Kategorie: COVID-19-Virus
7. Juni 2021
Die EU-Kommission veröffentlichte Anfang Juni Neuigkeiten zum länger geplanten, digitalen Zertifikat: Die Technik für das Zertifikat ist offiziell online. Mit Bulgarien, Dänemark, Griechenland, Kroatien, Tschechien und Polen haben die ersten Länder den digitalen Nachweis bereits offiziell eingeführt und teilen Zertifikate aus. Auch Deutschland hat sich bereits an das sogenannte EU-Gateway angeschlossen, auch wenn das Zertifikat noch in der Testphase ist. Das kommende Zertifikat nennt sich “CovPass” und ist ein Projekt des Robert-Koch-Instituts. Dieses präsentiert die App bereits im Internet. Sie soll spätestens bis Ende Juni für alle Bürger nutzbar sein.
Das digitale EU-COVID-Zertifikat beruht auf einer EU-Verordnung, die ab dem 1. Juli in Kraft tritt. Den Mitgliedsstaaten bleibt es aber freigestellt, das Zertifikat auch vorher schon zu verwenden, vorausgesetzt die nationale Variante besteht die technischen Tests. Es werden drei Zertifikate umfasst: ein Impfzertifikat, ein Testzertifikat und ein Genesungszertifikat. Es soll im Sommer ein unkompliziertes Reisen und einheitliche Sicherheitsstandards innerhalb Europas gewährleisten, es ist jedoch keine notwendige Voraussetzung für eine Reise.
Wem steht das Zertifikat zu?
Alle EU-Bürger können ein solches Zertifikat erhalten. Es gilt für Geimpfte, Genesene oder negativ Getestete. Als geimpft gilt jeder, der die entsprechenden Schutzimpfungen von Moderna, Astrazeneca, BioNTech oder Johnson & Johnson erhalten hat. Die letzte Impfung muss dabei mindestens 14 Tage her sein. Genesen ist der, der einen nachweislich positiven PCR-Test hatte, dieser darf nicht älter als 6 Monate sein. Für diejenigen, die weder geimpft noch genesen sind, gibt es die Möglichkeit, ein Zertifikat als negativ-getestete Person zu bekommen. Dafür muss ein aktueller Antigen-Test vorliegen oder ein PCR-Test, der nicht älter ist als 72 Stunden.
Wo bekomme ich das Zertifikat?
Ausstellen sollen das Zertifikat zunächst Impfzentren, Hausärzte und Krankenhäuser. Ob auch Apotheken bei Vorlage eines Impfausweises ein Zertifikat ausstellen dürfen, wird zur Zeit noch diskutiert. Das Zertifikat wird in digitalem Format ausgestellt, kann aber auf einem Smartphone und auf Papier vorgelegt werden. Es wird unentgeltlich ausgestellt.
Wie funktioniert das Zertifikat und was ist mit meinen Daten?
Das Zertifikat wurde während seiner Planungsphase u.a. aufgrund datenschutzrechtlicher Bedenken kritisiert. Mittlerweile hat sich die EU geeinigt. Das Zertifikat soll einen QR-Code und eine Signatur enthalten. Angezeigt werden Name und Geburtsdatum des Inhabers. Im QR-Code selbst verbergen sich Informationen zur Impfung oder zu Testergebnissen. Gespeichert werden konkret beim Impfzertifikat Impfstoff und Hersteller, Anzahl der verabreichten Dosen und Datum der Impfung; beim Testzertifikat die Art des Tests, Datum und Uhrzeit des Tests, Testzentrum und Ergebnis; und beim Genesungszertifikat Datum des positiven Testergebnisses und Geltungsdauer. Die EU-Kommission betont, dass alle persönlichen Daten allein auf dem mobilen Endgerät gespeichert werden. Entgegen der Befürchtung von Datenschützern gibt es also keine zentrale Stelle, die diese Daten speichert.
Jede ausstellende Stelle (bspw. ein Impfzentrum) hat zusätzlich eine eigene Signatur, welche in dem Zertifikat gespeichert wird. Diese Signatur wird zu Kontrollzwecken in einer EU-weiten Datenbank gespeichert und kann über das Gateway überprüft werden. Dies betrifft den einzelnen Bürger aber nicht in seinen Daten.
Das Zertifikat kann bei Bedarf vorgelegt und gescannt werden, bspw. am Flughafen. Wird das Zertifikat erkannt, soll ein grünes Licht bei dem Scanner leuchten, die Person darf passieren. Dabei soll nicht ersichtlich sein, weswegen das Zertifikat ausgestellt wurde. Umstehende (auch bspw. Mitarbeiter am Flughafen) wissen also nicht, ob die Person geimpft, genesen oder negativ getestet ist. Leuchtet das Licht rot, ist das Zertifikat nicht gültig. Bei diesem Vorgang werden keine personenbezogenen Daten an andere EU-Staaten weitergegeben.
Weitere Antworten zu Detailfragen, sowie eine aktuelle Übersicht aller Länder die bereits Zertifikate ausstellen, sind auf den Seiten der europäischen Kommission zu finden.
5. Mai 2021
Die Impfung gegen das Corona-Virus ist für viele Menschen auf der ganzen Welt aktuell das Licht am Ende des Tunnels. Die Impfquote und Impf-Geschwindigkeit nimmt in Deutschland stetig zu. Viele Menschen teilen ihre Freude über die erhaltene Impfung mit einem Foto des Impfausweises in sozialen Medien. Doch das ist aus verschiedenen Gründen keine gute Idee.
Zunächst enthält der Impfausweis sensible Gesundheitsdaten. Ärztliche Befunde, Gesundheitskarten oder der Impfausweis enthalten vertrauliche Informationen, die in der Regel nicht auf sozialen Medien geteilt werden sollten. Neben den Freundinnen und Bekannten erhalten auch die Betreiber der Netzwerke die Daten. Im Zusammenspiel mit der in Deutschland bestehenden Impfpriorisierung können daraus Rückschlüsse auf bestimmte, ernste Vorerkrankungen gezogen werden. Selbst wenn diese Rückschlüsse falsch sind, weil beispielsweise eine Krankenpflegerin oder der Ehemann einer Schwangeren geimpft wurden, bleiben sie dennoch im Fundus der Netzwerke.
Außerdem können Impfpass-Fälscher die Daten nutzen, um mit Hilfe der Chargennummer oder des Impfstempels Fälschungen in Umlauf zu bringen. Vor dem Hintergrund der sich abzeichnenden Aufhebung einiger Beschränkungen für Geimpfte dürfte dies aktuell ein lukratives Geschäft sein. Das Impfzentrum in Frankfurt am Main hat deshalb bereits angekündigt, Anzeige zu erstatten.
Mit den Chargennummern können Menschen zudem Impf-Nebenwirkungen an das Paul-Ehrlich-Institut melden. Bei tatsächlichen Nebenwirkungen sind diese Angaben wichtig, um Menschleben zu schützen, allerdings können so auch falsche Nebenwirkungen gemeldet werden, die dann der Pandemiebekämpfung insgesamt großen Schaden zufügen können. Die Freude über den erhaltenen Schutz vor einer Sars-Cov2-Infektion sollte daher lieber ohne Foto des Impfausweises geteilt werden.
28. April 2021
Im Rahmen der Corona-Pandemie setzt die Landesregierung Nordrhein-Westfalen zum Zweck des Gesundheitsschutzes unter anderem auf den Einsatz von Coronaselbsttests für alle an Schulen in Präsenz tätigen Personen. Über datenschutzrechtliche Grundsätze, Voraussetzungen und Grenzen bei der Durchführung dieser Selbsttests informiert die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) in einem Schreiben.
Auch wenn die Durchführung von Coronaschnelltests aus datenschutzrechtlicher Sicht laut der LDI NRW nicht zu beanstanden ist, so müssen dennoch bestimmte Grundsätze beachtet werden, um datenschutzrechtliche Voraussetzungen zu erfüllen.
1. Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten
Bei der Durchführung von Coronaschnelltests werden durch die Schulen Gesundheitsdaten z.B. von Schülerinnen und Schülern, d.h. personenbezogene Daten besonderer Kategorien nach Art. 9 Abs. 1 DSGVO verarbeitet. Diese Gesundheitsdaten unterliegen einem besonderen Schutz nach der DSGVO, da deren Verarbeitung grundsätzlich untersagt ist. Nur in Ausnahmefällen nach Art. 9 Abs. 2 DSGVO ist eine Verabeitung zulässig. So z.B. nach Art. 9 Abs. 2 lit. i in den Fällen, in denen die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren auf der Grundlage nationalen Rechts, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person vorsieht, erforderlich ist. Hinsichtlich einer solchen Regelung verweist die LDI NRW als Rechtsgrundlage für die Schulen auf § 1 Abs. 2 lit. b und lit. e Coronabetreuungsverordnung (CoronaBetrVO) und bejahte auch dessen Verhältnismäßigkeit.
2. Vertraulichkeit der Testergebnisse
Zudem verweist die Landesbeauftragte darauf, dass die Ergebnisse der Coronaselbsttests Unbefugten gegenüber nicht offengelegt werden dürfen. Das bedeutet, dass die Schulen die Bekanntgabe der Ergebnisse so organisieren müssen, dass sie den Schülerinnen und Schülern oder ihren Erziehungsberechtigten gegenüber einzeln erfolgt. Im Rahmen dessen sieht die LDI NRW den Ausschluss positiv getetester vom Präsensunterricht, durch den grundsätzlich auch ein Rückschluss auf das Testergebnis möglich wäre, als unumgänglich und mithin als datenschutzrechtlich hinnehmbar an.
3. Dokumentation der Testergebnisse
Schließlich müssen die Schulen die Testergebnisse nach § 1 Abs. 2 lit. e CoronaBetrVO erfassen und dokumentieren. Positive Testergebnisse müssen sie dem Gesundheitsamt übermitteln. Die Ergebnisse der durchgeführten Coronaselbsttests dürfen darüber hinaus nicht an Dritte übermittelt werden und müssen nach 14 Tagen vernichtet werden. Hinsichtlich der Vernichtung verweist die LDI NRW darauf, dass eine datenschutzkonforme Vernichtung erfolgen muss, d.h. in der Form, dass die Daten nicht wieder herstellbar sind, wofür sie ein bloßes Zerreißen von Listen und die Entsorgung über den Papiermüll als nicht ausreichend beschreibt. Auch eine Erforderlichkeit, die Testergebnisse zur Schülerakte zu nehmen, verneint die Landesbeauftragte. Sollte im Einzelfall eine Aufbewahrung für erforderlich gehalten werden, so verweist die LDI NRW darauf, dass dies nur in einem verschlossenen Umschlag, auf den nur ein eingeschränkter Personenkreis zur Aufgabenerfüllung der Schule Zugriff haben darf, erfolgen sollte. Auf dem Umschlag sei dann, so die LDI NRW, zu vermerken, wer wann und zu welchem Zweck auf das Testergebnis zugegriffen hat und wann es danach wieder im Umschlag verschlossen wurde.
26. April 2021
Der Impfausweis ist momentan ein so reges Gesprächsthema wie selten zuvor. Noch vor ein paar Tagen warnte das Bundesgesundheitsministerium (BMG) auf Twitter davor, Fotos vom Eintrag der Covid-19-Impfung im Impfausweis in sozialen Netzwerken zu posten. Dies erfolgt vor dem Hintergrund, dass es sich bei den abgebildeten Informationen um sensible, persönliche Gesundheitsdaten handelt, die von Kriminellen missbraucht werden können. Auch können mithilfe solcher Fotos Fälschungen von Impfpässen angefertigt werden, ein Umstand der in den letzten Wochen für Aufsehen sorgte.
Dementsprechend könnte man sich fragen, ob nicht etwa ein digitaler Impfpass sicherer wäre. Die EU-Staaten planen etwa ein einheitliches “digitales, grünes Zertifikat” für den kommenden Sommer. Ein solches soll Geimpfte, Genesene und solche mit negativem Testergebnis ausweisen und so vor allem Reisen einfacher möglich machen. Der Nachweis soll aus einem QR-Code und einer Signatur bestehen und auf einem mobilen Gerät gespeichert werden können. Technisch soll das Ganze möglich sein, indem jede ausstellende Stelle einen eigenen Signaturschlüssel bekommt. Diese Schlüssel werden in einer EU-weiten, sicheren Datenbank gespeichert. Personenbezogene Daten sollen dabei, laut Europäischer Kommission, nicht übermittelt werden.
Trotzdem kommt Kritik an dem Vorhaben auf. Problematisch scheint hier vor allem, ob wirklich ein umfassender Datenschutz gewährleistet werden kann. So betonte der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski in einer Stellungnahme des Europäischen Datenschutzausschusses (EDSA), dass es keine Datenbank mit personenbezogenen Daten auf EU-Ebene geben dürfe. Auch müsse klar geregelt werden, welche Daten wann und wie lange verwertet werden dürfen.
Eine Positionierung des europäischen Parlamentes diesbezüglich wird am 29.04. erwartet. Dabei sollten auch offene, datenschutzrechtliche Fragen geklärt werden.
Die entsprechenden Systeme für den Ausweis müssen auf nationaler Ebene von den Mitgliedsstaaten eingerichtet werden. Auf deutscher Ebene soll dieser Nachweis als Modul in die Corona-Warn-App integriert werden. Der analoge Ausweis soll durch einen digitalen nur ergänzt und nicht ersetzt werden, wie das BMG betont. Ob ein solcher digitaler Ausweis in der Praxis dann tatsächlich mehr Vorteile bringt als der analoge, wird abzuwarten sein.
21. April 2021
Der wissenschaftliche Beirat beim Bundesministerium für Wirtschaft und Energie (BMWi) hatte bereits im März 2021 ein Gutachten mit dem Titel “Digitalisierung in Deutschland – Lehren aus der Corona-Krise” veröffenticht. Darin beschäftigt sich der Beirat nicht nur mit der krisenbedingten Digitalisierung in verschiedenen, von der Corona-Krise besonders betroffenen Bereichen, und attestiert hier ein “Organisationsversagen”. Auch wird ganz offene Kritik an – vermeintlichen – juristischen und bürokratischen Hemmnissen geäußert, wobei insbesondere “der Datenschutz” hervorgehoben wird.
Kritik am geltenden Datenschutzrecht
“Der Datenschutz” – so der Beirat werde in Deutschland oft als ein Wert angesehen, der in der Abwägung mit anderen Rechtsgütern absolute Priorität genieße. Dies habe in der Corona-Krise die Nutzung digitaler Möglichkeiten “stark eingeschränkt”, etwa hinsichtlich der Corona-Warn-App (wir berichteten) oder der digitalen Patientenakte (wir berichteten). Neben dieser Kritik, dass eine Einschränkung des Datenschutzes zugunsten anderer Rechtsgüter oft pauschal abgelehnt werde, wird auch das vermeintliche “Primat der Einwilligung” in Frage gestellt. Auch wenn dies aus verfassungsrechtlicher Sicht der richtige Ausgangspunkt sei, zeige doch die praktische Umsetzung, dass die Menschen ihre Einwilligungsmöglichkeiten nicht hinreichend wahrnehmen; als Beispiel werden hier Cookie-Einwilligung im Internet genannt, welche nicht gelesen würden (wir berichteten).
Als möglicher Lösungsansatz schlägt der Beirat eine Ergänzung des “Primats der Einwilligung” durch sog. Datentreuhänder vor, wie sie auch von der EU (wir berichteten) sowie der Bundesregierung (wir berichteten) befürwortet werden. Aber auch Privacy by design und Privacy by default oder ein Schutz ähnlich der AGB-Kontrolle werden als weitere Ansätze genannt. Insgesamt sei eine “effektivere Ausgestaltung” des Datenschutzrechts auf nationaler sowie auf unionaler Ebene erforderlich. Zudem solle das Datenschutzrecht “stärker in eine allgemeine digitale Ordnungspolitik eingebettet werden, indem der Datenschutz nicht als unangreifbare Rechtsposition verstanden, sondern in Abwägungsprozesse mit anderen Rechtsgütern integriert wird.”
Datenschützer reagieren auf Kritik
Der baden-württembergische Datenschutzbeauftragte Stefan Brink bezeichnete die im Gutachten geäußerte Kritik, aus datenschutzrechtlichen Gründen hätten nicht alle impfberechtigten Personen kontaktiert werden können, als “Mär”. Das Melderecht halte sehr wohl eine entsprechende Möglichkeit vor, Kontaktdaten zu solchen Zwecken zu nutzen. Auch dem Vorwurf, “der Datenschutz” nehme oftmals eine absolute Position gegenüber anderen Rechtsgütern ein, widersprach Brink. Im Rahmen der Kontaktnachverfolgung in Restaurants oder Kinos werde die Selbstbestimmung über die eigenen Daten sehr wohl “massiv eingeschränkt”. Insofern attestiert Brink den Gutachtern die Absicht, das Grundrecht auf Datenschutz noch weiter einschränken zu wollen. Solchen Versuchen würden sich die Datenschützer aber auch zukünftig entgegenstellen.
Ähnlich missbilligend äußerte sich auch der Bundesdatenschutzbeauftragte Ulrich Kelber. Das Gutachten sei “an relevanten Stellen teilweise irreführend formuliert oder schlicht falsch”. Auch Kelber stört sich insbesondere an dem Vorwurf, das Recht auf Datenschutz nehme eine absolute Position gegenüber anderen Rechtsgütern ein, und betonte, wie sein Kollege Brink, dass die Corona-Krise gerade das Gegenteil gezeigt habe. Hinsichtlich der Ausführungen zu anderen Rechtsgrundlagen für Datenverarbeitungen wirft Kelber dem Beirat vor, dass die “gebotene Wissenschaftlichkeit nicht eingehalten” wurde. Insofern biete sich der Bundesdatenschutzbeauftragte gerne als Gesprächspartner an, um entsprechende Probleme künftig zu vermeiden.
8. April 2021
Die Europäische Kommission verfolgt das Thema Cybersecurity mit hoher Priorität. In diesem Zuge wurde im Dezember 2020 ein Vorschlag für eine neue Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) vorgelegt. Diese soll die bestehende Richtlinie ablösen.
Die Erneuerung der NIS-Richtlinie stellt eine Reaktion auf vergangene Sicherheitsvorfälle öffentlicher und privater Einrichtungen auf dem Gebiet der Cybersicherheit dar. Der Vorschlag beinhaltet eine neue Cybersicherheitsstrategie, welche die Resilienz und Reaktion innerhalb der EU verbessern soll. Auch umfasst ist einen Vorschlag für eine Richtlinie über die Abwehr von Angriffen durch Betreiber wesentlicher Dienste, die physische Bedrohungen von diesen Betreibern abwenden soll.
Praktische Auswirkung wird der Entwurf auch für Unternehmen des Gesundheitssektors entfalten. Der Vorschlag sieht in diesem Bereich deutlich verschärfte Pflichten vor. So sollen Unternehmen des Gesundheitssektors technische und organisatorische Maßnahmen ergreifen, die dem Stand der Technik entsprechen und damit ein angemessenes Sicherheitsniveau für die IT-Systeme gewährleisten. Dazu definiert der Entwurf einige Mindestanforderungen an das Risikomanagement, in dem etwa Datenverschlüsselung, Risikobewertungen und eine besondere Berücksichtigung der Lieferkette vorgesehen sind. Durch die Einführung solcher Mindeststandards könnten in Zukunft Vorfälle, wie der durch einen Hackerangriff verursachten Todesfall im Universitätsklinikum Düsseldorf, vermieden werden.
Mit der Erneuerung der NIS-Richtlinie reagiert die EU mithin auch auf die wachsende digitale Verantwortung, welche sich insbesondere in der COVID-19-Pandemie drastisch erhöht hat.
7. April 2021
Die Nachverfolgung persönlicher Kontakte wird seit Beginn der Covid-19-Pandemie als ein wirksames Mittel zur Pandemiebekämpung betrachtet. Nachdem das Robert-Koch-Institut die Corona-Warn-App veröffentlichte, machten sich auch private Anbieter an die Entwicklung entsprechender Apps, wie beispielsweise die App Luca. In einer Stellungnahme vom 26. März hat sich die Datenschutzkonferenz (DSK) – das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder – zu diesen Thema geäußert.
Öffentliche Stellen wollen privat betriebene Apps nutzen
Hintergrund der Stellungnahme ist, dass nunmehr einige Länder und Landkreise die Absicht bekundet hätten, private entwickelte Apps zu nutzen und auch eine Verbindung zu den lokalen Gesundheitsämtern zu ermöglichen. Dabei weist die DSK noch einmal darauf hin, dass ein solches Vorgehen datenschutzkonform erfolgen müsse. Dies sei in datensparsamer Weise aber nur dann möglich, wenn es bundesweit auf einheitliche Regelungen gestützt werde. Solche gesetzliche Regelung fehlten jedoch, so die DSK.
DSK zu den Anforderungen an die Datensicherheit
Auch fasst die DSK noch einmal zusammen, welche Funktionen eine App zur Gewährleistung der Datensicherheit aufweisen sollte: Ende-zu-Ende-Verschlüsselung (sodass auch der Betreiber nicht auf die Daten zugreifen kann), automatisierte fristgemäße und datenschutzkonforme Datenlöschung, sichere Wege zur Datenübermittlung von Nutzer/Veranstalter zum Gesundheitsamt (anstatt E-Mail oder Fax), strikte Zweckbindung der Daten (sichergestellt durch entsprechende technische und organisatorische Maßnahmen) sowie unverzügliche Information über das Infektionsrisiko. Aus organisatorischer Sicht müsse die datenschutzrechtliche Verantwortung klar verteilt werden, Betroffenenrechte seien transparent und eindeutig zu regeln und die Freiwilligkeit der digitalen Erhebnung sicherzustellen.
Auch Luca-App habe noch Anpassungsbedarf
In Bezug auf die App Luca seien bereits wesentliche Punkte sichergestellt, jedoch identifiziert die DSK auch hier noch notwendige Anpassungen. So sieht die DSK die derzeit implementierte zentrale Speicherung aller erhobenen Daten kritisch und möchte hier auf eine dezentrale Speicherung hinwirken. Problematisch sei zudem, dass der Schlüssel zur Entschlüsselung der Daten (es gebe nur einen Schlüssel für alle Gesundheitsämter) bei dem Anbieter liege. Hier könne beispielsweise ein Hacker-Angriff alle erhobenen Daten in Gefahr bringen.
DSK: Orientierungshilfe für Betreiber und Appell an Gesetzgeber
Schließlich betont die DSK die Verantwortung der zuständigen Aufsichtsbehörden, die Systemsicherheit zu überprüfen und mit den Anbietern entsprechender Apps im Gespräch zu bleiben. Zur Unterstützung werde die DSK eine Orientierungshilfe für die App-Betreiber erarbeiten und kurzfristig veröffentlichen. Gleichzeitig appelliere die DSK an die Gesetzgeber des Bundes und der Länder, bundeseinheitliche gesetzliche Regelungen zur digitalen Kontaktnachverfolgung zu schaffen. Dabei sei auch zu prüfen, inwieweit mit datensparsameren Verfahren das Ziel der Kontaktnachverfolgung im Rahmen der aktuellen Pandemiebekämpfung erreicht werden kann.
12. März 2021
„Luca App“ (im Folgenden Luca) – so heißt die neue App im Corona-Universum.
Hinter dieser App steckt die Idee, den Aufwand zur Kontaktnachverfolgung nach Restaurant-, Hotel- oder Konzertbesuchen für alle Parteien einfacher zu gestalten. Ziel ist es, dass Besucher ihre personenbezogenen Daten – Name, Adresse und Telefonnummer – nicht mehr in Listen eintragen müssen, sodass Luca die bisherige Zettelwirtschaft ablösen kann.
Die händisch eingetragenen Daten hatten zudem den Nachteil, dass diese nicht zuletzt wegen unleserlicher oder ausgedachter Kontaktadressen für die Gesundheitsämter meist wenig hilfreich waren. Die personenbezogenen Daten werden von Luca für 14 Tage gespeichert und können, sofern der Nutzer einwilligt, im Falle einer Infektion mit COVID19 dem zuständigen Gesundheitsamt zur Verfügung gestellt werden.
Luca kann kostenlos im Google Play Store und im Apple App Store heruntergeladen werden. Bei der Registrierung muss der Nutzer den Namen, die Adresse und die Telefonnummer angeben. Laut Hersteller werden die Daten anonym und verschlüsselt gespeichert. Das heißt: Dritte, wie Restaurantbetreiber, können die Angaben nicht einsehen.
Erfolgt eine Infektions-Meldung an das Gesundheitsamt, wird die betroffene Person kontaktiert. Sodann geben Infizierte, sofern sie dazu einwilligt haben, in Luca via TAN ihre Historie, sprich die Orte und Veranstaltungseinrichtungen, die sie besucht haben, an das Gesundheitsamt frei. Das zuständige Gesundheitsamt entschlüsselt die Historie und erhält Informationen über die Aufenthaltsorte der letzten 14 Tage. Anschließend werden betroffene Veranstaltungsorte vom Gesundheitsamt kontaktiert und aufgefordert, die zeitlich relevanten Check-Ins über das Luca-System freizugeben. Die Check-Ins werden vom Gesundheitsamt entschlüsselt, wodurch eine schnelle wie auch lückenlose Nachverfolgung der Kontaktpersonen eingeleitet werden kann. Gehört eine Person zur Kontaktgruppe, wird sie vom Gesundheitsamt informiert.
Die Entwickler der Luca App versprechen höchste Datensicherheit. Die dezentral gespeicherten Nutzerdaten können nur von den Gesundheitsämtern, nicht aber von den Gastgebern, der App oder Dritten ausgelesen werden. “Wir haben frühzeitig die Datenschützer mit ins Boot geholt – es hilft ja niemandem etwas, wenn wir erst etwas entwickeln, das von den Datenschützern so nicht abgenickt wird.” Die App könne nur dann beim Weg aus dem Lockdown helfen, wenn alle Beteiligten die App auch gut finden, alle bereit seien, diese auch zu benutzen. “Daher finden wir es wichtig, dass Luca positiv besetzt ist. Es sollen für Betreiber und Gäste keine Kosten entstehen, niemand muss Angst um seine Daten haben.”
Smudo, Rapper der Fantastischen Vier und unter anderem Mitwirkender der App, beteuert, dass die Luca-App nicht als Konkurrenz zur Warn-App des Bundes geplant ist. “Das sind zwei ganz verschiedene Dinge”, Rapper Smudo, „Die Warn-App sei eine Art passives Risiko-Radar, Luca erleichtere hingegen die Arbeit der Gesundheitsämter.“
10. Dezember 2020
Bereits am 25. und 26. November 2020 hatten sich die Datenschutzbehörden des Bundes und der Länder (DSK) zu ihrer 100. Sitzung zusammengefunden. Dabei berieten und äußerten sich die obersten Datenschützer zu zahlreichen aktuellen Themen: Nutzung von MS Office 365, Fragen der Datenverarbeitung im Rahmen der Covid-19-Pandemie, Ende-zu-Ende-Verschlüsselung, Umsetzung der ePrivacy-Richtlinie und Zentralisierung der Datenschutz-Aufsicht (alle Entschließungen können hier eingesehen werden).
Nutzung von MS Office 365 zulässig?
Die DSK stellte ihre Ergebnisse zur Untersuchung von Windows 10 in der “Enterprise”-Version vor. Dabei wurde festgestellt, dass es zu Übermittlungen von Telemetriedaten kommen kann. Um diese zu verhindern und eine zulässige Nutzung zu ermöglichen, sollte – so die DSK – die Telemetriestufe “Security” genutzt und mittels vertraglicher, technischer oder organisatorischer Maßnahmen (z.B. durch eine Filterung der Internetzugriffe von Windows-10-Systemen über eine entsprechende Infrastruktur) sichergestellt werden, dass keine Übermittlung von Telemetriedaten erfolgt.
Im Hinblick auf MS Office 365 kündigte die DSK an, weiterhin im Gespräch mit Microsoft bleiben zu wollen. Hier wurden demnach keine neuen Ergebnisse vorgestellt.
Umsetzung der ePrivacy-Richtlinie angemahnt
Die DSK hat den Gesetzgeber zudem dazu angemahnt, endlich die Vorgaben der sog. ePrivacy-Richtlinie vollständig und ordnungsgemäß in deutsches Recht umzusetzen. Vor dem Hintergrund des BGH-Urteils zur Verwendung von Cookie-Bannern (wir berichteten) sei die Unsicherheit der Webseiten-Betreiber groß, welche rechtlichen Regelungen bei der Verarbeitung nicht-personenbezogener Daten denn nun gelten. Insofern sei der Gesetzgeber dazu verpflichtet, die Vorgaben der ePrivacy-Richtlinie nunmehr vollständig, ordnungsgemäß und im Einklang mit der DSGVO umzusetzen.
Gegen Aufweichung der Ende-zu-Ende-Verschlüsselung
Kritisch äußerte sich die DSK auch zu Vorschlägen des Rates der Europäischen Union, welche die Aufweichung der Ende-zu-Ende-Verschlüsselung im Rahmen vertraulicher privater Kommunikation betreffen. Nach diesen Vorschlägen sollte den Sicherheitsbehörden und Geheimdiensten der Zugriff auf verschlüsselte Kommunikation in Messengerdiensten und anderen Kommunikationsmitteln vereinfacht werden. Die DSK wendet gegen dieses Vorhaben insbesondere ein, dass dies durch Kriminelle und Terroristen leicht umgangen werden könnte, im Gegenteil aber die Digitalisierung in Wirtschaft und Verwaltung beeinträchtigen könne und auch das Vertrauen der Bürger in sichere Kommunikationsmittel gefährde.
Zentralisierung der Datenschutzaufsicht kontraproduktiv
Schließlich äußerte die DSK auch Bedenken gegenüber Forderungen, die Datenschutzaufsicht im nicht-öffentlichen Bereich zu zentralisieren. Diese sei kontraproduktiv, denn eine Zentralisierung führe zu einer Entfernung von den Unternehmen und Bürgern. Auch genießen die Aufsichtsbehörden ein hohes fachliches Ansehen. Statt eine solche Debatte zu führen, sollte die bessere personelle Ausstattung vorangetrieben werden, sodass alle Behörden ihre Aufgaben vollumfänglich erfüllen können.
30. September 2020
Der Digitalverband “Bitkom” hat am gestrigen Dienstag (29.09.2020) die Ergebnisse einer repräsentativen Umfrage vorgestellt, die unter mehr als 500 deutschen Unternehmen durchgeführt wurde. Dabei wird deutlich, dass längst noch nicht alle Unternehmen die “neuen” Datenschutzanforderungen umgesetzt haben. Gleichzeitig kritisieren die Teilnehmer die gesetzlichen Vorgaben sowie die Tätigkeit der Aufsichtsbehörden und monieren, die Datenschutz-Grundverordnung (DS-GVO) stelle ein Hindernis für technologische Innovationen dar.
Mehraufwand, Kritikpunkte und Verbesserungsvorschläge
Die wohl wichtigste Erkenntnis stellt die Bitkom direkt vorweg: auch mehr als zwei Jahre nach dem Inkrafttreten der DS-GVO haben noch längst nicht alle befragten Unternehmen die “neuen” datenschutzrechtlichen Vorgaben umgesetzt (nur 20% haben sie vollständig implementiert, 37% größtenteils, 35% teilweise und 6% beginnen erst mit der Umsetzung), und ganze 89% der Teilnehmer halten sie ohnehin für praktisch nicht vollständig umsetzbar. Zurecht bezeichnet Susanne Dehmel, Mitglied der Bitkom-Geschäftsführung, diese Zahlen als ernüchternd.
Wie kommt es zu diesen Zahlen und der scheinbar allgemeinen Unzufriedenheit mit dem geltenden datenschutzrechtlichen Regelwerk? Neben der bereits erwähnten Frage, ob die Vorgaben überhaupt praktisch vollständig umsetzbar sind, werden folgende Punkte moniert: anhaltende Rechtsunsicherheit durch die gesetzlichen Vorschriften (74%), zu viele Änderungen oder Anpassungen bei der Auslegung (68%), fehlende Umsetzungshilfen durch die Aufsichtsbehörden (59%), uneinheitliche Auslegungsergebnisse innerhalb der EU (45%) und fehlendes Fachpersonal (26%).
All diese Probleme führten laut 36% der Teilnehmer seit dem Inkrafttreten der DS-GVO zu einem Mehraufwand, und 35% erwarten künftig noch eine Zunahme. Auch wirke sich das neue Datenschutzrecht auf die Umsetzung verschiedenster technologischer Innovationen aus: Datenpools könnten nicht aufgebaut (41%), Big Data oder künstliche Intelligenz nicht genutzt (31%), Geschäftsprozesse nicht digitlalisiert (24%) und neue Datenanalysen nicht verwendet werden (20%). Insgesamt seien bei 56% der befragten Unternehmen “neue, innovative Projekte wegen der DS-GVO gescheitert”, für 71% mache die DS-GVO Geschäftsprozesse komplizierter.
So fällt dann auch die Bewertung des geltenden europäischen Datenschutzrechts erst einmal negativ aus. Für 92% der Teilnehmer sind Nachbesserung an den bestehenden Regeln erforderlich, beispielsweise eine “praxisnähere” Gestaltung der Informationspflichten (91%), verständlichere Regelungen (85%) oder auch eine bessere Unterstützung durch die Aufsichtsbehörden (83%). Laut 12% der befragten Unternehmen führe die DS-GVO sogar zu einer Gefahr für die eigene Geschäftstätigkeit.
Datenschutz in der Pandemie
Auch in Zeiten der Covid-19-Pandemie erschwere das Datenschutzrecht die tägliche Arbeit bzw. die Umstellung insbesondere auf die Tätigkeit im Home Office. So würde wegen datenschutzrechtlicher Bedenken auf Kollaborationstools verzichtet (23%) bzw. diese nur eingeschränkt genutzt (17%), bei Cloud-Diensten würden 2% der Teilnehmer verzichten und 26% diese nicht vollumfänglich nutzen. Auch Videotelofonie werde eingeschränkt (10%) oder gar nicht genutzt (3%). Dasselbe gelte für Messanger-Dienste (4%). Um die Arbeit im Home Office dennoch besser koordinieren und kontrollieren zu können, haben 42% der befragten Unternehmen Leitlinien hierfür erstellt (20% hatten solche bereits vor der Pandemie implementiert) und bei 37% der Teilnehmer sind solche in Planung oder Diskussion. Nur 6% schließen solche Leitlinien grundsätzlich aus, in 13% der Unternehmen ist Home Office ohnehin untersagt.
Die teilnehmenden Unternehmen wurden aber nicht nur nach den unmittelbaren Auswirkungen der Pandemie gefragt, sondern auch danach, wie diese besser bewältigt werden könnte. So geben 62% der Teilnehmer an, mehr Möglichkeiten zur Datennutzung könnten helfen; Deutschland übertreibe es beim Datenschutz (40%). Aus diesem Grund könnten dann auch eigene Corona-Maßnahmen aus Datenschutzgründen nicht umgesetzt werden (10%). So sei in keinem der befragten Unternehmen eine eigene Corona-Tracing-App im Einsatz, in 22% der Unternehmen mit mehr als 500 Mitarbeiten sei dies aber geplant oder werde immerhin diskutiert.
Nicht nur Kritik, sondern auch positive Aspekte
Immerhin sehen die befragten Unternehmen auch positive Eigenschaften an der Datenschutz-Grundverordnung. So setze sie weltweit Maßstäbe für den Umgang mit Personendaten (69%), schaffe einheitliche Wettbewerbsbedingungen innerhalb der EU (66%) und führe gar zu einem Wettbewerbsvorteil für europäische Unternehmen (62%). So sehen dann auch 20% der Unternehmen insgesamt Vorteile für die eigene Geschäftstätigkeit.
Dass die durch die Bitkom befragten Unternehmen ganz überwiegend erheblichen Mehraufwand durch die Vorgaben der DS-GVO verzeichnen, überrascht nicht. Über Jahrzehnte hat das Thema “Datenschutz” in deutschen Unternehmen ein Schattendasein gefristet, nicht unbedingt wegen fehlender gesetzlicher Regelungen, sondern auch bedingt durch eine lasche Kontrolle seitens der Aufsichtsbehörden bzw. eines geringen Risikos durch Bußgelder. Dies ist unter Wirkung der DS-GVO nun anders. Betrachtet man auch die dargestellten positiven Effekte, so scheint es nicht ausgeschlossen, dass deutsche und europäische Unternehmen – nach einem durchaus verständlichen Stotterstart – langfristig durch das neue Datenschutzrecht profitieren könnten. Sicherlich muss aber auch immer wieder evaluiert werden, welche Regelungen des Datenschutzrechts Sinn ergeben, und welche eher “gut gemeint” waren, in der Praxis aber ihren Schutzauftrag nicht erfüllen.