Das Corona-Virus hat auch datenschutzrechtliche Implikationen, wie wir bereits an mehreren Stellen aufgezeigt haben.
Vor dem Hintergrund der Ausbreitung des Corona-Virus möchte das Robert Koch-Institut (RKI) Handydaten von Nutzern anonymisiert auswerten. Ziel ist es, die Bewegungsströme von Bürgern verfolgen zu können, um zu sehen, ob die vom RKI und der Bundesregierung geforderten Schutzmaßnahmen des „Physical Distancings“ greifen, mit denen die Ausbreitung des Virus verlangsamt werden soll.
Die Telekom hat bereits anonymisierte Nutzerdaten an das RKI geliefert. Neben dem dahinterstehenden Infektionsschutz hat die Anforderung der Daten auch eine datenschutzrechtliche Relevanz, die im Folgenden beleuchtet werden soll.
Stellungnahme der Telekom
Die deutsche Telekom verweist in einer Stellungnahme darauf, dass die an das RKI gelieferten Daten anonymisiert sind und keinen direkten Rückschluss auf einzelne Personen zulassen. Es sei aber möglich, die Bewegungen von großen Teilen der Bevölkerung nachzuzeichnen.
In Städten sei eine Ortung auf 500 Meter genau möglich, auf dem Land sei die Ortung weniger genau, so die Telekom. Man habe in der Vergangenheit bereits anonymisierte Daten zur Analyse von Verkehrsströmen für Verkehrsunternehmen oder Kommunen eingesetzt. Die angeforderten Daten durch das RKI gingen jedoch weiter darüber hinaus.
Stellungnahme des Bundesdatenschutzbeauftragten
Aus Sicht des Bundesbeauftragten für den Datenschutz ist die Übermittlung anonymisierter Bewegungsdaten datenschutzrechtlich unbedenklich. Es spreche nichts gegen die Weitergabe der Daten zum Zwecke des Gesundheitsschutzes, auch wenn sich mit der DSGVO die rechtlichen Anforderungen für den Anonymisierungsschritt geändert haben. Vor dem Hintergrund eines laufenden Konsultationsverfahrens mit der Behörde werde die bisherige Praxis der Datenübermittlung an das RKI aber nicht untersagt. Bei dem von der Telekom angewandten Verfahren werden demnach mindestens 30 Datensätze zusammengefasst, um einen nachträglichen Personenbezug zu erschweren.
Es geht hierbei um Massendaten und nicht um individuelle Informationen, anhand derer kein Rückschluss auf den einzelnen Nutzer oder ggf. infizierte Personen möglich ist.
Der Hamburgische Datenschutzbeauftragte Johannes Caspar wertet die Datenübermittlung an das RKI daher ähnlich wie Kelber. Bei anonymisierten Daten gelten die Regelungen des Datenschutz- und Telekommunikationsrechts nicht, so Caspar. Die Daten müssten so anonymisiert sein, dass sie nicht ohne Weiteres auf eine bestimmte Person zurückgeführt werden können.
Caspar stellt dabei vor allem darauf ab, dass die Zusammenführung von Daten vor allem zu Beginn eines epidemischen Geschehens durch die Rekonstruktion von Standortdaten sinnvoll sei. Wenn bereits eine große Zahl von Menschen infiziert ist, sei die Zusammenführung von Standortdaten wenig sinnvoll.
Kritik am Vorgehen des RKI
Es gibt allerdings auch kritische Töne gegen die Übermittlung der Bewegungsdaten. Markus Beckedahl, der Chefredakteur des Portals netzpolitik.org hat Bedenken gegen die Datennutzung geäußert. Er wisse als Kunde der Telekom nicht, dass die Daten weitergegeben werden. Ebenso wenig werde durch das RKI darüber informiert, ob und wann die Daten dort gelöscht werden. Auch sei die Anonymisierung von Daten schwer aufrecht zu erhalten, wenn man bedenkt, dass durch eine Kombination verschiedener Datensätze ein Personenzug wieder herstellbar sei. Beckedahl stellt sich die Frage, wer im Fall eines Ausnahmezustands Zugriff auf die Bewegungsdaten habe.
Auch der Europaabgeordnete Markus Breyer verweist darauf, dass mit einer vermeintlich anonymisierten Erfassung von Bewegungsdaten eine Massenüberwachung drohe, die leicht missbraucht werden könne. Er weist in dem Zusammenhang darauf hin, dass das Handy für die Bürger von elementarer Bedeutung ist, aber gleichsam zur elektronischen Fußfessel werden könne.
Der SPD-Digitalpolitiker Jens Zimmermann verweist in dem Zusammenhang darauf, dass die Menschen beim Verlassen ihrer Wohnung nicht aus Angst vor einer drohenden Massenüberwachung auf die Mitnahme ihres Handys verzichten sollen.
Der FDP-Innenpolitiker Konstantin Kuhle macht deutlich, dass Gesundheitsdaten ein hohes Schutzbedürfnis aufweisen. Bei Infizierten verweist er auf das Erfordernis einer Einwilligung, um mögliche Kontaktpersonen ausfindig zu machen oder um sensible Daten zu anonymisieren.
Auch Vodafone erklärt seine Bereitschaft zur Kooperation mit dem RKI. Man sei bereit, Länder auf Anfrage von Regierungen durch anonymisierte Datensätze zu unterstützen.
Medienberichten zu Folge hat die Bundesregierung in der Zwischenzeit einschneidende Änderungen des Infektionsschutzgesetzes geplant. Wie am vergangenen Wochenende bekannt wurde, sollten zur Nachverfolgung der Kontaktpersonen von Erkrankten weitreichende technische Mittel eingesetzt werden können. So müssten Telekommunikationsanbieter unter bestimmten Voraussetzungen die Verbindungsdaten von Mobiltelefonen herausgeben, damit die Standorte der Gesuchten ermittelt werden können (vergleiche FAZ vom 21.3.2020). Nach heftiger Kritik u.a. von Seiten der Bundesjustizministerin Christine Lamprecht hat Gesundheitsminister Jens Spahn angekündigt, diesen Passus aus dem Gesetzesentwurf streichen zu wollen.
Israel geht insgesamt deutlich weiter, als das bei uns der Fall ist. Dort erfasst die Polizei – ohne dass das Parlament dem zugestimmt hätte – die Handydaten aller Bürger mit dem Ziel, die Ausbreitung des Virus zu verlangsamen. Hierzu werden zunächst die Handynummern der Infizierten wie auch der Verdachtsfälle ohne richterlichen Beschluss erfasst. Damit werden für die zurückliegenden 14 Tage die Schritte und Aufenthaltsorte der Patienten erfasst. Die Informationen werden dann auf Grundlage einer neuen Verordnung an das Gesundheitsministerium übermittelt, dass auf diese Weise ermitteln kann, wer auf weniger als zwei Meter Kontakt mit dem Infizierten hatte. Hintergrund der staatlichen Maßnahmen sind ähnliche Schritte bei der Terrorismusbekämpfung, auf deren Erfahrung man sich stützt.
Rechtliche Bewertung
Es gibt allerdings auch Stimmen, die die beschriebene Anonymisierung der Bewegungsdaten und deren Übermittlung an das RKI als eine Datenverarbeitung verstehen, wenn man den Begriff des „Verwendens“ i.S.v. § 4 Nr. 2 DSGVO auch für die Entfernung des Personenbezugs zugrunde legt. Dann wäre man im Anwendungsbereich der DSGVO und müsste die Datenverarbeitung anhand des Art. 6 DSGVO prüfen.
Zunächst wäre als Rechtsgrundlage eine Einwilligung der Nutzer in die Datenübermittlung gem. Art. 6 Abs. 1 S. 1 lit. a) DSGVO denkbar. Diese müsste aber auch widerrufbar sein, so dass die Telekom die Bewegungsdaten ggf. nicht dauerhaft nutzen kann.
Eine Anonymisierung der Bewegungsdaten wäre für die Vertragserfüllung gem. Art. 6 Abs. 1 S. 1 lit. b) DSGVO nicht erforderlich, so dass auch diese Rechtsgrundlage ausscheidet.
Eine rechtliche Verpflichtung für die Anonymisierung der Bewegungsdaten gem. Art. 6 Abs. 1 S. 1 lit. c) DSGVO ist ebenfalls nicht ersichtlich, hierfür bedürfte es einer gesetzlichen Regelung.
Es verbleibt damit eine Interessenabwägung gem. Art. 6 Abs. 1 S. 1 lit. f) DSGVO zwischen den Interessen der Telekom an der Weitergabe der Bewegungsdaten an das RKI und den Interessen der Kunden, deren Daten anonymisiert weitergegeben werden. Angesichts des Ausmaßes, das die Corona-Krise inzwischen angenommen hat, ist von einem überwiegenden Interesse der Telekom an der Eindämmung des Corona-Virus zugunsten der Telekom und der Weitergabe der Bewegungsdaten an das RKI auszugehen.
Weiterhin existieren Informationspflichten aus Art. 13 DSGVO, die greifen, wenn man die oben dargestellte Interpretation des Begriffs „Verwenden“ heranzieht und bei einer Entfernung des Personenbezugs von einer Verarbeitung personenbezogener Daten ausgeht. In diesem Fall müsste die Telekom die Nutzer vorab darüber informieren, welche Daten sie für welchen Zweck an das RKI übermittelt.
Fazit
Ob man die Entfernung des Personenbezugs als Verarbeitung personenbezogener Daten mit den sich daran anschließenden Informationspflichten versteht oder nicht, mag angesichts der aktuellen Gesamtsituation etwas spitzfindig wirken. Im Ergebnis wäre aber sowohl bei der Annahme komplett anonymer Bewegungsdaten als auch beim Verwenden dieser Daten im Sinne eines Personenbezugs die Weitergabe an das RKI zur dortigen Auswertung grds. in rechtlich zulässiger Weise möglich.
Wichtig ist in jedem Fall, dass die Weitergabe anonymisierter Bewegungsdaten an das RKI nur so lange erfolgt, wie der Ernstfall andauert. Wenn die Krise in einem hoffentlich einigermaßen überschaubaren Zeitraum als beendet bezeichnet werden kann, sollte auch die Übermittlung anonymisierter Bewegungsdaten eingestellt werden. In der Vergangenheit wurden vor dem Hintergrund terroristischer Bedrohungen datenschutzrechtlich einschneidende Maßnahmen beschlossen, die trotz einer nachlassenden Gefährdungslage nicht in adäquater Weise wieder rückgängig gemacht wurden.
Die oben dargestellten Stimmen gegen die anonymisierte Übermittlung der Bewegungsdaten haben ihre Berechtigung, auch wenn vor dem Hintergrund der derzeitigen Situation der gesundheitliche Schutz der Bevölkerung Vorrang haben sollte. Die geheimdienstliche Erfassung der Bewegungsdaten von Infizierten wie in Israel und wie zwischenzeitlich von der Bundesregierung auch bei uns geplant, wäre demgegenüber allerdings nur mit einer entsprechenden Rechtsgrundlage möglich, der eine breitere Diskussion vorausgehen sollte.
Nicht zuletzt muss man berücksichtigen, dass die Ortung von Handydaten nur in dem eingangs beschriebenen, relativ groben Raster möglich ist. Beim Verlust des Handys und der anschließenden Aktivierung der Ortungsfunktion wird deutlich, dass der dort sichtbare Punkt sich häufig bewegt und die Ortung aufgrund der Funkzellen-Triangulation erschwert wird. Die tatsächliche Kontaktaufnahme zu einem infizierten Menschen herauszufinden, dürfte sich vor dem Hintergrund auch technisch herausfordernd darstellen. Gleichwohl lässt sich über die Bewegungsdaten in der Breite auswerten, ob das Gebot des „Physical Distancings“ eingehalten wird.
Es bleibt nur zu hoffen, dass derart weitreichende Maßnahmen zugunsten einer verlangsamten Ausbreitung des Corona-Virus und zulasten unserer Privatsphäre nur für einen begrenzten Zeitraum erforderlich sein werden.
6. April 2020 @ 16:03
Diese scheinheiligen Notwendigkeiten zum Schutz der Bevölkerung Daten zu sammeln sind juristische und politische Übergriffe auf demokratische Freiheitsrechte!
25. März 2020 @ 9:50
In der Datenschutz-Grundverordnung (DSGVO) steht dazu in Art. 35 DSGVO Datenschutz-Folgenabschätzung:
„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch“
Im Beitrag von Herrn Clemens Grünwald „Corona-Krise: Übermittlung von Bewegungsdaten an das Robert Koch-Institut“ vom 23. März 2020 wird der Begriff „Datenschutz-Folgenabschätzung“ nicht verwendet.
Deshalb meine Frage: Hat eine Datenschutz-Folgenabschätzung stattgefunden?
25. März 2020 @ 10:10
Vielen Dank für Ihren Kommentar.
Wenn man – wie im Beitrag beschrieben – die Anonymisierung der Bewegungsdaten und deren Übermittlung an das RKI als eine Datenverarbeitung versteht, wäre nach unserer Einschätzung auch eine Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO erforderlich. Ob eine solche stattgefunden hat, entzieht sich unserer Kenntnis. Eine Datenschutz-Folgenabschätzung wäre insbesondere aufgrund der großen Reichweite der Datenverarbeitung als erforderlich anzusehen.
Mit freundlichen Grüßen,
Ihre Blogredaktion