Praxiswissen

4 Min

Datenschutz und Corona Teil 3: Spahn's Verhältnis zum Datenschutz

Dr. Niels Beisinghoff & Niklas Schroth
Dr. Niels Beisinghoff & Niklas Schroth

In der Corona Krise durchlebt die Bundesrepublik Deutschland die wohl herausforderndste Zeit ihrer Geschichte. Nicht nur dem Gesundheitssystem und der Volkswirtschaft droht der Zusammenbruch - auch das Grundgesetz wird einer echten Nagelprobe unterzogen. Die Stabilität einer Verfassung zeigt sich besonders in Krisenzeiten. Ausgerechnet jetzt wartet Gesundheitsminister Jens Spahn mit einem Gesetzesentwurf auf, der das Grundrecht auf informationelle Selbstbestimmung in Frage stellt.

Was ist das Recht auf informationelle Selbstbestimmung?

Das Recht auf informationelle Selbstbestimmung ist das Recht des Einzelnen, grundsätzlich selbst darüber bestimmen zu dürfen welche personenbezogenen Daten er preisgibt und welche von anderen verwendet werden dürfen. Eine ausdrückliche Kodifikation im Grundgesetz hat das Recht auf informationelle Selbstbestimmung nicht erfahren. Es ist eine Ausprägung des allgemeinen Persönlichkeitsrechts und wurde vom Bundesverfassungsgericht erstmals im Jahre 1983 im Rahmen des Volkszählungsurteils etabliert. Das Grundrecht auf informationelle Selbstbestimmung ist – insbesondere in einer zunehmend technologisierten Welt – zunächst ein wichtiges Abwehrrecht gegenüber dem Staat, findet aber auch im Verhältnis unter Privaten durch Rechtsakte zum Datenschutz (insbesondere DSGVO und BDSG) Ausdruck (unmittelbare Drittwirkung).

Das Recht auf informationelle Selbstbestimmung wird nicht schrankenlos gewährleistet. Dies bedeutet, dass das Grundrecht grundsätzlich aufgrund eines Gesetzes eingeschränkt werden kann. Wichtig ist dabei aber insbesondere, dass dieses Gesetz den Grundsatz der Verhältnismäßigkeit berücksichtigt und nicht übermäßig in das Grundrecht eingreift.

Was sah Spahns Gesetzesentwurf vor?

Der Entwurf sah vor, dass Behörden – hier insbesondere Gesundheitsbehörden – im Falle einer Epidemie in Deutschland Verkehrsdaten bei Telekommunikationsanbietern anfordern können. Dies bedeutet im Einzelfall, dass sobald bekannt wird, dass sich eine Person infiziert hat, die zuständige Behörde die Daten auf dem Smartphone des Betroffenen auslesen und auswerten dürfte. Aber nicht nur die infizierte Person selbst wäre von dieser Grundrechtseinschränkung betroffen, sondern sämtliche Personen, die mit dem Infizierten Kontakt gehabt haben könnten. Das würden die Behörden anhand der Standortdaten der Mobilfunknutzer erkennen. Man stelle sich vor, der Infizierte befand sich in der U-Bahn – hier scheint ein Eingriff in das Grundrecht hunderter Personen denkbar. Experten halten es sogar für möglich, dass wegen einer einzigen infizierten Person mehr als zehntausende Menschen betroffen sein könnten, die sich im Umkreis aufgehalten haben, weil Standortdaten oft zu ungenau sind.

Im Übrigen zählen zu den Verkehrsdaten - also jene Daten, die die zuständigen Behörden beim Telekommunikationsanbieter abfragen dürften – nicht nur die Standortdaten, sondern auch sonstige Daten wie mit wem der Infizierte telefoniert oder Nachrichten ausgetauscht hat. Dies würde somit gleichzeitig und zusätzlich zu einer Einschränkung des Fernmeldefreiheit führen

Welche Spielarten von Standortdatenerfassung wurden in den letzten Tagen diskutiert?

In
den letzten Tagen wurden drei Arten der Standortdatenerfassung diskutiert:

Die erste Variante sieht vor, dass den Regierungen aggregierte Daten zur Analyse von Wegstrecken zur Verfügung gestellt werden. Dies dient der Beurteilung des allgemeinem Mobilitätsverhaltens der Bevölkerung (Ausführlich hierzu: Teil 1 der DataGuard Trilogie zu Datenschutz und Corona). Solange hier tatsächlich keine Möglichkeit der Re-Persionalisierung besteht,  bestehen bei diesem Vorgehen keine datenschutzrechtlichen Bedenken.

Bei der zweiten Variante handelt es sich um freiwillige Smartphone-Apps, die nicht auf GPS Daten zugreifen, sondern auf der Bluetooth-Technologie basieren. Hierbei werden keine personenbezogene Daten erhoben und gespeichert sondern lediglich gewarnt, sobald ein Kontakt zu einem Infizierten stattgefunden hat. Diese Variante wurde beispielsweise in Singapur genutzt. Derartige Apps wurden auch bereits in Deutschland entwickelt. Auch diese Spielart kann DSGVO-konform ausgestaltet werden. Dabei kommt es  insbesondere auch auf die Einhaltung der technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO an. Die dritte Variante ist die oben beschriebene „Methode Spahn“, bei der der Staat auf Standortdaten der Bürger zugreifen darf. Diese Variante hat sich inbesondere Südkorea zu Nutze gemacht, indem auf GPS-Ortungsdaten und darüber hinaus sogar auf Kreditkartendaten zugegriffen werden durfte.

Wie ist die Spahn Variante der Corona App zu beurteilen?

Auf
dem folgenden Schaubild sind die oben beschriebenen Varianten grafisch
dargestellt. Auf der x-Achse ist der Grad der Freiwilligkeit dargestellt, auf
der y-Achse ist der Grad der Überwachung zu erkennen. In der unteren rechten
Ecken sind die freiwilligen Apps, die auf Bluetooth-Technologie setzen zu
sehen.

In der linken oberen Ecke befinden sich die Technologien nach Variante 3. Zu sehen sind mit absteigender Überwachungsmöglichkeit: Die chinesische, die israelische, die südkoreanische Lösung –  und letzlich auch die Lösung von Gesundheitsminister Spahn. Nach jetztigem Kenntnisstand bestehen keine Anhaltspunkte dafür, dass die chinesische App oder die israelische Überwachung Covid-19 hilfreich bekämpft haben. Die südkoreanische App hat möglicherweise zur Minderung der Infektionen beigetragen, aber die Bevölkerung auch massiv in Menschenrechten eingeschränkt. Eines der erfolgreichsten Länder in der Bekämpfung der Krise war hingegen Singapur – die ganz ohne GPS Ortungsdaten auskamen.

Ist Datenschutz nur was für Gesunde?

Spahns Vorstoß war nicht sein erster Versuch den Datenschutz (vermeintlich zu Gunsten des Gesundheitsschutzes) zu untergraben. Schon in seinem Buch „App vom Arzt“ vertrat Spahn die provokant formulierte These „Datenschutz ist was für Gesunde“, was er nur leicht relativiert aber genauso verstanden wissen wollte.

Bekannt ist auch die massive datenschutzrechtliche Kritik von IT-Experten und Ärzten an der elektronischen Patientenakte, so etwa auch vom Bundesdatenschutzbeauftragten.

Wie sehr helfen Handydaten bei der Bekämpfung von Epidemien wirklich?

Das ist sehr umstritten. Während manche auf den Erfolg Südkoreas bei der Bekämpfung der Corona-Epidemie verweisen (siehe Datenschutz und Corona Teil 2) führen Experten immer wieder das Problem der Ungenauigkeit der Standortdaten an (siehe oben).

Nimmt man die Corona-Epidemie zum
Maßstab, so zeigt sich schnell, dass Standortdaten nicht das Allheilsmittel bei
der Bekämpfung von Epidemien sind. Dabei wurden hauptsächlich zwei weitere
große Schwächen ausgemacht:

Erstens setzt das „System Spahn“
voraus, dass den Gesundheitsbehörden die Infektionen der betroffenen Personen bekannt
ist. Virologen vermuten allerdings, dass es eine hohe Dunkelziffer an Menschen
gibt, die zwar erkrankt sind, aber keinerlei Symptome aufweisen. Verspürt eine
Person keine Anzeichen, dass sie den Erreger in sich tragen könnte, so wird sie
sich auch nicht testen lassen. Dabei handelt es sich nach bisherigen
Erkenntnissen aber um genau die Personen, die für eine schnelle Ausbreitung des
Virus sorgen. Ohne Test, wird die Gesundheitsbehörde allerdings niemals von der
Infektion der Person erfahren, sodass die Effektivität des Modells bereits deshalb
höchst fraglich ist.

Zweitens könnte eine Alarmierung
aller Personen, die mit dem Infizierten vermeintlich in Kontakt gekommen sein könnten,
nicht nur wenig zielführend, sondern sogar kontraproduktiv bei der Bekämpfung
der Epidemie sein. Verlangen all jene Personen, also auch solche die aufgrund
der Ungenauigkeit der Daten überhaupt nicht mit dem Infizierten in Kontakt
gekommen sind, nach einem Test, so könnte dies zur Folge haben, dass Tests dort
wo sie tatsächlich dringend benötigt werden nicht mehr – oder nur sehr viel
zeitverzögerter - zu bekommen sind.

Es wurde sogar spekuliert, dass der Staat eigene Apps auf den Smartphones der Bevölkerung installieren darf, um so eine bessere Ortung zu ermöglichen. So könnte auf diese genaueren GPS-Daten zugegriffen werden. Dies würde allerdings einen Grundrechtseingriff enormen Ausmaßes bedeuten, der wohl nicht zu rechtfertigen wäre. Im Gesetzentwurf war etwas kryptisch vom Einsatz "technischer Mittel" die Rede.

Fazit:

Gerade in der derzeitigen Lage
liegt es nahe, dass die Furcht vor einer unkontrollierten Ausbreitung des
Corona-Virus bei vielen Bürgern an allererster Stelle steht. Debatten über
Grundrechtseinschränkungen und Datenschutz erscheinen vielen dabei
möglicherweise kleinkariert und pedantisch. Es besteht die Gefahr, dass Gesundheitsminister
Spahn versucht, sich genau diese Gemengelage zu Nutze zu machen, um seinen lang
gehegten Wunsch nach weniger Datenschutz zu erfüllen – und das per Gesetzesinitiative,
die im Eiltempo in drei Lesungen an einem Tag durch das Parlament gepeitscht
wird. Ein Schnellschuss der in ruhigeren Zeiten möglicherweise bitter bereut
werden würde.

Solange erhebliche Zweifel
bestehen, ob die Erfassung von Mobildaten überhaupt einen Beitrag zum
Gesundheitsschutz leisten können, fehlt es schon an der eindeutigen
Feststellung, der Geeignetheit des Gesetzes. Einer Diskussion über die
Angemessenheit der Einschränkung des Grundrechts auf informationelle
Selbstbestimmung – welche erst nach Feststellung der Geeignetheit des Gesetzes
entstehen kann - ist damit bereits die Grundlage entzogen. Eine
Grundrechtseinschränkung zu Gunsten eines Mittels, dessen Erfolg nicht
nachgewiesen ist, ist schlichtweg unter keinen Umständen hinnehmbar.

Sollte sich – wider Erwarten –
herausstellen, dass Standortdaten tatsächlich einen wichtigen Beitrag zum
Schutz der Volksgesundheit liefern können, kann somit überhaupt erst über die
Verhältnismäßigkeit im engeren Sinne diskutiert werden.

Es bleibt jedenfalls
festzuhalten, dass nicht zu erwarten ist, dass Gesundheitsminister Jens Spahn
in Zukunft noch ein großer Fan des Datenschutzes wird. Auch wenn sein
Gesetzesvorhaben zur Kontrolle der GPS Ortungsdaten aller Bundesbürger in
Corona Zeiten gescheitert ist, wird er auch wohl in der Folgezeit nichts
unversucht lassen, den Datenschutz zu schwächen. Besonders anzukreiden ist ihm
hierbei allerdings, dass der Verdacht besteht, dass Spahn die
Corona-Ausnahmesituation dazu nutzen wollte, sich einen lang gehegten Wunsch
nach mehr Kontrolle zu erfüllen und sich dabei die Ängste der Bevölkerung zu
Nutze machen wollte. Es wird darauf zu achten sein, ob Spahn bei seinen
zukünftigen Gesetzesentwürfen weiterhin wichtige rechtsstaatliche Prinzipien
wie den Verhältnismäßigkeitsgrundsatz außer Betracht lässt. 

Veröffentlicht am Aktualisiert am
Tags Praxiswissen

Über den Autor

Dr. Niels Beisinghoff & Niklas Schroth Dr. Niels Beisinghoff & Niklas Schroth
Dr. Niels Beisinghoff & Niklas Schroth

Legal Counsel Dr. Niels Beisinghoff arbeitete jeweils fünf Jahre als Unternehmensberater und Startup-Unternehmer. Obwohl der Volljurist erst bei DataGuard tiefer in den Datenschutz eintauchte, liefern seine Studienjahre erste Hinweise auf seinen späteren Berufsweg: „Datenschutz ist für mich ein Menschenrecht, das nun endlich mithilfe der DSGVO durchsetzbar wurde. Ich habe meine Doktorarbeit über die Durchsetzung von Menschenrechten gegenüber Firmen geschrieben.“ Heute unterstützt er internationale Unternehmen aus Branchen wie Logistik, Industrie und E-Mobility. Als Rechtsanwalt steht Niklas Schroth internationalen Konzernen beratend zur Seite. Auf die wachsende Bedeutung des Datenschutzes wurde er während seiner Tätigkeit als Rechtsanwalt bei einer internationalen Kanzlei aufmerksam: „Aufgrund der rasanten technologischen Entwicklung ist das Datenschutzrecht am Puls der Zeit wie kein anderes Rechtsgebiet. Es gilt, stets ein Spannungsfeld verschiedener Interessen zum Ausgleich zu bringen – und dabei bestmögliche Ergebnisse für den Kunden zu erlangen.“

Mehr Artikel ansehen

Diese Themen sollten Sie nicht verpassen:

Weitere Artikel

Welche IT-Systeme gibt es?
Informationssicherheit

6 Min

Welche IT-Systeme gibt es?

Erfahren Sie, wie IT-Systeme moderne Unternehmen stärken, von Hardware und Software bis hin zu Cloud Computing und Cybersicherheit.

Weiterlesen
Risikoanalyse IT-Sicherheit
Informationssicherheit

6 Min

Risikoanalyse IT-Sicherheit

Priorisieren von Risiken in der IT-Sicherheit durch Identifizierung, Bewertung und proaktive Minderung von Bedrohungen und Schwachstellen.

Weiterlesen
IT-Sicherheit: Grundlagen
Informationssicherheit

6 Min

IT-Sicherheit: Grundlagen

Schützen Sie Ihre Daten vor Cyberbedrohungen mit den Grundprinzipien der IT-Sicherheit. Bleiben Sie informiert und verteidigen Sie Ihre IT-Sicherheit.

Weiterlesen
Was ist IT-Grundschutz?
Informationssicherheit

5 Min

Was ist IT-Grundschutz?

Schützen Sie Ihre IT-Systeme mit IT-Grundschutz: Ein Rahmen für effektive Sicherheitskontrollen und Schutz kritischer Daten.

Weiterlesen
Was sind die häufigsten Compliance-Verstöße?
Informationssicherheit

6 Min

Was sind die häufigsten Compliance-Verstöße?

Entdecken Sie mit uns die Bedeutung der Compliance für Unternehmen. Von häufigen Verstößen bis hin zu Präventionsmaßnahmen.

Weiterlesen
Was ist Compliance im Unternehmen?
Informationssicherheit

5 Min

Was ist Compliance im Unternehmen?

Erfahren Sie alles über Compliance: Definition, Bedeutung, Arten, Herausforderungen und Vorteile. Wir decken die Welt der Einhaltung von Vorschriften ab.

Weiterlesen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt durchstarten

  • Datenschutzkonforme und transparente Einholung von Einwilligungen
  • Konform mit DSGVO, CCPS, LGPD, ePrivacy
  • Langfristig wertvollere Daten
  • Zentraler Überblick: Ihre Single Source of Truth
  • Persönlicher Support durch Experten bei jedem Schritt
  • Einfache Integration in alle Ihre Marketing-Tools und CRM

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Jetzt Termin vereinbaren