Datenschutzkonforme Analysemöglichkeiten zur Eindämmung des Coronavirus

Das neuartige Coronavirus, auch bekannt als „SARS-CoV-2“, das die Krankheit Covid-19 verursacht, bereitet derzeit Regierungen und deren Bürgern weltweit große Probleme. Die ständig wachsende Zahl der Infektionen scheint es erforderlich zu machen, dass zum Schutz der Bevölkerung sämtliche zur Verfügung stehenden technologischen Analysemöglichkeiten eingesetzt werden, um die Ausbreitung des Coronavirus eindämmen zu können. Aber wie ist das in Europa mit der DSGVO vereinbar?

Fraglich dabei ist, ob und wie Analysen der personenbezogenen Daten von Bürgern datenschutzkonform durch den Staat oder andere nicht-öffentliche Stellen durchgeführt werden können. Denn auch in Zeiten einer Pandemie wird für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage benötigt und die Verarbeitung muss verhältnismäßig, also geeignet das angestrebte Ziel zu erreichen, dafür erforderlich und in der Gesamtbetrachtung angemessen, sein. Es darf insoweit kein gleichwirksames, milderes Mittel geben.

Analysen durch den Staat

Die Auswertung von Standortdaten seiner Bürger durch den Staat könnte in Katastrophenfällen auf einzelne Gesetze, wie z.B. das Infektionsschutzgesetz, das Bundespolizeigesetz oder das Telekommunikationsgesetz, gestützt werden. Es ist jedoch äußerst umstritten, ob ein solch massiver Grundrechtseingriff durch diese Gesetze gerechtfertigt werden kann. Daher soll kurzfristig das Kabinett und der Bundestag über einen Gesetzesentwurf des Bundesgesundheitsministeriums zur Novellierung des Infektionsschutzgesetzes entscheiden. Dadurch soll, zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite, eine Rechtsgrundlage geschaffen werden, um mögliche Kontaktpersonen von Infizierten anhand der Mobilfunkdaten zu identifizieren und deren Kontaktdaten den Gesundheitsbehörden zur Verfügung stellen zu können.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber kritisierte diesen Entwurf richtigerweise, da es zweifelhaft ist ob dieser erhebliche Grundrechtseingriff auf Grund der Ungenauigkeit der aus Mobilfunkverbindungen resultierenden Standortdaten überhaupt eine geeignete Maßnahme darstellt.

In anderen Ländern wie China oder Südkorea, in denen der Datenschutz keine so hervorgehobene Rolle spielt wie in Europa, wurden Kontaktpersonen von Infizierten mittels der Auswertung von Mobilfunkdaten identifiziert und unter Quarantäne gestellt.

In Israel hat Premierminister Netanjahu dem Inlandsgeheimdienst die Überwachung der israelischen Bevölkerung mittels der Mobilfunkdaten angeordnet. Dadurch werden Personen, die möglicherweise infiziert sein könnten, identifiziert und erhalten eine Warnung des Gesundheitsamtes per SMS. Der Oberste Gerichtshof Israels hat jedoch die Polizei inzwischen daran gehindert, die Daten auch zur Durchsetzung von Quarantänen zu verwenden.

Analysen durch das Robert-Koch-Institut

Die Deutsche Telekom hat derweilen die ersten anonymisierte Datensätze ihrer Mobilfunknutzer an das Robert-Koch-Institut (RKI) weitergegeben. Die übermittelten Datensätze beinhalten zur Standortbestimmung der Nutzer den Zeitpunkt des Aufbaus von Mobilfunkverbindungen und die entsprechenden Mobilfunkmasten. Damit soll das RKI bundesweite Bewegungsströme simulieren, um Hotspots aufzuzeigen oder die Wirksamkeit von Ausgangsbeschränkungen bewerten zu können.

Vor der Weitergabe der Daten werden in einem ersten Schritt die personenbezogenen Daten, z.B. Name und Telefonnummer, von den Standortdaten getrennt. Anschließend werden die anonymisierten Standortdaten der Mobilfunknutzer in Gruppen von jeweils ca. 30 Personen zusammengefasst, ein Rückschluss auf die Bewegungen einzelner Personen sei dadurch ausgeschlossen. Somit gelten diese Massenstatistiken nicht mehr als personenbezogene Daten und fallen nicht in den Anwendungsbereich der DSGVO.

Die Vorgehensweise bei der Anonymisierung der Datensätze wurde in Zusammenarbeit mit dem Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) entwickelt und ist mit den Aufsichtsbehörden der Länder abgesprochen.

Eine ähnliche Vorgehensweise gab es in unserem Nachbarland Österreich. Hier hat der österreichische Mobilfunkanbieter A1 anonymisierte Standortdaten seiner Nutzer an die österreichische Regierung weitergegeben.

Analysen durch Drittanbieter

Einen anderen Ansatz verfolgen private Non-Profit-Initiativen wie „NoVid20“ aus Österreich oder die medizinische Hochschule Hannover mit Ihrer „geoHealthApp“. Hier stellen die User, basierend auf dem Vorbild von Apps aus dem asiatischen Raum, insbesondere Südkorea und Singapur, die Daten ihrer Smartphones freiwillig zur Verfügung.

Beim Tracking via GPS können User, nachdem sie positiv auf COVID-19 getestet wurden, die GPS-Daten der letzten Tage auf die Server hochladen. Auf den Geräten anderer Nutzer werden diese Daten dann mit den eigenen Standorten abgeglichen. Falls es eine zeitliche und örtliche Überschneidung geben sollte, werden die Nutzer darüber informiert und gebeten freiwillig in Quarantäne zu gehen und die Gesundheitsbehörden zu kontaktieren.

Eine weitere Möglichkeit ist, dass das Smartphone der App-Nutzer in regelmäßigen Abständen per Bluetooth Signale an alle anderen im Umkreis befindlichen Smartphones sendet. Wenn auf anderen Geräten auch die App installiert ist, wird deren durch die App generierte Nutzerkennung als möglicher Risikokontakt gespeichert. Falls ein Nutzer anschließend positiv auf COVID-19 getestet wird, kann er alle Risikokontakte der letzten Tage verständigen.  Wie bei der GPS Lösung wird den Kontakten angeraten, sich in Quarantäne zu begeben und die Gesundheitsbehörden zu kontaktieren.

Da es sich hierbei um Gesundheitsdaten handelt, die entsprechend Art. 9 DSGVO als besondere Kategorie der personenbezogenen Daten gelten und somit besonders schutzwürdig sind, können diese Apps zum Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren nur datenschutzkonform betrieben werden, wenn die vorherige ausdrücklichen Einwilligung der Nutzer vorliegt.

Die Einwilligung der Nutzer muss dabei freiwillig, aktiv und informiert erfolgen. Des Weiteren muss jede betroffene Person vor der Verarbeitung ausführlich über den für die Verarbeitung Verantwortlichen, den Zweck der Verarbeitung, eine geplante Weitergabe der Daten an Dritte und die Speicherdauer der Daten informiert werden. Die Daten dürfen auch nur so lange gespeichert werden, wie es für den Zweck der Analyse notwendig ist.

Die Bewegungs- und Gesundheitsdaten müssen auch, ihrer sensiblen Natur entsprechend, durch angemessen hohe technische und organisatorische Maßnahmen in ihrer Integrität und Vertraulichkeit geschützt werden. Insbesondere ist ein unberechtigter Zugriff Dritter durch eine lokale Speicherung der Daten in verschlüsselter Form auf den Geräten, sowie eine extra gesicherte Übertragung zwischen Endgeräten und zum Server zu verhindern.

Weitere Informationen zum Thema Datenschutz & Corona

Wir haben für Sie einige Informationen dazu zusammengefasst, was Sie im Home-Office und in Bezug auf Kommunikationstools wie Zoom, Microsoft Teams & Co. beachten sollten. Hier geht es zu unseren Webinaren, Artikeln und Dokumenten mit praxisnahen Tipps und Tricks dazu, wie Sie auch in Krisenzeiten datenschutzkonform bleiben.

Über den Autor

Janis Junker

Seine Berufung zum Datenschützer entdeckte Janis Junker, heute Principal IT-Consultant bei DataGuard, bei der Mitgründung eines Start-ups im Bereich M-Commerce und Digitalisierung. Hier konnte er praktische Erfahrungen mit datenschutzrechtlichen Themen sammeln: Neben dem Schutz von Mitarbeiterdaten gab es auch bei der Projektentwicklung einiges zu klären, z. B. in puncto Datenschutzerklärungen, Datenvermeidung und -sparsamkeit. Sein Interesse für das Thema war entfacht. Spannend dabei findet er insbesondere die tiefe Verknüpfung von Recht mit IT und Informationssicherheit. „Der Datenschutz ist das lebendigste aller rechtlichen Gebiete. Als Datenschützer muss man mit der immensen Geschwindigkeit der technologischen und gesellschaftlichen Entwicklungen mithalten, um nicht abgehängt zu werden.“ In seiner Freizeit ist Janis vielseitig aktiv: Ob Lesen, Kochen, Games, Wandern oder Skifahren – Hauptsache Abwechslung.

Weitere Beiträge von Janis Junker

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.

close

Vielen Dank

für Ihre Anfrage.

Wir setzen uns zeitnah mit Ihnen in Verbindung, um Ihr persönliches Erstgespräch zu terminieren.

01

Sie erhalten innerhalb weniger Minuten eine Bestätigungs-E-Mail mit allen wichtigen Informationen. Sie sind nur noch einen Klick von Ihrem Erstgespräch entfernt.

02

Wir rufen Sie zu der vereinbarten Zeit unter der angegebenen Telefonnummer an. Alle Fragen die Sie haben sollten, beantworten wir dann gerne. Wir freuen uns auf das Gespräch mit Ihnen!

Wir machen Ihnen umgehend ein passendes Angebot. Gerne können Sie uns auch einfach anrufen:
089 442 550 - 62649 (wir arbeiten bundesweit)

Buchen sie hier direkt einen Termin mit einem unserer Experten.

Jetzt direkt Termin buchen

Oder senden Sie dieses Formular ab und erhalten erste Informationen. Einer unserer Experten wird Sie daraufhin kontaktieren.






Sie können der Verwendung Ihrer E-Mail-Adresse jederzeit widersprechen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

[honeypot fc_website_h]


































Angebot erhalten
089 442 550 - 62649 bundesweiter Service