Kategorie: Coronavirus

Neue Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie)

8. April 2021

Die Europäische Kommission verfolgt das Thema Cybersecurity mit hoher Priorität. In diesem Zuge wurde im Dezember 2020 ein Vorschlag für eine neue Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) vorgelegt. Diese soll die bestehende Richtlinie ablösen.

Die Erneuerung der NIS-Richtlinie stellt eine Reaktion auf vergangene Sicherheitsvorfälle öffentlicher und privater Einrichtungen auf dem Gebiet der Cybersicherheit dar. Der Vorschlag beinhaltet eine neue Cybersicherheitsstrategie, welche die Resilienz und Reaktion innerhalb der EU verbessern soll. Auch umfasst ist einen Vorschlag für eine Richtlinie über die Abwehr von Angriffen durch Betreiber wesentlicher Dienste, die physische Bedrohungen von diesen Betreibern abwenden soll.

Praktische Auswirkung wird der Entwurf auch für Unternehmen des Gesundheitssektors entfalten. Der Vorschlag sieht in diesem Bereich deutlich verschärfte Pflichten vor. So sollen Unternehmen des Gesundheitssektors technische und organisatorische Maßnahmen ergreifen, die dem Stand der Technik entsprechen und damit ein angemessenes Sicherheitsniveau für die IT-Systeme gewährleisten. Dazu definiert der Entwurf einige Mindestanforderungen an das Risikomanagement, in dem etwa Datenverschlüsselung, Risikobewertungen und eine besondere Berücksichtigung der Lieferkette vorgesehen sind. Durch die Einführung solcher Mindeststandards könnten in Zukunft Vorfälle, wie der durch einen Hackerangriff verursachten Todesfall im Universitätsklinikum Düsseldorf, vermieden werden.

Mit der Erneuerung der NIS-Richtlinie reagiert die EU mithin auch auf die wachsende digitale Verantwortung, welche sich insbesondere in der COVID-19-Pandemie drastisch erhöht hat.

Datenpanne in Corona-Testzentren

26. März 2021

Aufgrund der Eilbedürftigkeit vieler Maßnahmen, die in Zeiten von Corona von Nöten sind, schleichen sich leider auch immer wieder Fehler in verschiedene Prozesse ein. So auch vor Kurzem, als eine Sicherheitslücke in einer von vielen Corona-Testzentren verwendeten Software bekannt wurde.

Was ist passiert?

Das Wiener Startup medicus.ai bietet die hauseigene Software „SafePlay“ als Komplettlösung für Testzentren an. Mittels dieser Software ist es möglich sich für Tests zu registrieren und hinterher auch die Ergebnisse aufzurufen. Den Fachleuten von Zerforschung – einem Kollektiv von IT-Experten- und dem dem Chaos Computer Club (CCC) sind dabei allerdings Unregelmäßigkeiten aufgefallen, die es ermöglichten, dass ca. 136.000 Testergebnisse wochenlang ungeschützt im Internet verfügbar waren. Ihre Ergbnisse veröffentlichten die Fachleute in einem eigenen Bericht.

Dabei wurde bekannt, dass die eingesetzte Software erhebliche Sicherheitslücken aufwies und es keines großen Know-Hows bedurfte um auf sensible PDFs zugreifen zu können. Um das eigene Testergebnis einsehen zu können, erhielt man eine URL. Das Problem dabei war allerdings, dass diese URL eine fortlaufende Nummer enthielt. Es war also möglich die Nummer beliebig zu verändern, etwa durch eine Addition oder Subtraktion, und dadurch zu den Testergebnissen von Dritten zu gelangen. Besonders brisant macht den Fund, dass neben des Testergebnisses auch der Name, die Anschrift, Staatsbürgerschaft und die Ausweisnummer der Betroffenen zu sehen war.

Das Problem ist behoben

Das Unternehmen medicus.ai hat sich nach Bekanntwerden der Sicherheitslücke in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) dem Fehler gewidmet und die Schwachstelle behoben. In einem eigenen Statement führt medicus.ai aus, dass es lediglich zu 6 Zugriffen auf Datensätzen von Nutzern gekommen sei.

LUCA APP – die Lösung für die Zettelwirtschaft?

12. März 2021

„Luca App“ (im Folgenden Luca) – so heißt die neue App im Corona-Universum.
Hinter dieser App steckt die Idee, den Aufwand zur Kontaktnachverfolgung nach Restaurant-, Hotel- oder Konzertbesuchen für alle Parteien einfacher zu gestalten. Ziel ist es, dass Besucher ihre personenbezogenen Daten – Name, Adresse und Telefonnummer – nicht mehr in Listen eintragen müssen, sodass Luca die bisherige Zettelwirtschaft ablösen kann.

Die händisch eingetragenen Daten hatten zudem den Nachteil, dass diese nicht zuletzt wegen unleserlicher oder ausgedachter Kontaktadressen für die Gesundheitsämter meist wenig hilfreich waren. Die personenbezogenen Daten werden von Luca für 14 Tage gespeichert und können, sofern der Nutzer einwilligt, im Falle einer Infektion mit COVID19 dem zuständigen Gesundheitsamt zur Verfügung gestellt werden.

Luca kann kostenlos im Google Play Store und im Apple App Store heruntergeladen werden. Bei der Registrierung muss der Nutzer den Namen, die Adresse und die Telefonnummer angeben. Laut Hersteller werden die Daten anonym und verschlüsselt gespeichert. Das heißt: Dritte, wie Restaurantbetreiber, können die Angaben nicht einsehen.

Erfolgt eine Infektions-Meldung an das Gesundheitsamt, wird die betroffene Person kontaktiert. Sodann geben Infizierte, sofern sie dazu einwilligt haben, in Luca via TAN ihre Historie, sprich die Orte und Veranstaltungseinrichtungen, die sie besucht haben, an das Gesundheitsamt frei. Das zuständige Gesundheitsamt entschlüsselt die Historie und erhält Informationen über die Aufenthaltsorte der letzten 14 Tage. Anschließend werden betroffene Veranstaltungsorte vom Gesundheitsamt kontaktiert und aufgefordert, die zeitlich relevanten Check-Ins über das Luca-System freizugeben. Die Check-Ins werden vom Gesundheitsamt entschlüsselt, wodurch eine schnelle wie auch lückenlose Nachverfolgung der Kontaktpersonen eingeleitet werden kann. Gehört eine Person zur Kontaktgruppe, wird sie vom Gesundheitsamt informiert.

Die Entwickler der Luca App versprechen höchste Datensicherheit. Die dezentral gespeicherten Nutzerdaten können nur von den Gesundheitsämtern, nicht aber von den Gastgebern, der App oder Dritten ausgelesen werden. “Wir haben frühzeitig die Datenschützer mit ins Boot geholt – es hilft ja niemandem etwas, wenn wir erst etwas entwickeln, das von den Datenschützern so nicht abgenickt wird.” Die App könne nur dann beim Weg aus dem Lockdown helfen, wenn alle Beteiligten die App auch gut finden, alle bereit seien, diese auch zu benutzen. “Daher finden wir es wichtig, dass Luca positiv besetzt ist. Es sollen für Betreiber und Gäste keine Kosten entstehen, niemand muss Angst um seine Daten haben.”

Smudo, Rapper der Fantastischen Vier und unter anderem Mitwirkender der App, beteuert, dass die Luca-App nicht als Konkurrenz zur Warn-App des Bundes geplant ist. “Das sind zwei ganz verschiedene Dinge”, Rapper Smudo, „Die Warn-App sei eine Art passives Risiko-Radar, Luca erleichtere hingegen die Arbeit der Gesundheitsämter.“

Videoüberwachung während der Online-Prüfung zulässig

11. März 2021

In Zeiten, in denen neben Präsenzunterricht oft auch keine Präsenzprüfungen möglich sind, haben das Oberverwaltungsgericht des Landes Nordrhein-Westfalen (OVG NRW) und das Oberverwaltungsgericht des Landes Schleswig-Holstein (OVG SH) nun entschieden, dass eine Videoüberwachung während einer Online-Prüfung zulässig ist.

Sachverhalt und Entscheidung des OVG Nordrhein-Westfalen

Ein Student der Fernuniversität Hagen hat sich mittels Normenkontroll-Eilantrag an das OVG NRW gewandt. Mit diesem wollte er gegen die Corona-Prüfungsordnung der Universität vorgehen, die videobeaufsichtigte häusliche Klausurprüfungen als alternative Möglichkeit zu Präsenzprüfungen vorsieht. Dabei werden die Prüflinge durch prüfungsaufsichtsführende Personen über eine Video- und Tonverbindung während der Prüfung beaufsichtigt.

Das besonders interessante am Ablauf der Prüfung ist aber, dass Video, Ton und auch die Bildschirmansicht des Prüflings nicht nur aufgezeichnet, sondern auch gespeichert werden. Eine Löschung der Daten soll im Regelfall nach Ende der Prüfung erfolgen, es sei denn der Prüfungsaufsicht sind Unregelmäßigkeiten aufgefallen, oder der Prüfling hat eine Sichtung der Aufnahme beantragt. Gegen dieses Prozedere, dass Daten aufgezeichnet und gespeichert werden, wehrte sich der Prüfling vor dem OVG NRW und berief sich auf Verstöße gegen die DSGVO und sein Recht auf Informationelle Selbstbestimmung.

Das OVG teilte diese Bedenken allerdings nicht. In einer Pressemitteilung erläuterte das Gericht vielmehr, warum es den Eilantrag abgelehnt hat. Dabei betonte es, dass die Rechtmäßigkeit der Aufzeichnung und Speicherung zwar nicht in einem Eilverfahren geklärt werden kann. Grundsätzlich erlaube die DSGVO die Datenverarbeitung aber, wenn sie für die Wahrnehmung einer Aufgabe erforderlich sei, die im öffentlichen Interesse liege oder in Ausübung öffentlicher Gewalt erfolge, die dem Verantwortlichen übertragen worden sei. Bei einer Hochschule sei dies der Fall, denn sie ist verpflichtet Prüfungen durchzuführen und dabei den Grundsatz der Chancengleichheit zu wahren. Dieser Grundsatz verlange, dass für alle vergleichbare Prüfungsbedingungen und damit gleiche Erfolgschancen geschaffen werden. Die Aufzeichnung und vorübergehende Speicherung diene einerseits dazu, die Prüflinge von Täuschungsversuchen abzuhalten, bietet ihnen andererseits aber auch die Möglichkeit einen nicht ordnungsgemäßen Prüfungsverlauf, zum Beispiel durch Störungen, festzuhalten.

Sachverhalt und Entscheidung des OVG Schleswig-Holstein

Das OVG SH hatte in einem ähnlich gelagerten Fall zu entscheiden. Ein Student der Christian-Albrechts-Universität zu Kiel (CAU) wandte sich gegen die Satzung seiner Universität, die Prüfungen in elektronischer Form unter Videoaufsicht vorsah.

Das OVG SH hielt bereits den Antrag des Studenten für unzulässig. Dennoch äußerte sich der Senat zu dem Antrag und zeigte auf, dass der Antrag auch im Übrigen keine Aussicht auf Erfolg gehabt hätte. Demnach liegt weder ein ungerechtfertigter Eingriff in das Grundrecht der Unverletzlichkeit der Wohnung (Art. 13 Abs. 1 GG) noch in das Recht auf Informationelle Selbstbestimmung durch die Videoaufsicht vor.

Das Recht auf Unverletzlichkeit der Wohnung sei nicht betroffen, da die Videoaufsicht nicht gegen den Willen des Prüflings erfolge, sondern er sich frei entscheiden kann, ob er an der Prüfung teilnehmen möchte, oder nicht. Im Hinblick auf das Recht auf informationelle Selbstbestimmung argumentiert das OVG SH wie das OVG NRW und sieht die Videoüberwachung mit Blick auf die Chancengleichheit als zulässig an.

Abschließend fügt das OVG SH hinzu: „Zu einem unbeobachtbaren Beobachtetwerden komme es nicht. Anders als etwa bei der Vorratsdatenspeicherung liege eine Überwachung von Prüfungen in der Natur der Sache und sei den Betroffenen bekannt.“

Darf die Polizei auf Corona-Gästelisten zugreifen?

16. Juli 2020

Strafverfolgungsbehörden greifen offenbar vermehrt auf Gästelisten zu, die Restaurants und andere Betriebe in Umsetzung der jeweiligen Bestimmungen der Corona-Schutz-Verordnungen der Länder anlegen. Wie etwa FAZ.net und SZ.de berichten kam es deswegen in mehreren Bundesländern zu Meinungsverschiedenheiten zwischen Strafverfolgungs- und Datenschutzbehörden.

Je nach landesrechtlicher Bestimmung müssen Kunden oder Besucher auf den Listen ihren Namen, Adresse(n), Mail-Adresse(n), Telefonnummer, Zeitraum des Aufenthalts und gegebenenfalls weitere Angaben wie die Tischnummer angeben. Der Zweck der Datenerhebung liegt darin, im Infektionsfall eine einfache Rückverfolgbarkeit der anwesenden Personen zu gewährleisten, diese über das Risiko informieren zu können und Gesundheitsämtern eine Nachverfolgung der Infektionsketten zu ermöglichen.

Die Angaben in den Gästelisten können für Strafverfolgungsbehörden durchaus interessant sein: So berichtet FAZ.net über einen Fall aus Hamburg. Dort soll ein Mann vor einem Lokal einen Passanten mit einem Teppichmesser bedroht haben. Die zuständige Polizeibehörde ließ sich die Gästeliste des nahegelegenen Lokals übergeben und kontaktierte die Gäste, um sie als potentielle Zeugen zu vernehmen.

Die Sprecherin des hessischen Datenschutzbeauftragten, Ulrike Müller, äußerte, die hessische Verordnung sehe eine strikte Zweckbindung vor. Gastronomen dürften die Daten im Infektionsfall an die Gesundheitsämter herausgeben. Eine Weitergabe an andere Behörden sei aber ausgeschlossen.

Etwa die Oberstaatsanwältin Nadja Niesen aus Frankfurt ist dagegen der Ansicht, es handele sich nicht um eine Frage des Datenschutzes. Denn nach der Strafprozessordnung dürfe die Polizei in Abstimmung mit der Staatsanwaltschaft und Gerichten Beweismaterial sicherstellen, um die Namen möglicher Zeugen festzustellen. Darunter fielen auch die Gästelisten.

Nach Angaben von SZ.de suchte etwa die Polizeibehörde in Rosenheim nach einem Raubüberfall auf ein Schuhgeschäft und die Polizeibehörde in Starnberg bei den Ermittlungen in einem Rauschgiftfall über die Gästelisten nahegelegener Restaurants Zeugen.

Der bayerische Landesbeauftragte für Datenschutz, Thomas Petri, leitete daraufhin Prüfungen ein. Er kritisiert, die Datenerhebungen gingen “Richtung Vorratsdatenspeicherung” und fordert eine bundesweite Regelung über die Zugriffsmöglichkeiten der Strafverfolgungsbehörden. Er befürchtet, dass anhand der Daten Bewegungsprofile erstellt werden könnten, sieht aber gleichzeitig keine grundsätzliche Unzulässigkeit der Nutzung der Gästelisten zu Ermittlungszwecken. Allerdings müssten die “Freiheitsrechte der betroffenen Gäste und die Strafverfolgung abgewogen und in eine rechtssichere Balance gebracht werden.”

Thomas Geppert, Landesgeschäftsführer des Hotel- und Gaststättenverbands Dehoga, fürchtet indessen, dass weitere Gäste ausbleiben könnten oder die Gäste falsche Angaben machen könnten und so eine Nachverfolgung nicht mehr gewährleistet ist. Geppert will deswegen in Abstimmung mit dem Datenschutzbeauftragten auf das Innen- und das Justizministerium zugehen, um eine Lösung in der Sache zu erreichen.

Bay LDA veröffentlicht “Best-Practice” Checkliste für Home-Office

29. Juni 2020

Das Bayerische Landesamt für Datenschutzaufsicht (Bay LDA) hat auf seiner Website eine Checkliste zur selbstständigen Prüfung datenschutzrechtlicher Konformität der Home-Office Regelungen in Unternehmen veröffentlicht.

So habe die Corona-Pandemie viele Unternehmen, Selbstständige und Freiberufler mit der Frage konfrontiert, wie die Arbeitsfähigkeit bei gleichzeitiger Infektionsprävention realisiert werden könne. Insoweit seien viele Home-Office Plätze geschaffen worden.

Die ausgegebene Handreichung solle einen Überblick über die wichtigsten Praxismaßnahmen im Homeoffice entsprechend den geltenden gesetzlichen Datenschutzvorgaben geben. Hierbei sei zu berücksichtigen, dass die aufgeführten Aspekte nicht abschließend seien. Vielmehr entsprächen sie einem Best-Practice-Ansatz, wenngleich nicht zugleich nicht immer alle Punkte notwendig seien. Insoweit sei eine kurze kritische Prüfung des Grundes samt kurzer Dokumentation anzuraten.

Bundesdatenschutzbeauftragter warnt vor Einsatz von WhatsApp

23. Juni 2020

In einer aktuellen Stellungnahme hat der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI), Dr. Ulrich Kelber, klargestellt, dass keine Bundesbehörde den zu Facebook gehörenden Messenger WhatsApp zur Kommunikation benutzen darf.

Hintergrund

Im Rahmen der Corona-Krise haben viele Beschäftigte in Behörden ihre Arbeit ins Homeoffice verlegt. Mit dem Wegfall der persönlichen Kommunikation vor Ort ging eine Zunahme der Kommunikation über WhatsApp einher. Diese erfolgte sowohl zwischen den Mitarbeitern untereinander als auch zwischen Mitarbeitern und Bürgern. Darüber haben sich einzelne Bürger beschwert, was den Bundesdatenschutzbeauftragen zu der Stellungnahme animiert hat.

Kritik

Darin führt er aus, dass allein das Versenden von Nachrichten Metadaten erzeugt, die an WhatsApp Ireland Ltd. – bzw. an das Mutterunternehmen Facebook – übermittelt werden. Die Erzeugung von Metadaten erfolgt unabhängig von der implementierten Ende-zu-Ende-Verschlüsselung. Metadaten sind unter anderem: die Versandzeit der Nachricht, Absender und Empfänger der Nachricht. Diese Metadaten sind unverzichtbar für die Funktionsweise von Messengern.

Gleichzeitig betonte er, dass öffentliche Stellen eine Vorbildfunktion haben, sich datenschutzkonform zu verhalten. Dazu verweist er auf den 27. Tätigkeitsbericht zum Datenschutz 2017 – 2018 vom 08.05.2019. Die Hauptkritikpunkte beziehen sich dabei auf die Übermittlung von Nutzerdaten durch die WhatsApp Ireland Ltd. an Facebook (siehe Blogbeitrag) sowie die Erhebung von Telefonnummern mittels Adressbuchupload durch WhatsApp. Auf diese Weise können alle Kontaktdaten eines Nutzers verarbeitet werden, die auf dessen Mobiltelefon hinterlegt sind und zwar unabhängig davon, ob der jeweilige Kontakt selbst den Messenger nutzt oder nicht.

Fazit

In „Täglich grüßt das Murmeltier“-Manier werden regelmäßig von verschiedenen Seiten datenschutzrechtliche Bedenken gegenüber dem WhatsApp-Messenger geäußert. Lesen Sie dazu unsere weiteren Beiträge:

Bundesdatenschutzbeauftragter lobt Corona-App, warnt aber auch

17. Juni 2020

Die geplante Corona-Tracing-App ist nach langer Entwicklungszeit und umfangreichen Diskussionen (wir berichteten) am gestrigen Dienstag (16.06.2020) für die Nutzung freigegeben worden. Nachdem sich der Bundesdatenschutzbeauftragte, Ulrich Kelber, bereits vor einigen Tagen zufrieden mit der gefundenen Lösung zeigte und die App aus Sicht des Datenschutzes als “solide” bezeichnete, hat seine Behörde (BfDI) in einer Pressemitteilung nun ausführlicher Stellung bezogen.

Lob für Transparenz

Insgesamt sieht Kelber keine Gründe, die aus datenschutzrechtlicher Sicht gegen die Installation sprechen. Dabei sei insbesondere entscheidend, dass sowohl der Quellcode der App als auch die durchgeführte Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO (durch welche potentielle Gefahren für die Rechte und Freiheiten der Nutzer ermittelt und mögliche Abhilfemaßnahmen festgelegt werden sollen) für die Öffentlichkeit zugänglich gemacht wurden. “Je transparenter das gesamte Projekt ist, umso mehr Vertrauen werden die Bürgerinnen und Bürger haben”, so Kelber.

Kritik an TAN-Verfahren

Trotz dieser ingesamt positiven Bewertung sieht der Bundesdatenschutzbeauftragte jedoch auch noch “Schwachstellen”, die von den zuständigen Behörden und Unternehmen angegangen werden müssten. Darunter falle insbesondere die Telefonhotline, durch welche der Nutzer eine TAN-Nummer erhält. Mittels dieser Nummer kann der Nutzer dann ein positives Testergebnis über die App melden. Durch diese zusätzliche Sicherheitsmaßnahme soll ein Missbrauch der App durch Meldung falscher Ergebnisse erschwert werden. Kelber sieht diese Lösung jedoch kritisch, weil so eben keine vollständig anonymisierte Nutzung der App möglich sei. Immerhin habe seine Behörde abwenden können, dass eine unangemessene Speicherung personenbezogener Daten aller Anrufer der Hotline stattfindet. Die zuständigen Behörden und Unternehmen müssten nun aber schnellstmöglich daran arbeiten, dass eine vollständig automatisierte Nutzung der App ermöglicht wird. Als zuständige Aufsichtsbehörde werde der BfDI dies überwachen und “alle Möglichkeiten der Datenschutz-Grundverordnung” heranziehen, im Falle von auftretenden Mängeln somit auch entsprechend einschreiten.

Warnung an Dritte vor Einsichtnahmeversuchen

Schließlich spricht der Bundesdatenschutzbeauftragte in der Pressemitteilung noch eine Warnung an alle Personen, Unternehmen und Einrichtungen aus, die auf die Idee kommen könnten, sich durch Einsicht in die Corona App – und somit in die darin gespeicherten personenbezogenen Daten – darüber zu informieren, ob für die betroffene Person ein positives Testergebnis vorliegt oder nicht. Dabei handle es sich um eine Grenze, die nicht überschritten werden dürfe. Wörtlich sagte Kelber: “Es ist in keinem Fall zulässig, dass Dritte Einblick in die App fordern. Ich kann die Inhaber von Geschäften oder öffentlichen Verkehrsmitteln nur dringend warnen: Versucht es erst gar nicht!”

Hessische Aufsichtsbehörde prüft Fiebermessung im Apple Store

16. Juni 2020

Seit der coronabedingten Zwangsschließung des Einzelhandels, hat der Großteil der Geschäfte seinen Betrieb wieder aufgenommen. Mit der Öffnung gingen die Einführung präventiver Maßnahmen, wie der obligatorischen Gesichtsmaske und der Limitierung der gleichzeitigen Ladenbesucher, einher. Apple geht in seinen Apple-Stores noch einen Schritt weiter und hat die in anderen Ländern bereits praktizierte Maßnahme der Fiebermessung bei Kunden eingeführt.

Diese Fiebermessung wird nun durch den Landesdatenschutzbeauftragten Hessens auf Konformität mit den bestehenden Datenschutzregeln geprüft.

Personenbezogene Daten

Vorab stellt sich die Frage, ob die Körpertemperatur überhaupt ein personenbezogenes Datum ist. Personenbezogene Daten sind gemäß Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Zwar ist die gemessene Körpertemperatur eine individuelle Eigenschaft einer Person, aber das macht diese Eigenschaft nicht automatisch personenbezogen. Für so einen Bezug muss zumindest der Name der gemessenen Person bekannt sein.

Dem Apple-Mitarbeiter ist diese Person jedoch nicht bekannt. Damit ist eine nachträgliche Zuordnung von einer Person und der Körpertemperatur nicht möglich, so dass ein Personenbezug nicht gegeben ist. Eine Zuordnung von Körpertemperatur und personenbezogenen Daten erfolgt auch nicht beim Kauf eines Produktes. Egal, ob mit Kreditkarte, durch Barzahlung oder Apple-ID. Der Kaufvorgang steht in keinem Zusammenhang mit dem Fiebermessen. Dies ist jedoch nur solange gewährleistet, wie der Mitarbeiter beim Fiebermessen keine Verkaufstätigkeiten im Laden vornimmt.

Problematisch könnte jedoch eine Videoüberwachung im Laden sein. Die Videoüberwachung erfasst die gesamte Ladenfläche und eventuell auch den Eingangsbereich des Ladens, wo die Fiebermessung vorgenommen wird. Im ungünstigsten Fall könnte die Kamera die Anzeige der Körpertemperatur aufzeichnen.

Verhältnismäßigkeit

Viel mehr Gewicht kommt hingegen dem Argument der Verhältnismäßigkeit zuteil. Natürlich kann Apple sich auf die Privatautonomie berufen und die Fiebermessung als Bedingung zum Ladenbesuch machen. Auch steht der Datenschutz einer Person nicht über der Gesundheit der Allgemeinheit, so dass die Gesundheit aller Kunden Vorrang genießt. Allerdings stellt die Fiebermessung einen großen Eingriff in die Privatsphäre dar.

Unter dem Aspekt der Gesundheit stellt die Fiebermessung keine besonders wirksame Maßnahme dar. Die lange Inkubationszeit des Covid-19-Virus hat zur Folge, dass Infizierte das Virus vielfach weitergeben können, bis überhaupt erste Fiebersymptome auftreten. Oder sie weisen gar keine Symptome auf. Auch ist eine erhöhte Körpertemperatur nicht immer ein Indiz für eine Covid-19-Infektion, sondern kann auch „nur“ eine normale Erkältung sein. Mithilfe von fiebersenkenden Mitteln können Kunden außerdem mutwillig ihre Erkrankung verschleiern. Damit birgt die Fiebermessung nur eine Scheinsicherheit.

Fazit

Wenn der hessische Datenschutzbeauftrage an dem Argument der Scheinsicherheit festhält und die Fiebermessung als unverhältnismäßig erklärt, könnte er ein Verbot der Fiebermessung aussprechen. Dann müsste Apple diese einstellen oder bei Zuwiderhandlung mit Bußgeldern rechnen.

Welche Maßnahmen zum Schutz vor einer Corona-Infektion zulässig sind, können Sie hier nachlesen.

Ulrich Kelber nimmt Stellung zum zweiten Pandemiegesetz

20. Mai 2020

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber hat Stellung zum Entwurf des zweiten Pandemiegesetz genommen und übt scharfe Kritik an der aktuellen Fassung.

Mögliche Verfassungswidrigkeit

Kern der Kritik ist, dass auch gesunde Bürger bei einem negativen Test auf SARS-CoV und SARS-CoV-2 an die Behörden gemeldet werden sollen. Dies unter Angabe von Geschlecht, Geburtstagsdatum, Wohnort, Untersuchungsergebnisse und Gründe für die Untersuchung. Der Name und Geburtstag soll pseudonymisiert werden. Eine Anonymisierung der Daten ist nicht vorgesehen. Diesen Vorgang hält Kelber für einen unverhältnismäßigen Eingriff in in das Recht auf informationelle Selbstbestimmung nach Art. 1 Abs. 1, 2 Abs. 1 GG. Daraus folgt aus seiner Sicht die Verfassungswidrigkeit des Gesetzes. 

Eine Meldung soll zudem auch bei einfachem Verdacht auf Ansteckung erforderlich sein. Wann ein solcher Verdacht zu bejahen ist beschreibt das Gesetz nicht.

Kelber merkt zwar an, dass der Wissenschaft noch wesentliche Erkenntnisse zu Infektionswegen und –gefahr, Erkrankungswahrscheinlichkeit und Wiederansteckungsgefahr zum Virus fehlen. Nach seiner Ansicht würde eine rein statistische Erfassung der erhobenen Daten jedoch völlig genügen, um dem Zweck des Gesetzes gerecht zu werden. Dies insbesondere, weil von gesunden Personen keine Gefahr ausgehe.

Für Unverständnis sorgt ebenfalls, warum nicht auf die Möglichkeit einer Einwilligung der betroffenen zurückgegriffen wird. So würden es auch Universitäten und eine Vielzahl an Institutionen zur Forschung des Virus handhaben. Kelber fehlt es auch hier an einer Begründung für die gewählten Maßnahmen im Gesetz.

Es bestehe die Gefahr, dass die Dokumentation der Daten missbraucht werden könnte. Insbesondere weil Gesundheitsdaten verarbeitet werden, die durch die DSGVO einen besonders hohen Schutz genießen. Nach Art. 9 DSGVO ist die Verarbeitung dieser Daten grundsätzlich untersagt und nur ausnahmsweise zulässig. Die aktuelle Fassung des Pandemiegesetzes lasse jedoch nicht erkennen, warum ein solcher Ausnahmefall gegeben sein könnte.

Parlament lag Stellungnahme von Kelber vor

Letzten Donnerstag hat die erste Lesung zu dem Gesetzesentwurf stattgefunden. Gegenwind bekam der Entwurf nur von einem Abgeordneten der FDP. Dies, obwohl den Abgeordneten die Zweifel von Ulrich Kelber vorlagen. In der Kritik steht nun insbesondre auch die Justizministerin Christine Lambrecht. Die Zweifel an der Verfassungsmäßigkeit des Gesetztes teilt sie nicht. Das Parlament verabschiedet das Gesetzt voraussichtlich noch diesen Donnerstag.

1 2 3 4