Out-Law / Die wichtigsten Infos des Tages

EU-Leitlinien zum Datenschutz während der Corona-Pandemie

Out-Law News | 28 Apr 2020 | 3:17 pm | Lesedauer: 2 Min.

Der Europäische Datenschutzausschuss spricht sich für eine einheitliche Rechtsanwendung im Kampf gegen Covid-19 aus. Experten befürchten jedoch, dass es nach wie vor Unklarheiten geben wird.

Kontakt- und Bewegungsdaten könnten im Kampf gegen die Ausbreitung von Covid-19 helfen, wenn sie gesammelt und ausgewertet würden. Der Europäische Datenschutzausschuss (EDSA) will diese Idee unterstützen, zugleich aber dafür sorgen, dass etwaige Systeme – wie beispielsweise sogenannte Corona-Tracing-Apps – die Regeln der Datenschutz-Grundverordnung (DSGVO) einhalten. Daher hat der Ausschuss zwei Richtlinien veröffentlicht, die Politik, Wissenschaft und Entwickler zeigen sollen, wie sich etwaige Systeme in Übereinstimmung mit der DSGVO entwickeln und nutzen lassen.

 

„Daten können ein wertvolles Mittel im Bereich Infektionsschutz sein, weil schnell und einfach konkret betroffene Personen erreicht werden können“, so Lisa Stimmer, Datenschutzexpertin bei Pinsent Masons, der Kanzlei hinter Out-Law. „Mit den Leitlinien gibt der EDSA Orientierungshilfen für eine möglichst einheitliche Rechtsanwendung der Datenschutzgesetze im Zusammenhang mit Covid-19 vor. Die Richtlinien sollen also einer europaweiten Harmonisierung unterschiedlicher Gesetzesanwendungen dienen. Sie sind wie eine Art Empfehlung oder Erklärung zu verstehen.“

 

Smartphones können aufzeichnen, wo sich ihre Nutzer bewegt haben oder mit welchen anderen Nutzern sie in Kontakt gekommen ist. Apps könnten solche Daten sammeln und auswerten. Würde bei Nutzern eine Covid-19-Infektion nachgewiesen, so ließe sich darüber nachvollziehen, welche Personen mit den Infizierten zusammen waren. Die Kontaktpersonen könnten dann gewarnt und gegebenenfalls isoliert oder getestet werden.

In den Richtlinien spricht sich die EDSA unter anderem klar dafür aus, dass die Verarbeitung anonymisierter Daten einer Verarbeitung personenbezogener Daten vorzuziehen ist. „Laut EDSA sollen Daten dann ausreichend anonymisiert sein, wenn sie einem sogenannten Verhältnismäßigkeitstest standhalten“, so Stimmer. „Das heißt, festgestellt werden soll sowohl unter objektiven Aspekten – wie Zeit und technische Mittel – als auch unter Gesichtspunkten des Einzelfalls, dass eine Person nicht mehr mit ‚verhältnismäßigem‘ Aufwand re-identifizierbar ist.“

Derzeit sei es schwierig, eine ausreichende Anonymisierung im Datenschutzrecht bestimmbar zu machen. „Mit dieser Formel soll dem entgegengetreten werden. Tatsächlich aber wird mit diesen Kriterien allenfalls eine Richtung vorgegeben. Unklarheiten werden in Einzelfällen weiterhin angesichts unbestimmter Rechtsbegriffe und der Vielzahl komplexer technischer Möglichkeiten bestehen bleiben“, so Stimmer.

Die EU-Datenschützer sprechen sich darüber hinaus beim Einsatz von Apps zur Bekämpfung der Coronavirus-Pandemie klar für das Prinzip der Freiwilligkeit aus. Bewegungsmuster großflächig zu erfassen, sei ein Eingriff in die Rechte der Nutzer und nur mit deren Einwilligung gerechtfertigt.

Laut EDPB sollte jeder selbst entscheiden dürfen, ob er Apps verwenden möchte, die ermitteln können, mit wem er Kontakt hatte. Diese Apps sollten sich außerdem darauf fokussieren, Informationen zu Kontakten und Nähe der Benutzer zu sammeln, statt konkrete Bewegungen Einzelner nachzuverfolgen.

Der EDSA verweist neben der DSGVO auch auf die ePrivacy-Richtlinie und fordert strikte Zweckbindung, Datensparsamkeit und Transparenz: Generell sollten so viele Informationen wie möglich auf den Geräten der Nutzer abgespeichert werden, und so wenig wie möglich auf zentralen Speichern.

Laut EDSA ist die DSGVO sehr forschungsfreundlich gestaltet. Der Datenschutz stehe weder der Forschung, noch der Pandemiebekämpfung entgegen. Vielmehr ermögliche erst die DSGVO eine rechtmäßige Verarbeitung von sensiblen Gesundheitsdaten. Gleiches gelte für den Einsatz von digitalen Hilfsmitteln zur Pandemiebekämpfung.

Zugleich warnen die EU-Datenschützer davor, dass die Krise ausgenutzt werden könnte, um übertriebene Datensammlung und -speicherung zu etablieren. Sämtliche personenbezogene Daten, die zum Pandemie-Schutz erfasst werden, sollten daher nach dem Ende der Krise auch wieder gelöscht werden, so die Datenschützer.

„Alle Mitgliedsländer des EDSA haben die gleichen Probleme zu bewältigen. Ich bin deshalb froh, dass wir uns auf eine gemeinsame Linie einigen konnten“, so Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit. „Ich begrüße vor allem das Bekenntnis zur Freiwilligkeit. Sowohl in der Forschung als auch bei der Nachverfolgung von Kontakten können nur solche Lösungen erfolgreich sein, die transparent sind und ohne Zwang funktionieren. Es muss eindeutig und leicht verständlich sein, zu welchem Zweck die Daten erhoben und wann sie wieder gelöscht werden. Eine individuelles Tracking oder eine spätere Re-Personalisierung müssen ausgeschlossen sein.“