28. April 2020
Datenschutz‑Leitlinien Corona App
Coronavirus - Handlungsempfehlungen für Unternehmen Datenschutzrecht

EU veröffentlicht Datenschutz‑Leitlinien für Corona‑Apps

Die EU‑Kommission hat Leitlinien zum Datenschutz bei der Entwicklung von Smartphone‑Apps zur Bekämpfung der Corona‑Pandemie vorgelegt

Die Europäische Union forciert seit längerem eine Maßnahme, die zur Eindämmung des Coronavirus beitragen soll: Smartphone‑Applikationen (auch „Corona‑Apps“ oder „Tracing‑Apps“ genannt), die insbesondere Nutzer warnen sollen, wenn sie sich in der Nähe einer mit COVID‑19 infizierten Person aufgehalten haben. Über die konkrete Ausgestaltung einer solchen App wird derzeit diskutiert. Eine Übersicht sowie ein FAQ zur Nutzung von Corona‑Apps haben wir bereitgestellt.

Auch in Zeiten der Krise darf der Datenschutz jedoch nicht zu kurz kommen – gerade bei einer App, die regelmäßig den Standort des Nutzers abfragt und diesen auch noch mit Standorten anderer Nutzer ins Verhältnis setzt. Die EU‑Kommission hat daher am 17. April 2020 Leitlinien zur Gewährleistung von Datenschutzstandards im Zusammenhang mit der Entwicklung neuer Apps zur Unterstützung der Bekämpfung des Coronavirus veröffentlicht.

EU-Kommission und Bundesregierung wollen Ausbreitung von COVID‑19 durch Corona‑Apps nachverfolgen und eindämmen

Die deutsche Bundesregierung unterstützt zum Beispiel die Pan‑European Privacy‑Preserving Proximity Tracing‑Initiative (PEPP‑PT), an der unter anderem das Robert‑Koch‑Institut (RKI) und das Fraunhofer Heinricht‑Hertz‑Institut (HHI) beteiligt sind. Jedoch ist derzeit noch nicht sicher, ob tatsächlich die PEPP‑PT‑Technik oder etwa ein konkurrierender Ansatz aus der Schweiz mit dem Namen „DP3T“ zum Einsatz kommen wird, hinter dem eine Gruppe von Forschern von der ETH Zürich und der EPFL Lausanne steht.

Am 26. April 2020 veröffentlichten Kanzleramtsminister Helge Braun und Bundesgesundheitsminister Jens Spahn zum Thema Tracing‑App eine Erklärung, wonach ein auf Freiwilligkeit basierter, datenschutzkonformer und vor allem dezentraler Ansatz bei der Entwicklung der App unterstützt wird. Dezentral bedeutet in diesem Zusammenhang, dass die über die App gesammelten Daten nicht zentral, etwa auf einem Server des RKI, gespeichert werden, sondern nur noch auf dem Smartphone des Nutzers. Die Weitergabe an das RKI soll möglich, aber nicht verpflichtend sein.

Das RKI veröffentlichte zudem am 7. April 2020 eine „Corona‑Datenspende‑App“, die ergänzende Informationen dazu liefern so, wo und wie schnell sich das Coronavirus in Deutschland ausbreitet und bittet nunmehr um „Datenspenden“ von Fitnessarmband‑ und Smartwatch‑Nutzern. Mit Hilfe der Daten (u.a. zur Aktivität und Herzfrequenz) sollen neuartige Algorithmen verschiedene Symptome erkennen können (z.B. erhöhter Ruhepuls als Hinweis auf Fieber), die Rückschlüsse auf eine mögliche Coronavirus‑Infektion geben sollen. Der Chaos Computer Club (CCC) hält jedoch nur wenig von der Datenspende‑App und veröffentlichte in einer Analyse vom 19. April 2020 unter anderem eine Liste mit Sicherheitsmängeln.

Mit ihrer Empfehlung vom 8. April 2020 schaltete sich auch EU‑Kommission in die Debatte ein. Demnach wird die Entwicklung eines EU‑Instrumentariums für die Nutzung von Mobil‑Apps und Daten von mobilen Geräten bei der Bekämpfung der Corona‑Pandemie empfohlen. Dabei müsse es sich um ein koordiniertes, europaweites Konzept für die Nutzung von Mobil‑Apps handeln. Zudem müsse das Instrumentarium ein gemeinsames System für die Modellierung und Vorhersage der Entwicklung des Coronavirus durch (anonymisierte und aggregierte) Mobilfunk‑Standortdaten bieten.

Leitlinien zum Datenschutz für Corona‑Apps

Auf Grundlage der EU‑Datenschutz‑Grundverordnung (DSGVO) und der Datenschutzrichtlinie für elektronische Kommunikation (2002/58/EG vom 12. Juli 2002) veröffentlichte die EU‑Kommission nunmehr Leitlinien zum Datenschutz für Corona‑Apps. Damit soll der Rahmen dafür geschaffen werden, dass die personenbezogenen Daten der Nutzer ausreichend geschützt werden.

Der belgische EU‑Justizkommissar Didier Reynders äußert sich insofern wie folgt:

Die Verwendung von Apps für Mobiltelefone kann einen wertvollen Beitrag zur Bekämpfung des Coronavirus leisten. Solche Apps können beispielsweise den Nutzern die Selbstdiagnose erleichtern, als sicherer Kommunikationskanal zwischen Ärzten und Patienten dienen, potenziell infizierte Nutzer warnen und zur Lockerung der Ausgangsbeschränkungen beitragen. Gleichzeitig geht es aber um äußerst sensible Daten über die Gesundheit der Bürgerinnen und Bürger, die unbedingt geschützt werden müssen.

Dies werde bei Einhaltung der vorgelegten Leitlinien gewährleistet. Parallel zu den Leitlinien veröffentlichte die Kommission das bereits mit der Empfehlung vom 8. April 2020 angekündigte EU‑Instrumentarium für die Nutzung von Mobil‑Apps zur Kontaktnachverfolgung und Warnung.

Die rechtlich nicht bindenden Leitlinien richten sich gleichermaßen an Mitgliedstaaten und App‑Entwickler und sollen für ein kohärentes Vorgehen in der gesamten Europäischen Union sorgen. Durch die Festlegung von Merkmalen und Anforderungen für Corona‑Apps soll die Einhaltung europäischer Datenschutzvorschriften sichergestellt werden.

Anwendungsbereich der Leitlinien

Die Leitlinien der Kommission beziehen sich nur auf Anwendungen zur Unterstützung der Bekämpfung der COVID‑19‑Pandemie. Um als solche angesehen zu werden, muss die Applikation eine oder mehrere der folgenden Funktionen aufweisen:

  • Informationsfunktion: Bereitstellung präziser Informationen über die COVID‑19‑Pandemie für Einzelpersonen;
  • Symptomkontrollfunktion: Applikationen als Instrument für Gesundheitsbehörden zur Bereitstellung von Fragebögen zur Selbstbewertung und als Orientierungshilfe für Einzelpersonen;
  • Kontaktnachverfolgungs- und Warnfunktion: Warnung von Personen, die sich während einer bestimmten Zeit in der Nähe einer infizierten Person befanden, um Informationen über die Möglichkeit einer freiwilligen Quarantäne und den Ort für einen Test zur Verfügung zu stellen;
  • Einsatz von Telemedizin: Bereitstellung eines Forums für die Kommunikation zwischen Ärzten und Patienten, die sich in Selbstisolierung befinden oder denen weitere Diagnose- und Therapiehinweise angeboten werden.

Darüber hinaus müssen die Anwendungen ohne Zwang eingesetzt werden, das heißt von Einzelpersonen auf freiwilliger Basis heruntergeladen, installiert und genutzt werden.

Corona‑Apps müssen datenschutzrechtliche Mindestvoraussetzungen erfüllen

Die Leitlinien der Kommission listen folgende „Elemente für eine vertrauensvolle und verantwortungsbewusste Nutzung von Apps“:

  1. Nationale Gesundheitsbehörden müssen Verantwortliche für die Datenverarbeitung sein.
  2. Die betroffene Person muss die Kontrolle über ihre personenbezogenen Daten behalten.
  3. Es muss eine Rechtsgrundlage für die Datenverarbeitung vorliegen.
  4. Dem Grundsatz der Datenminimierung muss Rechnung getragen werden.
  5. Die Offenlegung von und der Zugang zu personenbezogenen Daten muss weitestgehend beschränkt werden.
  6. Die Verarbeitung der Daten muss zweckbestimmt
  7. Die Datenspeicherung muss streng begrenzt werden.
  8. Die Datensicherheit und Datenrichtigkeit müssen gewährleistet werden.
  9. Die zuständigen Datenschutzbehörden sollten umfassend in die Entwicklung der Applikationen einbezogen werden.

Nur bei Einhaltung vorgenannter Voraussetzungen können die zu erwartenden weitgehenden Eingriffe in die Rechte der betroffenen Personen gerechtfertigt werden, so die EU‑Kommission.

Rechtsgrundlage der Datenverarbeitung durch Gesundheitsbehörden

Aus rechtlicher Perspektive gebührt der für die Verarbeitung der personenbezogenen Daten erforderlichen Rechtsgrundlage besondere Aufmerksamkeit. Grundsätzlich würden, so die EU‑Kommission, nationale Gesundheitsbehörden die Verarbeitung personenbezogener Daten auf eine der folgenden Rechtsgrundlagen stützen können:

  • Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen (Art. 6 Abs. 1 lit. c DSGVO);
  • 9 Abs. 2 DSGVO im Falle von Gesundheitsdaten, z.B. Einwilligung der betroffenen Person, Schutz lebenswichtiger Interessen oder Verarbeitung für Zwecke der Gesundheitsvorsorge; oder
  • Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt (Art. 6 Abs. 1 lit. e DSGVO).

Neben diesen Rechtsgrundlagen regt die EU‑Kommission den Erlass von Rechtsvorschriften durch die Mitgliedstaaten an, die für die Verarbeitung personenbezogener Daten von betroffenen Personen herangezogen werden können. Voraussetzung dafür sei, dass die Vorschriften Maßnahmen vorsehen, die eine Überwachung von Epidemien erlauben und den Anforderungen von Art. 6 Abs. 3 DSGVO genügten. Konkret böte der Erlass nationaler Rechtsakte folgende Vorteile:

  1. Die Verarbeitung spezifischer Gesundheitsdaten im Einzelnen würden vorgeschrieben und die Zwecke der Verarbeitung festgelegt;
  2. es würde eindeutig angegeben, wer für die Datenverarbeitung zuständig wäre, d.h. welche Stelle die Daten verarbeiten würde und wer neben dem Verantwortlichen Zugriff auf die Daten hätte;
  3. es würde die Möglichkeit ausgeschlossen, die entsprechenden Daten zu anderen als die in dem Rechtsakt aufgeführten Zwecken zu verarbeiten; und
  4. es könnten besondere Schutzvorkehrungen getroffen werden.

Unter diesen Voraussetzungen könnte eine höhere Akzeptanz in der Bevölkerung geschaffen werden, so die Kommission. In Deutschland käme beispielsweise der Erlass einer Rechtsverordnung nach § 32 Infektionsschutzgesetz (IfSG) in Betracht, wonach die Landesregierungen grundsätzlich ermächtigt sind, Ge- und Verbote zum Infektionsschutz zu erlassen.

Corona‑Apps können zu Eindämmung beitragen

Zumindest in Deutschland dürfte der Erlass einer bundesweit einheitlichen, nationalen Rechtsvorschrift als Rechtsgrundlage für die Datenverarbeitung im Rahmen von Corona‑Apps kaum umsetzbar sein. Dieses Ansinnen würde bereits daran scheitern, dass – wie derzeit laufend in den Nachrichten zu verfolgen ist – Infektionsschutz Ländersache bzw. Angelegenheit der Kommunen ist und § 32 IfSG daher auch die Landesregierungen und Kommunen und eben nicht die Bundesregierung zum Erlass von Rechtsverordnungen ermächtigt. Es erscheint ohnehin im Sinne eines kohärenten Vorgehens zielführend, die seit gerade einmal zwei Jahren geltende DSGVO in diesem Fall heranzuziehen – gerade bei einem so sensiblen Thema wie Datenschutz. Dadurch würde das Vertrauen der Bürger im Vergleich zu der Schaffung einer neuen Rechtsgrundlage gestärkt.

Auf der anderen Seite wäre es im Sinne einer Eindämmung der Corona‑Pandemie zu begrüßen, wenn eine funktionsfähige, datenschutzgerechte und für jedermann zugängliche App entwickelt würde. Die Menschen scheinen auch nicht grundsätzlich abgeneigt zu sein – das RKI meldete eine Woche nach seinem Aufruf bereits mehr als 300.000 freiwillige Datenspenden. Es liegt nun an der Bundesregierung und den Entwicklern, die Vorgaben der Kommission umzusetzen und somit das Vertrauen der Menschen zu gewinnen. Auch wenn die Corona‑App sicherlich nicht den ganz großen Durchbruch zur Eindämmung der Krise bewirken kann – einen Beitrag kann sie allemal leisten.

In unserer Blogserie zu „Coronavirus: Handlungsempfehlungen für Unternehmen″ zeigen wir anhand der aktuellen Situation unternehmensbezogene Stolpersteine auf, die in Krisenzeiten zu beachten sind. Bereits erschienen sind Beiträge zu Verhandlungen, Verjährungen und Verfristungen sowie Haftungsfragen bei Absagen von Messen- und Veranstaltungen, zum Datenschutz trotz Corona und zu  Möglichkeiten von Aktiengesellschaften zur Cash-Ersparnis sowie Vermögensübertragungen zu steuergünstigen Konditionen. In weiteren Beiträgen gehen wir ein auf die Erstellung eines Notfallplans, auf Vertriebsverträge und Tips Lieferanten in Krisenzeiten und auf Auswirkungen auf Lebensmittel- und Hygieneverordnungen. Im Anschluss haben wir uns mit der streitigen (gerichtliche) Auseinandersetzung befasst, sind auf kartellrechtliche Auswirkungen sowie die Bedeutung für den Kapitalmarkt eingegangen. Näher befasst haben wir uns auch mit „infizierten″ Vertragsverhandlungen, den Änderungen in Mittel- und Osteuropa sowie mit klinischen Studien und dem neuen EU-Leitfaden für Sponsoren uns Prüfärzte. Weiter geht es mit Pflichten zur Abgabe der Steuererklärung und eventuell steuerstrafrechtlichen Haftungsrisiken, dem Moratorium für Zahlungsverpflichtungen von Verbrauchern und Kleinstunternehmern, Unterstützungsmaßnahmen für Start-ups, das Kurzarbeitergeld, sowie den Erleichterungen für Stiftungen und Vereine und GmbH-Gesellschafterbeschlüsse. Es folgten weitere Beiträge zu Kooperationen im Gesundheitswesen und zu Sachspenden an Krankenhäuser, zum Marktzugang für persönliche Schutzausrüstung und Medizinprodukte, zur Beschlagnahmemöglichkeit von Schutzausrüstung durch den Staat und zu Auswirkungen auf laufende IT-Projekte


Aktuelle Informationen zu COVID-19 finden Sie in unserem Corona Center auf unserer Website. Wenn Sie Fragen zum Umgang mit der aktuellen Lage und zu den Auswirkungen für Ihr Unternehmen haben, sprechen Sie unser CMS Response Team jederzeit gerne an.

Tags: Corona App Datenschutz‑Leitlinien EU-Kommission