Peter Schaar: Mit heißer Nadel gegen das Virus?
Wann sind Tracking-Apps im Kampf gegen die Coronavirus-Epidemie rechtlich verträglich? Ein Kommentar von Peter Schaar.
Der ehemalige Bundesdatenschutzbeauftragte Peter Schaar.
(Bild: peter-schaar.de (CC BY 3.0))
"Ist Ihnen der Datenschutz wichtiger als Menschenleben?" Diese Frage, die mir vor einigen Tagen eine Radiomoderatorin stellte, machte mich zugleich wütend als auch ratlos. Sie erinnerte mich an die Situation 2001, als Regierungs- und Medienvertreter den angeblich überzogenen Datenschutz für die Terroranschläge in New York und Washington am 11. September verantwortlich machten und vergleichbare Fragen stellten, die differenzierte Antworten fast unmöglich machen. Dabei ist ein kühler Kopf in diesen Tagen wichtiger denn je. Aber ein Überbietungswettbewerb nach dem Motto "wer ergreift die härtesten Maßnahmen" ist völlig unangebracht.
Derzeit wird vor allem diskutiert, was nach strikten Kontaktverboten und Ausgangssperren geschehen soll, denn diese Maßnahmen lassen sich nicht unbegrenzt fortführen. Mehrere – vor allem ostasiatische – Länder verwenden Apps, um festzustellen, mit welchen Personen Infizierte Kontakt hatten. Diese Apps greifen unterschiedlich tief in Persönlichkeits- und Freiheitsrechte ein. Die in China eingesetzte App ist ein neues Werkzeug eines auf totale staatliche Überwachung ausgerichteten Ansatzes. Sie perfektioniert das "Social Scoring" unter dem Banner der Coronabekämpfung. Ihre Benutzung ist obligatorisch. Wessen Smartphone nicht erreichbar ist – und sei es auch nur temporär – muss mit Bestrafung rechnen. Die Übertragung dieses Modells auf Deutschland ist schon aus verfassungsrechtlichen Gründen undenkbar.
Praktische Konkordanz
In den nächsten Tagen wird die Vorstellung einer Corona-App durch das Robert-Koch-Institut erwartet. Deren Bewertung wird erst möglich sein, wenn wir die Details kennen. Gefragt sind Lösungen, bei denen die im Konflikt stehenden Grundrechte – gesundheitliche Unversehrtheit, Freizügigkeit und Datenschutz – sowenig wie möglich beeinträchtigt werden – Juristen sprechen von "praktischer Konkordanz".
Zunächst muss die grundlegende Frage beantwortet werden, für welche Zwecke die App eingesetzt werden soll. Ungeeignet ist die Auswertung der von den Telekommunikationsunternehmen erfassten Standortdaten, denn die Funkzellen haben – je nach örtlichen Gegebenheiten – einen Durchmesser zwischen einigen Hundert Metern bis zu einigen Kilometern. Sie ermöglichen nur eine grobe Ortung der Nutzer und sind damit zur Feststellung von Kontakten nicht brauchbar. Dagegen könnten Apps, welche die per GPS ermittelten Bewegungsdaten und die im Nahbereich (per Bluetooth?) festgestellten Kontakte aufzeichnen, für diesen Zweck erfolgversprechend sein. Zuvor muss allerdings die Frage beantwortet werden, ob angesichts der weiten Verbreitung des Virus ein individuelles Tracking der Infizierten und deren Kontaktpersonen überhaupt zielführend ist. Unter dieser Voraussetzung muss jede den Vorgaben des Grundgesetzes entsprechende Lösung die folgenden Anforderungen erfüllen:
- Die Installation und Verwendung der App erfolgen auf freiwilliger Basis und unter Kontrolle durch die Nutzer. Zudem muss ein Höchstmaß an Transparenz gewährleistet sein: Jeder, der die App installiert, muss wissen, auf was er sich einlässt.
- Die Daten sollten lokal erhoben und verarbeitet werden. Lediglich für den Fall, dass ein Nutzer positiv auf COVID-19 getestet wird, sollten die Daten an eine zentrale Stelle (RKI?) hochgeladen und dort ausgewertet werden, um mögliche Kontaktpersonen festzustellen und diese zu informieren.
- Die Daten sollten möglichst anonym verarbeitet werden. Die Nutzeridentifikation könnte über eine nicht namentlich zugeordnete ID stattfinden. Es wäre nicht hinnehmbar, wenn eine staatliche Stelle die Bewegungsdaten sämtlicher Bürgerinnen und Bürger erhielte.
- Die Daten sollten nur für einen begrenzten Zeitraum gespeichert (14 Tage?) und anschließend rückstandslos gelöscht werden.
- Die technischen Lösungen bzw. Apps müssen so gestaltet werden, dass sie einen Missbrauch durch Dritte ausschließen und die Sicherheit der IT-Systeme nicht gefährden.
Schließlich muss die Datenverarbeitung rechtlich abgesichert werden. Gesetze, die unsere Freiheitsrechte beschränken, müssen zeitlich begrenzt (Sunset Legislation) und unabhängig evaluiert werden. (olb)
