18. Apr 2020, Christian Geminn
Am 16.4.2020 hat die Europäische Kommission in Reaktion auf zahlreiche Ansätze für Smartphone-Apps zur Bekämpfung des Corona-Virus unverbindliche Leitlinien zur Gewährleistung von Datenschutzstandards in diesen Apps veröffentlicht.
Am 16.4.2020 hat die Europäische Kommission in Reaktion auf
zahlreiche Ansätze für Smartphone-Apps zur Bekämpfung des Corona-Virus
unverbindliche Leitlinien zur Gewährleistung von Datenschutzstandards in diesen Apps
veröffentlicht. Die Leitlinien sollen Empfehlungen geben, wie die
Vorgaben des europäischen Datenschutzrechts bei der Entwicklung solcher
Apps beachtet werden können. Auch der Europäische Datenschutzausschuss
wurde im Zuge der Erstellung des Dokuments angehört. Zentrale
Botschaften der Leitlinien sind: Erstens setzt auch eine Krise wie die
aktuelle Corona-Krise die Grundprinzipien und Anforderungen des
Datenschutzrechts nicht außer Kraft. Und zweitens ist eine
datenschutzkonforme Gestaltung möglich und umzusetzen. Die Leitlinien
setzen auf den bereits am 8.4.2020 veröffentlichten Empfehlungen der Kommission zur Unterstützung von Ausstiegsstrategien durch Daten von mobilen Geräten und Mobil-Apps auf. Zeitgleich mit den Leitlinien stellte die Kommission ein EU-Instrumentarium
für die Nutzung von Mobil-Apps zur Kontaktnachverfolgung und Warnung
bei der Bekämpfung der Coronavirus-Pandemie vor.
Bezugspunkt der Leitlinien sind freiwillig installierte und genutzte
Smartphone-Apps, die mindestens eine der folgenden Funktionalitäten
entfalten:
- Informieren des Nutzers über die Pandemie,
- Fragebögen zur Selbstdiagnose und Symptomkontrolle,
- Kontaktverfolgung (Tracing) und -warnung sowie
- Kommunikationsforum zwischen Arzt und Patient i.S.d. Telemedizin.
Nicht behandelt werden Apps, die der Durchsetzung von Quarantänemaßnahmen dienen.
Die Leitlinien benennen zehn Elemente, die Grundrechtseingriffe durch
die Apps minimieren und Konformität mit datenschutzrechtlichen Vorgaben
sicherstellen sollen.
- Die Apps sollten so gestaltet werden, dass die nationalen
Gesundheitsbehörden datenschutzrechtlich Verantwortliche sind. Dadurch
soll ein kompetenter und vertrauenswürdiger Umgang mit den anfallenden
hochsensitiven Daten sichergestellt werden.
- Die Apps müssen
durch die Nutzer beherrschbar sein. Dazu gehört auch, dass ihr Einsatz
freiwillig ist und keine negativen Konsequenzen drohen, wenn die App
nicht genutzt wird. Verschiedene Funktionalitäten (s.o.) sollten nicht
zwangsweise gebündelt werden, damit sich der Einzelne bewusst für oder
gegen eine bestimmte Funktionalität entscheiden kann. Daten zur
Kontaktverfolgung sollten lokal gespeichert und nur mit Einwilligung des
Nutzers an die Behörden übertragen werden. Zudem muss sichergestellt
werden, dass die App die Informationspflichten der Art. 12 und 13 DSGVO
sowie des Art. 5 der ePrivacy-Richtlinie erfüllt; die Durchsetzbarkeit
der datenschutzrechtlichen Betroffenenrechte (Recht auf Löschung, Recht
auf Berichtigung etc.) muss garantiert sein. Einschränkungen der
genannten Rechte müssen verhältnismäßig sein. Außerdem sollte die App
spätestens dann automatisch deaktiviert werden, wenn die Pandemie als
unter Kontrolle gebracht gilt.
- Es wird empfohlen, im nationalen
Recht konkrete Rechtsgrundlagen für den Einsatz entsprechender Apps und
die Verarbeitung personenbezogener Daten durch die Apps vorzusehen,
sofern diese nicht bereits existieren.
- Der Grundsatz der
Datenminimierung ist zu beachten. Danach dürfen nur personenbezogene
Daten verarbeitet werden, die zur Erreichung des legitimen Zwecks
erforderlich sind. Die Kommission weist etwa darauf hin, dass eine App
zur Selbstdiagnose keinen Zugriff auf im Smartphone gespeicherte
Kontakte benötigt. In einem weiteren Beispiel erklärt die Kommission,
dass Standortdaten für das Tracing nicht erforderlich sind.
- Der
Zugriff auf die durch die App anfallenden Daten ist streng zu regeln. Es
dürfen nur die jeweils erforderlichen Daten nach außen fließen.
- Die
Zwecke der Datenerhebung sind klar zu benennen und im Recht des
jeweiligen Mitgliedstaats oder im EU-Recht spezifisch festzuhalten.
Unklarheiten bezogen auf die zur Zweckerreichung benötigten
personenbezogenen Daten müssen vermieden werden.
- Das Prinzip der
Speicherbegrenzung muss beachtet werden. Personenbezogene Daten dürfen
nur so lange gespeichert werden, wie dies zur Zweckerreichung
erforderlich ist.
- Die Kommission empfiehlt, dass Daten auf dem
Endgerät und in verschlüsselter Form abgelegt werden, um Datensicherheit
zu gewährleisten. Werden die Daten auf einem zentralen Server
gespeichert, so soll ein Zugriffsmanagement eingerichtet werden.
Annährungsdaten (proximity data) sollten bereits bei der
Erhebung pseudonymisiert werden. Der Quellcode der App sollte öffentlich
gemacht werden. Zudem empfiehlt die Kommission u.a. automatisierte
Löschroutinen.
- Die Richtigkeit der Daten muss sichergestellt
werden. Diese Vorgabe ergibt sich nicht nur aus der Notwendigkeit einer
effektiven Bekämpfung der Pandemie, sondern auch direkt aus dem
Datenschutzrecht. Falsch positive Ergebnisse sind zu vermeiden. Um
belastbare Informationen aus der App zu ziehen, sollte beim Tracing
nicht auf die ungenauen Standortdaten gesetzt werden, sondern auf
Bluetooth oder ähnliche Technologien.
- Die
Datenschutzaufsichtsbehörden sollte direkt in die Entwicklung von
entsprechenden Apps einbezogen werden. Die Kommission weist zudem auf
das zwingende Erfordernis der Durchführung einer
Datenschutz-Folgenabschätzung nach Art. 35 DSGVO hin.
Diese Leitlinien entsprechen weitgehend den bereits im Beitrag vom 14.4.2020 aufgeführten „Kriterien für eine datenschutzgerechte Corona-App“.
Die englischsprachigen Originaldokumente sind unter den folgenden Links abrufbar:
Über den Autor
Dr. Christian Geminn ist Geschäftsführer der Projektgruppe
verfassungsverträgliche Technikgestaltung (provet) im Wissenschaftlichen
Zentrum für Informationstechnikgestaltung (ITeG) der Universität Kassel
sowie Mitglied des vom Bundesministerium für Bildung und Forschung
(BMBF) geförderten “Forum Privatheit”.