Das Robert-Koch-Institut zieht bei der Eindämmung der Coronavirus-Pandemie ein modernes Schwert: Mit Handydaten will es herausfinden, ob sich die Deutschen an die Empfehlungen der Regierung halten und zu Hause bleiben. Die Daten kommen dabei von der Deutschen Telekom. Welche datenschutzrechtlichen Fragen wirft das auf? Und: Wie weit könnte das noch gehen? Wir haben den Vorsitzenden der Gesellschaft für Datenschutz und Datensicherheit Rolf Schwartmann dazu befragt.
Herr Schwartmann, Sie sind ausgewiesener Datenschutzexperte und waren Mitglied der Datenethikkommission. Für den Einsatz von Handydaten im Zusammenhang mit der Coronakrise hat die Deutsche Telekom dem RKI bereits eine erste Datenlieferung übergeben. Welche Chancen bietet das geplante Tracking?
Rolf Schwartmann: Es bietet die Chance, die Pandemie unter Umständen einzudämmen. Denn man kann aufgrund der anonymen Daten "Herdenbewegungen" feststellen – allerdings ohne Personen dahinter zu identifizieren.
Das Robert-Koch-Institut kann mittels der Daten dann erkennen, wo sich viele Menschen aufhalten und Trends in den Bewegungen ableiten. Damit wiederum lässt sich überprüfen, ob sich die Bürger an die Empfehlungen halten und ob man gegensteuern und Maßnahmen ergreifen muss.
Welche datenschutzrechtlichen Erwägungen ruft das Tracking auf den Plan?
Der Bundesdatenschutzbeauftragte, Ulrich Kelber, hält das Vorgehen für in Ordnung. Es gibt in der Tat gesetzliche Spielräume für die anonyme Handyortung. Wenn man konkrete Gefahren für die öffentliche Sicherheit begrenzen will, kann man dies auf der Grundlage des Telekommunikationsgesetzes diskutieren.
Anonyme Standortdaten dürfen etwa auch zur Verkehrsplanung genutzt werden. Sie werden nun von der Telekom sozusagen zum Wohle der öffentlichen Sicherheit zur Verfügung gestellt. Wegen der Anonymität steckt da datenschutzrechtlich nicht viel Brisanz drin.
Die Entscheidung wäre also vermutlich auch so ausgefallen, wenn wir aktuell nicht in einer derartigen Krise stecken würden?
Ja, davon gehe ich persönlich aus und es gibt zugunsten der öffentlichen Sicherheit auch Regeln im Telekommunikationsgesetz. Wir hätten es im Vorfeld vermutlich länger rechtlich abgewogen, aber im Ergebnis wäre man wohl auch in Nicht-Krisenzeiten zur selben Entscheidung gekommen.
Insgesamt sind auch andere Szenarien mit Blick auf den Datenschutz diskutabel – und das müssen noch nicht einmal Eingriffe wie in Asien sein. Das Spektrum ist breit: Beispielsweise denkt das Robert-Koch-Institut über eine App nach, die im Auftrag des Betroffenen, also freiwillig und informiert, Daten erhebt. Sie können die Kontaktnachverfolgung bei Infizierten erleichtern, wenn diese das wollen.
Es ist nach DSGVO zulässig, wenn öffentliche Stellen oder Unternehmen bei einem dortigen Aufenthalt Kontaktdaten, wie die Handynummer einer Person erfragen, um dann, wenn bei einer der erfassten Personen, das Coronavirus auftritt, die Kontaktpersonen zu informieren. In solchen Fällen geht es allerdings nicht um das Telekommunikationsrecht sondern um die DSGVO.
Andere Länder greifen zur Bekämpfung des Virus noch umfassender auf Mobilfunkdaten zu. In Südkorea werden GPS-Daten von Smartphones und Autos, Kreditkarteninformationen, Einreiseinformationen und Bilder von Überwachungskameras genutzt, um die Einhaltung von Regeln zu überprüfen. Auch Israel setzt Überwachungsmethoden aus dem Anti-Terror-Kampf ein und überprüft speziell die Handys von Infizierten. In Europa wäre das verboten. Noch?
Ich denke nicht, dass so etwas bei uns möglich wäre. Es handelt sich um ein sehr intensives Eindringen in intime Bereiche des Lebens.
Ob das Vorgehen in China, Südkorea und Israel überhaupt etwas nützt, ist offen. Deshalb halte ich einen vergleichbaren Eingriff in der konkreten Situation nicht für geeignet und nicht für verhältnismäßig.
Ich kann mir nicht vorstellen, dass unser strenger europäischer Datenschutz für derart invasive Eingriffe gelockert wird. Das würde eine Tür für weitere auch missbräuchliche Nutzungen öffnen, deren Folgen man nicht absehen kann.
Sie sprechen von Verhältnismäßigkeit: Wie sehr muss das öffentliche Interesse das persönliche Interesse an Wahrung des Datenschutzes überwiegen, um solche Eingriffe zu rechtfertigen?
Es gibt nach unserem Recht nichts, was eine lückenlose Dauerüberwachung der Privatsphäre rechtfertigen kann. Denn die informationelle Selbstbestimmung speist sich aus der Menschenwürde - uns sind verfassungsrechtlich intime Rückzugsorte garantiert.
Inwiefern man mit anonymen Daten arbeiten kann, steht auf einem anderen Blatt. Es gibt aber nichts, was ein umfassendes Personentracking aus Gründen der Pandemiebekämpfung gegen den Willen des Betroffenen rechtfertigen würde. Unsere Verfassungswerte gelten auch in Krisen und halten Corona stand.
Kann Europa denn auch etwas von den Asiaten lernen?
Leider nur eins: Wie man es nicht machen sollte. Wir werden durch das dortige Vorgehen daran erinnert, welchen hohen Verfassungsrang Intimität und Persönlichkeit in unserer Rechtsordnung haben.
Von den Chinesen zu lernen würde hingegen bedeuten, die Gewichte in Richtung Überwachungsstaat zu verschieben, in dem der Zweck verbotene Mittel heiligt. Gegen derartige rechtliche Grenzverschiebungen müssen wir so sehr kämpfen, wie gegen das Virus.
Welche Daten könnte man sonst noch nutzen können, um die Eindämmung der Pandemie zu unterstützen?
Zum Beispiel Daten, die der Betroffene freiwillig zur Verfügung stellt. Jeder kann für sich unabhängig von einer Erkrankung entscheiden, zum Wohle aller Bürger, mittels seiner Handydaten verfolgt zu werden.
Auf einer informierten Einwilligungsbasis, kann man seine Daten freiwillig preisgeben. Hier sind viele Einsatzmöglichkeiten denkbar. Ohne die Einwilligung ist aber über die anonymisierten Standortdaten aus mobilen Endgeräten hinaus wenig denkbar.
Werden die Daten beim Betroffenen etwa im Krankenhaus erhoben, dann kann man unter strengen Voraussetzungen solche Daten nutzen, um zu erkennen, wie sich Heilungsverläufe im Vergleich zu verschiedenen Behandlungsmethoden gestalten. Das wird ja auch bereits gemacht.
Ein Unterschied ist aber wichtig: Hier geht es nicht um Handydatennutzung, wo der Provider Daten erhebt, ohne dass der Nutzer es merkt, sondern um bewusst preisgegebene Informationen im Einzelfall.
Könnte die Corona-Krise so unsere gesamte Sichtweise auf das Thema Datenschutz nachhaltig ändern?
Ja. Sie stößt erneut die Diskussion an um die Frage: Soll der Datenschutz in besonderen Situationen zurücktreten? Bislang wurde oft die wirtschaftliche Nachteil dafür ins Feld geführt und es wurde gefragt: Wie können wir uns wirtschaftlich gegen Staaten durchsetzen, die einen laxeren Umgang mit Daten pflegen?
Nun lautet die neue Frage: Wie sollen wir Europa noch gesund halten, wenn wir nicht die vollen Mittel der Digitalisierung nutzen?
Je nachdem, wie lange die Krise dauert, wie groß die Sorge wird und wie deutlich erkennbar wird, wie viel man mit Daten helfen kann, werden diese Fragen stärker diskutiert werden. Einen Wandel kann ich mir in gewissem Maße vorstellen, jedoch glaube ich nicht, dass sich unsere komplette Sichtweise hier ändert. Dafür wurden Datenschutzrechte in Europa zu lange erkämpft.
Worüber sollten wir uns also künftig Gedanken machen?
Wir sollten zwischen der Anonymisierung und Pseudonymisierung von Daten unterscheiden lernen, um unterschiedliche Abstufungen zu treffen und so auch mögliche Anwendungsfelder zu erschließen.
Anonymisierte Daten sind soweit verändert, dass sie nicht mehr einer Person zugeordnet werden können. Bei der Pseudonymisierung wird ein Identifikationsmerkmal, wie etwa der Name, durch ein Pseudonym ersetzt. So wird die Feststellung der Identität erschwert.
Wir müssen außerdem darüber sprechen, wer über den Umgang mit unseren Daten entscheidet und in diesem Zusammenhang über Daten-Treuhand-Modelle nachdenken.
Das heißt: Wir sollten über die Etablierung von Einrichtungen oder Stiftungen diskutieren, die sich mit der Verwaltung von Daten der Bürger befassen und dabei als Sachwalter der Privatheit die Interessen der Beteiligten umsetzen.
Sie würden den Willen eines Betroffenen hinsichtlich seiner Daten abfragen und sie entsprechend weitergeben. Ein Bürger könnte beispielsweise sagen: "Ich möchte mit meinen Daten bei der Pandemiebekämpfung helfen, aber darüber hinaus möchte ich auf Basis meiner Daten keine Werbung für Medikamente angezeigt bekommen." Die Treuhänder müssten besondere Voraussetzungen erfüllen, um vertrauenswürdig zu sein, und könnten auch nicht-staatlich sein.
Lesen Sie auch: Alle aktuellen Entwicklungen rund um das Coronavirus in unserem Live-Blog.
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.