Corona Tracking auf Handy: Ist Zugriff auf Smartphone-Standortdaten zulässig lt. DSGVO

Seit Anfang des Jahres 2020 kämpft die ganze Welt gegen den ausgebrochenen Corona Virus Covid-19. Gegen die Ausbreitung in Deutschland ist unter anderem das Robert-Koch-Institut zuständig, welches genau dafür eine neue Methode nutzen möchte. Hierbei sollen die Bewegungsdaten der Bürger über ihre Smartphones erhoben werden, um so die weitere Ausbreitung schneller unter Kontrolle zu bringen. Zwar befindet sich diese Idee noch in der Entwicklungsphase, doch in diesem Artikel möchten wir uns einmal die Rahmenbedingung auf Rechtlicher Seite zu diesem Vorhaben in Deutschland anschauen.

Es wird eine außergewöhnliche Maßnahme diskutiert, um Infizierte mit Corona-Virus zügig zu finden: So soll man überlebenswichtige Behandlung-Zeit gewinnen.
Die Krise mit dem Corona-Virus wird von der Wissenschaft als gefährlicher Ausnahmefall betrachtet. Entscheidend ist daher, dass man die Verbreitung verlangsamt, um einen Kollaps des Gesundheitssystems zu vermeiden.

Damit man diese Ziele erreicht, wird in internationalen Wissenschaftskreisen jetzt über eine außerordentliche Maßnahme debattiert: Anstatt zu probieren, die Kontaktpersonen der Infizierten mit zeitintensive und schließlich trotzdem ungenaue Abfragen herauszufinden, könnte man durch Abgleich der Bewegungsdaten eines Handys die Virusausbreitung durchgreifend verlangsamen.
Nur so könne genug Zeit für die Behandlungen gewonnen werden, die für einige Patienten überlebenswichtig sein werden.

 

Bewegungsprofile im Kampf gegen das Coronavirus

Die Zahl der infizierten steigt weltweit konsequent an und eine Lösung dagegen vorzugehen ist bisher noch nicht gefunden worden. Wurde eine Person auf Corona positiv getestet, so beginnt eine aufwendige Befragung seitens der Ärzte und Gesundheitsbehörden mit dem Infizierten, um die Infektionskette erfassen zu können. Da die Inkubationszeit von Corona allerdings 14 Tage lang ist, kann sich der Patient kaum noch an alle Kontakte in dieser Zeit erinnern. Sei es bei der Fahrt mit der U-Bahn, in die Arbeit oder zum Supermarkt. Zumal sich dort auch immer eine große Zahl von Unbekannten Personen aufhält, die man nicht identifizieren kann.

Von unseren modernen Smartphones, werden die Standortdaten des Besitzers alle paar Minuten sehr genau erfasst. Diese GPS-Daten sind für die Nutzung der Dienste von Microsoft, Apple und Google, lebenswichtig und werden deshalb auch teilweise über mehrere Wochen gespeichert. Auf diesem Wege können in alltäglichen Situationen beispielsweise die aktuelle Verkehrslage über Google Maps oder das Wetter für die Freizeitaktivitäten auf dem Smartphone eingesehen werden. Nun ließen sich über diese Technologie erhobene Bewegungsdaten auch zur Eindämmung der Coron Pandemie einsetzen.

Weiterführend können die Standorte von infizierten Personen mithilfe eines Datenabgleichs der Funkzellendaten seitens der Netzbetreiber erhoben werden. Diese Datensätze sind allerdings nur bedingt einsetzbar, da die so identifizierten Standorte meist auf etwa 100 Meter genau sich somit kaum vernünftig einsetzen lassen.

In einem gewissen Maße sind also schon große Datensätze in nicht öffentlich zugänglichen Stellen auf Vorrat gespeichert. In diesem Zusammenhang stellt sich jetzt die Frage, ob der Staat den Zugang zu diesen erhalten sollte, um so die Volksgesundheit aufrechterhalten zu können?

 

Fallbeispiele aus anderen Ländern:

Viele Länder in Fernost wenden sich bereits unkonventionellen Maßnahmen im Kampf gegen die Pandemie zu.

  1. China: QR Codes 

Aufgrund dieser hohen Zahlen haben sich drei große Provinzen Chinas zusammengeschlossen und ein System eingeführt. Dieses trägt den Namen “Health Code” und betrifft rund 180 Millionen Menschen. Jeder Bürger erhält im Laufe dieser Maßnahme eine Farbe, angelehnt an eine Ampel (Grün, Gelb und Rot). So möchte man die verschiedenen Risikostufen für eine Person im Bezug auf die Gesellschaft aufzeigen. Mithilfe der App Alipay und einem QR Code kann die individuelle Risikostufe ausgelesen werden. Personen, die der roten und gelben Farbe angehören dürfen keine öffentlichen Orte wie Einkaufszentren oder Restaurants mehr besuchen sowie nicht mehr Reisen. Dies gilt für 14 Tage.

Dieses Programm wird allerdings sehr kritisiert, da immer wieder Personen falsch klassifiziert werden. Das System nutzt nämlich eine Formel, die nicht vollständig öffentlich bekannt ist. Von Regierungsseite heißt es, dass nur selbst mitgeteilte Informationen zum Gesundheitszustand wie Reisen und der engere Freundes- und Bekanntenkreis in die Bewertung mitfließen. Möglich ist es dennoch, das noch viel mehr Daten für die Klassifizierung verwendet werden.

 

  1. Taiwan: Quarantäne fürs Smartphone und seinen Besitzer
    Ein weiteres asiatisches Land, welches im Kampf gegen Corona auf das Smartphone der Bürger setzt ist Taiwan. Zudem besuchen jährlich 2 bis 3 Millionen Chinesen das Land und etwa 400.000 Taiwanesen arbeiten in China. In Relation zu den 23 Millionen Einwohnern von Taiwan sind diese Zahlen also sehr gering.Das System in Taiwan ist dem Chinesischen sehr ähnlich. Einreisende müssen mit ihrem Handy einen QR Code scannen und daraufhin ein Gesundheitsformular ausfüllen. Die so gewonnen Daten in Kombination mit den Entwicklungen am Abflugort der letzten 14 Tage sowie den Geschehnissen während der Reise machen eine Bewertung möglich. Für eine schnelle Rückmeldung erhalten alle Einreisenden eine SMS mit einer Erlaubnis oder einer Ablehnung. Diejenigen, welche Zuhause bleiben müssen, werden außerdem auf Basis ihrer Standortinformationen überwacht, sodass diese auch wirklich in Quarantäne bleiben.

 

 

  1. Auch Israel setzt auf Daten und verbindet sie mit Stengen Regeln.

Bewegungsdaten wurden nicht nur in China eingesetzt, um den Corona-Virus in den Griff zu bekommen. Wer sich in Israel länger als zehn Minuten in der Nähe einer Person mit dem Virus aufhält, bekommt eine SMS. Diese SMS schickt den Empfänger umgehend in Quarantäne. Die DSGVO wird dabei nicht verletzt, so der Mobilfunkbetreiber. Datenschützer hegen im Punkt Datenschutzgrundverordnung allerdings ihre Zweifel.

 

  1. In Österreich sorgen sich die Datenschützer

Hier bekam die Regierung anonymisierte Messdaten vom Mobilfunkdienst A1. Mit diesen Daten sollte überwacht werden, ob die Österreicher sich an die verhängten Maßnahmen, wie die Ausgangssperre und das Versammlungsverbot halten.

In Deutschland sollen ebenfalls Daten genutzt werden, um den Virus in seine Schranken zu weisen. Lothar H. Wieler ist der Präsident des Robert Koch-Institutes und erklärte, das 25 seiner Mitarbeiter eine entsprechende App in Arbeit hätten. Der RKI-Präsident sagte, es wird für ein Konzept mit Sinn gehalten. Wieler sagt, zudem, dass sich die Hürden, welche die Datenschutzgrundverordnung stellt überwinden lassen.

 

  1. App in Shanghai

Steffen Wurzel ist Korrespondent der ARD und erzählt im WDR-Podcast Cosmotech von seinen Erlebnissen in Shanghai. Es gibt eine App, die ich öffnen muss, wenn ich ein Café betreten möchte. Diese App erlaubt mir mit der Aussage „Clear to Go!“ Das Betreten des Cafés. Damit die App optimal arbeiten kann, muss er sie vorher mit Daten füttern. Er muss beispielsweise angeben, ob er Shanghai verlassen hat oder ob er Kontakt zu einem Infizierten gehabt hat. Die App vergleicht dann zusätzlich die Angaben des Korrespondenten mit den GPS-Daten in seinem Handy und Daten von Funkzellen. Stellen die Daten sicher, dass Steffen Wurzel kein Corona-Gefährder ist, bekommt er von der App grünes Licht zum Betreten des Cafés.

 

 

PDSG Patientendaten-Schutzgesetz – Elektronische Patientenakte (ePA)

Möglichkeiten der Künstlichen Intelligenz (KI) nutzt man umfangreich in der Medizin. Dabei handelt es sich ca. um Bilderkennung bei pathologischen Feststellungen oder in der Behandlung von Krebs.
Jedoch klagen Gesundheitspolitiker, Mediziner und Wissenschaftler immer wieder in Deutschland darüber, dass Datenschutz-Bedenken hier häufig gegen das Patientenwohl seien. Das zeige auch das Patientendaten-Schutzgesetz PDSG, das das Bekämpfen von Epidemien in Zukunft stören könnte.

Dieses PDSG regelt die Datenschutzbestimmungen für die elektronischen Patientenakten (ePA). Sie müssen nächstes Jahr für die gesetzlich Versicherten bereitgestellt werden. In dieser Akte sollten Patientendaten geeinigt werden. Sie bestimmen Versicherten, ob sie diese ePA benutzen und auf was die behandelnden Ärzte Zugangsberechtigung erhalten. Mit PDSG stellt man Datenschutz über Seuchenschutz, kritisiert der Deutsche Landkreistag. Bei Epidemien würden unsere kommunalen Gesundheitsämter auf die ePA-Daten keinen Zugriff haben, und somit könnten sie auch nicht zum Eindämmen der Infektionskrankheiten benutzen.

Der Öffentliche Gesundheitsdienst ÖGD sollte gemäß Gesetzesentwurf mit dem System in Verbindung gebracht werden. Darüber werden die ePA-Inhalte eingespeist und ausgetauscht. Jedoch hätten die Amtsärzte bloß sehr limitierte Zugriffsrechte: Ausschließlich auf die elektronischen U-Untersuchungshefte und Impfdokumentationen. Unmöglich wäre somit das Nutzen der anderen Daten, z. B. bei Tuberkulose-Ausbruch.

Laut Ariane Berger (Leiterin im Landkreistag für Digitalisierungsfragen) würden diese Daten bisher von den Gesundheitsämtern benutzt werden können, falls sie in elektronischer Form vorliegen. Die Möglichkeit ginge mit dem PDSG verloren. Jetzt in der Corona-Pandemie erscheine solche Regelung komplett kontraproduktiv.

 

Fakten: Ist auf Basis der DSGVO eine Auswertung der Standortdaten möglich?

Nun möchte auch das Robert-Koch-Institut im Kampf gegen das Virus mit Standort- und Bewegungsprofilen von Mobiltelefonen vorgehen. Um eine solche Maßnahme in Deutschland und der EU zu rechtfertigen, bedarf es selbstverständlich einer rechtlichen Grundlage, die in diesem Fall die Datenschutzgrundverordnung ist. Es werden Gesundheitsdaten gebraucht, um eine Infektion oder eine mögliche Infektion feststellen zu können. Mithilfe der aufgezeichneten Standorte können diesbezüglich weitere staatliche Maßnahmen ergriffen werden.

 

Diese Rechtsgrundlagen kommen im Bezug auf das Coronavirus in Betracht:

  • Tracking und Verarbeitung der Daten nach Einwilligung der Person

Als Rechtfertigungsgrund für diese Vorgehensweise kann eine Einwilligung der betroffenen Person darstellen. Genau solche Erlaubnisse erhofft sich auch das RKI, sodass Auswertungen auf Basis von “Daten-Spenden” erfolgen können. Ein solches Einverständnis kann jedoch jederzeit widerrufen werden und muss selbstverständlich freiwillig sein. Weiterführend ständen die Verantwortlichen vor dem Problem alle bereits betroffenen Personen um eine Erlaubnis zu bitten, um andere Infizierungen verhindern zu können. Dies würde allerdings auch bedeuten, dass die Informationen weiterer Personen schon vor ihrer Zustimmung verarbeitet werden müssten.

 

  • Tracking und Verarbeitung der Daten zum Schutz lebenswichtiger Interessen

Personenbezogene Daten zu verarbeiten ist auch dann zulässig, insofern sie zum Schutz von lebenswichtigen Interessen benötigt werden. Die Hürde für eine solche Begründung sind aber sehr hoch, auch wenn im Sinne des öffentlichen Interesses wäre. Es kann aber vonnöten sein, eine Epidemie als auch ihre Ausbreitung nur mit personenbezogenen Daten, für humanitäre Zwecke überwachen zu können. Dafür muss allerdings gewährleistet sein, dass keine andere rechtliche Grundlage als Stütze für dieses Vorhaben dienen kann. Es ist daher fraglich ob diese in der aktuellen Lage nutzbar ist, da schließlich über einen langen Zeitraum sehr viele Personen zur Prävention überwacht werden.

 

  • Als Rechtsgrundlage könnte auch das Infektionsschutzgesetz dienen

Das RKI kann auch als nationale, rechtliche Grundlage auf das Infektionsschutzgesetz in Kombination mit der Öffnungsklausel der DSGVO plädieren. Somit könnten für die Überwachung, Bekämpfung und Verhütung von übertragbaren und schwerwiegenden Krankheiten auch personenbezogene Daten herangezogen und ausgewertet werden, was mit der DSGVO vereinbar wäre.

Im Rahmen der Amtshilfe, die das RKI leistet, lässt sich eine solche Maßnahme also treffen. Ob dies allerdings auch für Informationen aus Nicht-Öffentlichen-Stellen wie von beispielsweise Microsoft gilt, lässt sich nicht einsehen. Die gesetzlichen Vorschriften sind nicht für Krankheitsausbrüche mit pandemischen Ausmaß geschrieben worden.

 

  • Das BDSG (Bundesdatenschutzgesetz) als Rechtsgrundlage

Die Nutzung von personenbezogenen Daten könnte wie bereits angesprochen die Datenschutzgrundverordnung erlauben. Um allerdings Standortinformationen von Personen erfassen zu können, könnte die Norm des BDSG als rechtliche Grundlage genutzt werden. Dort sind aber auch viele Bereiche aufgezählt, die mit speziellen Gesetzen geregelt wurden. Weiterführend müssen alle dortigen Vereinbarung unter Rücksicht des Grundgesetzes gesehen werden. Hierbei spielt die Wesentlichkeitstheorie eine Rolle. Es muss also vorher genau festgelegt werden, wie umfangreich der Grundrechtseingriff wird. (Dauer, Wiederholung, Intensität) Somit scheint das Bundesdatenschutzgesetz nicht ausreichend für eine solche Maßnahme geeignet zu sein. Es ist wohl wahrscheinlich, dass der Bundestag eine spezielle rechtliche Grundlage schaffen müsste, die gleichzeitig nicht gegen das Übermaßverbot verstoßen dürfte.

 

Beurteilung der Behörden: Ist ein solch Eingriff gerechtfertigt?

Die Beispiele der asiatischen Länder zeigen auf, dass ein derartiger Eingriff in die Privatsphäre durchaus dabei helfen kann, das Corona-Virus an seiner weiteren Ausbreitung zu hindern. Es stellt sich aber dennoch die Frage, wann und in welchem Ausmaß die Rechte der Menschen dafür für einen bestimmten Zeitraum außer Kraft gesetzt werden sollten. Sollten solche Datensätze auch in Deutschland im Zuge der Krise genutzt werden, dann müsste dies mit einem transparenten Algorithmus von statten gehen, um nicht ähnliche Zustände wie in China zu erzielen. Dort leiden nämlich Menschen unter falschen Einordnungen sehr darunter, nicht am öffentlichen Leben teilnehmen zu dürfen.

Auf den ersten Blick sei keine besondere Rechtsgrundlage zu sehen, die die Bewegungsdaten-Erhebung zum Eindämmen vom Coronavirus ermögliche laut einer Sprecherin des Bundesministeriums der Justiz und für Verbraucherschutz BMJV.
Ulrich Kelber, Bundesbeauftragte für den Datenschutz, sieht es ähnlich. Der staatlich erzwungene Zugriff auf die Daten von den Handys der Infizierten – wie das heute in China vollzogen wird – wäre bei uns rechtlich betrachtet allzu problematisch“.

Auch sollte die Verhältnismäßigkeit von den Eingriffen hinterfragt werden. Laut Ulrich Kelber sei eine solche Maßnahme nur durch Zustimmung der Betroffenen zu rechtfertigen. Damit sie potenzielle Risiken erwägen können, müssten sie vorweg detailliert über das Ziel der Erhebung, das Nutzen der Daten und deren Speicherdauer erkundigt werden.

Nach Beurteilung vom Robert-Koch-Institut (RKI) würde das Auslesen der Bewegungsdaten aus den Mobiltelefonen (Tracking) eine passende Möglichkeit sein, um Kontaktpersonen der Infizierten herauszufinden und somit die Verbreitung vom Coronavirus zu verlangsamen. Das sei technisch möglich laut des RKI-Präsidenten Lothar Wieler. Eine geeignete „Skizze“ habe ein kleines RKI-Team mit Mitarbeitern von anderen Institutionen neulich erstellt. In Ruhe werde es besprochen, ob es gesellschaftlich akzeptabel sei. Klar sei für ihn, dass es alleinig möglich wäre, falls der einzelne die Daten spenden würde.

 

Telekom hat Fünf Gigabyte Daten an das Robert Koch-Institut übermittelt

Telekom hat schon 5 Gigabyte Daten übermittelt. Die Telekom legte Wert darauf, dass das RKI von ihr anonymisierte Messdaten bekommen hat. Diese Daten sollen die Forschung bezüglich der Verbreitung des Corona-Virus unterstützen. Rückschlüsse zu ziehen, die einzelne Personen betreffen, soll mit diesen Daten unmöglich sein. Dennoch ist damit eine Diskussion darüber vorprogrammiert, wie viel Datenschutz man sich in Zeiten von einer Pandemie wie Corona leisten kann und leisten darf.

Derartige Ortsdaten werden beispielsweise von Google und Apple ständig und genau für viele Wochen gespeichert. Auf die Datenschutzvorschriften verwies eine Sprecherin für die Telekom. An diese Vorschriften halte sich Telekom. Deshalb sei es unmöglich, die Bewegung von einzelnen, vielleicht mit dem Coronavirus infizierten Kunden zurückzuverfolgen. Mobilfunkkundendaten würden bei der Telekom nur in anonymisierter Form existieren.
Überdies nutze man normalerweise keine Datensätze von einzelnen Nutzern. Die kleinste Analyse-Einheit formiere immer mindestens kombinierte Daten von 30 Nutzern. Es sei letztlich möglich, personenbezogene Kommunikation- und Bewegungsdaten zur Verfügung zu stellen. Das geschehe jedoch auf richterliche Anordnung ausschließlich für die entsprechenden staatlichen Ermittlungsbehörden.

 

Fazit zum Tracking in der Corona-Pandemie:

Eine App, die es erlaubt, Kontakte zu verfolgen, spart enorm viel Arbeit, glaubt der RKI-Präsident. Aktuell müssen die Gesundheitsämter viel Zeit in die Befragung der Infizierten stecken, damit sie weitere Risiko-Patienten finden. Eine entsprechende App würde diese Arbeit zuverlässig abnehmen und viel Zeit sparen. Lothar H. Wieler sagt dazu, es ist sowohl technisch als auch datenschutzrechtlich kein Problem. Eine App, die Standorte zuordnen kann, kann den Arbeitsaufwand enorm vereinfachen und ist wesentlich schneller als die aktuelle Befragungsmethode. Datenschützer zweifeln an, dass die dabei erhobenen Daten überhaupt genau genug sind, um diesen Zweck zu erfüllen.