Notwendige datenschutzgesetzliche Regelungen zur Einführung der Tracing-App

Mitte Juni soll die von SAP und T-Systems entwickelte Tracing App kommen. Das Robert-Koch-Institut (RKI), eine Bundesoberbehörde, soll sie anbieten. Kann dies ohne gesetzliche Regelungen erfolgen? Welche Regelungen zum Datenschutzrecht müsste dieses Gesetz enthalten?

Die Datenschutz-Grundverordnung steht der Einführung einer Tracing-App nicht entgegen (s. Beitrag “Muss die Datenschutz-Grundverordnung geändert werden?“), enthält aber auch keine spezifischen Regelungen für sie. Vielmehr regelt sie in Art. 6 Abs. 1 UAbs. 1 Buchst. e in Verbindung mit Abs. 2 und 3, dass jede Datenverarbeitung im öffentlichen Interesse jeweils von einer spezifischen gesetzlichen Grundlage der Mitgliedstaaten erlaubt werden muss. Dies ist beim Infektionsschutz der Fall. Da für diesen die Europäische Union keine Regelungskompetenz hat, fordert die Datenschutz-Grundverordnung also in jedem Mitgliedstaat ein eigenes Gesetz zur Tracing-App – im Ergebnis also 27 vermutlich sehr verschiedene Gesetze der Mitgliedstaaten.

Außerdem ist die Information, infiziert zu sein, eine Information über den Gesundheitszustand einer Person, die nach Art. 9 Abs. 1 DSGVO besonders geschützt ist. Sie darf nur verarbeitet werden, wenn ein nationales Gesetz dies gemäß Art. 9 Abs. 2 Buchst. h oder i DSGVO ausdrücklich erlaubt.

Abstrakte Vorschläge zum Inhalt eines solchen Gesetzes hat am 21. April 2020 der Europäische Datenschutzausschuss vorgelegt (s. Beitrag “Bedürfen Corona-Tracing-Apps einer gesetzlichen Grundlage?“). Die Vorschläge gelten für alle Tracing-Apps, die damals in Europa noch in der Diskussion waren. Im Folgenden werden diese Vorschläge bezogen auf die jetzt entwickelte App präzisiert und erweitert.

Datenschutzrechtliche Erlaubnisse
Für die Ausgabe der App und ihre Gestaltung (z.B. Definition des Risiko-Kontakts, Festlegungen der App-Meldungen, präzise Festlegungen der Sicherheitsmaßnahmen) ist datenschutzrechtlich das RKI verantwortlich. Es speichert außerdem die temporären pseudonymen IDs der App-Besitzer, die sich als infiziert melden, und bietet diese IDs allen anderen Apps zum Abruf an. Die IDs bieten zwar einen hohen Schutz gegen Aufdeckung, sind aber dennoch nicht als anonyme, sondern als personenbeziehbare Daten anzusehen, weil eine Aufdeckung durch das RKI oder durch eine Kontaktperson nicht in jedem Einzelfall vollständig ausgeschlossen werden kann. Daher muss das Gesetz die Datenverarbeitung dem RKI erlauben und zugleich Schutzvorkehrungen festlegen, um die Risiken dieser Erlaubnis auf ein vertretbares niedriges Maß zu beschränken.

Die Besitzer der App benötigen ebenfalls eine datenschutzrechtliche Erlaubnis dafür, dass ihre App IDs von den Risiko-Kontakt-Personen speichert, die IDs der Infizierten vom Server des RKI abruft mit den gespeicherten Kontakt-IDs abgleicht. Auch für diese Datenverarbeitungen sind Schutzvorkehrungen vorzusehen.

Freiwilligkeit der App-Nutzung
Das Gesetz muss festlegen, dass alle Bürger frei darüber entscheiden können, ob sie die App auf ihr Smartphone laden und ob sie die App in allen Phasen der Datenverarbeitung nutzen. Freiwillig muss auch die Meldung einer Infektion über die App sein.

Diskriminierungsverbot
Um die Freiwilligkeit zu sichern, muss das Gesetz sicherstellen, dass niemand rechtlich oder faktisch gezwungen werden darf, die App zu nutzen, um gravierende Nachteile zu vermeiden.

Zweckfestlegung und Zweckbegrenzung
Das Gesetz muss festlegen, dass die App nur temporäre und kryptografisch geschützte IDs erheben, speichern und abgleichen darf. Außerdem darf das RKI nur IDs auf seinem Server speichern und zum Abruf anbieten, die Infizierte über ihre App dem RKI gemeldet haben. Diese Datenverarbeitungen dürfen von allen Beteiligten ausschließlich zu dem Zweck verwendet werden, um das Nachverfolgen von Risiko-Kontakten zu ermöglichen. Die Verwendung der IDs für andere Zwecke ist ausdrücklich auszuschließen. Ein Zugriff der Smartphone-Betriebssysteme auf die IDs ist gesetzlich zu untersagen.

Absicherung der Zweckbindung und der Datenminimierung
Das Gesetz muss Schutzvorkehrungen festlegen, die eine Aufdeckung von Identitäten verhindern und die Zweckbindung sicherstellen. Hierzu gehören unter anderem die Festlegungen

• der dezentralen Architektur der Datenverarbeitung,
• der kryptografischen Funktionen zum Schutz der IDs,
• des Schutzes der App und ihrer Kommunikation gegen Angriffe von außen,
• der Zusatzinformationen die zur ID einer Kontaktperson gespeichert werden (wie z.B. nur der Tag des Kontakts, aber nicht Uhrzeit und Ort).
• Zum Schutz der Pseudonymität der App-Nutzenden (jede Aufhebung ist untersagt und wird sanktioniert).

Speicherbegrenzung
Das Gesetz muss festlegen, dass die App die IDs von Risiko-Kontakt-Personen nach einer bestimmten Zeit (z.B. drei Wochen nach dem Kontakt) und der Server des RKI die IDs von Infizierten nach einer bestimmten Zeit (z.B. drei Wochen nach ihrer Meldung) löscht.

Veröffentlichung der Algorithmen und Quellcodes

Das Gesetz sollte festlegen, dass der Quellcode des gesamten IT-Systems der Tracing-App und späterer Änderungen für eine öffentliche Prüfung zugänglich ist.

Verwendung in Verwaltungsverfahren

Das Gesetz muss außerdem festlegen, dass die App neben den Verwaltungsverfahren der Gesundheitsämter verwendet wird und diese keinen Zugriff auf die Daten haben.

Die Meldungen der App an die Nutzenden sollten keinen amtlichen Charakter haben (z.B. keine Aufforderung, sich beim Gesundheitsamt zu melden, sich testen zu lassen oder sich in Quarantäne zu begeben), sondern bestimmte Verhaltensweisen empfehlen.

Missbrauchsverhinderung

Um zu verhindern, dass Störenfriede die Funktionen der App missbrauchen und insbesondere viele Falsch-Positiv-Fälle erzeugen, muss das Gesetz festlegen, unter welchen Voraussetzungen das RKI den Abruf einer ID ermöglichen darf (z.B. nach einem positiven Virus-Test). Hierfür müssen die Meldenden sich als positiv Getestete ausweisen (z.B. durch eine TAN der Test-Station oder des Gesundheitsamts).

Rechtsfolgen positiven Risiko-Kontakte

Das Gesetz muss die Rechtsfolgen für den Fall regeln, dass die App empfiehlt, sich in Quarantäne zu begeben. Diese Empfehlung sollte gegenüber Arbeitgebern und in Verwaltungsverfahren ausreichen, um die gleichen Rechtsfolgen zu bewirken wie eine Quarantäne-Anordnung des Gesundheitsamts. Eventuell könnte eine Bestätigung des Gesundheitsamts gefordert werden.

Datenschutz-Folgenabschätzung

Da die App neue Technologien verwendet und voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Nutzer birgt, ist eine Datenschutz-Folgenabschätzung durchzuführen. Diese sollte nicht durch das RKI, sondern durch den Gesetzgeber nach Art. 35 Abs. 10 DSGVO erfolgen.

Auslaufklausel
Das Gesetz muss sicherstellen, dass jeder Nutzende die App jederzeit auf seinem Smartphone rückstandsfrei löschen kann. Auch muss es bestimmen, wann die App nicht mehr eingesetzt werden soll. Das RKI sollte dafür verantwortlich sein, dass zu diesem Zeitpunkt das gesamte IT-System der Tracing-App außer Betrieb genommen wird.

Die Bürgerinnen und Bürger werden die Tracing-App nur dann in einen Umfang nutzen, der ausreichend ist, um das Infektionsgeschehen einzudämmen, wenn sie ihr vertrauen können. Sie müssen davon überzeugt sein, dass ihre Grundrechte auf Datenschutz und informationelle Selbstbestimmung gewährleistet sind, wenn sie die App verwenden. Dies ist nicht nur eine Frage der technischen Gestaltung und der Aufklärung über ihre Datenschutzfunktionen. Vielmehr muss auch der Gesetzgeber zeigen, dass er diese Grundrechte schützt, und einen rechtlichen Rahmen setzen, der wirksamen Datenschutz gewährleistet. Nur unter diesen Voraussetzungen kann er Gesundheitsschutz, Freiheitsschutz und Datenschutz gleichermaßen gerecht werden (s. Beitrag “Verfassungsrechtliche Grundlagen für den Einsatz einer Corona-App”).