus ist ebenfalls umstritten, ob die Umwandlung von personenbezogenen Daten in anonymisierte Daten selbst einfach so zulässig ist. Es könnte in der Umwandlung selbst bereits eine Verarbeitung im Sinne der DSGVO liegen. Jedenfalls liegt darin aber möglicherweise eine Verwendung der Daten im Sinne des Gesetzes.

Dann aber bedarf es für die Umwandlung der Daten in anonymisierte Daten eine Rechtsgrundlage. Andernfalls hätte von jedem Kunden vorab eine Einwilligung eingeholt werden müssen – welche dieser jederzeit widerrufen kann.

Art. 6 Abs. 1 Satz 1 lit. f DSGVO liefert eine mögliche Rechtsgrundlage, wenn „berechtige Interessen“ der Telekom vorliegen. Diese dürften indes nur gegeben sein, wenn die Maßnahme tatsächlich geeignet ist, die Gesellschaft vor Covid 19 zu schützen.

Selbst wenn die anonymisierte Weitergabe nach den oben gesagten Grundsätzen rechtmäßig ist, folgt dennoch eine Reihe an Rechtspflichten für die Telekom. Die Betroffenen müssen über die Verarbeitung ihrer Daten informiert werden.

Corona-App statt Ausgangssperre?

Weitere Maßnahmen zulasten des Datenschutzes folgen auf dem Fuß. Die Alternative zu einer Ausgangssperre soll eine neue App sein – die ist noch nicht entwickelt, aber in der Planung.

Wie funktioniert das? Die App soll bei einem Kontakt mit einem anderen Menschen mit weniger als 1,5 Metern Abstand für länger als 15 Minuten eine Infektionsgefahr feststellen und die Nutzer benachrichtigen.

Datenschutz vs. Infektionsschutz

Welche technischen Mittel sich zur möglichst datenschutzkonformen Ausgestaltung anbieten, ist noch unklar. Ein Gesetzesentwurf des Gesundheitsministerium, der eine Sammlung und Nachverfolgung der Daten ermöglichen sollte, wurde jedenfalls nach harscher Kritik zurückgezogen und ist wohl unverhältnismäßig. Eine Speicherung der Daten ist immerhin nicht erforderlich.

Eine alternative Lösung wurde von einem Team aus rund 130 Mitarbeiter aus 17 Institutionen wie dem Fraunhofer Heinrich-Hertz-Institut in Berlin und der Technischen Universität Dresden entwickelt. Dabei wird die Abstandsmessung durch die sogenannte „Bluetooth Low Energy“-Technologie durchgeführt. Sie könnte eine anonyme und regelmäßig wechselnde Kennung, die sogenannte „TempID“, an Telefone in der näheren Umgebung aussenden. Erst wenn eine Erkrankung diagnostiziert wird, erfolgt eine (ggf. Freiwillige) Weitergabe der Daten vom eigenen Mobilgerät an einen zentralen Server, etwa beim Robert-Koch-Institut.

Missbrauchsgefahr bleibt

Selbst wenn die technische Ausgestaltung theoretisch datenschutzkonform möglich ist – ein nicht unerhebliches Missbrauchsrisiko bleibt aber. Sobald jegliche Form der Kooperation mit Geheimdiensten oder US-Konzernen erfolgt, die ihrerseits mit dem Geheimdienst zusammenarbeiten, wäre der Verwendung hochsensibler persönlicher Daten allerdings Tür und Tor geöffnet. Und wie sicher ist überhaupt der Server des Robert-Koch-Instituts gegen Hacker-Angriffe?

Gerade wenn es um die Sammlung und Speicherung von gesundheitlichen Daten geht, muss stets eine besonders sensible Haltung für den Datenschutz bestehen. Denn wenn die Krise vorbei ist und Covid 19 in unseren Nachrichten nicht mehr die Schlagzeilen füllt, gibt es die Daten trotzdem noch.