Die „Corona-App“ – Eine Herausforderung für den Datenschutz?
„Wir stehen immer noch am Anfang der Welle“, betonte Lothar Wieler, der Präsident des Robert Koch Instituts noch vor knapp zwei Wochen in einem Interview mit der Frankfurter Allgemeinen Sonntagszeitung. Dennoch mehren sich seither die Stimmen, die eine Lockerung der Ausgangssperren und die Rückkehr in den Alltag fordern. Doch die Widerkehr in das normale Leben ist nur möglich, soweit die Gesundheit aller gewährleistet werden kann. Die Lösung soll künftig eine freiwillige „Corona-App“ bieten, die ihre Nutzer anonym bei Kontakt mit Infizierten warnt.
Wie soll die App funktionieren?
Nach derzeitigem Kenntnisstand soll die App auf Basis der sog. Bluetooth-Low-Energy-Technologie operieren. Demnach generiert die App alle paar Minuten eine temporäre Nutzer-ID und sendet diese an umliegende Geräte aus. Sobald zwei Geräte über einen relevanten Zeitraum weniger als 2 Meter voneinander entfernt waren, wird die Nutzer-ID lokal auf dem Smartphone des jeweiligen anderen Nutzers abgespeichert. Wenn nun eine Person im späteren Verlauf positiv getestet wird, kann sie freiwillig die lokal gespeicherten Nutzer-IDs an einen Server – denkbar wäre z.B. ein Sever des Robert-Koch-Instituts (RKI) – hochladen. Das RKI erfährt hierdurch, mit welchen anderen IDs das Smartphone in Kontakt war und könnte eine Push-Benachrichtigung an die anderen Smartphones versenden.
Der Vorteil: Im Gegensatz zur Verwendung der bisher diskutierten Funkzellendaten, deckt die Bluetooth-Technologie nur das unmittelbare Umfeld des Nutzers ab und verzichtet auf die Nutzung von sensiblen Standortdaten. Darüber hinaus werden keine Klarnamen oder Telefonnummern gespeichert. Demnach soll die App keine personenbezogenen Daten verarbeiten.
Sind die Datenschutzgesetze demnach überhaupt anwendbar?
Die strengen Vorgaben der Datenschutzgesetze werden nur dort relevant, wo auch personenbezogene Daten verarbeitet werden. Die Corona-App verspricht dagegen Anonymität, d.h., dass bei der Nutzung des Dienstes keine personenbezogenen Daten erhoben oder verarbeitet werden sollen und die Identität des Nutzers im Verborgenen bleibt. Jedoch bestehen Zweifel an der angepriesenen Anonymität.
Damit die Push-Nachrichten mit dem Hinweis auf einem Kontakt zu infizierten Personen an bestimmte Geräte geschickt werden können, muss nämlich klar sein, welches Gerät sich wann hinter welcher Nutzer-ID verborgen hat. Hierzu müsste grundsätzlich beim Herunterladen und installieren der App eine dauerhafte Kennung (sog. App-ID) erzeugt werden. Die App hat zwar zu keinem Zeitpunkt Zugriff auf unmittelbare identifizierende Informationen (z.B. den Klarnamen oder die Adresse), jedoch kann durch die eindeutige App-ID zumindest mittelbar eine bestimmte Person identifiziert werden. Die Nutzung der App wäre somit nicht mehr anonym, sondern lediglich pseudonym. Dementsprechend muss die App datenschutzrechtliche Vorgaben erfüllen.
Die Einwilligung des Nutzers als Lösung?
Gesundheitsdaten, wie die Information der Erkrankung einer Person mit dem Corona-Virus, sind als besondere Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 Datenschutz-Grundverordnung (DSGVO) einzustufen und dürfen nur unter den besonders engen Voraussetzungen des Art. 9 Abs. 2 DSGVO verarbeitet werden. Denkbar wäre, die Datenverarbeitung auf eine Einwilligung der Nutzer nach Art. 9 Abs. 2 lit. a DSGVO zu stützen. Jedoch bestehen derzeit noch Zweifel an der Wirksamkeit einer solchen Einwilligung.
Wäre die Einwilligung wirklich freiwillig?
Die Anforderungen an eine wirksame Einwilligung ergeben sich insbesondere aus Art. 7 DSGVO, wonach die Einwilligung nur wirksam ist, wenn sie freiwillig erteilt wurde. Freiwilligkeit setzt die Selbstbestimmtheit der Handlung des Betroffenen voraus. Der Nutzer muss also frei von äußeren Zwängen für oder gegen die Nutzung der App entscheiden können. Nach jetzigem Kenntnisstand soll es dem Nutzer freistehen, ob er die App installiert und ob er die eigenen Testbefunde an das RKI weiterleitet. Die Freiwilligkeit wäre demnach grundsätzlich zu bejahen und die Datenverarbeitung im Rahmen einer Corona-App zulässig.
Dennoch bestehen derzeit noch Zweifel an der Freiwilligkeit, da ein gewisser sozialer und gesellschaftlicher Druck den Bürger in eine quasi Zwangs-Situation bringen könnte, in der er sich zur Nutzung der App verpflichtet fühlt. Auch wenn eine solche Argumentation in einigen Augen zu weit führt, kann jedenfalls die Aufhebung des Kontaktverbots nicht von der Nutzung der App abhängig gemacht werden. In diesem Fall würde man die Bewegungsfreiheit der Bürger von der Einwilligung in die Datenverarbeitung durch die App abhängig machen, sodass die erforderliche Freiwilligkeit der Einwilligung nicht mehr gewährleistet wäre.
Gewährleistung der erforderlichen Transparenz?
Darüber hinaus bestehen derzeit auch Zweifel an der Gewährleistung der nach Art. 5 Abs. 1 lit. a DSGVO erforderlichen Transparenz bei der Datenverarbeitung. So ist beispielsweise die aktuell verfügbare Corona-Datenspende-App nicht quelloffen (Hinweis: Mit dieser App sollen Körperdaten, die Fitness-Armbänder und Smartwatches erfassen, zur Bekämpfung der Pandemie verarbeitet werden). Eine Überprüfung von außen ist somit nur schwer möglich.
Fazit
Eine datenschutzkonforme Umsetzung der Corona-App ist grundsätzlich möglich. Dennoch sollte bei der Entwicklung ein besonderes Augenmerk auf die datenschutzrechtlichen Vorgaben gelegt werden. Jedenfalls wird die App nur auf freiwilliger Basis zulässig sein. Eine Offenlegung des Quellcodes wäre hinsichtlich der gebotenen Transparenz empfehlenswert.
Tom Kleine Jäger
Sebastian Mauer, Wissenschaftlicher Mitarbeiter