2 Min

Datenschutz und Corona Teil 1: Übermittlung von Standortdaten

Die Verlässlichkeit einer Verfassung zeigt sich erst in der Krisenlage. Inmitten der größten Krise der jungen Geschichte der Bundesrepublik Deutschland werden Standortdaten zum Allheilmittel stilisiert – der Grundrechtsschutz rückt dabei vielfach in den Hintergrund. Es stellt sich unweigerlich die Frage: Wie gehen unsere Politiker, aber auch wir als Gesellschaft, mit unseren Grundrechten um, wenn es hart auf hart kommt? Inwieweit sind wir bereit in einer Notsituation auf unsere Grundrechte zu Gunsten der Volksgesundheit zu verzichten? Nicht zuletzt die Weitergabe von Standortdaten an staatliche Stellen verdeutlicht uns: Das Coronavirus wird nicht nur zum wirtschaftlichen und medizinischen, sondern auch zum gesellschaftlichen und datenschutzrechtlichen Lackmustest – Ausgang ungewiss.

In drei Teilen soll, das in Zeiten der Corona Krise entstandene Spannungsfeld zwischen Gesundheits- und Datenschutz genauer beleuchtet werden. Wir von DataGuard werden drei Blogposts zu dem Thema Datenschutz & Corona publizieren:

1. Darf die Telekom Handy Standortdaten an das RKI übermitteln?

2. Wie geht das Ausland mit Datenschutz in Zeiten von Corona um?

3. Wie handhabt Bundesgesundheitsminister Spahn den Datenschutz zu Corona Zeiten?

 

Nun zum ersten Teil: Telekomdaten für das RKI

Die Deutsche Telekom hat dem Robert-Koch-Institut (RKI) zwei Datenpakte mit Ortungsdaten, die Bewegungsströme von Mobilfunkkunden abbilden, übermittelt. Weitere derartige Datenpakte sollen folgen. Diese Bewegungsdaten sollen helfen, die Verbreitung des Coronavirus einzudämmen oder zumindest besser zu verstehen. Anhand des Vergleichs der Daten, will das RKI feststellen, ob sich das Mobilitätsverhalten der Bevölkerung durch die getroffenen öffentlichen Maßnahmen tatsächlich verändert und welche Auswirkungen diese Veränderung auf Neuansteckungen hat.

So weit so gut: Doch wie steht es dabei um den Grundrechts- und Datenschutz der betroffenen Bürger? Immerhin umfasst allein das erste Datenpaket Bewegungsdaten von über 45 Millionen Mobilfunkkunden. Ganz entscheidend für die Beantwortung dieser Frage ist, welche Art von Daten in diesen Datenpaketen enthalten sind – eine detaillierte Übermittlung von Ortungsdaten, die jeweils auf einen bestimmten oder bestimmbaren Mobilfunkkunden zurückzuführen sind, stellten ein schwerwiegender Eingriff in deren Grundrecht auf informationelle Selbstbestimmung dar und wären damit auch datenschutzrechtlich im hohen Maße bedenklich.

Sind Rückschlüsse auf Individuen anhand der Daten möglich?

Die Deutsche Telekom beschwichtigt. Nach Angaben des Providers ermöglichen die übermittelten Daten keinerlei Rückschlüsse auf individuelle Mobilfunknutzer. Vielmehr seien aus den Datensätzen lediglich Bewegungsströme nachvollziehbar. Datenanalysten bezeichnen solche Daten als „aggregierte Daten.“ Aggregation von Daten bedeutet, dass Daten in einer Weise zusammengeführt werden, die dafür sorgt, dass ausschließlich ein Gruppenwert erkennbar bleibt, ohne dass ein Rückschluss auf einzelne Personen möglich ist.  Die Deutsche Telekom gibt explizit an, dass die Daten durch die Aggregation so anonymisiert wurden, dass eine Re-Individualisierung unmöglich ist.

Wie wirken sich die Ausgangsbeschränkungen auf die Mobilität aus?

Weitere Informationen und Abbildungen zu den übergebenen Datensätzen veröffentlichte die Deutsche Telekom auf ihrem Twitter Kanal (@deutschetelekom). Die Daten ermöglichen einen Wochenvergleich der Wegstrecken, die von den Mobilfunkkunden in vier verschiedenen Städten zurückgelegt wurden. Insoweit existieren jeweils drei Kategorien von Wegstrecken: a) unter 50 km b) 50 bis 100 km und c) über 100 km. Die Knicke verdeutlichen jeweils die Verringerung der Zahlen an Samstag, Sonntag und Montag (7.3./ 8.3./9.3.) gegenüber dem jeweils folgenden Samstag, Sonntag und Montag (14.3./15.3./16.3.). Dabei ist erkennbar, dass sich die Wegstrecken in München im Bereich von unter 50 km um bis zu 17% reduzierten. Die Wegstrecken von 50-100 km reduzierten sich um 31% und die längeren Wegstrecken um 42%. Nachdem in Bayern jedoch erst seit dem 21. März eine weitreichende Ausgangsbeschränkung herrscht, wäre ein Abgleich des ersten Datenpakets mit dem zweiten aufschlussreicher – dieser liegt uns allerdings nicht vor. Darin wäre vermutlich ein weiterer Rückgang von über 50% erkennbar. Es gibt mittlerweile auch andere Analysen von Mobilitätsdaten, die die Vermutung nahelegen, dass sich die Anzahl der Bewegungen im öffentlichen Raum um bis zu 90% reduziert haben.

Hinweis der Telekom

Die Deutsche Telekom schreibt auf ihrem Twitter Account, dass die Schwarmdaten für die Bekämpfung des Corona Virus „wahnsinnig wichtig“ seien. Mit Hinblick auf die insoweit getroffenen öffentlichen Maßnahmen und den damit einhergehenden Grundrechtsbeschränkungen der Bürger erscheint dieser Superlativ wohl gerechtfertigt.

Wie schätzt der Bundesdatenschutzbeauftragte die Situation ein?

Der Bundesdatenschutzbeauftrage Ulrich Kelber hält die Datenweitergabe für „datenschutzrechtlich vertretbar.“ Als entscheidendes Kriterium macht auch Kelber selbst aus, dass „keine Rückschlüsse auf einzelne Personen“ möglich seien. Dieser Ansicht ist aus datenschutzrechtlicher Sicht beizupflichten. Solange hier tatsächlich keinerlei personenbezogene Daten übermittelt wurden, bleibt auch kein Raum für datenschutzrechtliche Bedenken, da schon kein Eingriff in das Recht auf informationelle Selbstbestimmung der Betroffenen stattfindet.

Anonymisierung ist ein rosa Einhorn

Ein größeres Fragezeichen steht allerdings hinter der Anonymisierung der Daten. Unter Datenschutzexperten herrscht Konsens, dass eine vollständige Anonymisierung häufig unerreichbar ist und gerade angesichts des rasanten technischen Fortschritts eine Re-Identifizierung anonymisierter Daten zumeist möglich sein wird.

Die Anonymisierung ist bei uns bei DataGuard auch als „rosa Einhorn“ bekannt. Warum? Es ist beinahe unerreichbar, Daten vollständig zu anonymisieren, also ein unerreichbares Fabelwesen. Dazu eine Anekdote: Im Jahr 2006 schrieb Netflix einen Wettbewerb namens Netflix Prize aus, mit dem Ziel das Filmempfehlungssystem zu verbessern. Im Rahmen des Wettbewerbs veröffentlichte Netflix über 100 Millionen Film-Bewertungen von fast 500.000 zufällig ausgewählten Kunden. Vor dem Veröffentlichen dieser Daten-Teilmenge versuchte Netflix, alle personenbezogenen Daten zu entfernen. Es verblieben als Datenpunkte: die Bewertung, Datum der Bewertung, Kunden-ID, Titel und Erscheinungsjahr des Films. Die Kunden-IDs wurden durch eine zufällig generierte ID ersetzt. Auch wurden die Bewertungsergebnisse verändert. Das Unternehmen veröffentliche ein Zehntel dieser Bewertungsdatensätze und behauptete, dass es vollkommen unmöglich sei die Person hinter den Bewertungen zu identifizieren. Einem Team von Forschern gelang es anhand der öffentlich zugänglichen Amazon Filmbewertungen von den über 438.000 anonymisierten Netflix-Nutzern mehr als 366.000 mit Namen zu identifizieren.1 Die Folgen einer Veröffentlichung von Personendaten mit Bezug etwa zu pornografischen Filmen liegen auf der Hand.

Vor diesem Hintergrund sollte eine Veröffentlichung und eine damit verbundene Exposition der übermittelten Daten tunlichst vermieden werden, weder als Open-Data noch für die Zwecke für den durch die Bundesregierung initiierten Hackathon. Selbst in der aggregierten Form bieten solche Datensätze meist eine gewisse Gefahr der Re-Personalisierung, wobei wir den Datensatz als solchen nicht abschließend bewerten können.

Ist Bundesgesundheitsminister Spahn eine Gefahr für den Datenschutz? Was macht das Ausland?

Deutlich gefährlicher als die Weitergabe der aggregierten Handy-Trackingdaten erscheint der Vorstoß des Gesundheitsministeriums zur Änderung des Infektionsschutzgesetzes. Diese sollte es den Gesundheitsbehörden ermöglichen vom jeweiligen Mobilfunkanbieter die Handy-Ortungsdaten von Infizierten einzufordern. Daraus könnte die Behörde sodann ein Bewegungsprofil des Einzelnen erstellen, um Kontaktpersonen zu ermitteln und zu kontaktieren und somit in massiver Weise in die Grundrechte Infizierter eingreifen. Gesundheitsminister Spahn argumentiert damit, dass dies in anderen Ländern möglich sei und teilweise zu großem Erfolg geführt habe. In Teil 2 und Teil 3 der Serie soll sich mit dieser Thematik genauer befasst werden.
Hier finden Sie weitere Informationen zum Thema Datenschutz & Corona.

[1] Archie, Maryam, et al. “Who’s Watching? - De-anonymization of Netflix Reviews using Amazon Reviews”, MIT 2018.

Über den Autor

Dr. Niels Beisinghoff & Niklas Schroth Dr. Niels Beisinghoff & Niklas Schroth
Dr. Niels Beisinghoff & Niklas Schroth

Legal Counsel Dr. Niels Beisinghoff arbeitete jeweils fünf Jahre als Unternehmensberater und Startup-Unternehmer. Obwohl der Volljurist erst bei DataGuard tiefer in den Datenschutz eintauchte, liefern seine Studienjahre erste Hinweise auf seinen späteren Berufsweg: „Datenschutz ist für mich ein Menschenrecht, das nun endlich mithilfe der DSGVO durchsetzbar wurde. Ich habe meine Doktorarbeit über die Durchsetzung von Menschenrechten gegenüber Firmen geschrieben.“ Heute unterstützt er internationale Unternehmen aus Branchen wie Logistik, Industrie und E-Mobility. Als Rechtsanwalt steht Niklas Schroth internationalen Konzernen beratend zur Seite. Auf die wachsende Bedeutung des Datenschutzes wurde er während seiner Tätigkeit als Rechtsanwalt bei einer internationalen Kanzlei aufmerksam: „Aufgrund der rasanten technologischen Entwicklung ist das Datenschutzrecht am Puls der Zeit wie kein anderes Rechtsgebiet. Es gilt, stets ein Spannungsfeld verschiedener Interessen zum Ausgleich zu bringen – und dabei bestmögliche Ergebnisse für den Kunden zu erlangen.“

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren