Muss die Datenschutz-Grundverordnung geändert werden?

Am 13. April 2020 hat die Akademie der Wissenschaften Leopoldina in ihrer Stellungnahme „Coronavirus-Pandemie – Die Krise nachhaltig überwinden“ folgende politische Empfehlung für das Datenschutzrecht gegeben:

„Angesichts der Erfahrung der derzeitigen Pandemie sollten auf europäischer Ebene die Datenschutzregelungen für Ausnahmesituationen überprüft und ggfs. mittelfristig angepasst werden. Dabei sollte die Nutzung von freiwillig bereit gestellten personalisierten Daten, wie beispielsweise Bewegungsprofile (GPS-Daten) in Kombination mit Contact-Tracing in der gegenwärtigen Krisensituation ermöglicht werden.“ (S. 7)

Diese Empfehlung unterstellt, dass eine Corona-App gegen die Datenschutz-Grundverordnung verstoßen könnte und deshalb für die gewünschten Datenerhebungen die Anforderungen des Datenschutzrechts reduziert werden müssten. Diese Annahme wird im Folgenden überprüft.

Die Datenschutz-Grundverordnung regelt die Zulässigkeit der Datenverarbeitung in Art. 6 Abs. 1 Unterabs. 1. Danach ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

„d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen“.

Es gibt in der Datenschutz-Grundverordnung also bereits eine Regelung für Ausnahmesituationen. Allerdings verlangt diese eine konkrete Gefährdung der lebenswichtigen Interessen. Soweit Vorsorgemaßnahmen wie die Erfassung von Bewegungsprofilen oder Contact-Tracing in Frage stehen ist nicht Buchst. d, sondern Buchst. e einschlägig:

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.“

Infektionsschutzmaßnahmen liegen sowohl im öffentlichen Interesse als auch erfolgen sie in Ausübung öffentlicher Gewalt. Für die Datenverarbeitung, die Buchst. e unterfällt sehen jedoch Art. 6 Abs. 2 und 3 DSGVO Öffnungsklauseln für die nationale Gesetzgebung vor. Zwangsweise durchgeführte Datenverarbeitungen für Infektionsschutzmaßnahmen werden also nicht in der Datenschutz-Grundverordnung geregelt, sondern im deutschen Recht. Eine Anpassung der Datenschutzregelungen auf europäischer Ebene würde somit nicht weiterhelfen.

Soweit die zu verarbeitenden Daten anonym sind, ist Datenschutzrecht ohnehin nicht anwendbar (s. Beitrag zu Anonymität und Corona-App).

Soweit die Daten zwar personenbezogen sind, aber freiwillig bereit gestellt werden, liegt eine Einwilligung vor, die nach Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO die Datenverarbeitung rechtfertigt, wenn die betroffene Person vorher ausreichend über die Datenverarbeitung informiert worden ist. Benachrichtigt beim Contact-Tracing die App potenziell Infizierte, wird diesen zwar ein Gesundheitsdatum übermittelt, aber das betrifft sie nur selbst. Das Datenschutzrecht schützt nicht vor Informationen an die betroffene Person über sich selbst. Wird nur für diesen Zweck die Kontaktadresse der potenziell Infizierten in der App gespeichert und nach der Benachrichtigung gelöscht, ist diese Speicherung datenschutzrechtlich erlaubt. Der App-Besitzer kann sich gemäß Art. 6 Abs. 1 Unterabs. 1 Buchst. a DSGVO auf berechtigte Interessen berufen, die mögliche entgegenstehende Interessen deshalb überwiegen, weil über die potenziell infizierte Person nur der Umstand einer möglichen Infektion und eine Adresse zur Benachrichtigung gespeichert wird, aber sonst keine Daten wie etwa die GPS-Daten des Orts der möglichen Infektion.

Insofern ist die Nutzung „freiwillig bereit gestellter personalisierter Daten“, wie beispielsweise für „Bewegungsprofile (GPS-Daten)“ oder für „Contact-Tracing“ grundsätzlich datenschutzrechtlich möglich. Einer Anpassung des Datenschutzrechts bedarf es nicht.

Jede zulässige Datenverarbeitung muss die Grundsätze der Zweckbindung und Datenminimierung nach Art. 5 Abs. 1 Buchst. b und c DSGVO beachten. Die personenbezogenen Daten dürfen Apps nur für den Zweck des Contact-Tracing oder der Erfassung von Bewegungsprofilen verarbeiten. Diese beiden Zwecke müssen allerdings getrennt durch unterschiedliche Apps verfolgt werden – und gerade nicht in Kombination (s. Beitrag zu GPS-Daten). Für jeden Zweck darf die jeweilige App nur die Daten verarbeiten, die für diesen Zweck unbedingt erforderlich sind. Und sie darf diese Daten auch nur solange speichern, wie dies erforderlich ist (s. Beitrag zu GPS-Daten). Die Effektivität der App für medizinische oder epidemiologische Vorsorge wird durch diese Anforderungen nicht geschmälert. Vielmehr wird Vertrauen erzeugt und die Chance einer breiten freiwilligen Nutzung erhöht.

Ist die App so gestaltet, dass sie diese Grundsätze einhält, sind für ihre effektive Nutzung keine Änderungen im Datenschutzrecht erforderlich. Soll die App dagegen mehr Daten als erforderlich oder für andere Zwecke als für medizinische oder epidemiologische Vorsorge verarbeiten, ist es richtig, dass das Datenschutzrecht solche Apps verhindert. Eine Änderung des Datenschutzrechts ist deswegen nicht zu empfehlen.

An der Stellungnahme der Leopoldina hat kein Datenschutzexperte mitgearbeitet. Sie sollte sich daher einer politischen Empfehlung zum Datenschutz enthalten.