Datenschutz-Nachrichten

Corona: EDSA-Leitlinien für Tracing-Apps

Corona: EDSA-Leitlinien für Tracing-Apps

Von Timo Schutt 12. Mai 2020

EDSA-Leitlinien für Tracing-Apps

Am 21.04.2020 hat der Europäische Datenschutzausschuss (EDSA) seine Leitlinien 04/2020on the use of location data and contact tracing tools in the context of the COVID-19 outbreak“ veröffentlicht (nur in englischer Sprache verfügbar).  Damit sollen die Rahmenbedingungen des Datenschutzes für die Entwicklung und den Einsatz der aktuell vieldiskutierten Tracing-Apps zur Eindämmung des Corona-Virus festgestellt werden. Der EDSA soll für eine europaweit einheitliche Anwendung der DSGVO sorgen und kann von sich aus eben beispielsweise durch den Erlass solcher Leitlinien tätig werden (Artikel 70 DSGVO).

Die Leitlinien haben auch einem Anhang speziell für die Entwickler von „contact tracing apps“. Der Anhang soll als Hilfestellung dienen und dürfte für die Entwicklung solcher Apps sehr hilfreich sein, weil er die juristischen Aspekte für die Entwickler in konkrete Handlungsanweisungen überträgt.

Hauptaspekte für Tracing-Apps

Gegenstand der Leitlinien sind insbesondere die datenschutzrechtlichen Bedingungen für die Nutzung von Standortdaten und „contact tracing tools“.

Die zurzeit in der Entwicklung befindlichen Apps sollen letztlich folgende Funktionen erfüllen:

  • Abbildung der Virusausbreitung,
  • Einschätzung der Effektivität der getroffenen Eindämmungsmaßnahmen, sowie
  • Information von Personen, die Kontakt mit einer infizierten Person hatten.

Der EDSA macht sich dabei für ein gemeinsames Vorgehen innerhalb der EU stark. Jedenfalls sollte demnach die Entwicklung interoperabler Systeme in gesamteuropäischer Abstimmung erfolgen.

Wichtig dabei ist dem EDSA, dass die von den Apps generierten Daten dem Kampf gegen die Pandemien dienen, nicht aber der Kontrolle, Stigmatisierung oder Unterdrückung von Personen.

Dabei sei bei Anwendung der bestehenden rechtlichen Vorgaben beides möglich: eine effiziente Reaktion auf die Pandemie und ein Schutz der Grundrechte und -freiheiten der Betroffenen.

Aus Sicht des EDSA sollte die Nutzung entsprechender Apps freiwillig sein. Diejenigen, die sich gegen die Nutzung entschieden, dürften hieraus keine Nachteile haben.

Um das notwendige Vertrauen in der Bevölkerung herzustellen und damit die Akzeptanz für die freiwillige Nutzung solcher Apps zu erreichen, sei die Einhaltung des Datenschutzes unverzichtbar. Dabei dürfe der Einsatz der Apps nicht zu individuellem Tracking führen.

Nutzung von Standortdaten

Der EDSA verweist auf die Rechtsvorschriften der ePrivacy-Richtlnie der EU für die Verarbeitung von Standortdaten. Demnach sei die Weitergabe von Standortdaten an Behörden oder Dritte nur in anonymisierter Form oder mit Einwilligung des Nutzers möglich. Der Zugriff auf Informationen auf einem Endgerät der Nutzer sowie deren Speicherung und die spätere Nutzung für weitere Zwecke seien ebenfalls nur auf Basis einer Einwilligung oder entsprechender Vorschriften der EU oder der Mitgliedstaaten nach Maßgabe von Artikel 23 DSGVO zulässig.

Einer anonymisierten sei statt einer personenbezogenen Datenverarbeitung der Vorzug zu geben. Allerdings wird auch betont, dass die Anforderungen an die Anonymisierung von Daten, im Gegensatz zur bloßen Pseudonymisierung, komplex sind. Insbesondere Standortdaten seien schwierig zu anonymisieren.

Datenschutz-Prinzipien müssen auch Tracing-Apps einhalten

Selbstverständlich kann die Verarbeitung der generierten personenbezogenen Daten nur nach Maßgabe der in Betracht kommenden Rechtsgrundlagen erfolgen.

Die Datenverarbeitung lasse sich neben einer Einwilligung aber auch anderweitig rechtfertigen, so der Ausschuss. Insbesondere öffentliche Behörden könnten nach Maßgabe von Artikel 6 Absatz 1 Buchstabe e) DSGVO zur Wahrnehmung ihrer Aufgaben im öffentlichen Interesse personenbezogene Daten verarbeiten. Dabei hätten dann die EU oder die Mitgliedstaaten die zahlreichen Anforderungen, die Artikel 6 Absatz 3 DSGVO an die Rechtsgrundlage stellt (klare Zweckbestimmung, Art der Daten, betroffene Personen, verantwortliche Behörden usw.) zu erfüllen.

Verarbeitung von Gesundheitsdaten

Gehe es um die Verarbeitung von Gesundheitsdaten (also beispielsweise bei einem positiven Testergebnis) kann die Datenverarbeitung nur auf die erhöhten Anforderungen des Artikel 9 DSGVO gestützt werden, also entweder auf die Einwilligung des Betroffenen (Artikel 9 Absatz 2 Buchstabe a) DSGVO) oder ohne Einwilligung auf Artikel 9 Absatz 2 Buchstabe h) oder Buchstabe i) DSGVO (Gesundheitsvorsorge, öffentliche Gesundheit). Auch auf die Möglichkeit der Zulässigkeit einer für wissenschaftliche und statistische Zwecke erforderlichen Datenverarbeitung gemäß Artikel 9 Absatz 2 Buchstabe j) DSGVO wird hingewiesen.

Einhaltung der DSGVO-Grundsätze

Gemäß dem Zweckbindungsgrundsatz muss der Zweck so genau definiert sein, dass die Datenverarbeitung zu anderen Zwecken als dem Management der Covid-19-Krise ausgeschlossen ist. Zur Sicherstellung der Kontrolle müssen zudem alle an einer App Beteiligten und deren Verantwortungsbereiche gegenüber den Nutzern transparent gemacht werden. Auch die Prinzipien der Datenminimierung und Privacy by Design und by Default sollten sorgfältig beachtet werden.

Das soll insbesondere heißen:

  • nur Umgebungsdaten statt exakter Aufenthaltsorte der Nutzer,
  • keine direkte Identifikation von Nutzern,
  • Vermeidung von Re-Identifizierung.

Die Daten dürfen auch nur für die Zeit der Covid-19-Krise gespeichert werden (Grundsatz der Speicherbegrenzung); danach sind sie zu löschen oder zu anonymisieren.

Transparenz und Rechenschaftspflicht erfordern zudem, dass der Quellcode offen gelegt und die verwendeten Algorithmen durch unabhängige Experten überprüfbar sind. Auch empfiehlt der Ausschuss, die im Hinblick auf die hohen Risiken für den Betroffenen zwingend durchzuführende Datenschutzfolgenabschätzung öffentlich zu machen.

Weitere Einschätzungen und Vorgaben

Im Rahmen der „recommendations and functional requirements“ geht der EDSA noch auf die Anforderungen an die IDs der Nutzer und auf die diskutierten zentralen bzw. dezentralen Lösungen und deren Vor- und Nachteile ein. Dabei geht es auch um die Frage, ob und welche Daten und Kontaktlisten einer nachweislich infizierten Person, wie lange und wo (Server oder Endgerät) verarbeitet werden.

Der Ausschuss macht auch zahlreiche Aussagen zur Absicherung der App-Nutzer gegen Fehler und verlangt im Hinblick auf die Gefahr, sich eine falsche App herunterzuladen, klare Informationen, wo die „offizielle“ App des jeweiligen Mitgliedstaats verfügbar ist.

Fazit

Der EDSA bringt klar zum Ausdruck, dass er keinen Widerspruch zwischen effizienter Datenverarbeitung zur Pandemiebekämpfung und der Wahrung der individuellen Freiheitsrechte sieht. Dabei sind aber natürlich die Grundsätze der DSGVO und der ePrivacy-Richtlinie zu beachten.

Und es sollte das Prinzip der Freiwilligkeit bestehen. Also kein Zwang zum Download und zur Nutzung der Corona-App.

Die App ist nach aktuellem Stand in der Entwicklung. Die Bundesregierung hat sich für einen dezentralen Ansatz entschieden, also keine zentrale Datenverarbeitung. Weitere Details zur Tracing-App sind noch nicht bekannt. Es bleibt abzuwarten, ob alle Anforderungen des EDSA beachtet und wie konkret die App und das Thema Freiwilligkeit behandelt werden.

Timo Schutt
Ihr Datenschutz Partner
Externer Datenschutzbeauftragter
Fachanwalt für IT-Recht