Vor dem Hintergrund des aktuell alles bestimmenden Themas Corona-Pandemie wird immer wieder über eine Virus-Tracing-App diskutiert. Befürworter versprechen sich eine bessere Infektionsnachverfolgung, Kritiker warnen vor staatlicher Überwachung.
Nach intensiver Diskussion ist es kurzfristig ruhig um die App geworden. Ende Mai wurde eine Informationsseite im Internet geschaltet, die den Einsatz der App erklärt. Beteiligt sind neben SAP – auch verantwortlich für die Webseite – und der Telekom Deutschland auch das Fraunhofer Institut, die Hermann von Helmholtz-Gemeinschaft Deutscher Forschungszentren, das Robert Koch-Institut (RKI) und das Unternehmen HealthyTogether. Geplanter Start der App ist Mitte Juni.
Im Folgenden soll ein lediglich kurzer Überblick hinsichtlich des Unterschiedes zwischen Tracking und Tracing und über mögliche Rechtsgrundlagen in der aktuellen Diskussion gegeben werden.
1. Tracing versus Tracking
Hintergrund einer solchen Anwendung (App) auf Mobiltelefonen ist, dass mit dieser eine Nachvollziehbarkeit der Infektionskette für die Gesundheitsämter ermöglicht werden soll. In Abhängigkeit der Fallzahlen ist es den Gesundheitsämtern möglich, dies händisch und durch Interviews durch die Mitarbeiter zu tun. Ab einer gewissen Schwelle sind die personellen Kapazitäten der Ämter jedoch erschöpft und die Mitarbeiter nicht mehr in der Lage dies zu leisten.
Abhilfe kann unter Umständen ein automatisiertes Verfahren mit Hilfe von mobilen Endgeräten schaffen. Diese hat fast jede Bürgerin/jeder Bürger immer bei sich und hierüber können Kontakte mit Infizierten auf verschiedene Weise nachvollzogen werden.
Erste Überlegungen gingen in die Richtung, Standortdaten der einzelnen Mobilgeräte abzufragen, das Gesundheitsministerium legte hierzu einen stark umstrittenen Gesetzesentwurf vor. Etwa zur gleichen Zeit wurde berichtet, dass die Deutsche Telekom – wohl anonymisierte – Bewegungsdaten seiner Kunden an das RKI weitergegeben hat.
Durch entsprechende Apps können jedoch direkt über das Endgerät die Benutzer-Daten erhoben werden.
Möglich ist dabei ein Tracking, also die Verfolgung des Nutzers, über Funkzelleninformationen. Mittels Triangulation ist es dann möglich den Nutzer geografisch zu verfolgen. Werden GPS-Daten ausgelesen, gelingt dies noch genauer.
Während das Tracking eine Echtzeit-Verfolgung des Nutzers erlaubt, beschreibt das Tracing eine Nachverfolgung mit Blick in die Vergangenheit. Zeitlich versetzt sollen so relevante Aufenthalte – im Bedarfsfall – nachvollzogen werden. Dabei stehen die Informationen im Fokus, die Auskunft geben, welche Nutzer sich in der Nähe anderer Nutzer aufgehalten haben und nicht, an welchen Orten die Nutzer waren. Der Tracing-Ansatz wird aktuell favorisiert. So sollen hier keine sehr sensiblen Standortdaten ausgelesen werden, sondern über Bluetooth Low Energy (BLE) der Aufenthalt verschiedener Nutzer an demselben Ort bzw. in unmittelbarer Nähe zueinander ausgewertet werden. Über die Signalstärke gelingt es mit verschiedenen technischen Kniffen, den Abstand zwischen zwei Geräten realistisch abzuschätzen.
Halten sich zwei Geräte einen gewissen Zeitraum – diskutiert wird länger als 15 Minuten – näher als zwei Meter voneinander auf, wird dies auf den jeweiligen Geräten gespeichert. Jedes Gerät bzw. die App generiert eine permanente ID, die fest mit dem User verbunden ist und nicht geändert wird. Aus dieser permanenten ID (PUID) werden weitere flüchtige Identifier errechnet, die regelmäßig – zwischen einem Tag und allen 15 bis 30 Minuten – ergänzt werden. Diese flüchtigen IDs werden nach Aktivierung der App beständig über BLE ausgesendet und empfangen. Nach 14 Tagen werden die Informationen über die empfangenen IDs automatisch gelöscht.
- Zentrale vs. dezentrale Lösung
Zur Umsetzung dieses Vorgehens werden zwei Ansätze verfolgt:
Zum einen fand sich die Initiative „PEPP-PT“ (Pan-European Privacy-Preserving Proximity Tracing) zusammen, die ein umfangreiches Konzept entwickelte. Nachdem die PEPP-PT-Initiative zunächst einen dezentralen Ansatz verfolgte, dann aber auf eine zentrale Datenverwaltung setzte, gründete sich das Projekt „DP-3T“ (Decentralized Privacy-Preserving Proximity Tracing, auch: dp³t), welches wiederum einen dezentralen Ansatz weiterverfolgt.
Die skizzierte Herangehensweise ist bei beiden Standards gleich, Unterschiede ergeben sich insbesondere nach der Infektion des Users.
Nach den PEPP-PT-Vorgaben generiert ein zentraler Backend-Server auch die flüchtigen IDs eines jeden registrierten Nutzers. Diese werden auf Anfrage der App auf die Mobilgeräte übertragen. Bei einer bestätigten Infektion erhält der Nutzer eine TAN des Gesundheitsamtes, um die Infektion zu validieren. Die App lädt dann sämtliche gesammelten Daten auf den zentralen Server, auf dem die Berechnung des Infektionsrisikos für die mit dem Infizierten in Kontakt gekommenen User erfolgt. Sodann wird die Risikoeinschätzung an die potentialen Gefährdeten verschickt.
Nach dem DP-3T-Standard wird lediglich ein permanenter Seed Key an einen zentralen Server hochgeladen, nicht hochgeladen werden die flüchtigen IDs der getroffenen Kontaktpersonen. Das Backend sendet lediglich die IDs der Infizierten, die wiederum durch die App mit den empfangenen IDs abgeglichen wurden und eine Risikoeinschätzung auf dem jeweiligen Endgerät des Nutzers durchführt.
Durch den dezentralen Ansatz werden weit weniger Daten zentral gespeichert beziehungsweise erzeugt. Die Endgeräte übernehmen die meisten Aufgaben, zentral abgelegt werden nur die nötigsten Daten. Informationen von Nicht-Infizierten werden nicht an die Server übertragen. Kontakte von Infizierten werden ebenfalls nicht an den Server übertragen.
Auf Ortsdaten wird nach beiden Ansätzen verzichtet.
Nach heftiger Kritik (insbesondere durch den Chaos Computer Club) hat sich die Politik gegen eine zentrale Speicherung der Daten auf einem Server entschieden und favorisiert nun eine dezentrale Lösung.
Die britische Gesundheitsbehörde wiederum hat sich dem Vernehmen nach für einen zentralisierten Ansatz entschieden.
Die Hersteller von Google und Apple sehen in ihren Betriebssystemen (Android, iOS) auch die dezentrale Vorgehensweise vor, dies dürfte hier auch den Ausschlag für die Entscheidung der deutschen Politik gegeben haben. Eine entsprechende Schnittstelle (API) für die Bluetooth-Daten wollen beide Hersteller nur für einen dezentralen Ansatz freigeben. Die Anpassungen wurden mittlerweile vorgenommen (z. B. Apple iOS-Update 13.5). Ohne eine entsprechende App werden jedoch keine Daten ausgewertet.
2. Rechtsgrundlage und Einhaltung datenschutzrechtlicher Grundsätze
Die Rechtsgrundlage für eine derartige Datenerhebung richtet sich vornehmlich nach den verarbeiteten Daten bzw. Datenkategorien und den mit der Verarbeitung verfolgten Zwecken.
Wie beschrieben werden durch den nun favorisierten Ansatz, Bluetooth-Signalstärken auszuwerten, keine Informationen über den konkreten Standort eines Nutzers erhoben. Die strengen Vorgaben des Telekommunikationsgesetzes (TKG) bezüglich Standortdaten, die bei der Erbringung von Telekommunikationsdiensten erhoben und verarbeitet werden, (vgl. § 98 TKG, z. B. Funkzellenabfragen) müssen also nicht eigehalten werden. Weitaus genauere GPS-Daten, welche sich nach der (allgemeinen) DS-GVO richten würden, werden ebenfalls nicht verarbeitet
Kontaktinformationen
Erhoben und verarbeitet werden Informationen darüber, welches Endgerät sich in der Nähe eines anderen Endgerätes befand. Die Information, wann sich welcher Nutzer in der Nähe eines anderen Nutzers befindet, richtet sich nach den allgemeinen Vorgaben der Datenschutz-Grundverordnung (DS-GVO).
Auch wenn weder der Name des Nutzers, das konkrete Gerät oder sonstige selbstsprechende Daten verarbeitet werden, so handelt es sich um pseudonymisierte aber nach wie vor personenbezogene Daten. Eine vollständige Anonymisierung wird hier jedoch nicht hergestellt, ist aber auch nicht zielführend, da ja gerade eine Nutzerzuordnung erreicht werden soll und erforderlich ist.
Neben der Einwilligung, auf die noch zurückzukommen sein wird, sind folgende Rechtsgrundlagen denkbar:
Art. 6 Abs. 1 lit. c) DS-GVO sieht vor, dass die Verarbeitung personenbezogener Daten „zur Erfüllung einer rechtlichen Verpflichtung“ zulässig sein kann. Dieser Erlaubnistatbestand ist hier nicht einschlägig, etwaige Absichten, das Infektionsschutzgesetz (IfSG) zu ändern sind erst einmal vom Tisch.
Art. 6 Abs. lit. d) DS-GVO erlaubt Verarbeitungen, soweit sie erforderlich sind, „um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen“. Erwägungsgrund 112 Satz 2 DS-GVO konkretisiert dies auf die körperliche Unversehrtheit und das Leben.
Nach allem, was bislang über das SARS-CoV 2 Virus, bzw. die dadurch ausgelöste Lungenkrankheit Covid-19 bekannt ist, kann die Krankheit einen durchaus lebensbedrohlichen Verlauf nehmen, Spätfolgen sind noch nicht absehbar.
Die Zurückverfolgung der Infektionswege durch die Gesundheitsämter gilt als essentiell, um die Pandemie eindämmen zu können. Um also eine mitunter lebensbedrohliche – in der Regel aber Krankheitssymptome, deren Spätfolgen nicht absehbar sind, auslösende – Pandemie einzudämmen, ist die beschriebene Datenverarbeitung grundsätzlich geeignet.
Sie dürfte auch erforderlich sein und erst recht werden, soweit die Infektionsrate bei einem Wert liegt, welcher eine händische Auswertung durch die Gesundheitsämter unmöglich macht.
Auch soweit eine Infektion noch nicht besteht, erscheint das Erfassen von Kontaktinformationen aufgrund der ca. 14-tägigen Inkubationszeit von CoVid-19 noch erforderlich.
Die beschriebene Datenverarbeitung kann also – eine Bewertung im Einzelfall kann erst erfolgen, wenn eine App tatsächlich auf dem Markt ist – mit guten Argumenten auf den Erlaubnistatbestand des Art. 6 Abs. 1 lit. d) DS-GVO gestützt werden.
Unabhängig von dem zuvor Gesagten kann in die Datenverarbeitung durch den Nutzer eingewilligt werden (vgl. Art. 6 Abs. 1 lit. a) DS-GVO). Wichtig ist, dass die Einwilligung in informierter Weise erfolgt, der User also darüber informiert wird, was genau mit seinen Daten passiert. Zudem muss die App dem User die Möglichkeit einräumen, seine Einwilligung jederzeit (mit Wirkung für die Zukunft) zu widerrufen.
Informationen über eine Infektion
Werden die Kontaktinformationen mit der Information über eine durch einen offiziellen Test bestätigte Infektion angereichert, sind Gesundheitsdaten i. S. d. Art. 9 DS-GVO betroffen. Auch Art. 9 DS-GVO sieht vor, dass diese Daten – neben einer Einwilligung (vgl. Art. 9 Abs. 2 lit. a) DS-GVO) – verarbeitet werden dürfen, soweit sie für den „Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich“ ist (vgl. Art. 9 Abs. 2 lit. c) DS-GVO). Auch wenn bezüglich Gesundheitsdaten die Hürden für eine zulässige Verarbeitung höher sind als bei „herkömmlichen“ Kategorien personenbezogener Daten, dürfte ab einer gewissen Infektionszahl, welche es den Gesundheitsämtern unmöglich macht, Infektionswege manuell nachzuvollziehen (s. o.), eine Erhebung und Verarbeitung von Infektionsinformationen erforderlich sein.
Gemäß Art. 9 Abs. 2 lit. a) DS-GVO ist auch hier eine Einwilligung des Users möglich. Mit Blick auf die Informiertheit ist hier jedoch eine umfassende Information des Users darüber erforderlich, welche Daten wie lange verarbeitet und gespeichert werden und wer an der Verarbeitung dieser Daten beteiligt ist.
Zu beachten ist ferner, dass Art. 9 Abs. 3 in Verbindung mit Abs. 2 lit. h) DS-GVO vorsieht, dass die Verarbeitung nur durch Fachpersonal erfolgen darf, welches einer beruflichen Verschwiegenheitspflicht unterliegt.
Weitere Datenschutzgrundsätze
Die Verwendung von flüchtigen IDs, die automatische Löschung der Daten nach dem Inkubationszeitraum von 14 Tagen und insbesondere der nun favorisierte dezentrale Ansatz, zahlen zudem auf die weiteren Datenschutzziele der Datensparsamkeit und der datenschutzfreundlichen Voreinstellung (Art. 25 DS-GVO) ein.
Da die konkrete App noch nicht erhältlich ist, lassen sich noch keine technischen und organisatorischen Maßnahmen bewerten. Seit kurzem ist der Quellcode der App veröffentlicht worden ), zu dem bereits verschiedene Stellungnahmen eingegangen sind.
Der Entschluss, den dezentralen Standard DP-3T zu bevorzugen, ist aus datenschutzrechtlicher Perspektive zu begrüßen.
3. Ausblick
Wie beschrieben, besteht – neben einer Einwilligung des Nutzers – die Möglichkeit, auf gesetzliche Erlaubnistatbestände zurückzugreifen, um die Datenverarbeitungen durch eine Corona-App zu rechtfertigen.
Festzuhalten ist jedoch Folgendes: Selbst wenn auch ohne Einwilligung eine solche Verarbeitung grundsätzlich zulässig sein kann, wird es in der Praxis kaum ohne die Mitarbeit des Nutzers gehen. Nicht ersichtlich ist, wie der Staat den einzelnen Nutzer dazu verpflichten könnte, die App tatsächlich zu installieren und wie dies nachvollzogen werden sollte, ohne dass zumindest enormer (und dann wahrscheinlich unverhältnismäßig hoher) Verwaltungsaufwand betrieben werden müsste. Zudem wird ohne die Gerätehersteller nicht erreicht werden können, auf jedem in Deutschland eingesetzten Endgerät, diese App zu installieren. Hier würden zusätzliche rechtliche Probleme auftreten.
Über die Lock Down-Verfügungen der Bundes- bzw. der Landesregierungen kann man sicherlich im Detail geteilter Meinung sein. Hervorzuheben ist – Stand heute –, dass Deutschland im Vergleich zu seinen europäischen Nachbarn und erst recht im Vergleich zu den USA durch die Corona-Pandemie recht glimpflich davongekommen ist.
Nichtsdestotrotz ist das Tracing von Infektionsfällen durch die Gesundheitsämter maßgeblich, um einer Pandemie Herr zu werden. Bei dramatischeren Verläufen einer Epidemie wird eine händische Nachverfolgung der Infektionswege nicht möglich sein. Durch die 14-tägige Inkubationszeit wird die Nachverfolgung auch bei geringeren Fallzahlungen erschwert, da der Virus schon durch Menschen weitergegeben werden kann, die noch keinerlei Symptome spüren.
Eine dezentral organisierte Corona-App kann hier einen wichtigen Beitrag leisten. Der dezentrale Ansatz hat aus Gründen der Datensparsamkeit Vorteile, dennoch werden grundsätzlich sehr sensible Gesundheitsdaten verarbeitet.
Am Ende wird man auf die Zustimmung der Nutzer angewiesen bleiben. Ein verpflichtender Einsatz dürfte spätestens in der Umsetzung scheitern – auch wenn der verpflichtende Einsatz einer App auf dem Smartphone weniger eingriffsintensiv sein kann als unter Umständen Ausgangssperren bzw. Kontaktverbote.
Zum Autor:
Marc Schramm ist zugelassener Rechtsanwalt und arbeitet bei der migosens GmbH als Senior Consultant im Bereich Datenschutz. Sein Tätigkeitsschwerpunkt liegt im Bereich Telekommunikationsdatenschutzes. Hierzu gehören Fragestellungen, wie der Umgang mit Bestands- und Verkehrsdaten, der datenschutzkonforme Betrieb von Apps und Webseiten.
Vor seiner Tätigkeit bei der migosens GmbH war Marc Schramm u. a. als Rechtsanwalt in der Telekommunikationsbranche tätig.
