GastbeitragDer Datenschutz ist kein Hindernis für eine Corona-App

Tracing App gegen Covid-19: In Australien hat die Regierung Ende April eine App zur Nachverfolgung von Kontakten mit Infizierten gestartet.
Tracing App gegen Covid-19: In Australien hat die Regierung Ende April eine App zur Nachverfolgung von Kontakten mit Infizierten gestartet. Deutschland will nachziehenImago / AAP / Dave Hunt

Seit Länder wie Singapur oder Südkorea Erfolge bei der Corona-Bekämpfung auch ohne Lockdown vermeldeten, ist die Einführung einer Corona-App im Gespräch. Die Erwartungen sind riesig, trotzdem wurde der Start immer wieder verschoben. Im April stellte eine Gruppe von Wissenschaftlern aus zahlreichen EU-Ländern eine Technologie namens „Pan-European Privacy-Preserving Proximity Tracing“ (PEPP-PT) als Grundlage vor.

Nachdem sich die Bundesregierung zunächst für diese Technologie ausgesprochen hatte, steuerte sie nach lautstarkem Protest von Wissenschaftlern, Datenschützern und dem Chaos Computer Club um. Nun setzt sie auf eine dezentrale Datenspeicherung auf den Handys der Nutzer. Die beiden Dax-Konzerne SAP und Deutsche Telekom wurden beauftragt, eine Corona-App auf Basis einer Open-Source-Lösung zur Marktreife zu bringen. Die Fraunhofer-Gesellschaft und das Helmholtz-Zentrum CISPA sollen die Entwickler beraten, herausgegeben werden soll die App vom Robert Koch-Institut. Apple und Google wollen das Tracing gemeinsam unterstützen. In einem ersten Schritt sollen ihre Handy-Betriebssysteme Schnittstellen bekommen, auf die Corona-Apps zugreifen können.

Die Corona-App soll ein freiwilliges Contact Tracing erlauben: Begegnen sich zwei Smartphones (und ihre Besitzer), tauschen die Geräte (pseudonyme) Kennungen aus. Die Endgeräte der Nutzer kommunizieren – ohne zentralen Server – über Bluetooth miteinander. Ist ein Nutzer positiv auf SARS-CoV-2 getestet worden, werden seine Kontaktpersonen darüber informiert, sodass sie entsprechende Sicherheitsmaßnahmen vornehmen können – sich also etwa testen oder in häusliche Quarantäne begeben. So sollen Infektionsketten frühzeitig unterbrochen werden.

Die Vorgaben der DSGVO

Alle Daten sollen anonymisiert werden und damit keine Rückschlüsse auf einzelne Personen zulassen. Die Warnung erfolge mithilfe eines anonymen ID-Schlüssels, betonen die neuen Entwickler. Träfe dies zu, ließen sich die Daten also keiner natürlichen Person zuordnen. Dann wären datenschutzrechtliche Beschränkungen nicht zu beachten, denn das Datenschutzrecht gilt nur für personenbezogene Daten.

Damit aber nicht nur umgangssprachlich, sondern auch datenschutzrechtlich von „Anonymisierung“ gesprochen werden kann, muss sichergestellt werden, dass die von der App erstellten Pseudonyme nicht aufgelöst werden können. „Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren“, heißt es dazu in der Datenschutzgrundverordnung (DSGVO).

Eine vollständige Anonymisierung dürfte sich angesichts der strengen Linie des Europäischen Gerichtshofs in der technischen Umsetzung allerdings als schwierig erweisen. Personenbezogene Daten sind nicht nur solche, die unmittelbar einer Person zugeordnet werden können (zum Beispiel Name, Anschrift, Handynummer), sondern auch Informationen, die sich nur mittelbar einer Person zuordnen lassen – und zwar selbst dann, wenn eine solche Zuordnung nur mithilfe von Zusatzinformationen möglich ist (etwa auf Basis der IP-Adresse, mit der der Anschlussinhaber durch den Provider ermittelt werden kann).

Die Bundesregierung setzt ganz auf Freiwilligkeit. Um die Corona-Bekämpfung wirklich voranzubringen, müsse die Bevölkerung Vertrauen in die App gewinnen, argumentiert sie. Angeblich, so der allgemeine Befund, hätten die Deutschen große Angst um ihre Daten. Vielen Politikern sind vermutlich noch die massiven Proteste gegen die Volkszählung Mitte der Achtzigerjahre präsent. Das Bundesverfassungsgericht hatte die staatlichen Maßnahmen damals zum Anlass genommen, das Recht auf informationelle Selbstbestimmung aus der Menschenwürde und dem allgemeinen Persönlichkeitsrecht abzuleiten. Damit ist das Recht eines jeden Bürgers gemeint, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen.

Es geht auch ohne Einwilligung

In den Medien wird daher oftmals auch behauptet, jede staatliche Datenverarbeitung sei ausschließlich aufgrund einer Einwilligung zulässig. Das stimmt aber nicht. In der DSGVO gibt es – gleichberechtigt neben der Einwilligung – zahlreiche weitere Rechtsgrundlagen, mit denen die Datenverarbeitung durch die App gerechtfertigt werden kann.

Dieser Ansicht sind auch die deutschen Gemeinden. Infektionsschutz ist in Deutschland eine kommunale Angelegenheit, die Kommunen möchten mitreden. Der Deutsche Landkreistag hat vor wenigen Tagen gefordert, die Gesundheitsämter müssten alle Daten bekommen, die von der App gesammelt werden – und zwar die „Kontaktdaten der betroffenen Person sowie die jeweiligen örtlichen und zeitlichen Gegebenheiten“. Die Bekämpfung der Infektionsketten werde damit erheblich beschleunigt. Wer mit einem Infizierten Kontakt hatte, könnte wenige Minuten später per Mausklick eine Quarantäneanordnung bekommen. Auf Freiwilligkeit zu setzen, reiche nicht aus, so der Präsident des Landkreistages, Reinhard Sager aus Ostholstein. Der Datenschutz müsse berücksichtigt werden, aber „aufhalten dürfen solche Fragen die Entwicklung nicht“. Schließlich sei ein Gesundheitsamt kein Internetkonzern, für den die Daten Geschäftsmodell seien.