06. Mai 2020

COVID-Apps: Klare Ansage in Sachen Freiwilligkeit

HEALTH IT. Der Europäische Datenschutzausschuss äußert sich in zwei Leitlinien zum Datenschutz bei digitalen COVID-Anwendungen. Der Bundesdatenschutzbeauftragte zeigt sich zufrieden.

Wir andere nationale Regierungen betrachtet auch die Bundesregierung digitale Anwendungen als eine Chance für die Eindämmung der COVID-19-Pandemie. Mittlerweile redet Bundesgesundheitsminister Jens Spahn von drei verschiedenen derartigen Anwendungen, und möglicherweise kommen noch weitere dazu.

Bereits in den App-Stores von Apple und Google erhältlich ist die App „Corona-Datenspende“, eine Anwendung, die SmartWatch- und FitnessTracker-Daten auswertet, um daraus Rückschlüsse auf Ausbrüche von Infektionserkrankungen und deren regionale Verteilung abzuleiten. Diese App könnte, wenn sie sich bewährt, die klassische Disease-Surveillance um einen weiteren Pfeiler ergänzen. Eine sechsstellige Zahl an Bundesbürgern hat die Anwendung bereits heruntergeladen.

Die zweite „Corona-DiGA“ ist die viel diskutierte App für das Kontakt-Tracing. Sie ist Spahn zufolge nicht vor Mitte Mai zu erwarten. Hier befinden sich derzeit drei unterschiedliche, jeweils auf wechselseitiger Bluetooth-Erkennung basierende Konzepte im Rennen, darunter das im Rahmen eines europäischen Konsortiums vorangetriebene PEPP-PT-Konzept.

Die dritte digitale Anwendung, die im Zusammenhang mit der Corona-Pandemie diskutiert wird, ist eine Quarantäne-App, mit der amtlich isolierte Menschen besser versorgt werden sollen. Kritiker fürchten, dass sich dahinter letztlich eine elektronische Fußfessel verbirgt, allerdings wurden noch keine Details kommuniziert.

Europäischer Datenschutzausschuss veröffentlicht Pandemie-Leitlinien

Dass Datenschützer auf derartige Apps ein aufmerksames Auge werfen, ist nicht überraschend. Der Streit um die Frage, ob eine Kontakt-Tracing-App für die Speicherung anonymer und/oder pseudonymer, temporärer IDs eine zentrale Infrastruktur nutzen darf oder alles rein dezentral, auf den Mobilgeräten der Bürger, stattfinden sollte, wird mittlerweile geradezu erbittert geführt.

Vor diesem Hintergrund ist es spannend, wenn sich der Europäische Datenschutzausschuss (EDSA) mit dem Thema Pandemiebekämpfung beschäftigt und dabei digitale Anwendungen aufs Korn nimmt. Der EDSA bringt Vertreter der nationalen Datenschutzbehörden und den Europäischen Datenschutzbeauftragten zusammen. Die Aufsichtsbehörden der europäischen Länder sind im EDSA ebenfalls Mitglied, haben dort aber kein Stimmrecht. Am 21. April 2020 hat der EDSA jetzt zwei neue Leitlinien zum Datenschutz während der Pandemiebekämpfung veröffentlicht, und zwar zum Umgang mit Gesundheitsdaten für Forschungszwecke und zu den Grundsätzen von Tracking-Tools.

Forschung: Transparenz und Freiwilligkeit

Die „Guideline on the processing of health data for research purposes in the context of the COVID-19 outbreak” betont zunächst, dass die in der Europäischen Datenschutzgrundverordnung (GDPR) niedergelegten Prinzipien für den Umgang mit Gesundheitsdaten im Forschungskontext auch im Falle der COVID-19-Pandemie gelten. Dies betrifft unter anderem die Freiwilligkeit der Datenspende und die kategorische Transparenz, was den forschenden Umgang mit den gespendeten Daten angeht.

Wie zuvor hätten die nationalen Regierungen auch in einer Pandemie die Möglichkeit, spezifische Regelungen zu erlassen. Der EDSA weist unter anderem auf Artikel 89 GDPR hin, der es nationalen Gesetzgebern erlaubt, einige der grundsätzlichen Rechte des Bürgers in Ausnahmekonstellationen zu beschränken. Dies dürfe aber nicht als Freibrief verstanden werden, und die Einschränkungen dürften nur so lange aufrechterhalten werden, wie es zwingend erforderlich sei. Auch dürften Daten nicht beliebig lang gespeichert und nicht zweckentfremdet werden.

Tracing: Datenschutz und Kampf gegen COVID schließen sich nicht aus

In der „Guideline on the use of location data and contact tracing tools in the context of the COVID-19 outbreak” wird betont, dass digitale Technologien und eine automatische Datenverarbeitung einen wesentlichen Beitrag zum Kampf gegen COVID-19 leisten könnten. Gewarnt wird aber vor einem „Türöffnereffekt“, sprich davor, dass im Namen der Pandemie Dinge eingeführt werden, die dann über den unmittelbaren Pandemiekontext hinaus erweitert bzw. aufrechterhalten werden:

„Es ist unsere Verantwortung, sicherzustellen, dass alle Maßnahmen, die wir unter diesen außergewöhnlichen Umständen treffen, notwendig, zeitlich begrenzt, von minimalem Umfang und einer regelmäßigen Überprüfung und wissenschaftlichen Evaluation unterworfen sind“, heißt es in der Leitlinie wörtlich. Betont wird auch, dass es nicht um ein Entweder-Oder gehe, dass also nicht zwischen effizientem COVID-Management und Datenschutzrechten zu wählen ist. Vielmehr müsse es gelingen, beides unter einen Hut zu bringen.

In einer ganzen Reihe von recht konkreten Formulierungen werden in dem Tracing-Dokument grundsätzliche Anforderungen an eine Tracing-Anwendung aus Sicht des EDSA niedergelegt:

  • Legitimierbar seien solche Anwendungen demnach nur, wenn sie freiwillig sind und wenn ihre Nichtnutzung zu keinerlei Nachteilen führe. Letzteres ist bei den Anhängern von Tracing-Apps durchaus umstritten.
  • Betont wird weiterhin, dass die gesammelten Daten ausschließlich zum COVID-Management und zu nichts anderem genutzt werden dürften.
  • Datenminimierung und „Data Protection by Design and Default“ seien wichtige Basisanforderungen.
  • Ein Tracking des Aufenthaltsorts sei nicht geboten oder erforderlich. Generell seien nur absolut erforderliche Daten zu erheben.
  • Maßnahmen zur Verhinderung einer Re-Identifizierung seien zu treffen.
  • Und die gesammelten Daten sollten auf dem Mobilgerät („Terminal Equipment“) des Nutzers gespeichert werden.

Kelber: Nur Lösungen ohne Zwang

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, der sich schon länger für ein einheitliches europäisches Vorgehen beim Thema Datenschutz in COVID-Zeiten ausgesprochen hat, zeigt sich sehr zufrieden mit den Leitlinien des EDSA:

„Ich bin froh, dass wir uns auf eine gemeinsame Linie einigen konnten. Ich begrüße vor allem das Bekenntnis zur Freiwilligkeit. Sowohl in der Forschung als auch bei der Nachverfolgung von Kontakten können nur solche Lösungen erfolgreich sein, die transparent sind und ohne Zwang funktionieren. Es muss eindeutig und leicht verständlich sein, zu welchem Zweck die Daten erhoben und wann sie wieder gelöscht werden. Ein individuelles Tracking oder eine spätere Re-Personalisierung müssen ausgeschlossen sein. Diese Grundsätze werden wir als Aufsichtsbehörde von Verantwortlichen und Entwicklern einfordern.

Weitere Informationen

EDSA Guideline on the processing of health data for research purposes in the context of the COVID-19 outbreak https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-032020-processing-data-concerning-health-purpose_en

EDSA Guideline on the use of location data and contact tracing tools in the context of the COVID-19 outbreak https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042020-use-location-data-and-contact-tracing_en

 

in Kooperation mit Redaktion E-HEALTH-COM