EU-Datenschützer: Richtlinien für datengestützte Pandemie-Bekämpfung
Bei Corona-Apps und der Nutzung von sensiblen Daten mahnt der EU-Datenschutzausschuss zu strikter Zweckbindung und Transparenz.
(Bild: dpa, Kay Nietfeld/dpa)
Der Europäische Datenschutzausschuss will die datenschutzgerechte Entwicklung von Corona-Tracing-Apps in der EU unterstützen. Das Gremium der europäischen Datenschutzbeauftragten hat dazu am Mittwoch zwei Richtlinien für die Entwicklung von Apps und die Nutzung von Gesundheitsdaten herausgegeben. Obwohl sich die Datenschützer beim Einsatz von Apps zur Bekämpfung der Coronavirus-Pandemie klar für das Prinzip der Freiwilligkeit aussprechen, erlaubt die Datenschutzgrundverordnung je nach nationaler Gesetzeslage auch mandatierte Systeme.
Mit der Richtlinie zu den heiß diskutierten Tracing-Apps wendet sich der Ausschuss an die nationalen Behörden, liefert aber auch konkrete Designempfehlungen für Entwickler. Eine breit angelegte Erfassung der Bewegungsmuster der EU-Bürger sei "ein schwerer Eingriff" in das Recht, sich unbeobachtet zu bewegen, warnen die Datenschützer. Das sei nur durch eine freiwillige Lösung zu rechtfertigen. Wer sich gegen den Einsatz der App entscheide, dürfe nicht diskriminiert oder in irgendeiner Weise benachteiligt werden.
Keine Standortdaten
Grundsätzlich lehnt das Gremium die Verwendung von Standortdaten ab. Deren Nutzung erschwere die gebotenen anonymisierten Lösungen, weil Individuen über Standortdaten leicht zu re-identifizieren seien, begründen die Datenschützer. Zugleich seien Standortdaten für den Zweck der Unterbindung von Infektionsketten über Kontakt-Mitteilungen gar nicht notwendig.
Den Behörden in der EU legen die Datenschützer unter Verweis auf die entsprechenden rechtlichen Grundlagen von Datenschutzgrundverordnung und ePrivacy-Richtlinie strikte Zweckbindung, Datensparsamkeit und Transparenz für die Nutzer ans Herz: Je mehr Information direkt auf den für die Tracing-Apps vorgesehenen Mobiltelefonen abgelegt seien, desto besser.
Zentral oder dezentral
Im Streit um eine dezentrale oder zentrale Lösung, der aktuell von den beiden Konsortien PEPP-PT und DT-3T ausgefochten wird, wollen sich die Datenschützer aber dennoch nicht klar positionieren. Beides seien gleichermaßen gangbare Wege mit Vor- und Nachteilen, heißt es in den Richtlinien. Gegenüber der EU-Kommission hatte der Ausschuss zuletzt noch darauf hingewiesen, dass dezentrale Lösungen im Hinblick auf Datensparsamkeit etwas besser seien.
In den Empfehlungen für Entwickler der Tracing Apps scheint die unterschiedliche Bewertung der beiden Varianten auch noch durch. In der Richtlinie heißt es, die App könne "über einen zentralen Server" abgewickelt werden, dem aber nur minimal vertraut werden dürfe. Doch wird den Programmierern eine Architektur ans Herz gelegt, "die so weit wie möglich auf die Geräte der Nutzer setzt".
Sorgen der Datenschützer
Er sei froh, dass der Datenschutzausschuss sich eine gemeinsame Linie einigen konnte, sagte der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI), Ulrich Kelber. "Ich begrüße vor allem das Bekenntnis zur Freiwilligkeit. Sowohl in der Forschung als auch bei der Nachverfolgung von Kontakten können nur solche Lösungen erfolgreich sein, die transparent sind und ohne Zwang funktionieren." Der Datenschutz stehe tatsächlich weder der Forschung noch der Pandemiebekämpfung entgegen.
Tatsächlich vermittelt das Empfehlungspapier zur Verwendung von Forschungsdaten während der Pandemie auch, wie weitreichend die DSGVO-Ausnahmen sind, von denen nationale Behörden Gebrauch machen können. Die entsprechende Gesetzgebung vorausgesetzt, kann zum Beispiel auf Einwilligung zur Verarbeitung von Gesundheitsdaten verzichtet werden. Eine mögliche Grundlage kann auch sein, dass die Verarbeitung "für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt" oder "in Ausübung öffentlicher Gewalt erfolgt". In Deutschland gebe dafür derzeit keine gesetzliche Grundlage, versichert ein Sprecher des BFDI.
Die Datenschützer mahnen, die gegenwärtige Krise nicht als Gelegenheit zu nutzen, um eine unverhältnismäßige Datensammlung und -Speicherung zu etablieren. Persönliche Daten etwa sollten, wenn überhaupt, nur für die Dauer der Covid-19 Krise aufbewahrt werden. "Danach sollen alle persönlichen Daten gelöscht oder anonymisiert werden." Wojciech Wiewiórowski, EU Data Protection Supervisor und als solcher zuständig für den Datenschutz der EU-Behörden, plädierte zwar für Vertrauen aufseiten der Bürger. Er mahnte aber, dass auch datenschutzfreundliche Tracing-Apps den Wunsch nach mehr wecken könnten. (vbr)
