DSGVO/GDPR: Was die Diskussion um Tracing-Apps zeigt

Das Beispiel Tracing-App

„Angesichts der weiteren Ausbreitung des Coronavirus werden derzeit an vielen Stellen Tracking-Lösungen zur Bekämpfung der Corona-Pandemie diskutiert“, so der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann.

Der in einigen anderen Staaten beschrittene Weg, im Rahmen eines Überwachungspakets Standortdaten mit anderen Daten zusammenzuführen (Kreditkarte, Videoüberwachung und so weiter) erscheint vor dem Hintergrund des europäischen Datenschutzverständnisses unverhältnismäßig. Dies ist aber auch gar nicht notwendig, so der Datenschützer. Um Infektionsketten nachvollziehen zu können, reichen reine Standortdaten alleine ohnehin nicht aus; ausschlaggebend ist die Kenntnis von Kontakten mit infizierten Personen.

Hier scheint eher der Weg über eine Handy-App gangbar, die auf der Grundlage einer freiwilligen Nutzung bei relevanten Kontakten die Betroffenen informiert. Derartige Lösungen werden gegenwärtig an verschiedenen Stellen und mit teils unterschiedlichen Ansätzen verfolgt. „Vieles hängt hier an der konkreten Ausgestaltung“, so Prof. Kugelmann, „aber eine solche App ist möglich und auch datenschutzkonform gestaltbar“.

Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, hat sich mit den Konzepten eingehend beschäftigt und erklärte: „Das Contact Tracing funktioniert wie eine Art digitales Tagebuch mit Einträgen über Nahkontakte auf dem Smartphone, die später abgeglichen werden können. Eine solche App kann in Ergänzung zu anderen Pandemie-Maßnahmen hilfreich zur Eindämmung sein. Das wird aber nur funktionieren, wenn die Nutzerinnen und Nutzer ein berechtigtes Vertrauen in die App haben können – und dafür ist Datenschutz by Design wesentlich.”

Das bedeutet zum Beispiel, dass Namen und Orte nicht gespeichert werden und alles verschlüsselt abgelegt wird. Entscheidend für ein Abschätzen des Missbrauchsrisikos ist dabei die Frage, wo die Daten beim Abgleich gespeichert sind und ob damit zusätzliche Auswertungen – bis hin zur Überwachung – ermöglicht werden.

In den Medien wurde ein Richtungsstreit zum Speicherort für die Daten der Tracing-Apps sichtbar. Die Datenschützer empfahlen eine dezentrale Speicherung gegenüber einer zentralen: Die Kontaktdaten werden zunächst nur auf den Smartphones der Nutzerinnen und Nutzer gesammelt. Ob Abgleich und Benachrichtigung der möglicherweise Betroffenen über einen zentralen Server realisiert werden oder ob der Abgleich dezentral in den Apps der Nutzerinnen und Nutzer geschieht und nur die Nutzenden selbst das Ergebnis erfahren, müsse ebenfalls geklärt werden, so die Datenschützer.

Schließlich entschied sich auch die Bundesregierung für einen dezentralen Ansatz bei der Datenspeicherung im Fall der Tracing-Apps.

Privacy by Design ist ein Muss

Was zeigt nun dieses Beispiel? Der Richtungsstreit zentral – dezentral bei Tracing-Apps macht deutlich, dass bei der Konzeption und Planung von Software nicht ausreichend an Privacy by Design gedacht wird. Wäre dies der Fall, hätte es eine solche Diskussion in dem Umfang gar nicht geben müssen.

Der Europäische Datenschutzausschuss (EDSA) zum Beispiel hob hervor, dass das Prinzip der Datenminimierung und das Prinzip des Datenschutzes by Design sorgfältig zu berücksichtigen sind. Wer dies tut, wird feststellen, dass der Grundsatz der Datenminimierung bei einem dezentralen Ansatz besser gewahrt werden kann.

Der EDSA ist der Ansicht, dass die Entwicklung der Apps auf verantwortungsvolle Weise erfolgen sollte, indem mit einer Datenschutz-Folgenabschätzung alle implementierten Datenschutzstandards dokumentiert werden. Darüber hinaus sollte der Quellcode einer Tracing-App für eine möglichst umfassende Prüfung durch die Wissenschaft öffentlich zugänglich gemacht werden.

Die Europäische Kommission hat ebenfalls klare Forderungen an eine Tracing-App gestellt, Forderungen, die in ähnlicher Weise an jede Entwicklung von Apps und von Software und anderen IT-Komponenten gestellt werden müssen. Wenn dies geschieht, kann man sich langwierige Diskussionen und einen Richtungsstreit in Zukunft sparen und die Zeit nutzen, um die hilfreichen Funktionen der gewünschten Software möglichst schnell verfügbar zu haben.

Unter den Forderungen der EU-Kommission und des EDSA sollen besonders diese hervorgehoben werden, die bei jeder Entwicklung beachtet werden müssen, damit Privacy by Design Realität wird.

1. Umsetzung der Betroffenenrechte: Ein entscheidender Faktor für das Vertrauen der Nutzer in die Apps ist der Nachweis, dass sie die Kontrolle über ihre persönlichen Daten behalten. Um dies zu gewährleisten, müssen insbesondere die folgenden Bedingungen erfüllt sein:

• Verschiedene App-Funktionen (zum Beispiel Informationen, Symptomprüfung, Kontaktverfolgung und Warnfunktionen) sollten nicht gebündelt werden, damit die Person ihre Zustimmung speziell für jede Funktion erteilen kann. Dies sollte den Benutzer nicht daran hindern, verschiedene App-Funktionen zu kombinieren, wenn dies vom Anbieter als Option angeboten wird.
• Wenn zum Beispiel Näherungsdaten verwendet werden (Daten, die durch den Austausch von BLE-Signalen (Bluetooth Low Energy) zwischen Geräten innerhalb einer epidemiologisch relevanten Entfernung und während einer epidemiologisch relevanten Zeit generiert werden), sollten sie auf dem Gerät der Person gespeichert werden. Wenn diese Daten an die Gesundheitsbehörden weitergegeben werden sollen, sollten sie erst nach Bestätigung der Infektion der betroffenen Person mit dem COVID-19 und unter der Bedingung, dass sie dies wünscht, weitergegeben werden.
• Die App-Anbieter sollten den Personen alle erforderlichen Informationen im Zusammenhang mit der Verarbeitung ihrer personenbezogenen Daten zur Verfügung stellen (gemäß Artikel 12 und 13 der DSGVO).
• Der Nutzer sollte in der Lage sein, seine Rechte aus der DSGVO auszuüben (insbesondere Zugang, Berichtigung, Löschung).

2. Erforderlichkeit und Datenminimierung: Die Kommission erinnert daran, dass nach dem Grundsatz der Datenminimierung nur personenbezogene Daten erforderlich, relevant und auf das beschränkt sind, was für den Zweck erforderlich ist. Eine Bewertung der Notwendigkeit der Verarbeitung personenbezogener Daten und der Relevanz dieser personenbezogenen Daten sollte im Lichte der verfolgten Zwecke erfolgen.

• Die Kommission stellt beispielsweise fest, dass für den Zweck der Funktionalität die Symptomprüfung oder die Telemedizin kein Zugriff auf die Kontaktliste der Person erforderlich ist, die das Gerät besitzt.

3. Zweckbindung: Der Zweck sollte spezifisch sein, damit kein Zweifel daran besteht, welche Art von personenbezogenen Daten verarbeitet werden müssen, um das gewünschte Ziel zu erreichen.

• Die genauen Zwecke hängen von den Funktionen der App ab. Für jede Funktionalität einer App kann es mehrere Zwecke geben. Um den Einzelpersonen die vollständige Kontrolle über ihre Daten zu ermöglichen, empfiehlt die Kommission, keine unterschiedlichen Funktionen zu bündeln. In jedem Fall sollte der Einzelne die Möglichkeit haben, zwischen verschiedenen Funktionen zu wählen, die jeweils einen eigenen Zweck verfolgen.

4. Speicherbegrenzung: Das Prinzip der Speicherbegrenzung verlangt, dass personenbezogene Daten nicht länger als nötig aufbewahrt werden. Die Zeitpläne sollten auf der medizinischen Relevanz (abhängig vom Zweck der App: Inkubationszeit und so weiter) sowie auf realistischen Zeiträumen für Verwaltungsschritte basieren, die möglicherweise durchgeführt werden müssen.

• Die Daten sollten auf dem Gerät des Benutzers gespeichert werden, und nur Daten, die von den Benutzern übermittelt wurden und zur Erfüllung des Zwecks erforderlich sind, sollten auf den Server hochgeladen werden, der den Gesundheitsbehörden zur Verfügung stehen muss.

5. Sicherheit der Verarbeitung: Die Kommission empfiehlt, die Daten in verschlüsselter Form mit modernsten kryptografischen Techniken auf dem Endgerät des Einzelnen zu speichern. Für den Fall, dass die Daten auf einem zentralen Server gespeichert sind, sollte der Zugriff einschließlich des Administratorzugriffs protokolliert werden.

• Näherungsdaten sollten nur in verschlüsseltem und pseudonymisiertem Format auf dem Endgerät der Person generiert und gespeichert werden. Um sicherzustellen, dass die Verfolgung durch Dritte ausgeschlossen ist, sollte die Aktivierung von Bluetooth möglich sein, ohne dass andere Ortungsdienste aktiviert werden müssen.

Es zeigt sich: Verschiedene Empfehlungen und Orientierungshilfen auf der Ebene von EU-Institutionen und auf der Ebene der Aufsichtsbehörden für den Datenschutz sind inzwischen verfügbar, um Tracing-Apps datenschutzkonform Realität werden zu sein und um damit bei der Krisenbewältigung zu helfen.

Wichtig erscheint es nun, diese Forderungen an den Datenschutz auch außerhalb der Krisenbewältigung mehr Aufmerksamkeit zu schenken. Wenn sich Privacy by Design fest etabliert hat, arbeitet man danach in normalen Zeiten und in Krisenzeiten. Gerade in Krisenzeiten ist man dann schneller mit datenschutzgerechten Lösungen zur Stelle, als dies gegenwärtig der Fall ist.