CNIL schließt Bewertung der App „StopCovid“ ab

Bereits Ende April hatte sich die CNIL infolge einer Anrufung durch den Staatssekretär für Digitalisierung (secrétaire d’État chargé du Numérique) zur Gestaltung der App geäußert (Deliberation N°. 2020-046, 24.4.2020). Damals hatte die CNIL bestimmte Anforderungen für die App formuliert und deren Umsetzung nun in der abschließenden Bewertung der App untersucht. Die CNIL hatte in ihrer Stellungnahme vom 24.4.2020 darum gebeten, nach Abschluss der Debatte zur App im französischen Parlament erneut einbezogen zu werden. Mit ihrer Stellungnahme vom 25.5.2020 stellt die CNIL nun fest, dass ihre Vorgaben aus dem April adäquat umgesetzt worden sind. Unter anderem hatte die CNIL bestimmte Datenschutzmaßnahmen gefordert, sowie angemahnt, dass die Nichtnutzung der App keine negativen rechtlichen Folgen haben darf (z.B. in Form der Verweigerung des Zugangs zu öffentlichen Verkehrsmitteln).

Zu den geforderten Maßnahmen gehörte etwa eine Begrenzung der Speicherdauer (max. 15 Tage; Deliberation N°. 2020-056, Rn. 50), die genaue Bezeichnung der Verarbeitungszwecke, die Übertragung der Verantwortung für die Verarbeitung auf das Gesundheitsministerium sowie technische Maßnahmen zur Sicherung des Servers (Zugriffsschutz; nur autorisierte Personen) und der Datenübertragung (Verschlüsselung nach neuestem Stand der Technik und Aufteilung des Schlüssels auf mehrere Stellen), die den Standards der ANSSI (autorité nationale en matière de sécurité et de défense des systèmes d’information) entsprechen, die mit der Auditierung des Systems betraut ist. Betont wurde von der CNIL die Bedeutung von effektiven Datenschutzmaßnahmen für das Vertrauen der Bevölkerung in die App und damit für den Erfolg der App.

„StopCovid“ ist eine freiwillig nutzbare Tracing-App auf Basis der Bluetooth-Technologie und ergänzt die existierenden Bemühungen zum Corona-Tracing in Frankreich („Contact Covid“ und „SI-DEP“). Sie spiegele den Wunsch wider, „kein Instrument im Kampf gegen die Epidemie ungenutzt zu lassen“ (Deliberation N°. 2020-056, Rn. 3). Die App informiert ihre Nutzer über das Risiko einer Infizierung, wenn sie sich in der Nähe eines anderen App-Nutzers aufgehalten haben, der positiv auf COVID-19 getestet wurde. Die Entfernung zwischen Nutzern wird auf Grundlage der empfangenen Signalstärke abgeschätzt, die Dauer der Interaktion über einen Zeitstempel bestimmt. Dabei werden personenbezogene Daten und auch Gesundheitsdaten verarbeitet; Verarbeitungsgrundlagen sind Art 6 Abs. 1 lit. e und Art. 9 Abs. 2 lit. i DSGVO. Eine Geolokalisierung der Nutzer findet nicht statt. Ihre datenschutzrechtliche Zulässigkeit wird von der CNIL streng mit ihrer Nützlichkeit für das Krisenmanagement angesichts der Corona-Krise verknüpft, die von der Regierung nachzuweisen ist. Dieser Nachweis erfolgte durch zahlreiche Stellungnahmen, u.a. von der Nationalen Akademie für Medizin. Zeitlich soll der Einsatz der App maximal auf sechs Monate nach Ende des aktuellen gesundheitlichen Notstands als Höchstdauer begrenzt sein (Deliberation N°. 2020-056, Rn. 19). Basis ihres Einsatzes sollen eine Regierungsverordnung sowie die Einwilligung der Nutzer sein. Die CNIL hatte in ihrer ersten Stellungnahme explizit eine konkrete rechtliche Basis im nationalen Recht gefordert.

Vom deutschen Konzept unterscheidet sich die App vornehmlich dadurch, dass pseudonyme Kennungen der Nutzer in einem zentralisierten Ansatz auf Regierungsservern gespeichert werden, während Deutschland nach heftiger Kritik an einem solchen Vorgehen auf einen dezentralisierten Ansatz setzt. Infolge der Nutzung von Pseudonymen und der Tatsache, dass keine Listen infizierter Personen abgerufen werden können, befolge die App nach Ansicht der CNIL den Grundsatz von Datenschutz durch Technikgestaltung. Bei der Speicherung auf zentralen Servern kann sich die Regierung Unterauftragnehmer bedienen, die jedoch eine Speicherung auf Servern in Frankreich garantieren müssen (Deliberation N°. 2020-056, Rn. 46). Hier wurde das Institut national de recherche en informatique et en automatique (INRIA) als Unterauftragnehmer bestimmt. Eine Übermittlung gespeicherter Daten außerhalb der Europäischen Union ist infolge einer entsprechenden Regelung der Regierungsverordnung unzulässig.

Noch nicht in der Stellungnahme vom 24.4.2020 enthalten, sondern erst mit der zweiten Stellungnahme nachgereicht, hat die CNIL Anforderungen an die Regierungsverordnung, die Nutzungsbedingungen der App, die Informationspflichten des Verantwortlichen und die Umsetzung der Betroffenenrechte. Ein Entwurf der Regierungsverordnung war der CNIL zusammen mit einer Datenschutz-Folgenabschätzung des Systems vorab zur Stellungnahme zugeleitet worden. Eine weitere Anforderung ist die fortlaufende Evaluation der App und der Notwendigkeit ihres Einsatzes.

Konkret fordert die CNIL:

• eine Verbesserung der Informationen, die Nutzern der App bereitgestellt werden (Art. 12 bis 14 DSGVO; Information bei Installation über Hauptmerkmale der Verarbeitung und über Betroffenenrechte ergänzt durch Infografiken zum technischen Konzept; alle Informationen müssen in der App selbst zu finden und leicht zugänglich sein – ergänzend findet aber auch eine Bereitstellung auf der Webseite stopcovid.gouv.fr statt; Deliberation N°. 2020-056, Rn. 52 ff.), insbesondere eine Anpassung der Nutzungsbedingungen und der Angaben zur Löschung der bereitgestellten Daten,
• eine Anpassung des Antrags zur Löschung (direkt über eine in der App zur Verfügung gestellte Funktion; Deliberation N°. 2020-056, Rn. 51) und des Löschverfahrens (Empfehlung der Löschung der Daten auf dem zentralen Server vor Deinstallation der App auf dem Endgerät),
• die Bereitstellung spezifischer Informationen für Minderjährige und die Eltern von Minderjährigen (Deliberation N°. 2020-056, Rn. 56, 59),
• die Aufnahme des Rechts auf Widerspruch und des Rechts auf Löschung der auf dem zentralen Server gespeicherten pseudonymen Daten in die Regierungsverordnung (Deliberation N°. 2020-056, Rn. 61 ff.); das Recht auf Berichtigung, das Recht auf Einschränkung der Verarbeitung und das Recht auf Datenübertragung sollen nicht zur Anwendung kommen,
• die Veröffentlichung des Quellcodes sowohl der App als auch der Software des Servers.

Das Ministerium hatte zuvor die Ansicht vertreten, das Recht auf Widerspruch und das Recht auf Löschung seien infolge von Art. 17 Abs. 3 lit. b und c DSGVO nicht anwendbar. Dem widersprach die CNIL unter Verweis auf freiwillige Nutzung der App. Das Recht auf Widerspruch werde nicht bereits dadurch verwirklicht, dass der Nutzer jederzeit die Nutzung der Anwendung beenden kann.

Die Absicht des Ministeriums, bei der Einrichtung der App durch den Nutzer eine Verifizierung per „Captcha“ vorzunehmen, sieht die CNIL zwar kritisch, hält dieses Vorgehen aber für grundsätzlich zulässig (Deliberation N°. 2020-056, Rn. 77).

Die Überprüfung des Systems auf technische Fehler soll auf das unbedingt notwendige Mindestmaß an Daten reduziert werden (Deliberation N°. 2020-056, Rn. 78).

Links:

Pressemitteilung der CNIL vom 30.4.2020 zur Deliberation N°. 2020-046 vom 24.4.2020 (englisch)

Pressemitteilung der CNIL vom 26.5.2020 zur Deliberation N°. 2020-056 vom 25.5.2020 (französisch)