20. Mai 2020, Alexander Roßnagel
Mitte Juni soll die von SAP und T-Systems entwickelte Tracing App kommen. Das Robert-Koch-Institut (RKI), eine Bundesoberbehörde, soll sie anbieten. Kann dies ohne gesetzliche Regelungen erfolgen? Welche Regelungen zum Datenschutzrecht müsste dieses Gesetz enthalten?
Mitte Juni soll die von SAP und T-Systems entwickelte Tracing App kommen. Das Robert-Koch-Institut (RKI), eine Bundesoberbehörde, soll sie anbieten. Kann dies ohne gesetzliche Regelungen erfolgen? Welche Regelungen zum Datenschutzrecht müsste dieses Gesetz enthalten?
Die Datenschutz-Grundverordnung steht der Einführung einer Tracing-App nicht entgegen (s. Beitrag “Muss die Datenschutz-Grundverordnung geändert werden?“), enthält aber auch keine spezifischen Regelungen für sie. Vielmehr regelt sie in Art. 6 Abs. 1 UAbs. 1 Buchst. e in Verbindung mit Abs. 2 und 3, dass jede Datenverarbeitung im öffentlichen Interesse jeweils von einer spezifischen gesetzlichen Grundlage der Mitgliedstaaten erlaubt werden muss. Dies ist beim Infektionsschutz der Fall. Da für diesen die Europäische Union keine Regelungskompetenz hat, fordert die Datenschutz-Grundverordnung also in jedem Mitgliedstaat ein eigenes Gesetz zur Tracing-App – im Ergebnis also 27 vermutlich sehr verschiedene Gesetze der Mitgliedstaaten.
Außerdem ist die Information, infiziert zu sein, eine Information über den Gesundheitszustand einer Person, die nach Art. 9 Abs. 1 DSGVO besonders geschützt ist. Sie darf nur verarbeitet werden, wenn ein nationales Gesetz dies gemäß Art. 9 Abs. 2 Buchst. h oder i DSGVO ausdrücklich erlaubt.
Abstrakte Vorschläge zum Inhalt eines solchen Gesetzes hat am 21. April 2020 der Europäische Datenschutzausschuss vorgelegt (s. Beitrag “Bedürfen Corona-Tracing-Apps einer gesetzlichen Grundlage?“). Die Vorschläge gelten für alle Tracing-Apps, die damals in Europa noch in der Diskussion waren. Im Folgenden werden diese Vorschläge bezogen auf die jetzt entwickelte App präzisiert und erweitert.
Datenschutzrechtliche Erlaubnisse
Für die Ausgabe
der App und ihre Gestaltung (z.B. Definition des Risiko-Kontakts,
Festlegungen der App-Meldungen, präzise Festlegungen der
Sicherheitsmaßnahmen) ist datenschutzrechtlich das RKI verantwortlich.
Es speichert außerdem die temporären pseudonymen IDs der App-Besitzer,
die sich als infiziert melden, und bietet diese IDs allen anderen Apps
zum Abruf an. Die IDs bieten zwar einen hohen Schutz gegen Aufdeckung,
sind aber dennoch nicht als anonyme, sondern als personenbeziehbare
Daten anzusehen, weil eine Aufdeckung durch das RKI oder durch eine
Kontaktperson nicht in jedem Einzelfall vollständig ausgeschlossen
werden kann. Daher muss das Gesetz die Datenverarbeitung dem RKI
erlauben und zugleich Schutzvorkehrungen festlegen, um die Risiken
dieser Erlaubnis auf ein vertretbares niedriges Maß zu beschränken.
Die Besitzer der App benötigen ebenfalls eine datenschutzrechtliche Erlaubnis dafür, dass ihre App IDs von den Risiko-Kontakt-Personen speichert, die IDs der Infizierten vom Server des RKI abruft mit den gespeicherten Kontakt-IDs abgleicht. Auch für diese Datenverarbeitungen sind Schutzvorkehrungen vorzusehen.
Freiwilligkeit der App-Nutzung
Das Gesetz muss
festlegen, dass alle Bürger frei darüber entscheiden können, ob sie die
App auf ihr Smartphone laden und ob sie die App in allen Phasen der
Datenverarbeitung nutzen. Freiwillig muss auch die Meldung einer
Infektion über die App sein.
Diskriminierungsverbot
Um die Freiwilligkeit zu
sichern, muss das Gesetz sicherstellen, dass niemand rechtlich oder
faktisch gezwungen werden darf, die App zu nutzen, um gravierende
Nachteile zu vermeiden.
Zweckfestlegung und Zweckbegrenzung
Das Gesetz
muss festlegen, dass die App nur temporäre und kryptografisch geschützte
IDs erheben, speichern und abgleichen darf. Außerdem darf das RKI nur
IDs auf seinem Server speichern und zum Abruf anbieten, die Infizierte
über ihre App dem RKI gemeldet haben. Diese Datenverarbeitungen dürfen
von allen Beteiligten ausschließlich zu dem Zweck verwendet werden, um
das Nachverfolgen von Risiko-Kontakten zu ermöglichen. Die Verwendung
der IDs für andere Zwecke ist ausdrücklich auszuschließen. Ein Zugriff
der Smartphone-Betriebssysteme auf die IDs ist gesetzlich zu untersagen.
Absicherung der Zweckbindung und der Datenminimierung
Das
Gesetz muss Schutzvorkehrungen festlegen, die eine Aufdeckung von
Identitäten verhindern und die Zweckbindung sicherstellen. Hierzu
gehören unter anderem die Festlegungen
Speicherbegrenzung
Das Gesetz muss festlegen,
dass die App die IDs von Risiko-Kontakt-Personen nach einer bestimmten
Zeit (z.B. drei Wochen nach dem Kontakt) und der Server des RKI die IDs
von Infizierten nach einer bestimmten Zeit (z.B. drei Wochen nach ihrer
Meldung) löscht.
Veröffentlichung der Algorithmen und Quellcodes
Das Gesetz sollte festlegen, dass der Quellcode des gesamten IT-Systems der Tracing-App und späterer Änderungen für eine öffentliche Prüfung zugänglich ist.
Verwendung in Verwaltungsverfahren
Das Gesetz muss außerdem festlegen, dass die App neben den Verwaltungsverfahren der Gesundheitsämter verwendet wird und diese keinen Zugriff auf die Daten haben.
Die Meldungen der App an die Nutzenden sollten keinen amtlichen Charakter haben (z.B. keine Aufforderung, sich beim Gesundheitsamt zu melden, sich testen zu lassen oder sich in Quarantäne zu begeben), sondern bestimmte Verhaltensweisen empfehlen.
Missbrauchsverhinderung
Um zu verhindern, dass Störenfriede die Funktionen der App missbrauchen und insbesondere viele Falsch-Positiv-Fälle erzeugen, muss das Gesetz festlegen, unter welchen Voraussetzungen das RKI den Abruf einer ID ermöglichen darf (z.B. nach einem positiven Virus-Test). Hierfür müssen die Meldenden sich als positiv Getestete ausweisen (z.B. durch eine TAN der Test-Station oder des Gesundheitsamts).
Rechtsfolgen positiven Risiko-Kontakte
Das Gesetz muss die Rechtsfolgen für den Fall regeln, dass die App empfiehlt, sich in Quarantäne zu begeben. Diese Empfehlung sollte gegenüber Arbeitgebern und in Verwaltungsverfahren ausreichen, um die gleichen Rechtsfolgen zu bewirken wie eine Quarantäne-Anordnung des Gesundheitsamts. Eventuell könnte eine Bestätigung des Gesundheitsamts gefordert werden.
Datenschutz-Folgenabschätzung
Da die App neue Technologien verwendet und voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Nutzer birgt, ist eine Datenschutz-Folgenabschätzung durchzuführen. Diese sollte nicht durch das RKI, sondern durch den Gesetzgeber nach Art. 35 Abs. 10 DSGVO erfolgen.
Auslaufklausel
Das Gesetz muss sicherstellen,
dass jeder Nutzende die App jederzeit auf seinem Smartphone
rückstandsfrei löschen kann. Auch muss es bestimmen, wann die App nicht
mehr eingesetzt werden soll. Das RKI sollte dafür verantwortlich sein,
dass zu diesem Zeitpunkt das gesamte IT-System der Tracing-App außer
Betrieb genommen wird.
Die Bürgerinnen und Bürger werden die Tracing-App nur dann in einen Umfang nutzen, der ausreichend ist, um das Infektionsgeschehen einzudämmen, wenn sie ihr vertrauen können. Sie müssen davon überzeugt sein, dass ihre Grundrechte auf Datenschutz und informationelle Selbstbestimmung gewährleistet sind, wenn sie die App verwenden. Dies ist nicht nur eine Frage der technischen Gestaltung und der Aufklärung über ihre Datenschutzfunktionen. Vielmehr muss auch der Gesetzgeber zeigen, dass er diese Grundrechte schützt, und einen rechtlichen Rahmen setzen, der wirksamen Datenschutz gewährleistet. Nur unter diesen Voraussetzungen kann er Gesundheitsschutz, Freiheitsschutz und Datenschutz gleichermaßen gerecht werden (s. Beitrag “Verfassungsrechtliche Grundlagen für den Einsatz einer Corona-App”).
Prof. Dr. Alexander Roßnagel ist Senior-Professor für öffentliches Recht mit dem Schwerpunkt Recht der Technik und des Umweltschutzes im Wissenschaftlichen Zentrum für Informationstechnikgestaltung (ITeG) der Universität Kassel und Sprecher des vom Bundesministerium für Bildung und Forschung (BMBF) geförderten „Forum Privatheit“.
Wären unter vergleichbaren – ggf. angepassten – Regelungen auch andere Ansätze als der gegenwärtig verfolgte akzeptabel?
Ich denke dabei erstens an Architekturvarianten bei vergleichbarem Konzept, namentlich den Verzicht auf demonstrative Dezentralität zugunsten nützlicher Feedback- und Monitoring-Funktionen. Im Betrieb den Erfolg zu messen und die Anwendung weiterzuentwickeln ist Stand der Technik, der Verzicht zumindest auf ein Monitoring bei einer experimentellen und spekulativ eingesetzten Technik grob fahrlässig.
Zweitens denke ich an alternative Ansätze wie technisch unterstützte Tagebücher, die im Falle einer nötigen Kontaktverfolgung im Rahmen des herkömmlichen Vorgehens ausgewertet werden, sowie an alternative Formen der Benachrichtigung, die etwa in Südkorea eingesetzt werden. Die Vorstellung, Menschen würden und sollten bereitwillig Kommandos oder Empfehlungen ihrer Smartphones folgen, zumal aufgrund des Konzepts völlig unbegründeten und nicht nachvollziehbaren, erscheint nicht allzu plausibel und wahrscheinlich ein Irrweg; eine sinnvolle Integration oder auch nur Koordination der automatisierten Kontaktverfolgung mit der herkömmlichen lässt sich ebenfalls bislang nicht erkennen.
Drittens sind verfahrensfremde, aber nützliche Zusatzfunktionen zum gegewärtigen Ansatz denkbar. So drängt sich beispielsweise die Idee auf, neben der Buetooth-gestützten automatisierten Kontakterfassung auch die Dokumentation von Restaurantbesuchen etc. digital vorzunehmen. Dies könnte sogar dem Datenschutz dienen, indem Betroffene leichter den Überblick über den Verbleib ihrer Daten behalten sowie seitens der Verantwortlichen bzw. Verarbeiter Zugriffskontrollen und automatische Löschungen leichter umzusetzen sind.
Könnte man das alles technisch und funktional besser machen, regelte man nur die Randbedingungen gesetzlich, oder ist der gegenwärtig verfolgte Ansatz alternativlos?