Die Corona-App - 9. April 2020

Sind unsere Daten sicher?

Das Robert-Koch Institut bietet laut eigener Aussage seit dem 7. April 2020 die bereits vor Wochen angekündigte und sowohl im Netz als auch in den Medien heiß diskutierte Corona-App zum Download an. Starke Bedenken haben vor allem Datenschützer: Sie sind der Auffassung, dass die App zu stark in die Grundfreiheiten der Menschen eingreift und deren Privatsphäre verletzt.

Die Corona-App funktioniert vor allem dann, wenn möglichst viele Menschen die App installieren. Je mehr, desto besser die verwertbare Datenmenge. Ähnlich wie die vielfach verbreiteten Fitness- und Gesundheits-Apps kann sie mit sogenannten Wearables kommunizieren. Das sind beispielsweise Fitnessarmbänder und Smartwatches, die in der Lage sind, den Puls, die Körpertemperatur sowie das Schlafverhalten ihrer Besitzer zu erfassen. Diese Geräte liefern die Daten in die Corona-App, die dadurch Hinweise auf Symptome einer Corona-Infektion erhält. Wenn sich nun eine Person mutmaßlich mit dem Corona-Virus infiziert hat, was durch den Algorithmus der App bestimmt wird, fließen diese Daten in eine Karte des Robert-Koch Instituts (RKI). Diese Karte, die das RKI auf seiner Website veröffentlichen und regelmäßig aktualisieren wird, soll die Verbreitung von möglicherweise infizierten Personen bis auf die Ebene der Postleitzahl visuell darstellen. Was die App nicht kann: Nutzer vor anderen infizierten Personen warnen.

Ist die Corona-App datenschutzkonform?

Nach den Angaben des RKI soll die Nutzung der App freiwillig und „pseudonymisiert“ erfolgen. Auf die von der App erhobenen Angaben zu Geschlecht, Alter, Gewicht, Körpergröße, Gesundheits- und Aktivitätsdaten sowie Postleitzahl soll das RKI nicht direkt zugreifen können. Die Verwendung der Daten erfolgt vielmehr über eine Nutzer-ID (dem Pseudonym), die an die Stelle der Klardaten tritt. Da die App unter anderem auch Gesundheitsdaten erhebt, kann die Rechtsgrundlage für die Datenverarbeitung ausschließlich eine Einwilligung nach Art. 6 Abs. 1 S. 1 a) der EU-Datenschutz-Grundverordnung (DSGVO) sein. Trotz einer solchen Einwilligung, die jeder Nutzer vor der Inbetriebnahme der App erteilt, muss das RKI unbedingt dafür Sorge tragen, dass – nicht zuletzt aufgrund der Gesundheitsdaten – es selbst beziehungsweise etwaige Auftragsverarbeiter alle erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten ergreifen. Ein Datenleak wäre der Super-GAU. Die datenschutzrechtliche Einwilligung kann der Nutzer übrigens jederzeit widerrufen – das RKI ist dann verpflichtet, die erhobenen Daten umgehend zu löschen.

Gibt es Alternativen zur Corona-App des RKI?

Es gibt weitergehende technische Möglichkeiten, die andere Länder einsetzen. So berichtete die SZ, dass Länder wie China und Israel infizierte Nutzer mithilfe von GPS-Daten und Gesundheitsdaten tracken – nicht mithilfe einer freiwilligen App, sondern direkt über das Smartphone mit Geheimdienstmethoden. So erhalten diese Staaten sehr tiefe Einblicke in die Privatsphäre der Menschen, unter anderem auch Zugriff auf die Inhalte von E-Mails und der sozialen Netzwerke der Menschen. Das ermöglicht eine präzise und lückenlose Überwachung der Quarantäne sowie eine sofortige Warnung vor infizierten Personen in der Nähe.

Der vordergründige Vorteil liegt auf der Hand: Nach dem aktuellen Stand der Forschung genügt es nicht, Personen erst dann in Quarantäne zu schicken, wenn die ersten Symptome auftreten. Denn schon einige Tage vor dem Auftreten der ersten Symptome, wie zum Beispiel trockener Husten, Kopfschmerz oder Fieber, ist die infizierte Person für zahlreiche weitere Menschen ansteckend. Andererseits greift diese Technik stark in die Intim- und Privatsphäre der Menschen ein. Mit unserem Verständnis von persönlicher Freiheit und mit den europäischen Datenschutzstandards wären diese Methoden gänzlich unvereinbar.

Anonyme Bewegungsmuster

Eine mildere Form der Standortbestimmung, wie sie sich auch das RKI zunutze macht, ist die Ortung von Personen über die Funkzellen der Mobilfunkanbieter. Die Genauigkeit der Standortbestimmung über die jeweilige Funkzelle der Handybetreiber beträgt nur rund 100 Meter – viel zu ungenau für eine Warnfunktion der Corona-App. Das RKI nutzt diese groben Mobilfunkdaten dennoch – unabhängig von der Corona-App – in anonymisierter Form, also ohne jegliche Möglichkeit, Rückschlüsse auf einzelne Personen zu ziehen, und nur bis zu einer Detailschärfe von Landkreisen. So kann das RKI nach einem Bericht der SZ bereits jetzt nachvollziehen, wie sich die Bewegungen der Menschen innerhalb von Landkreisen, aber auch zwischen einzelnen Landkreisen aufgrund der Ausgangsbeschränkungen entwickeln. Datenschutzrechtlich ist diese anonyme Form der Nutzung von Bewegungsmustern nicht relevant. Wo keine Rückschlüsse auf Personen gezogen werden können, gelten keine Datenschutzgesetze.

Fazit

Die neue Corona-App ist eine sinnvolle Ergänzung der Maßnahmen zur Eindämmung der Ausbreitung des Corona-Virus. Die App bleibt zwar weit hinter den technischen Möglichkeiten zurück, die bei heutigen Smartphones möglich sind, dafür respektiert die App jedoch die Privatsphäre der Menschen und hält sich an die Vorgaben der DSGVO.

Weitere Beiträge zur Corona-Krise

Zum Autor

Dr. Maximilian Greger

Rechtsanwalt und Fachanwalt für IT-Recht sowie Fachanwalt für Urheber- und Medienrecht in der Kanzlei SNP Schlawien Partnerschaft mbB Rechtsanwälte | Steuerberater am Standort in München

Weitere Artikel vom Autor