Kampf gegen Coronavirus: Zugriff auf Smartphone-Standortdaten zulässig?

Fachbeitrag

Im Kampf gegen das Coronavirus werden in einigen Staaten bereits bestimmte und teils sehr illiberale Maßnahmen ergriffen. Angesichts des auch hierzulande um sich greifenden Coronavirus, prüfte jüngst ein Team des Robert-Koch-Instituts wie man Bewegungsdaten von Smartphones nutzen kann, um dessen Ausbreitung zu verlangsamen. Die Idee befinde sich zwar noch im Stadium der Entwicklung, wir schauen uns dennoch dazu schon mal die rechtlichen Rahmenbedingungen dazu in Deutschland an.

Nutzung von Bewegungsprofilen gegen Corona

Bisher gleicht der Kampf gegen die Ausbreitung des Virus einem Tapsen im Dunkeln. Wenn eine Person positiv getestet wurde, versucht man, durch persönliche Befragung des Infizierten die Infektionskette zu identifizieren. Doch kaum jemand erinnert sich detailliert, mit wem er alles während der Inkubationszeit von bis zu 24 Tagen Kontakt hatte. Geschweige denn all die Unbekannten, denen man in alltäglichen Situationen wie der Fahrt mit der U-Bahn, dem Einkauf im Supermarkt oder im Fitnessstudio begegnet ist.

Standortdaten, genauer gesagt GPS-Daten, werden von den Betriebssystemen unserer Smartphones, sprich von Microsoft, Apple und Google, alle paar Minuten sehr genau erfasst und teilweise für mehrere Wochen gespeichert. Was bisher dazu dient, bei Google Maps die Verkehrslage anzuzeigen (und vieles mehr), könnte aber möglicherweise auch genutzt werden, das Coronavirus einzudämmen.

Zudem verfügen auch die Netzbetreiber per Datenabgleich von Funkzellendaten über die Möglichkeit, die Standorte infizierter Personen zu ermitteln. Diese Standortdaten sind jedoch in der Regel nur auf ca. 100 Meter genau und damit nicht genau genug, um damit die direkten Kontaktpersonen von Infizierten zu identifizieren (siehe auch Peter Schaar im EAID Blog).

Die Daten sind also in einem gewissen Umfang bei nicht-öffentlichen Stellen schon vorhanden. Doch sollten sie vom Staat nun auch zur Wahrung der öffentlichen Gesundheit genutzt werden dürfen?

Beispiele aus Fernost

Zunächst ein kleiner Abstecher nach Asien. Dort wurde vielerorts bereits zu unkonventionellen Maßnahmen gegriffen, um das Virus in den Griff zu bekommen.

QR Codes gegen den Virus

In China gibt es laut offiziellen Angaben bereits ca. 80.000 Infizierte und 2.900 Tote. Daher wurde in drei Provinzen mit insgesamt 180 Millionen Einwohnern ein System namens „Health Code“ eingeführt. Dabei wird jedem Einwohner eine von drei Farben – Grün, Gelb oder Rot – zugewiesen. Diese stellen die verschiedenen Stufen des Risikos dar, das von der Person für die öffentliche Gesundheit ausgeht.

Die Risikostufe wird dabei über einen QR Code in der Alipay-Bezahl-App ausgelesen. Personen mit einem roten oder gelben QR-Code dürfen nicht mehr reisen oder öffentliche Orte wie Restaurants, Einkaufszentren, etc. für mindestens 14 respektive 7 Tage betreten.

Das System wird allerdings kritisiert, weil die hinter der Klassifizierung stehenden Formeln undurchsichtig sind und es vorkommt, dass Menschen in falsche Kategorien eingeordnet werden. Laut offiziellen Angaben berücksichtigt die Software den selbst erklärten Gesundheitszustand einer Person, ihre Reisen und die Menschen, mit denen sie in engem Kontakt steht, aber man weiß nicht, ob nicht noch viel mehr Daten in die Klassifizierung einfließen.

Smartphone Quarantäne

Taiwan hat es mit ähnlichen Maßnahmen geschafft, das Coronavirus stark einzudämmen. So gibt es trotz 850.000 Taiwanesen, die in China wohnen und 400.000, die dort arbeiten sowie jährlich 2-3 Millionen Besuchern aus China bisher erst 42 Infizierte und einen Todesfall unter den 23 Millionen Einwohnern. Eine Zahl, die in starkem Kontrast zu Ländern wie Südkorea mit ca. 6.250 Infizierten steht.

Hierfür wurde ein Einreise-Quarantänesystem eingeführt, bei dem alle Reisenden durch Scannen eines QR-Codes ein Gesundheitsformular ausfüllen müssen. So werden die Infektionsrisiken der Reisenden auf der Grundlage des Abflugortes und des Reiseverlaufs der letzten 14 Tagen ermittelt. Reisende mit niedrigem Risiko erhalten zur schnelleren Abfertigung per SMS eine Freigabe zur Einreise. Personen mit höherem Risiko werden dagegen zu Hause unter Quarantäne gestellt und über ihre Smartphones überwacht, um sicherzustellen, dass sie während der Inkubationszeit auch dortbleiben.

Auswertung der Standortdaten mit der DSGVO vereinbar?

Doch wie sieht es mit der Idee des Robert-Koch-Instituts aus. Wäre eine solche Maßnahme im Kampf gegen das Coronavirus in Deutschland datenschutzrechtlich möglich? Wegen des Verbots mit Erlaubnisvorbehalt der DSGVO bedarf es in der EU für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage. Eine Verarbeitung der Standortdaten in Verbindung mit Informationen über eine Infektion oder zumindest einer potenziellen Infektion dürfte eine Verarbeitung von Gesundheitsdaten darstellen. Denn der Standort gibt in diesem Fall Aufschluss über Krankheitsrisiken aufgrund derer weitere staatliche Eingriffsmaßnahmen ergehen sollen. Als Rechtsgrundlage für die Auswertung von Standortdaten zur Bekämpfung des Coronavirus kommen daher folgende Rechtsgrundlagen in Betracht:

Verarbeitung aufgrund einer Einwilligung

Nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. Art. 9 Abs. 2 lit. a DSGVO kann die Einwilligung der betroffenen Person als Rechtsgrundlage dienen. Darauf setzt nach eigenen Angaben auch das Team des Robert-Koch-Instituts, indem es die Auswertung auf sogenannte Datenspenden stützen möchte.

Eine Einwilligung hat allerdings ihre Tücken, da sie freiwillig sein muss und zudem jederzeit frei widerrufbar ist. Eine umfassende Auswertung wäre also nicht gewährleistet. Zudem ist die Frage, wie man die Einwilligung aller potenziell betroffenen Personen einholen soll, die mit einem Patienten Kontakt hatten. Schließlich muss man deren Standortdaten bereits zur Identifizierung verarbeiten, bevor man überhaupt eine Einwilligung einholen kann.

Verarbeitung zum Schutz lebenswichtiger Interessen

Nach Art. 9 Abs. 2 lit. c DSGVO ist eine Verarbeitung zulässig, wenn sie zum Schutz lebenswichtiger Interessen erforderlich ist.

Die Erforderlichkeit zum Schutz „lebenswichtiger“ Interessen stellt eine hohe Hürde für die Verarbeitung dar. Nach Erwägungsgrund 46 kann jedoch die Verarbeitung personenbezogener Daten für humanitäre Zwecke, einschließlich der Überwachung von Epidemien und deren Ausbreitung, zum Schutz lebenswichtiger Interessen anderer Personen erforderlich sein.

Die Zulässigkeit der Verarbeitung scheitert allerdings möglicherweise an der subsidiären Legitimationswirkung. Laut Erwägungsgrund 46 S. 2 sollen personenbezogene Daten grundsätzlich nur dann aufgrund eines lebenswichtigen Interesses einer anderen natürlichen Person verarbeitet werden, wenn die Verarbeitung offensichtlich nicht auf eine andere Rechtsgrundlage gestützt werden kann. Dies unterstreicht den Ausnahme- und Einzelfallcharakter der Norm. Sie taugt somit nicht zur generellen Erhebung von Standortdaten einer unbestimmten Anzahl von Personen über einen längeren Zeitraum zu präventiven Zwecken.

Verarbeitung aufgrund des öffentlichen Interesses im Bereich der öffentlichen Gesundheit

Nach Art. 9 Abs. 2 lit. i DSGVO können Gesundheitsdaten verarbeitet werden, wenn dies aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie des Schutzes vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten erforderlich ist.

Infektionsschutzgesetz als Rechtsgrundlage

Als nationale Rechtsgrundlage könnte das Infektionsschutzgesetz in Verbindung mit der Öffnungsklausel des Art. 9 Abs. 2 lit. i DSGVO Betracht kommen. Einige Regelungen im Infektionsschutzgesetz regeln tatsächlich die Verarbeitung personenbezogener Daten durch das Robert-Koch-Institut zur effektiven Bekämpfung von Infektionskrankheiten. So heißt es in § 4 Abs. 1 S. 4 IfSG:

Auf Ersuchen der zuständigen obersten Landesgesundheitsbehörde kann das Robert Koch-Institut den zuständigen Stellen bei Maßnahmen zur Überwachung, Verhütung und Bekämpfung von schwerwiegenden übertragbaren Krankheiten, auf Ersuchen mehrerer zuständiger oberster Landesgesundheitsbehörden auch länderübergreifend, Amtshilfe leisten. Soweit es zur Erfüllung dieser Amtshilfe erforderlich ist, darf es personenbezogene Daten verarbeiten.

Zudem heißt es in § 4 Abs. 3 S. 4 IfSG zur Zusammenarbeit mit ausländischen Stellen bei der Bekämpfung von Infektionskrankheiten:

Soweit es zur Abwendung von Gefahren von Dritten und zum Schutz von unmittelbar Betroffenen im Rahmen der frühzeitigen Erkennung und Verhinderung der Weiterverbreitung von schwerwiegenden übertragbaren Krankheiten, der Unterstützung bei der Ausbruchsuntersuchung und -bekämpfung, der Kontaktpersonennachverfolgung oder der medizinischen Evakuierung von Erkrankten und Ansteckungsverdächtigen erforderlich ist, darf das Robert Koch-Institut im Rahmen seiner Aufgaben nach den Sätzen 1 bis 3 personenbezogene Daten verarbeiten.

Eine Verarbeitung ist demnach im Rahmen der Amtshilfe möglich oder von personenbezogenen Daten, die das Robert Koch Institut im Rahmen internationaler Zusammenarbeit erhalten hat. Eine Rechtsgrundlage zur originären Erhebung personenbezogener Daten von nicht-öffentlichen Stellen im Rahmen der Bekämpfung von Infektionskrankheiten ist jedoch nicht ersichtlich. Allgemein sind die Reglungen des IfSG „nicht auf Krankheitsausbrüche von pandemischem Ausmaß zugeschnitten.

BDSG als Rechtsgrundlage

Die Verarbeitung personenbezogener Gesundheitsdaten zum Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten wird zudem in § 22 Abs. 1 Nr. 1 lit. c BDSG i.V.m. Art. 9 Abs. 2 lit. i DSGVO geregelt. Die Erfassung von Standortdaten würde im vorliegenden Fall dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren dienen, sodass die Norm als Rechtsgrundlage dienen könnte. § 22 BDSG wird jedoch zum Teil als rein deklaratorisch angesehen, da er größtenteils nur den Wortlaut der DSGVO wiederholt und somit eine Öffnungsklausel in einen Erlaubnistatbestand umwandelt. Zudem sind viele der dort aufgezählten Bereiche bereits spezialgesetzlich geregelt.

Abgesehen davon befinden wir uns beim § 22 BDSG in einem Bereich, der unionsrechtlich nicht vollständig vereinheitlicht ist und somit bei der Auslegung primär am Maßstab der Grundrechte des Grundgesetzes gemessen wird (so zuletzt das BVerfG in Recht auf Vergessen I). Demnach wäre auch hier die Wesentlichkeitstheorie zu beachten. Diese besagt, je schwerer der Grundrechtseingriff (Intensität, Dauer, Wiederholung), desto genauer müssen die gesetzlichen Vorgaben dafür geregelt sein und desto kleiner ist der eigenständig Handlungsspielraum der Verwaltung. Im Lichte dessen scheint es nicht möglich, eine so eingriffsintensive Maßnahme wie das Erheben und Auswerten der Smartphone Standortdaten von (potentiell) Infizierten auf eine generalklauselartige Norm wie den § 22 BDSG zu stützen. Vielmehr müsste der Gesetzgeber für dieses Vorhaben wohl eine eigenständige spezialgesetzliche Rechtsgrundlage erlassen. Diese dürfte wiederum in ihrer konkreten Ausgestaltung nicht gegen das Übermaßverbot verstoßen.

Ein (noch) unverhältnismäßiger Eingriff

Wie an den Beispielen aus Fernost gezeigt, könnte ein solches Gesetz durchaus geeignet sein, um das legitime Ziel, Verhinderung der Ausbreitung einer ansteckenden Krankheit, zu erreichen. Fraglich ist aber insbesondere, ob der Eingriff in die Grundrechte der betroffenen Personen auch verhältnismäßig wäre. Eine umfassende Prüfung können wir im Rahmen des Blogs nicht vornehmen. Einige Gedanken wollen wir den Lesern dazu dennoch mit auf den Weg geben.

Angesichts der in Deutschland bisher niedrigen Infektionszahl von 639 Personen (Stand 06.03.) einerseits und der Intensität eines Eingriffs in die Privatsphäre der betroffenen Personen bei Zugriff auf die Standortdaten anderseits, ist es nur schwer vorstellbar, dass man die flächendeckende Erfassung und Auswertung von Standortdaten als verhältnismäßig ansehen kann. Schließlich ist das Missbrauchspotential groß und aus den gesammelten Standortdaten könnten auch relativ einfach weitere Rückschlüsse auf z.B. religiöse und politische Überzeugungen oder die sexuelle Orientierung gezogen werden. Zudem hält sich die Gefahr für die öffentliche Gesundheit noch in Grenzen. Die alljährlich auftretenden Grippewellen fordern ein Vielfaches an Opfern. Kein Mensch käme aber hier auf die Idee, die Standortdaten aller Grippe-Infizierten auszuwerten.

Diese Abwägung ist allerdings nicht in Stein gemeißelt und kann durchaus anders ausfallen, wenn die Fall- und Todeszahlen auch hierzulande drastisch steigen. Das Beispiel Taiwan zeigt, dass sich mit technischen Maßnahmen zur Nachverfolgung des Standortes die Ausbreitung des Coronavirus durchaus effektiv verlangsamen lässt. Niemand möchte aber wie in China aufgrund eines intransparenten Algorithmus vom öffentlichen Leben ausgeschlossen werden. Es gilt dann für den Gesetzgeber einen guten Mittelweg zwischen Datenschutz und Gesundheitsvorsorge zu finden.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.