Deutschland diskutiert über die "Corona-App". Einig ist man sich über die Zulässigkeit einer freiwilligen Einführung der App. Aber dürfte der Staat sie zwangsweise für alle Bürger anordnen?
Das Heinrich-Hertz-Institut hat am 1. April technische Details für eine "Corona-App" vorgestellt. (Lesen Sie hier, wie die App funktionieren soll.) Sie entspreche den datenschutzrechtlichen Vorgaben, sie sei "anonym und die Privatsphäre schützend", weil die Verfolgung der Kontakte auf einer Einwilligung beruhe.
Auf freiwilliger Basis besteht auch unter Datenschützern eine breite Zustimmung für ein Tracking, wie es nun im Raum steht. Begründung: Bei der aktuell favorisierten Lösung des Heinrich-Hertz-Instituts sollen "keine persönlichen Daten, kein Standort, keine MAC-Adresse der Nutzerin oder des Nutzers gespeichert oder übertragen" werden.
Es würden keine Funkzellen-, GPS- oder WLAN-Daten erfasst. Jeder Nutzer der App erhält eine Identifikationsnummer, die über Bluetooth an andere Smartphones übermittelt werden, die die App nutzen. Per Bluetooth können nur Geräte in unmittelbarer Nähe eines anderen Nutzers erfasst werden.
Darf der Staat die "Corona-App" vorschreiben?
Offen ist aber, ob genug Menschen die App installieren und ob es rechtlich zulässig wäre, zur Rettung von Menschenleben eine derartige App auch verpflichtend anzuordnen. Der Jurist Gregor Thüsing vertritt den Standpunkt, dass es auf die Freiwilligkeit der Nutzung für den Datenschutz gar nicht ankomme. Der Staat müsse das Leben schützen und die Datenschutzgrundverordnung (DSGVO) erlaube eine Datenverarbeitung zur Seuchenbekämpfung. Die gesetzliche Erlaubnis zur Überwachung von Epidemien sei also gegeben.
Datenschonend ist der aktuelle Ansatz allemal. Das Heinrich-Hertz-Institut verweist darauf, dass nur anonyme Daten verarbeitet würden. Aber sind diese Daten im Rechtssinne tatsächlich anonym, oder sind sie doch re-identifizierbar?
Bei Anonymität würde die DSGVO mangels Personenbezug gar nicht gelten. Wann anonymisierte Daten im Rechtssinne konkret vorliegen, ist in Einzelfällen hoch umstritten. Für den EuGH und nach der DSGVO reicht allein die Möglichkeit der Personenbeziehbarkeit aus. Da die Gefahr besteht, dass die verarbeiteten Daten letztlich nicht wirksam anonymisiert sind, müsste die App so ausgestaltet sein, dass sie die Anforderungen der DSGVO erfüllt.
Bei aller Eile muss nun auch Um- und Weitsicht walten. Für eine Einrichtung, die die Gesundheitsdaten auswertet, müssen klare und gesetzlich vorgegebene Regeln für den Umgang mit den Infektionsdaten gelten. Es wäre nicht auszudenken, was geschähe, wenn sich Hacker in die Datenbanken des Treuhänders, etwa des Robert-Koch-Instituts, hacken, wie es bei Videokonferenzen geschehen ist.
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.