Die Corona-Krise hat nicht nur die Differenzen in den Gesundheits- und Wirtschaftssystemen der betroffenen Staaten aufgezeigt, sondern auch die unterschiedliche Art und Weise, wie die betroffenen Staaten politisch und juristisch auf die Situation reagieren. Datenschutz ist dabei von hoher Relevanz. Wie gesagt: Die Pandemie betrifft in erster Linie Gesundheit und Wirtschaft, was hat dann Datenschutz damit zu tun? Das Stichwort lautet: Corona-App.
Demokratie vs „Appokratie“ (Zwang vs. Einwilligung)
In den asiatischen Staaten ist das Tracking der Bevölkerung per App zur Erkennung und Unterbrechung von Infektionsketten schon lange Teil der Strategie der Regierungen zur Bekämpfung der Pandemie. Warum dauert es dann so lange, so etwas bei uns einzuführen?
In autoritären Staaten entscheidet allein die politische Führung, was zur Bekämpfung des Virus zu tun ist. Ihre Entscheidung steht über den Zahlen und Fakten der Experten. Die Technologie dient als Hilfsmittel für eine totale Überwachung mit dem Ziel, alles jederzeit unter Kontrolle zu haben. Im Namen des Gesundheitsschutzes können die Regierungen tracken, wen sie wollen, wie sie wollen und solange sie wollen. Das Stichwort lautet: Effizienz. Grundrechte stehen hinten an. Datenschutz ist etwas für die schwachen Staaten. Die effiziente Bekämpfung des Virus spricht gegen sie. Die geringen Infektionsraten in einigen asiatischen Staaten, rufen auch hierzulande Bewunderer für eine solche Strategie auf den Plan. Die Lösung ist doch einfach und schnell umgesetzt. Keine Auseinandersetzung über Problemlösung, keine Beteiligung der Öffentlichkeit, Alternativlosigkeit als Begründungsersatz. Alles aus einer Hand. Warum sind wir in Europa nicht so effizient?
Nun, es ist eine Illusion zu glauben, dass es einfache Lösungen gibt, um eine komplizierte Krise zu bekämpfen. In einer Demokratie ist in Krisenzeiten der öffentliche Diskurs wichtiger denn je, wenn es darum geht, im Spannungsfeld zwischen Gesundheitsschutz und der Einschränkung von Grundrechten verhältnismäßige Lösungen zu finden. Es gibt Ebenen und Instanzen, die das Tempo von Entscheidungen reduzieren und gleichwohl erforderlich sind, da sie die Abwägung aller zu schützenden Interessen gewährleisten (sollen). Wir EU-Bürger können uns freuen, dass es Montesquieu gab. Gesetzgebung, deren Umsetzung und Kontrolle sind (mehr oder weniger) verteilt und institutionell von einander getrennt und personell unabhängig. In der Europäischen Union wird bezüglich der Pandemie über Maßnahmen sowohl auf EU-Ebene in Brüssel, als auch auf nationaler Ebene beispielsweise in Berlin, Rom, Paris und auf regionaler in München, Neapel oder Marseille demokratisch diskutiert und gehandelt.
Ob es uns gelingt, demokratische Lösungen zu finden, im Spannungsfeld zwischen den Grundrechten des Individuums und dem Recht der Gesellschaft so viele Menschen wie möglich von der Infektion zu schützen, wird sich zeigen. Die Corona-App-Frage ist daher auch ein Test, ob die klassischen europäischen Demokratien tatsächlich genügend Immunität nicht nur gegen die Verbreitung des Virus, sondern auch gegen Autoritarismus haben.
In einem demokratischen System ist es legitim, dass Regierungen in Krisenzeiten schnelle, schwierige und freiheitsbeschränkende Entscheidungen treffen. Das ist z.B. auch geschehen nach dem 11. September oder im Rahmen der Finanzkrise. Gleichwohl müssen auch und gerade in solchen Situationen rechtliche Grundsätze berücksichtigt werden. Insbesondere, wenn wesentliche Grundrechte eingeschränkt werden, ist es wichtig, die Erforderlichkeit und Verhältnismäßigkeit deutlich zu machen und laufend zu überprüfen, um die Beschränkungen aufzuheben, sobald sie nicht mehr verhältnismäßig sind. Die Kontrolle der Parlamente ist daher in solchen Momenten erst recht unerlässlich, wenn es darum geht, langfristige Folgen zu bedenken und nachhaltig zu handeln, zur Wahrung der Demokratie.
Die derzeitige Krise kann auch zu einem Gesundheitstest für die Grundrechte werden. Es hat Jahrhunderte gedauert, bis die grundlegenden Menschenrechte gegen absolute Herrschaftsansprüche durchgesetzt werden konnten. Wenn die demokratische Immunabwehr nicht standhält, kann diese wichtige Errungenschaft innerhalb weniger Wochen aufgeweicht werden.
Datenschutz ist ein entscheidendes Grundrecht, weil nicht Daten, sondern Menschen geschützt werden. Der DSGVO liegt der Grundsatz des Rechts auf informationelle Selbstbestimmung zugrunde. Datenschutzrechtler und Aufsichtsbehörden sind daher dazu berufen, darauf hinzuweisen, für welche Zwecke und in welchem Umfang in einer freiheitlich demokratischen Gesellschaft personenbezogene Daten eines Menschen verarbeitet werden dürfen. Denn auch diese Krise wird irgendwann vorbei sein, die Daten existieren im Zweifel dann immer noch. Während in vielen asiatischen Staaten, Corona-Apps unter Zwang verwendet werden müssen, kann dies daher in Europa gesetzlich nur auf freiwilliger Basis geschehen.
Virus ohne Grenze: In Italien kommt „Immuni“, freiwillig, anonym, dezentral
In Italien hat Covid-19 das Land gezwungen, Maßnahmen zu ergreifen, die die verfassungsmäßig garantierten Rechte auf ein Minimum reduziert haben. Ein solches Dilemma gab es nach dem zweiten Weltkrieg noch nie. Die Menschen sind seit Wochen zu einer sehr strengen Ausgangsperre gezwungen und die Personen in systemrelevanten Berufen insbesondere im Gesundheitssektor sind zum Großteil über die Grenzen der Belastbarkeit gefordert. Das Bild der Krankenschwester Elena Pagliarini kennen wir als ein Symbol dieser Krise. Die Umstände sind dramatisch und trotzdem halten die Leute durch, akzeptieren die drastischen Maßnahmen und hoffen, dass die politisch verantwortlichen Institutionen sie aus der Krise herausführen. Auch im viel weniger betroffenen Süditalien akzeptieren die Menschen, was die lokalen und nationalen Behörden sagen. Die Akzeptanz des rechtlichen und politischen Systems und der getroffenen Entscheidungen durch die Bevölkerung ist der Schlüssel der Demokratie, um eine solche Krise zu überstehen.
Antonello Soro, Präsident der italienischen Aufsichtsbehörde für Datenschutz „Garante per la protezione dei dati personali“ hat sich zum Thema Corona-App in einem Interview ganz deutlich geäußert: „Das Tracking von Bürgern durch sog. Corona-Apps ist nur mit Einwilligung zulässig“. Das bedeutet, dass ein Bürger sich auch weigern kann, sich in diesem Kontext tracken zu lassen, obwohl er sich mit dem Virus infiziert hat und eine potenzielle Gefahr für die Gemeinschaft darstellt. Soro teilt außerdem die Position des deutschen Gesundheitsministers, eine dezentrale App-Lösung zu favorisieren und, dass „contact tracing die Beteiligung von etwa 60 % der Bevölkerung (erfordert): Wenn es gelingt, diesen Anteil der Bürger zu sensibilisieren, könnte das Ergebnis sowohl die Privatsphäre berücksichtigen als auch der Eindämmung von Ansteckungen förderlich sein“.
Zu der grundsätzlichen Frage, was übergeordnet ist: „Health first, oder Privacy first“ haben die Aufsichtsbehörden in Italien eine klare Meinung: „Der potentielle Kontrast zwischen Privatsphäre und öffentlicher Gesundheit ist ein Spiegelbild der allgemeineren Spannung zwischen individuellen Freiheiten und kollektiven Interessen, die nur die Demokratie ausgleichen kann, wenn auch nicht in Synergie. Die Herausforderung besteht heute darin, dafür zu sorgen, dass die Rechte des Einzelnen auf das (einzige) Maß beschränkt werden, das notwendig ist, um so viele Menschenleben wie möglich zu schützen. Der Rahmen für den Datenschutz enthält bereits die notwendigen Einschränkungen, um solidarische Forderungen, wie sie z.B. durch die Bedürfnisse der öffentlichen Gesundheit zum Ausdruck kommen, nach den Kriterien der Verhältnismäßigkeit, der Vorsorge und der Vorläufigkeit zu gewährleisten“. Artikel 117 Absatz 3 der italienischen Verfassung weist der geteilten Zuständigkeit zwischen dem Staat und den Regionen die Zuständigkeit für den „Gesundheitsschutz“ zu. Die Aufsichtsbehörde für Datenschutz sitzt in Rom und hat nationale Zuständigkeit. Regionale Aufsichtsbehörden gibt es nicht. Für Soro gilt daher, „nur eine einheitliche Regelung auf nationaler Ebene, die eine Ungleichbehandlung der Bürger auf territorialer Ebene verhindert und gleiche Garantien für alle gewährleistet, ist rechtskonform“. In Anbetracht dessen, dass die DSGVO eine Verordnung der EU ist, „würde eine europäische App, darüber hinaus in keiner Weise zu einer Verringerung der nationalen Datenschutzgarantien führen“.
In Italien wurde eine solche Corona-App von der Regierung eingeführt, DECRETO-LEGGE 30 aprile 2020, n. 28. Das Parlament hat gem. Art. 77 der italienischen Verfassung, 60 Tage Zeit, um das Dekret in ein Gesetz umzuwandeln. Der Name der App ist „Immuni“. Sie soll dem Land helfen, eine zweite Infektionswelle in Übereinstimmung mit den von der Europäischen Union festgelegten Kriterien zu bewältigen. Die Europäische Kommission hat insbesondere auf Anwendungen hingewiesen, die auf Zustimmung des Einzelnen und auf Annäherungssystemen wie Bluetooth basieren, weil sie die Privatsphäre besser schützen können. Der italienische „Ministero dell’Innovazione“ hat mehr als 300 Anwendungen geprüft und wird Immuni zunächst in einigen Pilotregionen testen. Die Lizenz dieser App ist open source, der Quellcode und alle bereits entwickelten Anwendungskomponenten des Systems sind auf unbestimmte Zeit frei zugänglich.
Wie funktioniert Immuni genau? Mit der App generieren die Handys lokal eigene anonyme Identifikatoren, die sie via Bluetooth mit anderen Geräten tauschen und sammeln. Jedes Mobiltelefon enthält eine Liste dieser anonymen Codes. Wenn das medizinische Fachpersonal einen Corona-Fall über die Schnittstelle bearbeitet, sendet der Server, auf dem die anonymisierten Identifikatoren geladen sind, die Codeliste an alle Smartphones mit Apps. Wenn die App Ihren eigenen Code auf dieser Liste erkennt, erhält der Besitzer des Handys eine Benachrichtigung über die potentielle Gefahr einer Ansteckung, mit der Information, was zu tun ist. Im Gegensatz zu einem – angeblich – effektiveren zentralisierten System zur Überwachung asymptomatischer Menschen, wird die App dem am stärksten schützenden Modell der Privatsphäre („dezentralisiert“) folgen, das auch von Google und Apple gefordert wird. Schließlich wird erwartet, dass die App nur so lange eingesetzt wird, wie der Ausnahmezustand in Kraft bleibt, spätestens jedoch bis zum 31. Dezember 2020. Bis zu diesem Zeitpunkt müssen alle verarbeiteten personenbezogenen Daten gelöscht oder dauerhaft anonymisiert werden.
Noch zu klären ist wo genau (angeblich cloudbasiert) und von wem die erforderlichen Daten verwaltet werden sollen und wie die Schnittstelle mit dem Gesundheitssystem funktionieren soll. Was geschieht, wenn eine Person Kontakt zu einem Infizierten hatte, worüber soll sie überhaupt benachrichtig werden – eine Einladung in Quarantäne zu gehen und den Arzt zu kontaktieren – soll ein Anspruch auf einen schnellen Covid-19-Test bestehen – wie soll das Verfahren weitergehen und die Daten weiterverarbeitet werden? Diese Fragen muss die Regierung in Rom noch klären, vielleicht mit der Unterstützung aus Brüssel.
6. Mai 2020 @ 13:06
In den letzten Wochen wurde viel über das Thema contact-tracing per App diskutiert. Es handelt sich dabei „nur“ um einen kleinen Teilabschnitt im gesamten Datenerhebungsprozess eines möglicherweise potentiellen Infektionsgeschehens.
Ist eine Infektion einmal bestätigt, werden wirklich hochsensible gesundheitsbezogene Daten erfasst und dieser epidemiologisch notwendige Umstand erschließt sich medial kaum einer datenschutzrechtlichen Diskussion, obwohl ein potentieller Missbrauch wesentlich gravierendere Folgen für die Betroffenen haben könnte, als eine missbräuchliche Verwendung von App-Daten.
Gesundheitsbehörden dürfen im Rahmen einer bestätigten Infektion viele Datenkategorien verarbeiten:
Daten zur Identifikation der Erkrankten wie Name, Geschlecht, Geburtsdatum, Sozialversicherungsnummer …
Die für die anzeigepflichtige Krankheit relevanten klinischen Daten wie Vorgeschichte und Krankheitsverlauf, sowie Labordaten
Daten zum Umfeld des Erkrankten, soweit sie in Bezug zur anzeigepflichtigen Erkrankung stehen, und
Daten zu den getroffenen Vorkehrungsmaßnahmen.
Was geschieht mit diesen Daten auf Dauer? Wer kontrolliert die datenschutzkonforme Verarbeitung dieser Daten? Wer darf auf diese Daten zugreifen? Werden aus den Abstrichen auch andere Erkenntnisse gewonnen? Was bedeutet ein Databreach für das weitere Leben von Betroffenen? Wann werden diese Daten gelöscht bzw. wird das genetische Material aus den Laborproben vernichtet.
Eine öffentliche Aufklärung darüber wäre i.S. der mittlerweile vielen Betroffenen ebenfalls einmal wünschenswert.