Datenschutzkonforme Analysemöglichkeiten zur Eindämmung des Coronavirus

Das neuartige Coronavirus, auch bekannt als "SARS-CoV-2", das die Krankheit Covid-19 verursacht, bereitet derzeit Regierungen und deren Bürgern weltweit große Probleme. Die ständig wachsende Zahl der Infektionen scheint es erforderlich zu machen, dass zum Schutz der Bevölkerung sämtliche zur Verfügung stehenden technologischen Analysemöglichkeiten eingesetzt werden, um die Ausbreitung des Coronavirus eindämmen zu können. Aber wie ist das in Europa mit der DSGVO vereinbar?

Fraglich dabei ist, ob und wie Analysen der personenbezogenen Daten von Bürgern datenschutzkonform durch den Staat oder andere nicht-öffentliche Stellen durchgeführt werden können. Denn auch in Zeiten einer Pandemie wird für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage benötigt und die Verarbeitung muss verhältnismäßig, also geeignet das angestrebte Ziel zu erreichen, dafür erforderlich und in der Gesamtbetrachtung angemessen, sein. Es darf insoweit kein gleichwirksames, milderes Mittel geben.

Analysen durch den Staat

Die Auswertung von Standortdaten seiner Bürger durch den
Staat könnte in Katastrophenfällen auf einzelne Gesetze, wie z.B. das
Infektionsschutzgesetz, das Bundespolizeigesetz oder das
Telekommunikationsgesetz, gestützt werden. Es ist jedoch äußerst umstritten, ob
ein solch massiver Grundrechtseingriff durch diese Gesetze gerechtfertigt
werden kann. Daher soll kurzfristig das Kabinett und der Bundestag über einen
Gesetzesentwurf des Bundesgesundheitsministeriums zur Novellierung des
Infektionsschutzgesetzes entscheiden. Dadurch soll, zum Schutz der Bevölkerung
bei einer epidemischen Lage von nationaler Tragweite, eine Rechtsgrundlage
geschaffen werden, um mögliche Kontaktpersonen von Infizierten anhand der
Mobilfunkdaten zu identifizieren und deren Kontaktdaten den Gesundheitsbehörden
zur Verfügung stellen zu können.

Der Bundesbeauftragte für den Datenschutz und die
Informationsfreiheit Ulrich Kelber kritisierte
diesen Entwurf
richtigerweise, da es
zweifelhaft ist ob dieser erhebliche Grundrechtseingriff auf Grund der
Ungenauigkeit der aus Mobilfunkverbindungen resultierenden Standortdaten überhaupt
eine geeignete Maßnahme darstellt.

In anderen Ländern wie China oder Südkorea, in denen der
Datenschutz keine so hervorgehobene Rolle spielt wie in Europa, wurden
Kontaktpersonen von Infizierten mittels der Auswertung von Mobilfunkdaten
identifiziert und unter Quarantäne gestellt.

In Israel hat Premierminister Netanjahu dem Inlandsgeheimdienst
die Überwachung der israelischen Bevölkerung mittels der Mobilfunkdaten
angeordnet. Dadurch werden Personen, die möglicherweise infiziert sein könnten,
identifiziert und erhalten eine Warnung des Gesundheitsamtes per SMS. Der
Oberste Gerichtshof Israels hat jedoch die Polizei inzwischen daran gehindert,
die Daten auch zur Durchsetzung von Quarantänen zu verwenden.

Analysen durch das Robert-Koch-Institut

Die Deutsche Telekom hat derweilen die ersten anonymisierte
Datensätze ihrer Mobilfunknutzer an das Robert-Koch-Institut (RKI)
weitergegeben. Die übermittelten Datensätze beinhalten zur Standortbestimmung
der Nutzer den Zeitpunkt des Aufbaus von Mobilfunkverbindungen und die
entsprechenden Mobilfunkmasten. Damit soll das RKI bundesweite Bewegungsströme
simulieren, um Hotspots aufzuzeigen oder die Wirksamkeit von
Ausgangsbeschränkungen bewerten zu können.

Vor der Weitergabe der Daten werden in einem ersten Schritt
die personenbezogenen Daten, z.B. Name und Telefonnummer, von den Standortdaten
getrennt. Anschließend werden die anonymisierten Standortdaten der Mobilfunknutzer
in Gruppen von jeweils ca. 30 Personen zusammengefasst, ein Rückschluss auf die
Bewegungen einzelner Personen sei dadurch ausgeschlossen. Somit gelten diese
Massenstatistiken nicht mehr als personenbezogene Daten und fallen nicht in den
Anwendungsbereich der DSGVO.

Die Vorgehensweise bei der Anonymisierung der Datensätze wurde in Zusammenarbeit mit dem Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) entwickelt und ist mit den Aufsichtsbehörden der Länder abgesprochen.

Eine ähnliche Vorgehensweise gab es in unserem Nachbarland Österreich. Hier hat der österreichische Mobilfunkanbieter A1 anonymisierte Standortdaten seiner Nutzer an die österreichische Regierung weitergegeben.

Analysen durch Drittanbieter

Einen anderen Ansatz verfolgen private Non-Profit-Initiativen
wie „NoVid20“ aus Österreich oder die
medizinische Hochschule Hannover mit Ihrer „geoHealthApp“. Hier stellen die User,
basierend auf dem Vorbild von Apps aus dem asiatischen Raum, insbesondere
Südkorea und Singapur, die Daten ihrer Smartphones freiwillig zur Verfügung.

Beim Tracking via GPS können User, nachdem sie positiv auf
COVID-19 getestet wurden, die GPS-Daten der letzten Tage auf die Server
hochladen. Auf den Geräten anderer Nutzer werden diese Daten dann mit den
eigenen Standorten abgeglichen. Falls es eine zeitliche und örtliche Überschneidung
geben sollte, werden die Nutzer darüber informiert und gebeten freiwillig in
Quarantäne zu gehen und die Gesundheitsbehörden zu kontaktieren.

Eine weitere Möglichkeit ist, dass das Smartphone der
App-Nutzer in regelmäßigen Abständen per Bluetooth Signale an alle anderen im
Umkreis befindlichen Smartphones sendet. Wenn auf anderen Geräten auch die App
installiert ist, wird deren durch die App generierte Nutzerkennung als
möglicher Risikokontakt gespeichert. Falls ein Nutzer anschließend positiv auf
COVID-19 getestet wird, kann er alle Risikokontakte der letzten Tage
verständigen.  Wie bei der GPS Lösung
wird den Kontakten angeraten, sich in Quarantäne zu begeben und die
Gesundheitsbehörden zu kontaktieren.

Da es sich hierbei um Gesundheitsdaten handelt, die
entsprechend Art. 9 DSGVO als besondere Kategorie der personenbezogenen Daten
gelten und somit besonders schutzwürdig sind, können diese Apps zum Schutz vor
schwerwiegenden grenzüberschreitenden Gesundheitsgefahren nur
datenschutzkonform betrieben werden, wenn die vorherige ausdrücklichen Einwilligung
der Nutzer vorliegt.

Die Einwilligung der Nutzer muss dabei freiwillig, aktiv und
informiert erfolgen. Des Weiteren muss jede betroffene Person vor der
Verarbeitung ausführlich über den für die Verarbeitung Verantwortlichen, den Zweck
der Verarbeitung, eine geplante Weitergabe der Daten an Dritte und die
Speicherdauer der Daten informiert werden. Die Daten dürfen auch nur so lange
gespeichert werden, wie es für den Zweck der Analyse notwendig ist.

Die Bewegungs- und Gesundheitsdaten müssen auch, ihrer
sensiblen Natur entsprechend, durch angemessen hohe technische und
organisatorische Maßnahmen in ihrer Integrität und Vertraulichkeit geschützt
werden. Insbesondere ist ein unberechtigter Zugriff Dritter durch eine lokale
Speicherung der Daten in verschlüsselter Form auf den Geräten, sowie eine extra
gesicherte Übertragung zwischen Endgeräten und zum Server zu verhindern.

Weitere Informationen zum Thema Datenschutz & Corona

Wir haben für Sie einige Informationen dazu zusammengefasst, was Sie im Home-Office und in Bezug auf Kommunikationstools wie Zoom, Microsoft Teams & Co. beachten sollten. Hier geht es zu unseren Webinaren, Artikeln und Dokumenten mit praxisnahen Tipps und Tricks dazu, wie Sie auch in Krisenzeiten datenschutzkonform bleiben.

Über den Autor

Janis Junker Janis Junker
Janis Junker

Seine Berufung zum Datenschützer entdeckte Janis Junker, ehemals Principal IT-Consultant bei DataGuard, bei der Mitgründung eines Start-ups im Bereich M-Commerce und Digitalisierung. Hier konnte er praktische Erfahrungen mit datenschutzrechtlichen Themen sammeln: Neben dem Schutz von Mitarbeiterdaten gab es auch bei der Projektentwicklung einiges zu klären, z. B. in puncto Datenschutzerklärungen, Datenvermeidung und -sparsamkeit. Sein Interesse für das Thema war entfacht. Spannend dabei findet er insbesondere die tiefe Verknüpfung von Recht mit IT und Informationssicherheit. „Der Datenschutz ist das lebendigste aller rechtlichen Gebiete. Als Datenschützer muss man mit der immensen Geschwindigkeit der technologischen und gesellschaftlichen Entwicklungen mithalten, um nicht abgehängt zu werden.“ In seiner Freizeit ist Janis vielseitig aktiv: Ob Lesen, Kochen, Games, Wandern oder Skifahren – Hauptsache Abwechslung.

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren