Stopp Corona-App: Fluch oder Segen
Datenschutz ist ein wichtiges und heikles Thema — auch in Zeiten der Krise. Denn neben gesundheitlichen und gesamtwirtschaftlichen Aspekten birgt COVID-19 auch zahlreiche datenschutzrechtliche Fragen: Für Unternehmen, Arbeitgeber und -nehmer sowie Privatpersonen.
Erhöhter (Daten-)Schutz für „sensible“ Daten
Informationen zur Gesundheit einer Person gelten im Sinne der DSGVO als besonders schützenswert. Im Fall von COVID-19 sind bereits Verdachtsfälle sowie Bestätigungen von Infizierungen als Gesundheitsdaten zu werten. Aus diesem Grund unterliegt der Umgang mit diesen Angaben insbesondere Art. 9 DSGVO.
Bei Datenschutz geht es stets um die Abwägung von Interessen: Wie stark ist der Eingriff in die Rechte der Betroffenen im Vergleich zum Nutzen der Allgemeinheit oder Dritter?
Auf Basis der bestehenden Fürsorgepflicht des Arbeitgebers gegenüber den eigenen Arbeitnehmern dürfen auch sensible Daten verarbeitet werden. So bedarf es bei der Erfassung der Verdachts- und Infizierungsfälle mit COVID-19 i. d. R. keiner ausdrücklichen Einwilligung der Betroffenen. Dennoch sind die sonstigen datenschutzrechtlichen Pflichten und Sicherheitsmaßnahmen entsprechend zu beachten.
Allen voran das „need-to-know“-Prinzip: Der Personenkreis, der Zugang zu den Gesundheitsinformationen erhält, sollte so klein wie unbedingt erforderlich sein. Dies kann durch technische Maßnahmen, wie Berechtigungskonzepte, Zugriffsbeschränkungen oder auch Verschlüsselungen, umgesetzt werden. Sensible Daten erfordern daneben auch erhöhte Sicherheitsmaßnahmen – auch im Homeoffice. So muss der praktische Umgang mit COVID-19 im Arbeitsalltag datenschutzkonform umgesetzt werden.
Das ist insbesondere auch unternehmensintern zu beachten: So sollte die Identität bei Verdachtsfällen nur dem erforderlichen Kreis an Kollegen preisgegeben werden. Gerade bei größeren Unternehmen ist es daher in einem ersten Schritt oft sinnvoll, Infektionswege in erster Linie personenunabhängig nachzuvollziehen. Dies kann etwa durch die Frage nach persönlichem Kontakt mit verschiedenen Teams oder durch die Einschränkung auf bestimmte Stockwerke geschehen.
Intensiv diskutiert: Die Stopp Corona-App für Privatpersonen
In der medialen Berichterstattung sowie privat werden datenschutzrechtliche Aspekte der Stopp Corona-App gerade emotional diskutiert. Bei dieser App des österreichischen Roten Kreuz handelt es sich um ein digitales Kontakttagebuch, das dabei helfen soll, Infektionsketten aufzudecken und zu unterbrechen. Dr. Anderl sieht die App aus Perspektive des Datenschutzes in der aktuellen Form als unbedenklich, da entgegen einiger Befürchtungen in der Bevölkerung die Nutzung weiterhin auf Freiwilligkeit und einer vorherigen Einwilligung basiert. Dabei werden die personenbezogenen Daten nur lokal verarbeitet und nicht zwischen den Kontakten ausgetauscht.
Da die Stopp Corona-App aus heutiger Sicht auf einer freiwilligen Einwilligung beruht und mehrheitlich auf pseudonymisierte Daten abstellt, sehe ich diese datenschutzrechtlich entspannt. Dazu kommt, dass eine umfassende Güterabwägung stattzufinden hat. Ohne App drohen – wie erlebt – schwerwiegende Grundrechtseingriffe. Das geht in der Diskussion zuletzt unter.
Durch digitale Handshakes, die entweder manuell oder automatisch via Bluetooth bestätigt werden, erfasst die App pseudonymisierte Kontakte der letzten Tage. Sobald ein Arzt eine Corona-Infektion feststellt, steht es dem User frei, unter Angabe seiner Telefonnummer, eine Meldung über seinen Verdacht an das Rote Kreuz abzugeben und damit seine Kontaktpersonen der letzten beiden Tage anonym zu benachrichtigen. Klarnamen oder andere personenbezogene Daten werden bei dieser Meldung nicht angezeigt. Die informierten User können sich sodann selbst isolieren, um eine weitere Verbreitung zu verhindern. Das erfolgt schließlich im Interesse aller.
Die erforderliche Datenminimierung wird u. a. durch die Pseudonymisierung in Form einer ID sichergestellt. Ebenso wurde die App bereits durch bekannte, unabhängige Datenschutz-Organisationen, wie epicenter.works, noyb oder SBA Research, geprüft: Sie alle kamen zu positiven Ergebnissen.
Welche datenschutzrechtliche Fragen sind noch interessant?
- Wie sind die einzelnen Arbeitsschritte im Homeoffice in Bezug auf Datensicherheit zu bewerten?
- Verfügen die Arbeitnehmer zu Hause über ausreichende Lizenzen zur legalen, kommerziellen Nutzung der unterschiedlichen Tools und Kommunikationsplattformen?
- Ist die verwendete Software aus Sicht des Datenschutzes sicher? Sind bei kostenlosen Angeboten die Daten ausreichend geschützt?
- Werden die Maßnahmen ausreichend dokumentiert und wurde allenfalls eine Datenschutzfolgenabschätzung durchgeführt?