Kategorie: Coronavirus

Videoüberwachung während der Online-Prüfung zulässig

11. März 2021

In Zeiten, in denen neben Präsenzunterricht oft auch keine Präsenzprüfungen möglich sind, haben das Oberverwaltungsgericht des Landes Nordrhein-Westfalen (OVG NRW) und das Oberverwaltungsgericht des Landes Schleswig-Holstein (OVG SH) nun entschieden, dass eine Videoüberwachung während einer Online-Prüfung zulässig ist.

Sachverhalt und Entscheidung des OVG Nordrhein-Westfalen

Ein Student der Fernuniversität Hagen hat sich mittels Normenkontroll-Eilantrag an das OVG NRW gewandt. Mit diesem wollte er gegen die Corona-Prüfungsordnung der Universität vorgehen, die videobeaufsichtigte häusliche Klausurprüfungen als alternative Möglichkeit zu Präsenzprüfungen vorsieht. Dabei werden die Prüflinge durch prüfungsaufsichtsführende Personen über eine Video- und Tonverbindung während der Prüfung beaufsichtigt.

Das besonders interessante am Ablauf der Prüfung ist aber, dass Video, Ton und auch die Bildschirmansicht des Prüflings nicht nur aufgezeichnet, sondern auch gespeichert werden. Eine Löschung der Daten soll im Regelfall nach Ende der Prüfung erfolgen, es sei denn der Prüfungsaufsicht sind Unregelmäßigkeiten aufgefallen, oder der Prüfling hat eine Sichtung der Aufnahme beantragt. Gegen dieses Prozedere, dass Daten aufgezeichnet und gespeichert werden, wehrte sich der Prüfling vor dem OVG NRW und berief sich auf Verstöße gegen die DSGVO und sein Recht auf Informationelle Selbstbestimmung.

Das OVG teilte diese Bedenken allerdings nicht. In einer Pressemitteilung erläuterte das Gericht vielmehr, warum es den Eilantrag abgelehnt hat. Dabei betonte es, dass die Rechtmäßigkeit der Aufzeichnung und Speicherung zwar nicht in einem Eilverfahren geklärt werden kann. Grundsätzlich erlaube die DSGVO die Datenverarbeitung aber, wenn sie für die Wahrnehmung einer Aufgabe erforderlich sei, die im öffentlichen Interesse liege oder in Ausübung öffentlicher Gewalt erfolge, die dem Verantwortlichen übertragen worden sei. Bei einer Hochschule sei dies der Fall, denn sie ist verpflichtet Prüfungen durchzuführen und dabei den Grundsatz der Chancengleichheit zu wahren. Dieser Grundsatz verlange, dass für alle vergleichbare Prüfungsbedingungen und damit gleiche Erfolgschancen geschaffen werden. Die Aufzeichnung und vorübergehende Speicherung diene einerseits dazu, die Prüflinge von Täuschungsversuchen abzuhalten, bietet ihnen andererseits aber auch die Möglichkeit einen nicht ordnungsgemäßen Prüfungsverlauf, zum Beispiel durch Störungen, festzuhalten.

Sachverhalt und Entscheidung des OVG Schleswig-Holstein

Das OVG SH hatte in einem ähnlich gelagerten Fall zu entscheiden. Ein Student der Christian-Albrechts-Universität zu Kiel (CAU) wandte sich gegen die Satzung seiner Universität, die Prüfungen in elektronischer Form unter Videoaufsicht vorsah.

Das OVG SH hielt bereits den Antrag des Studenten für unzulässig. Dennoch äußerte sich der Senat zu dem Antrag und zeigte auf, dass der Antrag auch im Übrigen keine Aussicht auf Erfolg gehabt hätte. Demnach liegt weder ein ungerechtfertigter Eingriff in das Grundrecht der Unverletzlichkeit der Wohnung (Art. 13 Abs. 1 GG) noch in das Recht auf Informationelle Selbstbestimmung durch die Videoaufsicht vor.

Das Recht auf Unverletzlichkeit der Wohnung sei nicht betroffen, da die Videoaufsicht nicht gegen den Willen des Prüflings erfolge, sondern er sich frei entscheiden kann, ob er an der Prüfung teilnehmen möchte, oder nicht. Im Hinblick auf das Recht auf informationelle Selbstbestimmung argumentiert das OVG SH wie das OVG NRW und sieht die Videoüberwachung mit Blick auf die Chancengleichheit als zulässig an.

Abschließend fügt das OVG SH hinzu: „Zu einem unbeobachtbaren Beobachtetwerden komme es nicht. Anders als etwa bei der Vorratsdatenspeicherung liege eine Überwachung von Prüfungen in der Natur der Sache und sei den Betroffenen bekannt.“

Darf die Polizei auf Corona-Gästelisten zugreifen?

16. Juli 2020

Strafverfolgungsbehörden greifen offenbar vermehrt auf Gästelisten zu, die Restaurants und andere Betriebe in Umsetzung der jeweiligen Bestimmungen der Corona-Schutz-Verordnungen der Länder anlegen. Wie etwa FAZ.net und SZ.de berichten kam es deswegen in mehreren Bundesländern zu Meinungsverschiedenheiten zwischen Strafverfolgungs- und Datenschutzbehörden.

Je nach landesrechtlicher Bestimmung müssen Kunden oder Besucher auf den Listen ihren Namen, Adresse(n), Mail-Adresse(n), Telefonnummer, Zeitraum des Aufenthalts und gegebenenfalls weitere Angaben wie die Tischnummer angeben. Der Zweck der Datenerhebung liegt darin, im Infektionsfall eine einfache Rückverfolgbarkeit der anwesenden Personen zu gewährleisten, diese über das Risiko informieren zu können und Gesundheitsämtern eine Nachverfolgung der Infektionsketten zu ermöglichen.

Die Angaben in den Gästelisten können für Strafverfolgungsbehörden durchaus interessant sein: So berichtet FAZ.net über einen Fall aus Hamburg. Dort soll ein Mann vor einem Lokal einen Passanten mit einem Teppichmesser bedroht haben. Die zuständige Polizeibehörde ließ sich die Gästeliste des nahegelegenen Lokals übergeben und kontaktierte die Gäste, um sie als potentielle Zeugen zu vernehmen.

Die Sprecherin des hessischen Datenschutzbeauftragten, Ulrike Müller, äußerte, die hessische Verordnung sehe eine strikte Zweckbindung vor. Gastronomen dürften die Daten im Infektionsfall an die Gesundheitsämter herausgeben. Eine Weitergabe an andere Behörden sei aber ausgeschlossen.

Etwa die Oberstaatsanwältin Nadja Niesen aus Frankfurt ist dagegen der Ansicht, es handele sich nicht um eine Frage des Datenschutzes. Denn nach der Strafprozessordnung dürfe die Polizei in Abstimmung mit der Staatsanwaltschaft und Gerichten Beweismaterial sicherstellen, um die Namen möglicher Zeugen festzustellen. Darunter fielen auch die Gästelisten.

Nach Angaben von SZ.de suchte etwa die Polizeibehörde in Rosenheim nach einem Raubüberfall auf ein Schuhgeschäft und die Polizeibehörde in Starnberg bei den Ermittlungen in einem Rauschgiftfall über die Gästelisten nahegelegener Restaurants Zeugen.

Der bayerische Landesbeauftragte für Datenschutz, Thomas Petri, leitete daraufhin Prüfungen ein. Er kritisiert, die Datenerhebungen gingen “Richtung Vorratsdatenspeicherung” und fordert eine bundesweite Regelung über die Zugriffsmöglichkeiten der Strafverfolgungsbehörden. Er befürchtet, dass anhand der Daten Bewegungsprofile erstellt werden könnten, sieht aber gleichzeitig keine grundsätzliche Unzulässigkeit der Nutzung der Gästelisten zu Ermittlungszwecken. Allerdings müssten die “Freiheitsrechte der betroffenen Gäste und die Strafverfolgung abgewogen und in eine rechtssichere Balance gebracht werden.”

Thomas Geppert, Landesgeschäftsführer des Hotel- und Gaststättenverbands Dehoga, fürchtet indessen, dass weitere Gäste ausbleiben könnten oder die Gäste falsche Angaben machen könnten und so eine Nachverfolgung nicht mehr gewährleistet ist. Geppert will deswegen in Abstimmung mit dem Datenschutzbeauftragten auf das Innen- und das Justizministerium zugehen, um eine Lösung in der Sache zu erreichen.

Bay LDA veröffentlicht “Best-Practice” Checkliste für Home-Office

29. Juni 2020

Das Bayerische Landesamt für Datenschutzaufsicht (Bay LDA) hat auf seiner Website eine Checkliste zur selbstständigen Prüfung datenschutzrechtlicher Konformität der Home-Office Regelungen in Unternehmen veröffentlicht.

So habe die Corona-Pandemie viele Unternehmen, Selbstständige und Freiberufler mit der Frage konfrontiert, wie die Arbeitsfähigkeit bei gleichzeitiger Infektionsprävention realisiert werden könne. Insoweit seien viele Home-Office Plätze geschaffen worden.

Die ausgegebene Handreichung solle einen Überblick über die wichtigsten Praxismaßnahmen im Homeoffice entsprechend den geltenden gesetzlichen Datenschutzvorgaben geben. Hierbei sei zu berücksichtigen, dass die aufgeführten Aspekte nicht abschließend seien. Vielmehr entsprächen sie einem Best-Practice-Ansatz, wenngleich nicht zugleich nicht immer alle Punkte notwendig seien. Insoweit sei eine kurze kritische Prüfung des Grundes samt kurzer Dokumentation anzuraten.

Bundesdatenschutzbeauftragter warnt vor Einsatz von WhatsApp

23. Juni 2020

In einer aktuellen Stellungnahme hat der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI), Dr. Ulrich Kelber, klargestellt, dass keine Bundesbehörde den zu Facebook gehörenden Messenger WhatsApp zur Kommunikation benutzen darf.

Hintergrund

Im Rahmen der Corona-Krise haben viele Beschäftigte in Behörden ihre Arbeit ins Homeoffice verlegt. Mit dem Wegfall der persönlichen Kommunikation vor Ort ging eine Zunahme der Kommunikation über WhatsApp einher. Diese erfolgte sowohl zwischen den Mitarbeitern untereinander als auch zwischen Mitarbeitern und Bürgern. Darüber haben sich einzelne Bürger beschwert, was den Bundesdatenschutzbeauftragen zu der Stellungnahme animiert hat.

Kritik

Darin führt er aus, dass allein das Versenden von Nachrichten Metadaten erzeugt, die an WhatsApp Ireland Ltd. – bzw. an das Mutterunternehmen Facebook – übermittelt werden. Die Erzeugung von Metadaten erfolgt unabhängig von der implementierten Ende-zu-Ende-Verschlüsselung. Metadaten sind unter anderem: die Versandzeit der Nachricht, Absender und Empfänger der Nachricht. Diese Metadaten sind unverzichtbar für die Funktionsweise von Messengern.

Gleichzeitig betonte er, dass öffentliche Stellen eine Vorbildfunktion haben, sich datenschutzkonform zu verhalten. Dazu verweist er auf den 27. Tätigkeitsbericht zum Datenschutz 2017 – 2018 vom 08.05.2019. Die Hauptkritikpunkte beziehen sich dabei auf die Übermittlung von Nutzerdaten durch die WhatsApp Ireland Ltd. an Facebook (siehe Blogbeitrag) sowie die Erhebung von Telefonnummern mittels Adressbuchupload durch WhatsApp. Auf diese Weise können alle Kontaktdaten eines Nutzers verarbeitet werden, die auf dessen Mobiltelefon hinterlegt sind und zwar unabhängig davon, ob der jeweilige Kontakt selbst den Messenger nutzt oder nicht.

Fazit

In „Täglich grüßt das Murmeltier“-Manier werden regelmäßig von verschiedenen Seiten datenschutzrechtliche Bedenken gegenüber dem WhatsApp-Messenger geäußert. Lesen Sie dazu unsere weiteren Beiträge:

Bundesdatenschutzbeauftragter lobt Corona-App, warnt aber auch

17. Juni 2020

Die geplante Corona-Tracing-App ist nach langer Entwicklungszeit und umfangreichen Diskussionen (wir berichteten) am gestrigen Dienstag (16.06.2020) für die Nutzung freigegeben worden. Nachdem sich der Bundesdatenschutzbeauftragte, Ulrich Kelber, bereits vor einigen Tagen zufrieden mit der gefundenen Lösung zeigte und die App aus Sicht des Datenschutzes als “solide” bezeichnete, hat seine Behörde (BfDI) in einer Pressemitteilung nun ausführlicher Stellung bezogen.

Lob für Transparenz

Insgesamt sieht Kelber keine Gründe, die aus datenschutzrechtlicher Sicht gegen die Installation sprechen. Dabei sei insbesondere entscheidend, dass sowohl der Quellcode der App als auch die durchgeführte Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO (durch welche potentielle Gefahren für die Rechte und Freiheiten der Nutzer ermittelt und mögliche Abhilfemaßnahmen festgelegt werden sollen) für die Öffentlichkeit zugänglich gemacht wurden. “Je transparenter das gesamte Projekt ist, umso mehr Vertrauen werden die Bürgerinnen und Bürger haben”, so Kelber.

Kritik an TAN-Verfahren

Trotz dieser ingesamt positiven Bewertung sieht der Bundesdatenschutzbeauftragte jedoch auch noch “Schwachstellen”, die von den zuständigen Behörden und Unternehmen angegangen werden müssten. Darunter falle insbesondere die Telefonhotline, durch welche der Nutzer eine TAN-Nummer erhält. Mittels dieser Nummer kann der Nutzer dann ein positives Testergebnis über die App melden. Durch diese zusätzliche Sicherheitsmaßnahme soll ein Missbrauch der App durch Meldung falscher Ergebnisse erschwert werden. Kelber sieht diese Lösung jedoch kritisch, weil so eben keine vollständig anonymisierte Nutzung der App möglich sei. Immerhin habe seine Behörde abwenden können, dass eine unangemessene Speicherung personenbezogener Daten aller Anrufer der Hotline stattfindet. Die zuständigen Behörden und Unternehmen müssten nun aber schnellstmöglich daran arbeiten, dass eine vollständig automatisierte Nutzung der App ermöglicht wird. Als zuständige Aufsichtsbehörde werde der BfDI dies überwachen und “alle Möglichkeiten der Datenschutz-Grundverordnung” heranziehen, im Falle von auftretenden Mängeln somit auch entsprechend einschreiten.

Warnung an Dritte vor Einsichtnahmeversuchen

Schließlich spricht der Bundesdatenschutzbeauftragte in der Pressemitteilung noch eine Warnung an alle Personen, Unternehmen und Einrichtungen aus, die auf die Idee kommen könnten, sich durch Einsicht in die Corona App – und somit in die darin gespeicherten personenbezogenen Daten – darüber zu informieren, ob für die betroffene Person ein positives Testergebnis vorliegt oder nicht. Dabei handle es sich um eine Grenze, die nicht überschritten werden dürfe. Wörtlich sagte Kelber: “Es ist in keinem Fall zulässig, dass Dritte Einblick in die App fordern. Ich kann die Inhaber von Geschäften oder öffentlichen Verkehrsmitteln nur dringend warnen: Versucht es erst gar nicht!”

Hessische Aufsichtsbehörde prüft Fiebermessung im Apple Store

16. Juni 2020

Seit der coronabedingten Zwangsschließung des Einzelhandels, hat der Großteil der Geschäfte seinen Betrieb wieder aufgenommen. Mit der Öffnung gingen die Einführung präventiver Maßnahmen, wie der obligatorischen Gesichtsmaske und der Limitierung der gleichzeitigen Ladenbesucher, einher. Apple geht in seinen Apple-Stores noch einen Schritt weiter und hat die in anderen Ländern bereits praktizierte Maßnahme der Fiebermessung bei Kunden eingeführt.

Diese Fiebermessung wird nun durch den Landesdatenschutzbeauftragten Hessens auf Konformität mit den bestehenden Datenschutzregeln geprüft.

Personenbezogene Daten

Vorab stellt sich die Frage, ob die Körpertemperatur überhaupt ein personenbezogenes Datum ist. Personenbezogene Daten sind gemäß Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Zwar ist die gemessene Körpertemperatur eine individuelle Eigenschaft einer Person, aber das macht diese Eigenschaft nicht automatisch personenbezogen. Für so einen Bezug muss zumindest der Name der gemessenen Person bekannt sein.

Dem Apple-Mitarbeiter ist diese Person jedoch nicht bekannt. Damit ist eine nachträgliche Zuordnung von einer Person und der Körpertemperatur nicht möglich, so dass ein Personenbezug nicht gegeben ist. Eine Zuordnung von Körpertemperatur und personenbezogenen Daten erfolgt auch nicht beim Kauf eines Produktes. Egal, ob mit Kreditkarte, durch Barzahlung oder Apple-ID. Der Kaufvorgang steht in keinem Zusammenhang mit dem Fiebermessen. Dies ist jedoch nur solange gewährleistet, wie der Mitarbeiter beim Fiebermessen keine Verkaufstätigkeiten im Laden vornimmt.

Problematisch könnte jedoch eine Videoüberwachung im Laden sein. Die Videoüberwachung erfasst die gesamte Ladenfläche und eventuell auch den Eingangsbereich des Ladens, wo die Fiebermessung vorgenommen wird. Im ungünstigsten Fall könnte die Kamera die Anzeige der Körpertemperatur aufzeichnen.

Verhältnismäßigkeit

Viel mehr Gewicht kommt hingegen dem Argument der Verhältnismäßigkeit zuteil. Natürlich kann Apple sich auf die Privatautonomie berufen und die Fiebermessung als Bedingung zum Ladenbesuch machen. Auch steht der Datenschutz einer Person nicht über der Gesundheit der Allgemeinheit, so dass die Gesundheit aller Kunden Vorrang genießt. Allerdings stellt die Fiebermessung einen großen Eingriff in die Privatsphäre dar.

Unter dem Aspekt der Gesundheit stellt die Fiebermessung keine besonders wirksame Maßnahme dar. Die lange Inkubationszeit des Covid-19-Virus hat zur Folge, dass Infizierte das Virus vielfach weitergeben können, bis überhaupt erste Fiebersymptome auftreten. Oder sie weisen gar keine Symptome auf. Auch ist eine erhöhte Körpertemperatur nicht immer ein Indiz für eine Covid-19-Infektion, sondern kann auch „nur“ eine normale Erkältung sein. Mithilfe von fiebersenkenden Mitteln können Kunden außerdem mutwillig ihre Erkrankung verschleiern. Damit birgt die Fiebermessung nur eine Scheinsicherheit.

Fazit

Wenn der hessische Datenschutzbeauftrage an dem Argument der Scheinsicherheit festhält und die Fiebermessung als unverhältnismäßig erklärt, könnte er ein Verbot der Fiebermessung aussprechen. Dann müsste Apple diese einstellen oder bei Zuwiderhandlung mit Bußgeldern rechnen.

Welche Maßnahmen zum Schutz vor einer Corona-Infektion zulässig sind, können Sie hier nachlesen.

Ulrich Kelber nimmt Stellung zum zweiten Pandemiegesetz

20. Mai 2020

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber hat Stellung zum Entwurf des zweiten Pandemiegesetz genommen und übt scharfe Kritik an der aktuellen Fassung.

Mögliche Verfassungswidrigkeit

Kern der Kritik ist, dass auch gesunde Bürger bei einem negativen Test auf SARS-CoV und SARS-CoV-2 an die Behörden gemeldet werden sollen. Dies unter Angabe von Geschlecht, Geburtstagsdatum, Wohnort, Untersuchungsergebnisse und Gründe für die Untersuchung. Der Name und Geburtstag soll pseudonymisiert werden. Eine Anonymisierung der Daten ist nicht vorgesehen. Diesen Vorgang hält Kelber für einen unverhältnismäßigen Eingriff in in das Recht auf informationelle Selbstbestimmung nach Art. 1 Abs. 1, 2 Abs. 1 GG. Daraus folgt aus seiner Sicht die Verfassungswidrigkeit des Gesetzes. 

Eine Meldung soll zudem auch bei einfachem Verdacht auf Ansteckung erforderlich sein. Wann ein solcher Verdacht zu bejahen ist beschreibt das Gesetz nicht.

Kelber merkt zwar an, dass der Wissenschaft noch wesentliche Erkenntnisse zu Infektionswegen und –gefahr, Erkrankungswahrscheinlichkeit und Wiederansteckungsgefahr zum Virus fehlen. Nach seiner Ansicht würde eine rein statistische Erfassung der erhobenen Daten jedoch völlig genügen, um dem Zweck des Gesetzes gerecht zu werden. Dies insbesondere, weil von gesunden Personen keine Gefahr ausgehe.

Für Unverständnis sorgt ebenfalls, warum nicht auf die Möglichkeit einer Einwilligung der betroffenen zurückgegriffen wird. So würden es auch Universitäten und eine Vielzahl an Institutionen zur Forschung des Virus handhaben. Kelber fehlt es auch hier an einer Begründung für die gewählten Maßnahmen im Gesetz.

Es bestehe die Gefahr, dass die Dokumentation der Daten missbraucht werden könnte. Insbesondere weil Gesundheitsdaten verarbeitet werden, die durch die DSGVO einen besonders hohen Schutz genießen. Nach Art. 9 DSGVO ist die Verarbeitung dieser Daten grundsätzlich untersagt und nur ausnahmsweise zulässig. Die aktuelle Fassung des Pandemiegesetzes lasse jedoch nicht erkennen, warum ein solcher Ausnahmefall gegeben sein könnte.

Parlament lag Stellungnahme von Kelber vor

Letzten Donnerstag hat die erste Lesung zu dem Gesetzesentwurf stattgefunden. Gegenwind bekam der Entwurf nur von einem Abgeordneten der FDP. Dies, obwohl den Abgeordneten die Zweifel von Ulrich Kelber vorlagen. In der Kritik steht nun insbesondre auch die Justizministerin Christine Lambrecht. Die Zweifel an der Verfassungsmäßigkeit des Gesetztes teilt sie nicht. Das Parlament verabschiedet das Gesetzt voraussichtlich noch diesen Donnerstag.

Streit um Videokonferenzsysteme – Microsoft mahnt Berliner Datenschutzbehörde ab

Microsoft Deutschland hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit wegen der Empfehlungen für Videokonferenzen abgemahnt. Über die Veröffentlichung der Guidelines für Videokonferenzen berichteten wir bereits im April. Die Behörde warnte darin insbesondere vor unbefugtem Mithören, Aufzeichnen und Auswerten der Videoinhalte. Gegenstand der Warnung waren auch die beiden Microsoft-Produkte Skype und Teams. Wie t-online.de berichtete, hat Microsoft die Behörde mit Schreiben vom 5. Mai aufgefordert, “unrichtige Aussagen so schnell wie technisch möglich zu entfernen und zurückzunehmen”. In der Warnung sieht Microsoft eine erhebliche Rufschädigung, die zu einem kommerziellen Schaden führe.

Microsoft wirft der Datenschutzbehörde vor, dass mehrere Annahmen der Guideline faktisch oder rechtlich unzutreffend seien. Die Warnung suggeriere, dass die Produkte nicht nur datenschutzrechtlich, sondern auch strafrechtlich bedenklich seien. Das Unternehmen stört sich insbesondere daran, dass pauschal das Risiko aufgeführt wird, dass bei Videokonferenzen Dritte unbefugt mithören und aufzeichnen. Bei dieser Aussage differenzierten die Guidelines nicht und würden es damit auch auf die Microsoft-Produkte beziehen.

Am 6. Mai veröffentlichte Microsoft eine umfassende Stellungnahme zu den Guidelines. Darin beklagt das Unternehmen, vor der Veröffentlichung der Guidelines nicht angehört worden zu sein. Zudem seien die Produkte im Allgemeinen und Microsoft Teams und Skype for Business Online im Besonderen datenschutzkonform .

Die Stiftung Warentest testete kürzlich mehrere Videokonferenz-Programme. Microsoft erlangte mit Teams und Skype einen Doppelsieg. Allerdings kritisierten die Tester, dass die Datenschutzerklärung “keine ernsthafte Befassung mit der DSGVO erkennen” ließe.

Mittlerweile hat die Berline Datenschutzbehörde die Warnung von ihrer Website ohne Kommentar gelöscht. Auch andere Landesdatenschutzbehörde befassten sich mit Microsoft-Produkten. So verbat etwa die Hessische Datenschutzbehörde die Nutzung von Microsoft Office 365 in hessischen Schulen und die Baden-Württembergische Datenschutzbehörde riet zum Einsatz von Open-Source-Produkten. Die Datenschutzbehörde NRWs veröffentlichte erst kürzlich “Leitplanken für die Auswahl von Videokonferenzsystemen während der Kontaktbeschränkungen aufgrund der Corona-Pandemie“. Danach sollen Verantwortliche zunächst prüfen, ob sie mit verhältnismäßigem Aufwand einen eigenen Dienst implementieren können. Im Übrigen listet die Behörde mehrere Prüfkriterien für einen datenschutzkonformen Einsatz bestehender Online-Dienste bereit. Ähnliche Kriterien finden sich in der Checkliste des Dokuments “Best-Practice zum Homeoffice” der Bayerischen Datenschutzbehörde.

HamBfDI warnt vor Einführung eines Immunitätsausweises

6. Mai 2020

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HamBfDI) Johannes Caspar äußerte sich kritisch bezüglich der Einführung eines Immunitätsausweises. Gegenüber dem Handelsblatt betonte er, dass „der Einsatz eines solchen Ausweises der gefährliche Weg in eine Diskriminierungs- und Entsolidarisierungsfalle“ wäre. „Gesundheitsdaten könnten über den Zugang zu Leistungen entscheiden und in der Konsequenz die Gruppe der Personen, die eine Immunität nicht nachweisen, vom öffentlichen Leben ausschließen.“

Die Pläne für die Einführung eines solchen Immunitätsausweis hat das Kabinett im „Entwurf eines Zweiten Gesetzes zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite“ beschlossen. Demnach soll es einen Nachweis analog zum Impfpass geben, der auch als Grundlage bei der Entscheidung über zielgenauere Schutzmaßnahmen dienen soll.  

Die Einführung eines solchen Dokuments birgt insgesamt die Gefahr einer sozialen Stigmatisierung. Der HamBfDI warnt davor, dass dadurch Personen, die zur Risikogruppe gehören am stärksten diskriminiert würden. Einen Nachweis der Immunität ohne besonderes Ausweisdokument für Personen in relevanten Berufsgruppen hält der HamBfDI hingegen für „durchaus sinnvoll“.

Inzwischen hat Gesundheitsminister Spahn den Deutschen Ethikrat um eine Stellungnahme darüber gebeten, inwiefern ein solches Ausweisdokument genutzt werden kann. Über den Gesetzesentwurf soll bereits am Donnerstag (7. Mai 2020) im Bundestag beraten werden.

Kehrtwende bei Ausgestaltung der Corona-Tracing-App

28. April 2020

Die durch die Bundesregierung in Zusammenarbeit mit dem Robert-Koch-Insitut (RKI) geplante Tracing-App zur Nachverfolgung potentieller Corona-Kontakte ist seit Wochen Gegenstand reger Diskussionen und mit umfangreicher Kritik in Sachen Datenschutz verbunden. Diese Kritik scheint nun Gehör gefunden zu haben, jedenfalls rücken die Entwickler vom Vorhaben einer zentralen Speicherung ab.

Nachdem zunächst ein “zentraler Ansatz” in der Form geplant war, dass durch die App erhobene Daten – in anonymisierter Form – zentral auf einem Server gespeichert werden sollten, soll nun ein “dezentraler Ansatz” verfolgt werden. Bei dieser Variante werden die erzeugten Nutzer-IDs sowie die durch die Bluetooth-Funktion erfassten Geräte bzw. deren IDs nicht an einen zentralen Server gesendet, sondern zunächst lokal auf den Geräten gespeichert werden. Erst im Falle eines positiven Befundes wendet sich die positiv geteste Person mit einem geheimen Schlüssel an den Betreiber der App, sodass eine Übermittlung der Information, dass ein möglicher Kontakt bestand, an potentielle Kontaktpersonen übermittelt werden kann.

Dieser Kehrtwende ist umfangreiche Kritik am “zentralen Ansatz” vorangegangen. Zuletzt kamen kritische Stimmen nicht nur von verschiedenen Digital-Vereinen, sondern vermehrt auch aus der Wissenschaft. Auch der Europarat hat in Bezug auf mögliche Tracing-Apps (nicht nur) datenschutzrechtliche Bedenken geäußert. Dabei wurde insbesondere hervorgehoben, dass der zentralen Speicherung besonders sensibler Gesundheits- oder Bewegungsdaten erhebliche Bedenken in der Bevölkerung bezüglicher einer potentiellen Totalübberwachung entgegenstehend könnten und der Nutzen einer solchen App eingeschränkt sei, wenn Bürger die App wegen dieser Bedenken nicht verwenden.

Oppositionspolitiker und Netzaktivisten lobten die Entscheidung, nunmehr einen dezentralen Ansatz zu verfolgen, wie dies etwa auch durch Apple und Google favorisiert wurde. Auch der Bundesdatenschutzbeauftragte, Ulrich Kelber, sprach sich ausdrücklich für diese Variante aus.

Diese Strategieänderung lässt jedoch befürchten, dass der Einsatz einer funktionierenden, und vor allem datenschutz-sensiblen Tracing-App weiter auf sich warten lassen wird. Nachdem diese eigentlich schon Mitte April bei der Bekämpung des Corona-Virus unterstützen sollte, wird nun über eine Veröffentlichung Mitte Mai spekuliert.