14. Apr 2020, Alexander Roßnagel
Eine Corona-App muss das Grundrecht auf Datenschutz und informationelle Selbstbestimmung soweit wie möglich berücksichtigen, ohne dabei für die Infektionsbekämpfung und die Lockerung der Kontaktverbote und weiterer Freiheitseinschränkungen wichtige Effekte zu verlieren.
Eine Corona-App muss das Grundrecht auf Datenschutz und informationelle Selbstbestimmung soweit wie möglich berücksichtigen, ohne dabei für die Infektionsbekämpfung und die Lockerung der Kontaktverbote und weiterer Freiheitseinschränkungen wichtige Effekte zu verlieren (s. Beitrag den verfassungsrechtlichen Grundlagen für den Einsatz einer Corona-App). Wie kann jedoch festgestellt werden, wann die Corona-App dieses Ziel erreicht? Um dies besser bestimmen zu können, werden im Folgenden 10 Kriterien genannt, die die App und ihre vorgesehene Verwendungsweise möglichst weitgehend erfüllen müssen:
1. Freiwillige Nutzung
Die informationelle Selbstbestimmung ist dann am besten gewahrt, wenn jede Person selbst entscheiden kann, ob sie durch Nutzung der App zur Infektionsbekämpfung beitragen will.
2. Zweckbindung
Die App darf nur den Zweck verfolgen, für Infektionen kritische Situationen zu erkennen, und bei Eingabe des Nutzers, dass er infiziert ist oder Symptome hat, die von ihm potenziell Infizierten zu benachrichtigen.
3. Datenminimierung und Anonymisierung
Damit der Eingriff in das Grundrecht möglichst gering ist, darf die App nur das für den Zweck unabdingbare Minimum an personenbezogenen Daten erheben und muss sie sobald wie möglich zuverlässig anonymisieren. Sie sollte Daten möglichst schon anonym erheben.
4. Löschung
Nach der Information der potenziell Infizierten oder 14 Tage nach der für Infektionen kritischen Situation, löscht die App den jeweiligen Datensatz.
5. Transparenz
Die potenziell Infizierten sind über die Datenerhebung zu informieren. Die Funktionsweise der App wird öffentlich dargestellt und erläutert.
6. Integrität und Vertraulichkeit
Die App ist gegen Angriffe von außen ausreichend gesichert. Integrität, Authentizität und Vertraulichkeit ihrer Kommunikation sind gewährleistet. Manipulationen der App werden erkannt und verhindert.
7. Lokale Datenverarbeitung
Die App verarbeitet so viele Daten wie möglich im Smartphone des Nutzers. Datensammlungen außerhalb des Endgeräts sind ausgeschlossen.
8. Kein Zugriff über Betriebssysteme der Smartphones
Die Betreiber der Smartphone-Betriebssysteme wie Apple und Google haben keinen Zugriff auf Daten der Corona-App.
9. Technische Absicherung aller Anforderungen
Alle datenschutzrechtlichen Anforderungen sind durch die Architektur der Corona-App und ihre Technikgestaltung abgesichert.
10. Nachprüfbarkeit
Die App wird als Open Source-Projekt entwickelt, zumindest wird ihr Quellcode offengelegt, um Fachleuten eine Nachprüfung ihrer Funktionen und Sicherheitsmerkmale zu ermöglichen.
Eine App, die diese 10 Kriterien erfüllt, die freiwillig genutzt wird, die keine zentrale Datensammlung bewirkt, die auch ausschließt, dass Google oder Apple über ihre Betriebssysteme auf die Daten zugreifen können, die eine anonyme Information potenziell infizierter Personen bewirkt und nach kurzer Zeit die Kontaktdaten löscht, kann Virusbekämpfung und Grundrechtsschutz zugleich bewirken. Sie kann dadurch das Vertrauen hervorrufen, das notwendig ist, damit die überwiegende Mehrheit sie nutzt, um Infektionen mit dem Corona-SARS-CoV-2-Virus gesellschaftsweit zu bekämpfen.
Prof. Dr. Alexander Roßnagel ist Senior-Professor für öffentliches Recht mit dem Schwerpunkt Recht der Technik und des Umweltschutzes im Wissenschaftlichen Zentrum für Informationstechnikgestaltung (ITeG) der Universität Kassel und Sprecher des vom Bundesministerium für Bildung und Forschung geförderten „Forum Privatheit“.