LfDI BaWü gibt Handreichungen für die Auftragsdatenverarbeitung in der Corona-Zeit heraus

15. April 2020

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWü), Dr. Stefan Brink, hat Handreichungen für die Zeit des Ausnahmezustandes herausgegeben.

Hintergrund der Handreichungen sei, dass vielerorts die frisch etablierten Verwaltungsprozesse zum Datenschutz durch die Corona-bedingte Ausnahmesituation auf die Probe gestellt würden. So stünden viele Datenschutzbeauftragte erneut vor Fragen zur Rechtmäßigkeit von Datenverarbei­­­­­tung – etwa wenn es um Aufträge an Firmen außerhalb Deutschlands geht, personenbezogene Daten zu verarbeiten.

Hier seien Datenschutzbeauftragte auf praktikable Hilfen angewiesen. Dies zu gewährleisten sei Aufgabe der Aufsichtsbehörde. Konkret hat der LfDI BaWü ein Muster für die Datenverarbeitung im Auftrag nach Maßgabe des  Art. 28 Abs. 3 DSGVO herausgegeben.

Kategorien: Allgemein · DSGVO
Schlagwörter:

Empfehlung der Leopoldina zur Anpassung des Datenschutzrechts in der Kritik

14. April 2020

Die Deutsche Akademie der Naturforscher Leopoldina hat am 13.04.2020 in einer Ad-hoc-Stellungnahme Vorschläge präsentiert, wie aus ihrer Sicht COVID-19 wirksam bekämpft und die aktuelle Krise nachhaltig überwunden werden kann. Nachdem die Empfehlungen auf Seiten der Politik zunächst überwiegend Lob geerntet hatten, wird nun aber auch Kritik geäußert. Gegenstand kritischer Äußerungen sind dabei die Anmerkungen im Rahmen der Stellungnahme, die auf eine Überprüfung datenschutzrechtlicher Standards abzielen.

So heißt es in der Stellungnahme (S. 7): „Angesichts der Erfahrung der derzeitigen Pandemie sollten auf europäischer Ebene die Datenschutzregelungen für Ausnahmesituationen überprüft und ggfs. mittelfristig angepasst werden. Dabei sollte die Nutzung von freiwillig bereit gestellten personalisierten Daten, wie beispielsweise Bewegungsprofile (GPS-Daten) in Kombination mit Contact-Tracing in der gegenwärtigen Krisensituation ermöglicht werden.“

Dieser Vorschlag wird sowohl von Datenschützern als auch von einigen Politikern zurückgewiesen und auf die geplante App zur Nachverfolgung von Corona-Kontakten verwiesen. Während der Bundesdatenschutzbeauftragte Ulrich Kelber die Sinnhaftigkeit der Nutzung von GPS-Daten mit Verweis auf Testergebnisse und Umfragen in der Bevölkerung hinterfragt, hält sein Hamburger Kollege Johannes Caspar die bestehenden Eingriffstatbestände der DSGVO zum Gesudheitsschutz – insbesondere unter Berücksichtigung nationaler Regelungsmöglichkeiten durch entsprechende Öffnungsklauseln – für ausreichend. Zudem verweist auch Caspar darauf, dass die bestehenden Möglichkeiten zur Datennutzung (anonymisierte Standortdaten, Datenspenden von Gesundheitsdaten) sowie die geplante App zur Nachverfolgung der Kontaktpersonen ausreichend seien.

In die gleiche Kerbe schlägt Stephan Thomae, Vizechef der FDP-Bundestagsfraktion. Auch wenn das GPS-Tracking in Ländern wie Südkorea Erfolge gezeigt habe, solle Südkorea nicht als Vorbild genommen werden, sondern der Fokus darauf liegen, die Akzeptanz der Bevölkerung in die geplante, auf freiwilliger Basis und mittels Bluetooth-Technologie operiende App zu stärken. Auch Konstantin von Notz (Grüne) sieht kein Bedürfnis für eine Änderung der datenschutzrechtlichen Rechtslage; die derzeitige sei ausreichend.

Eingeschränkte Unterstützung für die Empfehlung der Leopoldina kommt hingegen vom digitalpolitischen Sprecher der SPD-Bundestagsfraktion, Jens Zimmermann. „Mittelfristig“ sei eine entsprechende Debatte angebracht, kurzfristig jedoch die derzeit geplanten digitalen Maßnahmen ausreichend. Nur wenn sich dabei zeige, „dass gesetzliche Änderungen notwendig werden, sollte dies auf der Grundlage dieser Erfahrungswerte diskutiert werden.“

Wann in Deutschland eine entsprechende App zur Nachverfolgung von Corona-Kontakten zum Einsatz kommen kann, ist derzeit immer noch offen. Mehrere mögliche Modelle werden durch das Robert-Koch-Institut (RKI) geprüft. Bis zur „Marktreife“ steht daher zunächst nur die Datenspende-App des RKI zur Verfügung.

„Zoombombing“ ade – Zoom reagiert auf Datenschutzbedenken

9. April 2020

Auch in Zeiten von Covid 19 gilt es den Datenschutz und die Datensicherheit ernst zu nehmen. Das hat sich mittlerweile auch bis zum Silicon Valley rumgesprochen. Der Anbieter der Videokonferenz-App Zoom reagiert nämlich auf die anhaltende Kritik. Das Unternehmen führt Maßnahmen ein, die bei den Nutzern für mehr Datenschutz- und Sicherheit sorgen sollen. Insbesondere das sogenannte „Zoombombing“ will Zoom verhindern.

Hintergrund

Die mittlerweile 200 Millionen Nutzer zählende Videokonferenz-App erlebt wegen der Corona Krise einen regelrechten Boom, war aufgrund seiner Datenschutzpraxis jedoch bereits mehrfach in die Kritik geraten:

So häuften sich in den USA Fälle des Zoombombing. Hierbei wählen sich Trolle durch das Erraten von Zoom-Meeting-IDs, eine Ziffernfolge, in die meist schlecht geschützten Konferenzen ein und spielen beispielsweise rassistische Beleidigungen ein. Bis jetzt war dies möglich, weil die bloße Kenntnis der ID ausreichte, um sich ungefragt in nicht passwortgeschütze Meetings einzuklinken. Manche Nutzer machten es den Trollen aber auch nicht gerade schwer. So teilten viele Nutzer – prominentestes Beispiel ist wohl der britische Premierminister Boris Johnson – Screenshots ihrer Zoom Gespräche über ihre Social Media Accounts. Auf diesen Screenshots war dann die Zoom-Meeting-ID für jedermann sichtbar.

Zuletzt hat sogar Google seinen Mitarbeitern die Benutzung des Videkonferenz-Programms auf Arbeitsrechnern untersagt, weil Sicherheitsstandarts nicht eingehalten würden, wie ein Konzernsprecher gegenüger BuzzFeed bekannt gab. In unserem Beitrag vom 01.04.2020 sind wir auf weitere datenschutzrechtliche Bedenken eingegangen.

Step by step: Zoom reagiert

Der Videodienst hat für alle seine Plattformen nun eine erneuerte Version seiner Client-Software zur Verfügung gestellt. Eine der Neuerungen ist, dass die Meeting-ID nun nicht mehr wie bis dato für jedermann sichtbar in der Titelleiste steht. Ferner wurde ein „Security“-Button eingeführt. Dieser soll relevante Sicherheitsfeatures bündeln und transparent darstellen. Beispielsweise kann so der Zurgiff auf Meetings für die Außenwelt komplett gesperrt werden.

Nach unserer Einschätzung dürfte dies kurzen Prozess mit dem Phänomen des Zoombombing machen. Doch damit nicht genug. Zoom-Chef Eric Yuan kündigte an, in den nächsten drei Monaten step by step weitere Schwachstellen zu eliminieren anstatt neue Funktionen zu entwickeln.

Corona-Datenspende-App des RKI

Am 07. April 2020 veröffentlichte das Robert-Koch-Institut (RKI) die „Corona Datenspende“-App.
Die App, die sowohl für iOS- als auch Android-Geräte verfügbar ist, funktioniert in Zusammenhang mit Smartwatches und Fitnessarmbändern.
Ziel der App ist es, die Ausbreitung der Infektionen einschätzen zu können. So können die Wissenschaftlerinnen und Wissenschaftler des RKI die aktuelle Lage besser bewerten und mit Hilfe der Daten von Fitnessarmbändern die mögliche Dunkelziffer an Coronavirus-Infektionen besser einschätzen.

Zunächst soll der Nutzer der App einmalig Angaben zu seinem Geschlecht, Alter, Gewicht und der Körpergröße machen.
Die weiterhin durch die Smartwatch oder das Fitnessarmband des Nutzers gesammelten Gesundheits- und Aktivitätsdaten zum Schlafverhalten, Herzfrequenz und Körpertemperatur, werden über die App an das RKI gesendet.
Mithilfe von Algorithmen können dann anhand der übertragenen Daten verschiedene Symptome erkannt werden, die mit einer Coronavirus-Infektion in Verbindung gebracht werden.

Dadurch, dass der Nutzer der App einmalig seine Postleitzahl angibt, können diese Ergebnisse dann auch geographisch aufbereitet und die Verbreitung von möglicherweise infizierten Personen bis auf die Ebene der Postleitzahl auf einer Karte visuell dargestellt werden. Diese Karte soll regelmäßig aktualisiert und auf der Webseite der Corona-Datenspende veröffentlicht werden.

Die Corona-Datenspende-App wurde durch den Datenschutzbeauftragten des Robert Koch-Instituts in datenschutzrechtlicher Hinsicht geprüft und freigegeben. Im Vorfeld wurde das RKI hinsichtlich der Umsetzung der App auch durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) beraten. Auch die weitere Datenverarbeitung durch die App soll von Seiten des BfDI begleitet werden.
Sichergestellt ist, dass die Daten durch das RKI pseudonymisiert verarbeitet werden. Nach eigenen Angaben erlangt das RKI zu keinem Zeitpunkt Kenntnis über persönliche Informationen wie Name oder Anschrift der App-Nutzer. Weiterhin findet die Übertragung der Daten ausschließlich über TLS/SSL-verschlüsselte Schnittstellen unter Nutzung des individuellen Pseudonyms statt.

Videoaufzeichnungen von Gerichtsverhandlungen in Zeiten von Corona

8. April 2020

Video-Verhandlungen gewinnen durch die Corona Krise immer mehr an Relevanz, da die Gerichte seit Ausbruch der Pandemie zu einem Notbetrieb gezwungen werden und viele Termine um Monate verschoben wurden. Die Justizminister der Länder verlangten sogar öffentlich, die Gerichte sollten ihren Dienst weitgehend einstellen, denn gefüllte Gerichtssäle stellen zweifellos eine Gesundheitsgefahr dar, „Social Distancing“ ist so schwer möglich.

Da dies für viele Richter und Anwälte inakzeptabel erscheint, werden Forderungen nach Online-Verhandlungen und Videoübertragungen immer lauter. Die Angst der Gerichte vor einem nicht mehr aufholbaren Rückstau bei totalem Verhandlungsausfall ist groß.  „Die Zivilprozessordnung erlaubt es, Verhandlungen ohne körperliche Präsenz der Parteien durch allgemein übliche Ton- und Bildübertragungen durchzuführen“, so Uwe Freyschmidt, Vorsitzender des Berliner Anwaltvereins. „Videoübertragungen können die persönliche Präsenz in Gerichtsverhandlungen auf einfachem Weg ersetzen.“

Vereinzelt bedienen sich die Gerichte schon der Video-Verhandlung. Bei einigen Arbeitsgerichten in Niedersachsen werden die Gütetermine nach § 54 ArbGG beispielsweise bereits im Rahmen von Video- oder Telefonkonferenzen durchgeführt.

Der Öffentlichkeitsgrundsatz wird durch die Videoübertragung in den Sitzungssaal gewahrt, wobei hier während der Corona-Krise sehr fraglich bleibt, ob es sinnvoll ist, Zuschauer in den Sitzungssaal zu lassen.

Voraussetzung für die Video-Verhandlung ist ein kompatibles Videokonferenzsystem. Die Gerichte, die die Video-Verhandlung bereits eingeführt haben, benutzen zumeist Skype Business, bei denen das Gericht die Konferenz administriert und den Parteien entsprechende Einladungslinks elektronisch (per Mail) übermittelt. Die Möglichkeit, Gerichtsverhandlungen per Skype durchzuführen, wirft datenschutzrechtliche Fragen auf:

  • Drittstaatenübermittlung: Es gab im Zusammenhang mit Skype in der Vergangenheit bereits Verstöße gegen die DSGVO bzgl. der Datenübermittlung an Drittstaaten. Es wurde bekannt, dass Transkribierungen von Skype-Mitschnitten durch Auftragnehmer in China durchgeführt wurden.
  • Einwilligungen der Parteien: Der Anwalt kann nicht für seinen Mandanten in die Verarbeitung dessen Daten durch die Skype nutzenden Gerichte einwilligen. Es ist somit zwingend notwendig, dass die Parteien der Verhandlung selbst datenschutzrechtliche Einwilligungserklärungen abgeben. Die Einwilligung sollte sich ausdrücklich auch auf die Datenübermittlung in Drittstaaten beziehen.
  • Auftragsverarbeitung: Außerdem ist durch die Gerichte sicherzustellen, dass etwaige Auftragnehmer die Daten der Prozessteilnehmer nicht zu eigenen Zwecken nutzen.
  • Zugriff Unbefugter: Bei der Nutzung von Skype wird auch der U.S. Cloud-Act relevant, der fast zeitgleich mit der DSGVO in Kraft getreten ist. Gemäß des U.S. Cloud-Act könnten US-Ermittlungsbehörden Daten direkt von Unternehmen wie beispielsweise Microsoft, Google, Skype oder Amazon anfordern. Der U.S. Cloud-Act verpflichtet US-Unternehmen selbst dann zur Datenherausgabe, wenn lokale Gesetze am Ort des Datenspeichers dies verbieten. Wie Gerichte die Prozessbeteiligten vor diesem DSGVO-widrigen Verhalten schützen wollen, ist noch unklar.

BfDI-Stellungnahme zur elektronischen Patientenakte

Letzte Woche hat das Bundeskabinett einen Gesetzentwurf zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur veröffentlicht. In seiner Stellungnahme begrüßt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber (BfDI) die Einführung einer elektronischen Patientenakte, bemängelt aber auch datenschutzrechtliche Defizite in dem Gesetzentwurf.

Der BfDI befürwortet die angestrebte Digitalisierung und hebt die Vorteile einer elektronischen Patientenakte, die die Kommunikationen zwischen den zuständigen Stellen und den Patienten erleichtern kann, hervor. Demnach sei es aber auch gut, dass die Nutzung einer solchen elektronischen Akte für Patienten freiwillig ist.

Schwerwiegende Defizite sieht der BfDI insbesondere in Bezug auf das Zugriffsmanagement für die elektronische Patientenakte. Zum einen können die Nutzer erst ein Jahr nach Einführung der elektronischen Patientenakte den Zugriff auf Dokumente feingranular, d.h. für jedes Dokument einzeln verwalten. Zum anderen wird dies nur mit einem geeigneten Endgerät mit der entsprechenden App möglich sein. Bis zu diesem Zeitpunkt und für alle Nutzer ohne geeignetes Endgerät ist es möglich den Zugriff auf ihre Daten nur grobgranular zu verwalten, was Kelber als unzureichend bewertet. Zudem äußert der BfDI Bedenken hinsichtlich der Freigabe von personenbezogenen Daten für die Forschung. Probleme ergeben sich unter anderem im Zusammenhang mit der notwendigen informierten Einwilligung zur Nutzung der Daten für Forschungszwecke. Außerdem wird nicht geklärt, welche Stelle die Aufgaben des geplanten Forschungsdatenzentrums wahrenehmen wird.

New Yorker Generalstaatsanwaltschaft prüft Datenschutzpraxis der Videokonferenz-App Zoom

1. April 2020

Laut New York Times ist die Videokonferenz-App Zoom ins Blickfeld der New Yorker Generalstaatsanwaltschaft geraten.

Die Staatsanwaltschaft forderte das verantwortliche Unternehmen demnach auf, Auskunft über die getroffenen Sicherheitsmaßnahmen zum Schutz von Nutzerdaten zu erteilen. Des Weiteren will die Staatsanwaltschaft prüfen, welche Kategorien von Daten die App genau sammle.

Hintergrund

Die Videokonferenz-App Zoom hat seit der Corona Krise eine enorme Nachfrage zu verzeichnen, war aufgrund seiner Datenschutzpraxis jedoch bereits mehrfach in die Kritik geraten:

So häufen sich in den USA Fälle des sogenannten „Zoombombing“. Hierbei wählen sich Fremde in die meist schlecht geschützten Konferenzen ein und spielen beispielsweise rassistische Beleidigungen ein.

Ende März berichtete das Magazin Motherboard, dass Zoom die Daten seiner Nutzer an Facebook weitergebe. Dies geschehe unabhängig davon, ob der Nutzer über ein Facebook Profil verfüge oder nicht. Sobald der Nutzer die App öffne, gebe Zoom beispielsweise Einzelheiten über das verwendete Gerät des Nutzers – wie das Modell, die Zeitzone und die Stadt von der die Verbindung hergestellt wird – und den Namen des Mobilfunkanbieters an Facebook weiter.

Kritisiert wurde dabei weniger die Form der Datenübermittlung, als dass die Datenschutzhinweise von Zoom über diese Vorgehensweise nicht aufklärten. Dort hieß es lediglich, dass Facebook-Profilinformationen gesammelt werden könnten, wenn man sich mit seinem Facebook Konto anmeldet. Dass darüber hinaus eine generelle Datenübermittlung an Facebook stattfinde, ging aus den Datenschutzhinweisen nicht hervor.

Erst als die Datenweitergabe an Facebook öffentlich wurde, reagierte das Unternehmen umgehend und beendete die uneingeschränkte Datenweitergabe an Facebook mittels eines Updates.

Auch die US-Bürgerrechtsorganisation EFF wies jüngst darauf hin, dass Administratoren in Zoom erhebliche Einblicke in das jeweilige Nutzerverhalten erhielten. So hätten Administratoren die Möglichkeit sich darüber zu informieren, wie, wann und wo der jeweilige Nutzer Zoom benutze und könnten über ein Ranglistensystem Kenntnis von der Gesamtzahl der Sitzungen eines Nutzers erlangen. Weiterhin ermögliche Zoom die Aufmerksamkeit der Nutzer zu kontrollieren, in dem der Gastgeber einer Konferenz eine Mitteilung erhalte, sobald das Zoom-Fenster eines Konferenzteilnehmers länger als 30 Sekunden nur im Hintergrund liefe.

Sicherheitsmaßnahmen prüfen

Der Staatsanwaltschaft gehe es, laut NY Times, vor allem darum, sicherzustellen, dass Zoom eine umfassende Überprüfung seiner Sicherheitspraktiken vorgenommen hat und die Sicherheitsmaßnahmen des Unternehmens dem neuen und erhöhtem Datenverkehr auch in datenschutzrechtlicher Hinsicht gerecht werden.

Das Unternehmen selbst teilte mit, der Generalstaatsanwaltschaft die gewünschten Informationen zur Verfügung stellen zu wollen.

Update

Zoom selbst hat sich mit einem umfassenden Statement zu der Situation geäußert und erläutert, welche Maßnahmen, abgesehen von der Beendigung der Datenweitergabe an Facebook, ergriffen wurden und welche in Zukunft zum Tragen kommen sollen, um die datenschutzkonforme Nutzung von Zoom zu ermöglichen.

Zu den ergriffenen Maßnahmen gehört unter anderem ein Update der Datenschutzerklärung und die Deaktivierung des in Kritik geratenen „Aufmerksamkeitstracking“ (welches darüber hinaus sowieso nur aktiv war, wenn der Host es bewusst aktiviert).

Themenreihe Datenschutz und Corona – Teil 10: App zur Nachverfolgung von Corona-Kontakten in der Diskussion

Nachdem zunächst im Rahmen der Novelle des Infektionsschutzgesetzes geplant war, mögliche Kontaktpersonen von am Covid-19-Virus erkrankten Personen „anhand der Auswertung von Standortdaten des Mobilfunkgerätes zu ermitteln, dadurch die Bewegung von Personen zu verfolgen und im Verdachtsfall zu kontaktieren“, dieses Vorhaben wegen Kritik aus Politik und von Datenschützern jedoch fallengelassen wurde, arbeiten das Robert-Koch-Institut (RKI) und das Heinrich-Hertz-Institut (HHI) an einer App, welche die Ermittlung von Kontaktpersonen und die Benachrichtung der Betroffenen ermöglichen soll.

Durch die App sollen Smartphones unter Aktivierung der Bluetooth-Technik scannen können, welche anderen Geräte sich in der Nähe befinden. Diese Informationen würden zunächst nur lokal auf dem Smartphone selbst gespeichert, und erst im Falle einer postiven Diagnose auf einen zentralen und sicheren Server gesendet, auf welchen nur das RKI oder das HHI Zugriff haben.

Dabei sollen jedoch keine Klarnamen oder sonstige Informationen zur Identifizierung der Betroffenen verwendet werden, sondern ausschließlich zufällig erstellte und anonyme IDs. Auch die Benachtichtigung der möglichen Kontaktpersonen erfolge anonym, für das RKI oder HHI sei nur die ID der möglichen Kontaktperson sichtbar. Diese werde dann aufgefordert, sich einem Test zu unterziehen und sich bis zum Erhalt der Diagnose in Quarantäne zu begeben.

Obwohl diese Vorgehensweise und technische Ausgestaltung einen möglichst weitgehenden Schutz der personenbezogenen Daten der Nutzer sowie deren Privatsphäre ermöglichen soll, wird auch hier Kritik geäußert. Von Seiten der FDP wird eine vorherige Überprüfung der App durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sowie durch das Bundesamt für Sicherheit in der Informationstechnik gefordert, um den Abbau der Bürgerrechte auch in Zeiten der Coronakrise zu verhindern. Auch der Hamburgische Datenschutzbeauftragte, Johannes Caspar, warnte, dass eine Überwachung aller Infizierten zu einem nicht hinnehmbaren Generalverdacht führe. Eine Nutzung der App auf der Grundlage einer Einwilligung sei jedoch denkbar, doch müsse noch geprüft werden, wie weit die Anonymisierung der verarbeiteten Daten tatsächlich erfolge.

Wann eine entsprechende App zur Nachverfolgung der Infektionsketten und zur Benachrichtigung möglicher Betroffener zum Einsatz kommen kann, bleibt somit abzuwarten. Die Epidemiologen hoffen im Falle eines Einsatzes, dass möglichst viele Bürger die App auf freiwilliger Basis nutzen. So könne eine bessere Nachverfolgung der Infektionen und somit auch eine Ausbreitung des Virus verhindert werden.

Datenpanne bei der Investitionsbank Berlin

31. März 2020

Der Berliner Beuftragte für Datenschutz und Informationsfreiheit, teilte in der Pressemitteilung vom 30.März 2020 mit, dass sich bei der Investitionsbank Berlin eine Datenpanne ereignet hat.

Seit vergangenem Freitag zahlt die Investitionsbank Berlin (im Folgenden: IBB) bedürftigen Einzel- und Kleinstunternehmern bis zu 15.000 € aus dem Hilfspaket des Landes Berlin aus. Dadurch sollen die Liquiditätsengpässe, die den Unternehmen durch die Corona-Krise entstandenen sind, aufgefangen werden.

Die IBB hatte die dänische Software-Firma „Queue-it“ dazu beauftragt eine Warteschlange für die 150.000 eingegangenen Anträge zu erstellen. Dadurch wurde ein schwerwiegender Programmierfehler ausgelöst, der zu einer Datenpanne führte.

Nach Abschluss des Antragsverfahren wurde den Antragsstellern die Kopie einer fremden Person zum Herunterladen angezeigt. Bei den einsehbaren personenbezogenen Daten handelte es sich um Ausweis-, Bank- und Steuerdaten, sowie um Angaben zum Unternehmen.

Nach aktuellem Stand sollen 390 Personen am Freitag in der Zeit von 15:30-16:30 von der Datenpanne betroffen gewesen sein. Am Montag wurde der Datenschutzverstoß fristgemäß bei der zuständigen Aufsichtsbehörde gemeldet. Aktuell werden alle betroffenen Personen ermittelt, um sie gemäß Art. 34 DSGVO über den Vorfall zu informieren. Informationen zu einem möglichen Bußgeldverfahren liegen noch nicht vor.

Themenreihe Datenschutz und Corona – Teil 9: Gesellschaftliche Einschätzung zur Wichtigkeit des Datenschutzes

27. März 2020

Die Corona-Krise stellt nicht nur das Gesundheitssystem, die Wirtschaft und jeden Einzelnen vor Schwierigkeiten. Menschen in den sogenannten ‚systemrelevanten‘ Berufen arbeiten seit Tagen sowohl körperlich als auch psychisch am Limit und sind ständig dem Virus und seinen Folgen ausgesetzt.

Die zu befürchtenden wirtschaftlichen Schäden sind bislang nur zu erahnen und führen zu zusätzlichen Sorgen. Das Thema ist derzeit allgegenwärtig. Die Bevölkerung ist in Sorge, sich oder andere Menschen anzustecken und ob Sie selbst, Familie, Freunde und Bekannte die Krise gesundheitlich und wirtschaftlich überstehen.

In diesen Zeiten fällt es verständlicher Weise schwer sich auch weiterhin mit Datenschutz zu beschäftigen. Nicht Wenige haben gerade in Zeiten des Coronavirus schlicht keine Lust auf die „leidigen“ datenschutzrechtlichen Themen und Einige sehen den Datenschutz sogar als zusätzliche Hürde, wenn es zum Beispiel darum geht im Home-Office arbeiten zu können.

Gesellschaftliche Einschätzung zum Datenschutz

In den letzten zwei Wochen haben wir uns die größte Mühe gegeben, Ihnen, mit Hilfe unserer Themenreihe Datenschutz und Corona, datenschutzrechtliche Vorgaben und Maßnahmen sowie die Besonderheiten der aktuellen Situation näher zu bringen. Mit diesem Beitrag möchten wir noch die allgemeine gesellschaftliche Haltung gegenüber dem Thema Datenschutz und seine nicht mindergeringe Bedeutung zu Zeiten des Coronavirus diskutieren.

Bereits Anfang März hat die FAZ einen Artikel veröffentlicht, der die Ergebnisse einer repräsentativen Umfrage zum Thema hatte, die das Marktforschungsunternehmen Innofact im Auftrag von Usercentrics durchgeführt hat. Ergebnis dieser Studie war, dass ein großer Teil der deutschen Bevölkerung zur Bekämpfung der Corona-Krise bereit ist, Einschränkungen beim Datenschutz und damit des Rechts auf informationelle Selbstbestimmung hinzunehmen. Darüber hinaus spricht sich die Mehrheit der Befragten auch für die Ausweitung der Vorratsdatenspeicherung (beispielsweise von Flug- und Reisedaten) aus, um die Verbreitung der Pandemie nachvollziehen zu können. Zudem sind mehr als 50% der Befragten bereit, ihre Gesundheitsdaten freiwillig preiszugeben.

Als das Robert-Koch-Institut (RKI) bekannt gab, dass es von einer Tochterfirma der Deutschen Telekom AG mehrere Terrabyte anonymisierter Daten bekommen hat, um Bewegungsmuster von Telekom-Nutzern nachzuvollziehen und so die Wirksamkeit der bislang verhängten Maßnahmen zu bewerten, gab es ebenfalls kaum Stimmen, die eine solche Datenweitergabe kritisch sahen. Dies mag daran liegen, dass es sich um anonymisierte Daten handelt. In anderen Ländern ist es aber nicht bei einer anonymisierten Datenweitergabe geblieben. In China, Südkorea und Taiwan zum Beispiel wurden Phone-tracking-Technologien und Handy-Apps eingesetzt, um die Bewegungsmuster auf Individuen herunterbrechen zu können.

Zum Thema Handy-Apps gibt es auch Neuigkeiten aus Österreich. Das Österreichische Rote Kreuz hat die App „Stopp Corona“ entwickelt. Ziel der App ist, es dass die Nutzer der App tracken sollen, mit wem sie Kontakt hatten. Im Falle einer Infektion soll der Nutzer diese in der App angeben, um die Kontakte der letzten 48 Stunden automatisiert über die Infektion zu unterrichten und diese aufzufordern, sich selbst zu isolieren. Auch hier soll die Datenverarbeitung laut Angaben des Roten Kreuzes anonymisiert erfolgen. Die App ist seit Dienstag, 24.03.2020, in Österreich für Android-Geräte verfügbar. Ob und mit welchem Erfolg diese und ähnliche Apps bei der Ausbreitung der Pandemie helfen können bleibt abzuwarten.

Ansicht des BfDI

Der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI), Dr. Ulrich Kelber, wiederholt dieser Tage jedenfalls immer wieder, dass der Verhältnismäßigkeitsgrundsatz gewahrt werden muss. Das bedeutet, dass zu ergreifende Maßnahmen wirksam sein müssen, um überhaupt aus datenschutzrechtlicher Sicht, gerechtfertigt werden zu können.

Darüber hinaus betont der BfDI, dass seine Behörde in ständigem Kontakt mit dem RKI sei und bereit für datenschutzrechtliche Prüfungen möglicherweise zu ergreifender Maßnahmen. Den Einsatz einer App, ähnlich der „Stopp Corona“ App, schließt er grundsätzlich nicht aus, bringt in die Diskussion aber ein, dass die Datenverarbeitung an eine Einwilligung des Betroffenen geknüpft werden sollte.

Handelt es sich um neue Erkenntnisse?

Aber sind diese Erkenntnisse wirklich neu, oder erscheinen sie durch den Bezug zur Corona-Krise nur in einem anderen Licht?

Der überwiegende Teil der Bevölkerung nutzt die Social Media Dienste Facebook und Instagram. Darüber hinaus erfreuen sich auch Messenger wie WhatsApp nach wie vor großer Beliebtheit in der Gesellschaft und stehen weltweit genauso hoch im Kurs wie der Kartendienst Google Maps. Was all diese Dienste gemein haben ist, dass sie bereits alle wegen Konflikten mit datenschutzrechtlichen Vorgaben in den Medien waren. Nutzern muss also bewusst sein, dass sie sehr viel über sich persönlich, Interessen, Hobbies, Aufenthaltsorte usw. preisgeben. Dies wird gerne in Kauf genommen, um die vermeintlich kostenlosen Vorteile, die sich ihnen durch die Verwendung der oben genannten Dienste ergeben, zu nutzen. Die Betreiber dieser Dienste lassen sich jedoch allzu gerne mit den freiwillig bereit gestellten Daten der Nutzer entschädigen, beispielsweise um auf den Einzelnen zugeschnittene Werbung zu platzieren.

Die Erkenntnis, dass personenbezogene Daten freiwillig zur Verfügung gestellt werden, ist also eigentlich gar nicht neu. In der derzeitigen Situation erscheint der zweifelsohne wichtige Zweck der Pandemiebekämpfung nur als willkommene Ausrede, weil es ‚erstrebenswert‘ erscheint den Datenschutz gegenüber einem höheren Ziel hintanzustellen.

Aber auch, wenn gewisse Maßnahmen, insbesondere bei anonymisierter Verwendung von Daten zur Bekämpfung des Corona Virus sinnvoll zu sein scheinen, so sollten Eingriffe in die informationellen Selbstbestimmung jedes Einzelnen auch jetzt nur nach behutsamer Abwägung erfolgen, damit sich jeder Mensch im Rahmen seiner Freiheiten und Rechte auch weiterhin frei entfalten kann. Deshalb ist es auch in Zeiten der Corona-Krise wichtig, die datenschutzrechtlichen Voraussetzungen der DSGVO und der anderen Datenschutzgesetze des Bunds sowie der Länder, die den Gedanken der informationellen Selbstbestimmung in sich tragen, zu wahren, auch und vor allem, wenn sensible Daten wie Gesundheitsdaten verarbeitet werden sollen.

Mit diesem Beitrag enden die täglichen Beiträge zur Themenreihe Datenschutz und Corona. Von Zeit zu Zeit werden wir diese Reihe selbstverständlich um neue Beiträge aus dem Bereich ergänzen und Sie natürlich auch weiterhin über datenschutzrechtliche Neuigkeiten auf dem Laufenden halten, die keinen Bezug zur Corona-Krise haben.

Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.

Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen sich und andere.

1 2 3 4 5 6 211