Herzlich Willkommen!
Videochat | Dokumente in Echtzeit übermitteln & online signieren | Termin selbst aussuchen und online vereinbaren | Natürlich auch persönlich

News & Artikel

2020-05-17

Corona-App” - Datenschutz und Grundrechte

Die sogenannte „Corona-App” ist aktuell in aller Munde und es stellen sich die Fragen, welche datenschutzrechtlichen Maßnahmen sie erfüllen muss, ob ein Eingriff in das Recht auf informationelle Selbstbestimmung vorliegt und -falls ja- ob dieser Eingriff gerechtfertigt ist.

Grundsätzliches zu personenbezogenen Daten i.S.d. DSGVO

Personenbezogene Daten sind nach Art. 4 Abs. 1 DSGVO folgende:

[…] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;

DSGVO überhaupt anwendbar?
Gemäß Art. 2 Abs. 2 lit. d) DSGVO findet die DSGVO aber keine Anwendung, wenn eine Datenverarbeitung zum Schutz vor und der Abwehr von Gefahren für die öffentliche Sicherheit erfolgt, worunter laut Erwägungsgrund 16 zur DSGVO auch Fragen des Schutzes von Grundrechten und Grundfreiheiten fallen.

Abwägung zwischen Art. 2 Abs. 2 S.1 GG und Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 S.1 GG erforderlich 
Letztendlich ist meines Erachtens eine Abwägung der verschiedenen grundrechtlichen Interessen vorzunehmen um zu ermitteln, ob durch eine entsprechende App der Schutz von Grundrechten und Grundfreiheiten mehr geschützt oder eben mehr eingeschränkt wird und ob eine etwaige Einschränkung („Grundrechtseingriff“) dann auch geeignet, erforderlich und angemessen ist.

Im Ergebnis stehen sich die staatliche Schutzpflicht nach Art. 2 Abs. 2 S.1 GG und das Recht auf informationelle Selbstbestimmung gem. Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 S.1 GG gegenüber.

Kurz gesagt:
Auf der einen Seite hat der Staat die Pflicht, sich schützend und fördernd vor das Leben des Einzelnen zu stellen, wovon auch der Schutz vor Beeinträchtigungen der körperlichen Unversehrtheit und der Gesundheit umfasst ist.

Auf der anderen Seite steht das Recht auf informationelle Selbstbestimmung, das nach der Rechtsprechung des Bundesverfassungsgerichts aus dem allgemeinen Persönlichkeitsrecht nach Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG abgeleitet wird und besagt, dass jeder Einzelne selbst über eine Preisgabe und dann auch noch Verwendung seiner personenbezogenen Daten bestimmen kann.

Dementsprechend ist zwischen den widerstreitenden Interessen beider Grundrechte abzuwägen und im Ergebnis zu ermitteln, ob ein Eingriff in das Recht der informationellen Selbstbestimmung verhältnismäßig ist- der Eingriff also geeignet, erforderlich und angemessen ist.

Eine entsprechende App ist geeignet und erforderlich 
Geeignet ist eine solche App, denn sie bewirkt durch ihre Funktionsweise, dass der Staat seiner Schutzpflicht nachkommen kann.

Erforderlich ist ein Eingriff, wenn kein milderes Mittel als das vorgesehene Mittel dazu geeignet ist, denselben Zweck, der mit dem Eingriff angestrebt wird, zu erreichen. Der Einsatz einer Corona-App müsste also das mildeste Mittel darstellen, damit der Staat seiner Schutzpflicht nachkommen kann. Im Vergleich zu Ausgangsbeschränkungen oder gar (möglichen) Ausgangssperren sowie den aktuell schon greifenden Maßnahmen stellt die App meiner Meinung nach auch ein wesentlich milderes Mittel dar.

Fraglich, ob eine entsprechende App angemessen ist
Im dritten Schritt ist die Angemessenheit des Einsatzes einer solchen App zu hinterfragen, wobei es darauf ankommt, dass die Vorteile des Einsatzes nicht völlig außer Verhältnis zu den mit dem Einsatz verbundenen Nachteilen stehen. Dazu sind -neben sämtlichen Vor- und Nachteilen- insbesondere die Grundrechte zu beachten, hier also der Eingriff in das Recht auf informationelle Selbstbestimmung im Rahmen der staatlichen Schutzpflicht.

Ursprünglich geplant
Betrachtet man nun den ursprünglichen Gesetzesentwurf, sieht man, dass er den Gesundheitsbehörden ermöglichen sollte, technische Mittel zum Zwecke der Nachverfolgung von Kontaktpersonen einzusetzen, wozu die Möglichkeit vorgesehen war, von den Telekommunikationsdienstanbietern sowohl Verkehrs- als auch Standortdaten heraus zu verlangen, was m.E. bereits grundsätzlich kritisch ist. Nicht näher geregelt war zudem, wie z. B. die Standortdaten ermittelt werden sollten, denn über beispielsweise Funkzellendaten wird m.W. nur bestätigt, ob sich jemand innerhalb des Funkzellengebietes befunden hat. Diese Gebiete sind allerdings groß, oftmals mehrere Quadratkilometer. Im Ergebnis hätte man dann zwar gewusst, dass sich jemand mit ggf. mehreren Tausend Personen innerhalb eines bestimmten Gebietes befunden hätte, was aber nahezu keinen positiven Effekt erzeugt hätte. Damit wäre ein Eingriff in das Recht auf informationelle Selbstbestimmung bereits gnadenlos ungeeignet gewesen.

Nun geplant: Pepp-PT auf Bluetooth LE-Basis
Eine nun angestrebte Lösung ist eine auf Pepp-PT basierende App. PEPP-PT steht dabei für „Pan-European Privacy-Preserving Proximity“ und soll ohne Übertragung insbesondere persönlicher Daten, MAC-Adressen und Standortdaten funktionieren.

Jeder Nutzer erhält eine pseudonymisierte ID, welche symmetrisch verschlüsselt wird, sodass jeder Nutzer eine individuelle, temporäre ID erhält, wobei sich der Schlüssel jede Stunde ändert[1].

Gespeichert werden sollen nur etwaige „Begegnungen“ mit Covid-19-Erkrankten, jedoch ausschließlich lokal auf dem jeweiligen Endgerät, in anonymisierter Form und für 21 Tage.[2]

Dabei wird auf die Bluetooth-Funktionen der Smartphones zurückgegriffen, wobei BLE („Bluetooth Low Energy“) genutzt werden soll, womit eine Vernetzung von Geräten in einem Radius von ca. 10 Metern erfolgen kann.

Nach einer Erkrankung an Covid-19 soll eine Art „Kontaktliste“ an einen zentralen Server übermittelt werden, sodass nur offizielle Stellen in der Lage sein sollen, eventuelle Meldungen über Erkrankungen infizierter Personen zu melden.

Das Fraunhofer Institut gibt an[3], dass

zu den Kernfunktionen von PEPP-PT gehören getestete Technologien zur Nahbereichsverfolgung, sichere Datenanonymisierung, vertrauenswürdige Protokolle, die den Kontakt zwischen Benutzer und Gesundheitsbehörden in einer datenschutzkonformen Umgebung ermöglichen und APIs, die anonymisierte Kontaktketten sowie Risikoeinschätzung für andere Anwendungen bieten können. Darüber hinaus veröffentlicht PEPP-PT auch eine Referenzimplementierung, die Bausteine für die Erstellung lokaler Anwendungen zur Nahbereichsverfolgung sowie sichere und skalierbare Backend-Dienste bereitstellt.“

Meine Meinung
Meines Erachtens wäre mit einer App nach obigen Standards die Einschränkung des Rechts auf informationelle Selbstbestimmung gem. Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 S.1 GG unter Wahrnehmung der staatlichen Schutzpflicht nach Art. 2 Abs. 2 S.1 GG geeignet und angemessen. Allerdings nur, wenn ein Eingriff in das Recht der informationellen Selbstbestimmung durch Erhebung von Standortdaten, Erstellung von Bewegungsprofilen sowie Übertragung persönlicher Daten und MAC-Adressen nicht erfolgt. Diese Voraussetzungen scheint eine auf Pepp-PT basierende App zu erfüllen.

[1] https://www.aisec.fraunhofer.de/de/presse-und-veranstaltungen/presse/pressemitteilungen/2020/PEPP-PT.html

[2] https://www.aisec.fraunhofer.de/de/presse-und-veranstaltungen/presse/pressemitteilungen/2020/PEPP-PT.html

[3] https://www.aisec.fraunhofer.de/de/presse-und-veranstaltungen/presse/pressemitteilungen/2020/PEPP-PT.html

Sie haben Fragen oder benötigen rechtliche Unterstützung?

Ich bin ein junger, dynamischer, moderner Rechtsanwalt und erfolgreicher Absolvent des Fachanwaltslehrganges im IT-Recht sowie Mitgründer eines Start Ups im Bereich Legal Tech.

Nehmen Sie gerne Kontakt mit mir auf und nutzen Sie z. B. die Möglichkeit von

- Videokonferenzen,
- digitaler Dokumentenübermittlung in Echtzeit und
- elektronischer Signierung.

Selbstverständlich bin ich auf per Telefon und E-Mail erreichbar. Nutzen Sie gerne auch die Web-Akte, die ich Ihnen auf Wunsch gerne zur Verfügung stelle.

Admin - 10:01 @ IT-Recht | Kommentar hinzufügen

Kommentar hinzufügen

Die Felder Name und Kommentar sind Pflichtfelder.



 

E-Mail
Anruf
Infos
Instagram