Richtlinien des Europäischen Datenschutzausschusses zu Corona-Tracing-Apps

23. April 2020

Der Europäische Datenschutzausschuss (EDSA) veröffentlichte am 21. April 2020 zwei Richtlinien für die datenschutzgerechte Entwicklung von Corona-Tracing-Apps in der EU.

Der EDSA mit Sitz in Brüssel besteht aus Vertretern der nationalen Datenschutzbehörden und dem europäischen Datenschutzbeauftragten. Als unabhängige europäische Einrichtung fördert der EDSA sowohl die einheitliche Anwendung der Datenschutzvorschriften in der gesamten Europäischen Union als auch die Zusammenarbeit zwischen den EU-Datenschutzbehörden.

Die von der EDSA veröffentlichten Richtlinien behandeln zum einen die Verarbeitung von Gesundheitsdaten zu Forschungszwecken und zum anderen die Nutzung von Standortdaten und Tracing-Tools im Kontext der Corona-Pandemie.

Der EDSA hebt hinsichtlich der Verarbeitung von Gesundheitsdaten insbesondere hervor:

– Der nationale Gesetzgeber jedes Mitgliedstaates kann gemäß Art. 9 Abs. 2 lit. i) und j) DSGVO spezielle Gesetze erlassen, um die Verarbeitung von Gesundheitsdaten für wissenschaftliche Forschungszwecke zu ermöglichen. Die Verarbeitung von Gesundheitsdaten zum Zwecke der wissenschaftlichen Forschung muss ebenfalls durch eine der Rechtsgrundlagen in Artikel 6 Abs. 1 DSGVO abgedeckt sein. Daher sind die Bedingungen und der Umfang für eine solche Verarbeitung je nach den in den einzelnen Mitgliedsstaaten geltenden Gesetzen unterschiedlich.

– Angesichts der Verarbeitungsrisiken im Zusammenhang mit dem Ausbruch von COVID-19, ist die Einhaltung von Art. 5 Abs. 1 lit. f), Art. 32 Abs. 1 und Art. 89 Abs. 1 DSGVO unerlässlich. Hierdurch wird festgelegt, dass die Gesundheitsdaten nur in einer Weise verarbeitet werden dürfen, die durch geeignete technische und organisatorische Maßnahmen eine angemessene Sicherheit der Daten gewährleistet. Bei einer Datenverarbeitung zu wissenschaftlichen Zwecken sollen darüber hinaus geeignete Garantien gegeben werden, dass solche technischen und organisatorischen Maßnahmen bestehen.

– Es sind verhältnismäßige Aufbewahrungsfristen für die Daten festzulegen. Bei der Festlegung solcher Speicherfristen sind Kriterien wie die Länge und der Zweck der Forschung zu berücksichtigen. Nationale Bestimmungen können auch Regeln bezüglich der Aufbewahrungsdauer festlegen und müssen daher berücksichtigt werden.

– Prinzipiell dürfen Situationen wie der aktuelle COVID-19-Ausbruch die Möglichkeit der betroffenen Personen, ihre Rechte gemäß Art. 12 bis 22 DSGVO auszuüben, nicht ausschließen oder einschränken. Art. 89 Abs. 2 DSGVO erlaubt es dem nationalen Gesetzgeber jedoch, (einige) der Rechte der betroffenen Person, wie sie in Kapitel 3 der DSGVO festgelegt sind, einzuschränken. Aus diesem Grund können die Einschränkungen der Rechte der betroffenen Personen je nach den geltenden Gesetzen des jeweiligen Mitgliedstaates variieren.

Bei der Verarbeitung von Standortdaten gilt es für Entwickler von Tracing-Apps hauptsächlich zu beachten:

– Die Verwendung einer solchen App muss freiwillig sein und darf den Zugang zu gesetzlich garantierten Rechten nicht einschränken. Der Einzelne muss jederzeit volle Kontrolle über seine Daten haben und soll die Möglichkeit haben, sich frei für die Verwendung einer solchen App zu entscheiden.

– Grundsätzlich lehnt der EDSA die Verwendung von Standortdaten ab. Informationen über die räumliche Nähe zwischen Nutzern der App zur Unterbindung von Infektionsketten können ohne deren Standort eingeholt werden. Bei dieser Art der Verwendung ist die Erhebung von Standortdaten nicht erforderlich und sollte daher auch nicht erfolgen.

– Ist ein Nutzer der App mit einer Coronavirus – Erkrankung diagnostiziert worden, sollen nur die Personen, mit denen der Nutzer der App innerhalb des epidemiologisch relevanten Zeitraums für die Ermittlung von Kontaktpersonen in engem Kontakt gestanden hat, informiert werden.

– Der Betrieb dieser Art von Apps kann den Einsatz eines zentralen Servers erfordern. In diesem Fall und in Übereinstimmung mit den Grundsätzen der Datenminimierung und des Datenschutzes sollten die vom zentralen Server verarbeiteten Daten auf das absolute Minimum beschränkt werden.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Professor Ulrich Kelber hatte sich bereits früh für einheitliche Vorgaben auf europäischer Ebene ausgesprochen: “Die Gesundheit der Menschen steht gerade im Mittelpunkt. Alle Mitgliedsländer des EDSA haben die gleichen Probleme zu bewältigen. Ich bin deshalb froh, dass wir uns auf eine gemeinsame Linie einigen konnten. Ich begrüße vor allem das Bekenntnis zur Freiwilligkeit. Sowohl in der Forschung als auch bei der Nachverfolgung von Kontakten können nur solche Lösungen erfolgreich sein, die transparent sind und ohne Zwang funktionieren. Es muss eindeutig und leicht verständlich sein, zu welchem Zweck die Daten erhoben und wann sie wieder gelöscht werden. Eine individuelles Tracking oder eine spätere Re-Personalisierung müssen ausgeschlossen sein. Diese Grundsätze werden wir als Aufsichtsbehörde von Verantwortlichen und Entwicklern einfordern.”

Kategorien: Allgemein