Aus den USA kommen aktuell vor allem bedrückende Schlagzeilen im Zusammenhang mit der COVID-19 Pandemie. Kein anders Land weist derart hohe Zahlen von Infizierten auf. Dies allein ist Grund genug, neue und vor allem auch gegebenenfalls wirksame Wege zu finden, die Ausbreitung des Virus einzudämmen.
Der US-Hersteller Kinsa Inc. hat sich auf den Vertrieb von smarten Fieberthermometern spezialisiert. Smart bedeutet dabei, dass an das Unternehmen Daten gespielt werden, die zumindest Aufschluss über die Entwicklung von Erkrankungen liefern können. Mittlerweile soll das Thermometer in Haushalten von ca. 2 Millionen Bewohnern genutzt werden.
In Deutschland zählt das Auslesen von (personenbezogenen) Daten derzeit rechtlich wieder einmal zu den umstrittensten Themen überhaupt. Umso wichtiger ist es, die Funktionsweise dieses smart device einmal genauer unter die Lupe zu nehmen.
Funktionsweise
Sobald ein Nutzer seine Temperatur mit dem Fieberthermometer misst, und vorab eine dazugehörige Applikation installiert hat, werden die dabei erfassten Daten, wie bspw. Uhrzeit, Dauer der Messung und die Temperatur selbst – eventuell sogar mit Anstiegskurve – an Kinsa Inc. übermittelt. Diese Übermittlung soll nach Angaben des Unternehmens „aggregiert und anonymisiert“ erfolgen. Für die Allgemeinheit ist eine Karte im Web [hier] verfügbar, in der in Echtzeit visualisiert grippale Infekte abgebildet werden, einschließlich eines Vergleiches zum Vorjahr. Der Beobachter kann damit feststellen, in welcher Region vermehrt Fieber auftritt und daraus seine Schlüsse auf das Vorliegen von COVID-19 ziehen. Auch eine Entwicklung der Zahlen in den Tagen zuvor sind auf der Webseite verfügbar. Perfekte Voraussetzungen also für eine Vorhersage einer Infektionswelle für einen gewissen Zeitraum.
Datenschutzrechtliche Bewertung – Einsatz innerhalb der EU
Für den Einsatz des Fieberthermometers innerhalb der EU würden die hiesigen Regelungen gelten. Denn auch wenn es heißt, dass ausschließlich aggregierte Daten übermittelt werden, fallen zum einen bei der Anmeldung bzw. Nutzung der App zwangsläufig personenbezogene Daten an. Auf der anderen Seite werden die Gesundheitsdaten, wie bspw. die gemessene Temperatur des Anwenders, zumindest für eine logische Sekunde erhoben, sodass es für diese Datenverarbeitung streng genommen ebenfalls einer validen Rechtfertigung bedarf. In beiden Fällen wird die Rechtsgrundlage in dem dem Einholen einer wirksamen Einwilligung der Nutzer liegen.
Zwar wir ein derartiges devices in Deutschland (noch) nicht eingesetzt. Gleichwohl betreibt das RKI schon eine Datenspende-App, in der Nutzer von Fitnessarmbändern und Smartwatches, freiwillig u.a. ihre Ruhepulsdaten „spenden“ können. Aus diesen Ruhepulsdaten lassen sich Rückschlüsse auf die Körpertemperatur ziehen. Bei Fieber steigt auch der Ruhepuls signifikant an. Insofern liefert auch diese App ergänzende Informationen zu Ausbreitungsschwerpunkten von COVID-19, und zwar ohne, dass derart sensible Daten der Anwender verarbeitet werden bzw. Rückschlüsse auf die Person möglich sind.
Fazit
Aus datenschutzrechtlicher Sicht gilt es für einen Einsatz im europäischen Raum wie immer verschiedene Anforderungen (zusätzlich zur Einwilligung bspw. die Gewährleistung eines angemessenen Sicherheitsniveaus) zu erfüllen. Gleichwohl ist der Nutzen dieser Anwendung – gerade in einem so großflächigen Land wie den USA zu sehen, wo sich ein Virus in welcher Form entwickelt bzw. wo sich neue Erkrankungen häufen, um wirksame Maßnahmen gegen eine weitere Ausbreitung zu ergreifen – nicht von der Hand zu weisen.