RKI-App „Corona-Datenspende“ – Wie „freiwillig“ ist die Einwilligung?

Fachbeitrag

Seit heute bietet das Robert-Koch-Institut eine Smartphone-App für die freiwillige Weitergabe von pseudonymisierten Gesundheitsdaten zum Download an. Aber wie zwanglos kann eine Einwilligung sein, wenn massiver (gesellschaftlicher) Druck ausgeübt wird?

App zur Messung der Ausbreitung des Corona-Virus

In einer Pressemitteilung vom 07.04.2020 des Robert-Koch-Institut (RKI) wird medienwirksam verkündet, dass ab sofort eine App zur Verfügung gestellt wird,

„die ergänzende Informationen dazu liefern soll, wo und wie schnell sich das Coronavirus (SARS-CoV-2) in Deutschland ausbreitet. Die App ist unter dem Namen „Corona-Datenspende“ für iOS und Android-Geräte verfügbar. Sie funktioniert in Kombination mit Fitnessarmbändern und Smartwatches verschiedener Hersteller. Die Nutzung der App ist freiwillig und pseudonymisiert – das RKI hat zu keiner Zeit Kenntnis über persönliche Informationen wie Name oder Anschrift der App-Nutzer.“

Zudem wird gesagt, dass das Robert-Koch-Institut die App

„gemeinsam mit dem e-Health-Unternehmen Thryve und unter Einbeziehung des Bundesdatenschutzbeauftragten“

entwickelt hat.

Update 08.04.2020: Heute hat der BfDI in eine Kurzmitteilung gemeldet, dass ihm keine fertige Version der App zum Test vorgelegt wurde. Vielmehr war die Behörde nur beim Konzept beratend tätig. Ob diese alle datenschutzrechtlichen Anforderungen erfüllt, ist somit momentan unklar. Denn die App ist nicht quelloffen. Eine Überprüfung von außen ist somit nur schwer möglich. Über fragdenstaat.de läuft außerdem gerade eine Anfrage zu der Datenschutz-Folgenabschätzung der App.

Welche (personenbezogenen) Daten werden verarbeitet?

Dem ist an sich nicht viel entgegenzuhalten. Dennoch darf zumindest die aktuelle Entwicklung der inflationären Nutzung von sensiblen personenbezogenen Daten aus juristischer (insbesondere datenschutzrechtlicher) Sicht kritisch hinterfragt werden.

Wie das RKI selbst zutreffend ausführt, handelt es sich bei den verarbeiteten Daten zunächst nicht um anonyme, sondern um pseudonymisierte – und damit personenbezogene – Daten. Denn die App hat zwar zu keinem Zeitpunkt Zugriff auf unmittelbar identifizierende Informationen wie Namen oder Adresse, aber erfasst dennoch eine Menge an Informationen, die aufgrund einer eindeutigen und individuellen ID zumindest mittelbar einer natürlichen Person zugeordnet werden können. Hierüber wird in der Datenschutzerklärung der App aber umfassend aufgeklärt:

„Speicherung von personenbezogenen Daten

  • Die individuelle Nutzung der App basiert auf einem pseudonymen Token.
  • Folgende personenbezogene Gesundheitsdaten werden durch die App nach Verknüpfung mit meinem Fitnessarmband automatisch erhoben und gespeichert werden:
  • Daten zur Einschätzung der individuellen Gesundheitsdaten:
    • Alter (gerundet auf 5 Jahre)
    • Größe (gerundet auf 5 cm)
    • Geschlecht
    • Gewicht (gerundet auf 5 kg)
  • Automatisch und manuell erfasste Aktivitäten meines Fitnessarmbands, wie bspw.:
    • Sport (bspw. Fahrradfahren, Laufen)
    • Schlafen und Schlafphasen
    • Aktivsein (bspw. Gehen, Aktivität)
    • Ruhezeiten
  • Automatisch und manuell erfasste Vitaldaten meines Fitnessarmbands, wie bspw.:
    • Puls
    • Herzratenvariabilität
    • Stress
    • Temperatur
    • Gewicht

Speicherung des Standorts

Für die Nutzung der App ist die Eingabe der Postleitzahl notwendig, in der ich mich überwiegend aufhalte. Damit wird für den Zweck die Wahrscheinlichkeit von Erkrankungen pro Postleitzahlgebiet zusammengefasst.“

Freiwilligkeit oder doch gesellschaftlicher Zwang?

Nachdem man diese Angaben also freiwillig teilt und in deren Nutzung einwilligt, könnte man an dieser Stelle aufhören und sich mit dem Ergebnis zufriedengeben.

Allerdings bleibt bei einigen in der Gesamtbetrachtung der bisherigen Corona-Ereignisse vielleicht dennoch ein ungutes Gefühl. Natürlich möchte jeder helfen und niemand als Querulant gelten, der sich gegen das Wohl der Allgemeinheit stellt. Und genau an diesem Punkt könnte man sich doch die Frage stellen, wie „freiwillig“ eine Einwilligung erteilt wird, wenn von außen ein gewisser oder gar massiver (gesellschaftlicher) Druck aufgebaut wird. Wenn jeder, der die Erwartungshaltung der Allgemeinheit nicht vollends erfüllt, von eigenen Arbeitskollegen, Nachbarn, (ehemaligen) Freunden oder gar der engsten Familie nur Argwohn und Unverständnis erntet oder sich den Vorwurf des billigenden Inkaufnehmens von Toten stellen muss.

Voraussetzungen an eine frei erteilte Einwilligung

Die Anforderungen an eine wirksame und damit rechtsgültige Einwilligung ergeben sich insbesondere aus Art. 7 DSGVO und werden durch einige Erwägungsgründe weiter spezifiziert (z.B. Erwägungsgrund Nr. 32, 33, 43).

Mithin muss die Einwilligung insbesondere freiwillig, für einen konkreten Fall, nach ausreichender Information des Betroffenen und unmissverständlich abgegeben werden. Damit die Einwilligung aber als „freiwillig“ angesehen werden kann, muss der Betroffenen eine echte Wahl haben. Dies hat der europäische Gesetzgeber erkannt und in Erwägungsgrund Nr. 42 Satz 5 explizit ausgeführt:

„Es sollte nur dann davon ausgegangen werden, dass sie [die betroffene Person] ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.“

An dieser Stelle kann sich jeder selbst eine Antwort geben, ob in der gerade vorherrschenden Situation, eine zwanglose Verweigerungshaltung gegenüber „Mitwirkungshandlungen“ überhaupt möglich sind, ohne sich dem Unmut der restlichen Welt auszusetzen.

Und was bringt die Zukunft?

Bei der vom RKI angebotenen App, die zur Corona-Datenspende aufruft, mag dies zum aktuellen Zeitpunkt zwar noch gegeben sein. Was passiert aber beispielsweise, wenn Arbeitgeber und/oder Arbeitskollegen einen (psychischen) Druck auf andere Mitarbeiter ausüben und diese als Gefahr für den laufenden Betrieb und damit das Leben und die Existenz der restlichen Belegschaft ansehen, weil diese sich weigern, diese oder eine ähnliche App zu installieren und an der Eindämmung der Pandemie mitzuwirken?

Wie ist die Situation, wenn Dienstleister auf eine behördliche Anordnung hin, etwaige Daten herausgeben sollen, weil dies aufgrund einer auf § 28 Abs. 1 Infektionsschutzgesetz gestützten Allgemeinverfügung der Exekutive als „notwendig“ erachtet wird, um die weitere Eindämmung der Pandemie zu erreichen?

Zuweilen sollen bspw. in Mecklenburg-Vorpommern täglich pünktlich um 10:00 Uhr Listen sämtlicher Corona-Infizierter (anlasslos und präventiv) an die Polizeibehörden übermittelt werden. Nach im verlinkten Artikel zugrundeliegender Auffassung des Landesdatenschutzbeauftragten Heinz Müller

„liegt der Vorgabe ein berechtigtes Interesse der Polizei zugrunde, die bei Einsätzen etwa gegen häusliche Gewalt wissen müsse, ob ein Infektionsrisiko für sie bestehe.“

Wie eine Interessenabwägung bei der Übermittlung von Daten nach Art. 9 DSGVO aussehen kann, die diesen Erlaubnistatbestand nicht kennt, wird indes nicht verraten.

Doch selbst, wenn die Datenschutzbehörden die (m.E. einzig richtige) Meinung vertreten, dass es keine Rechtsgrundlage für die pauschale Übermittlung von sensitiven Gesundheitsdaten an Polizeibehörden gibt, werden diese einfach ignoriert, wie das Beispiel Niedersachsen eindrucksvoll unter Beweis stellt.

Einwilligung mit der Pistole auf der Brust

Insofern sollte die weitere Entwicklung mit einem gesunden Maß an Skepsis weiterverfolgt werden. Es gibt augenscheinlich leider nur sehr wenige Stimmen, die die getroffenen Maßnahmen kritisch hinterfragen oder die Verfassungsmäßigkeit der Beschränkungen unserer Freiheit öffentlich ansprechen. Womöglich liegt dies ebenfalls daran, dass jeder Gegenstimme gleich eine Mitschuld an der unkontrollierten weiteren Ausbreitung des Corona-Virus und damit dem Tod von vielen Menschen gegeben wird. Wenn dies keine massive Drucksituation darstellt, was dann?

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutz im Gesundheitswesen

12 Kommentare zu diesem Beitrag

  1. Vielen Dank für den Beitrag. Es ist aus meiner Sicht insbesondere in der aktuellen Situation außerordentlich wichtig, weiterhin fundiert und juristisch über aktuelle Ereignisse zu berichten. Datenschutz lässt sich vorübergehend ignorieren, wird dadurch allerdings nicht außer Kraft gesetzt.
    Nochmals vielen Dank!

  2. Zur Corona-App des RKI: Menschen, die wirklich Corona haben, beschäftigt garantiert alles Andere, als solch eine App zu installieren. Meine Nachbarin, Friseuse, stand unter Quarantäne, da eine Kundin Corona hat. Die Nachbarin verfügt schon mal über keine Smartwatch oder solch ein Armband, viele Seniorinnen und Senioren auch nicht. Schenkt man den Coronapatienten Smartphone und -watch? Welchen Sinn macht das bei Leuten in Kliniken? Also, eine allgemeine Personenüberwachungs-App, die dann heimlich an andere Institutionen verscherbelt wird, oder, die Daten werden an Dritte weitergegeben. Damit man weiß, wer unliebsam irgendwo demonstriert… Plötzlich, in dritter Hand, ist nix mehr „pseudonymisiert“.

    Eine ebenfalls blinde Dame kam erst mit der App nicht klar, barrierefrei ist anders. Ich habe die App erst gar nicht. Wenn mir jemand mit Druck kommt: Dann hab ich halt die App installiert, führe sie auf dem Bildschirm spazieren zum Vorzeigen. „Da, guck, ist drauf.“ Bei noch größerem Druck, wenn echt jemand meint, just von mir kommen keine Daten (wie pseudonymisiert wär die App dann):
    Gibt’s ja noch technische Probleme. Dann ist halt das Teilen erlaubt, aber (leider, leider) irgendwie in der Watch und Health-App kein Haken gesetzt, Health gelöscht, aus versehen… Oder, die Uhr hab ich halt nach dem Duschen vergessen, ist leer, hab sie verlegt. Wir leben in spannenden Zeiten.

    Zitat: „Nein, schlaft nicht, während die Ordner der Welt geschäftig sind!
    Seid mißtrauisch gegen ihre Macht,
    die sie vorgeben für euch erwerben zu müssen!
    Wacht darüber, daß eure Herzen nicht leer sind,
    wenn mit der Leere eurer Herzen gerechnet wird!
    Tut das Unnütze, singt die Lieder,
    die man aus eurem Mund nicht erwartet!
    Seid unbequem, seid Sand, nicht das Öl im Getriebe der Welt!“
    Quelle: Aus dem Hörspiel „Träume“ von Günter Eich

    • Vielen Dank für Ihren Beitrag. In der Tat ist fraglich, wie sinnvoll der Einsatz einer entsprechenden App ist. Insbesondere, sofern weitere Wearables oder Fitness-Tracker für die Funktionalität benötigt werden. Führt man sich vor Augen, dass entsprechendes Equipment oft von der eher jüngeren Generation genutzt wird (ohne jemanden diskriminieren zu wollen), diese aber zumeist kaum oder nur sehr geringe Symptome aufweist, werden gerade diejenigen nicht erfasst, anhand derer man die besten Prognosen abgeben könnte und die am stärksten betroffen sind. Dennoch werden allerhand Daten erfasst. Aktuell kann man sich dem allerdings wohl noch entziehen.

  3. Auch ich darf mich für diesen sehr interessanten und die aktuelle Situation gut beschreibenden Beitrag bedanken.
    Das Thema Freiwilligkeit und sozialer Druck wird m.E. in der gesamten Diskussion über die aktuelle Lage viel zuwenig betrachtet.
    Viel interessanter wird die Frage der Freiwilligkeit wahrscheinlich noch werden, wenn es um die Nutzung der angekündigten „Corona-Warn-App“ geht, bei der über Bluetooth die Kontakte mit anderen Personen aufgezeichnet werden soll. Auch hier soll die Nutzung ja angeblich freiwillig sein, aber kann man sich denn tatsächlich noch wehren und die Installation einer solchen App verweigern, wenn dies allgemein empfohlen wird? Ich denke, auch dies muss kritisch betrachtet werden. Zu Gunsten des Schutzes der Gesundheit, der sicherlich wichtig und notwendig ist, sind wir derzeit bereit massive Eingriffe in unsere Grundrechte in Kauf zu nehmen. Die regelmäßige Prüfung der Angemessenheit und Verhältnismäßigkeit der angeordneten Maßnahmen darf dabei nicht aus den Augen verloren werden. Auch der Datenschutz, als Teil des Persönlichkeitsrechtes, gehört dabei auch zu diesen geschützten Grundrechten und darf nicht schrankenlos ausgehöhlt werden.
    Bitte machen Sie mit Ihrer kritischen Betrachtung weiter, auch wenn man sich damit nicht immer Freunde macht.

    • Es freut uns natürlich, wenn unsere Beiträge Anklang finden oder polarisieren und dadurch zur Diskussion im Zusammenhang mit datenschutzrechtlichen Themen anregen. Sofern bzw. sobald eine Corona-Warn-App konkrete Gestalt annimmt, wird dies sicherlich auch im Rahmen unseres Blogs aufgegriffen.

  4. Noch mal Magnolia: Ich sage nicht, das RKI gibt Daten oder die App weiter! Evtl. klang es so.
    Ich sage nur, Daten könnten in Zukunft, ggf. in fünf Jahren, in dritte Hände gelangen, gehackt oder die Daten verkauft werden. Ggf. an andere Behörden, an Krankenkassen… Die Daten könnten von Dritten verknüpft werden. Schon weiß man, wer das Pseudonym ist. So lang mich keiner zwingt, kommt die nicht drauf. Ich vergesse auch schon mal die Watch oder das Handy, wenn jemand anderes eins dabei hat. Sorge bereitet mir ein Hack, egal ob Apple oder RKI. Egal, was versprochen wird. Geräuscherkennung der Watch zum Hörschutz? Ich bin doch nicht wahnsinnig!

  5. Vielen Dank für einen juristischen Kommentar der fundiert die Probleme aufgreift. Ich werde mir die App nicht installieren. Als Datenschutzberater habe ich von Anfang an mein Umfeld vor dieser App gewarnt. M.E. gibt es mehrere Schwachstellen. Zum einen muß es irgendwo in der Kette eine Verknüpfung zum Namen geben. Darauf könnten Behörden oder Angreifer im schlimmsten Fall zugreifen ( wie auch oben erwähnt). Zum anderen könnte sich die App ganz leicht mit anderen Funktionen ausstatten lassen, mit denen eine totale Überwachung möglich wäre, Wer beobachtet das noch wenn die „Krise“ vorbei ist. Dann haben bereits Millionen Menschen die App installiert. Ich kann auch keine belastbare Rechtsgrundlage für dieses EIngreifen in Grundrechte erkennen. Die Problematik der Freiwilligkeit wurde oben schon eingehend erläutert.

  6. Vielen Dank für diese Artikel. Es macht mich schon stutzig, was mein Körpergewicht oder meine Körpergröße, mein Geschlecht mit der Verteilung von Viren zu tun hat? Ich werde diese App nicht auf mein Smartphone installieren.

    • Der App geht es nach Angaben des RKI um die Erkennung von Symptomen durch Algorithmen, die unter anderem mit einer Coronavirus-Infektion in Verbindung gebracht werden wie etwa ein erhöhter Ruhepuls. Leider macht das RKI keine genaueren Angaben, wozu Körpergewicht, Körpergröße und Geschlecht gebraucht werden oder welche Verfahren hinter den Algorithmen stecken. Ich würde vermuten, dass die Angaben notwendig sind, um den gemessenen Ruhepuls richtig deuten zu können. Alter, Geschlecht, Über- oder Untergewicht dürften alles Faktoren sein, die sich darauf auswirken, welche Pulsspanne als normal oder erhöht für die Person gilt.

  7. Zu bemängeln ist vor allem, dass nicht jedem Benutzer sofort klar wird, dass er ein Wearable eines unterstützen Herstellers haben MUSS, ansonsten kann er sich die App sowieso schenken. Ich nutze nur ein Fitness-Armband für 14,90 eines unbedeutenden Herstellers und trage das auch nur beim Joggen. Wie viele Nutzer fallen eben so aus dem Raster? Ohnehin erreicht eine solche App nur einen Teil der Bevölkerung (https://www.statista.com/statistics/739398/us-wearable-penetration-by-age/), die dann auch noch einen von 5 Herstellern (Weltmarktführer fehlen komplett https://www.statista.com/chart/3290/samsung-leads-the-smartwatch-market/) nutzen müssen. Gerade die Risikogruppen bleiben außen vor (man schenke der 70jährigen Oma mal eine Apple Smartwatch).

    Das Sammeln von „anonymen Herzfrequenz-Daten“ ist fragwürdig, nicht so sehr datenschutzrechtlich, sondern bezüglich des tatsächlichen Nutzens. Eine einfache App auf dem Smartphone, die Nahbereichs-Kontakte mit anderen App-Trägern verfolgt und anonym darüber informiert, dass man mit einer infizierten Person Kontakt hatte, hätte einen deutlich höheren Nutzen. Dies wird aber im akribischen und überängstlichen Deutschland wieder nicht realisiert. Stattdessen selektiert man Hersteller (und ignoriert andere) und gaukelt Menschen vor, einen Beitrag zu leisten, wo dies nicht der Fall sein kann.

    • Der Hinweis zur Kompatibilität findet sich zumindest auf der Hauptseite unten im FAQ zusammen mit der Angabe, dass die Integration weiterer Geräte geplant sei. Die restlichen Punkte halten wir auch durchaus für fragwürdig, diese relativieren sich aber vor dem Hintergrund, dass es wohl in erster Linie um die Datenauswertung für zukünftige wissenschaftliche Forschung und nicht um eine aktuelle Gefahrenabwehrmaßnahme geht.

      „Eine einfache App auf dem Smartphone, die Nahbereichs-Kontakte mit anderen App-Trägern verfolgt und anonym darüber informiert, dass man mit einer infizierten Person Kontakt hatte, hätte einen deutlich höheren Nutzen. Dies wird aber im akribischen und überängstlichen Deutschland wieder nicht realisiert.“

      Nach unserem Kenntnisstand laufen die Vorbereitungen für die Veröffentlichung einer (europäischen) Tracing App noch. Diese soll dann möglicherweise Teil einer Lockerung des Kontaktverbots nach dem 20.04 sein. Siehe z.B. die Berichterstattung der tagesschau dazu.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.