– unter datenschutzrechtlicher Lupe
Apps zur Kontaktverfolgung gelten für die Bekämpfung der Pandemie als unabdingbar. Infektionsketten sollen so festgestellt und nachverfolgt werden. Doch welche Risiken birgen solche Apps? Insbesondere Datenschutz- und IT- Experten prüfen jetzt deren Nachteile.
Kontaktverfolgung durch digitale Datenhinterlegung
Die Idee ist folgende: Besucher*innen sollen an den Orten Daten hinterlegen, an denen sie sich längere Zeit aufgehalten haben. So soll es ermöglicht werden, Infektionsketten nachzuverfolgen und Kontaktpersonen informieren zu können. Nach diesem Prinzip funktioniert auch die Corona-Warn-App der Bundesregierung.
Aus der Sicht des Datenschutzes ist Kontaktverfolgung natürlich ein spannendes Thema. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) veröffentlichte am 26.03.2021 ein Papier als Stellungnahme für „praxistaugliche Lösungen mit einem hohen Schutz personenbezogener Daten […]“ zur Kontaktverfolgung.“
Als „praxistauglich“ werden digitale Verfahren gesehen, die sich von „Zettelwirtschaften“ und Papierbergen zur Besucherdokumentation distanzieren. In der Stellungnahme werden Anforderungen an digitale Infektionsverfolgungen aufgezeigt. Die DSK ging insbesondere auf die in den letzten Wochen vieldiskutierte App „Luca“ und deren mögliche bundesweite Einführung ein.
„Luca“ – bald das bundesweit einheitliche Tracking-Tool?
„Luca“ der culture4life GmbH soll datenschutzrechtlich unbedenkliche Kontaktverfolgung ermöglichen. Sobald eine verantwortliche Stelle (Restaurant, Produktionsbetrieb, Kino) eine Lizenz besitzt, können die Besucher mit der App ein- und auschecken, um ihren Besuch online zu dokumentieren. Die notwendigen Daten werden dafür verschlüsselt und über ständig wechselnde QR- Codes hinterlegt. Weder die App-Betreiber noch die Verantwortlichen sollen ohne ausdrückliche Einwilligung des App-Nutzers/ der App-Nutzerin auf die Lokalisationsdaten zugreifen können.
Die App birgt bisher sowohl Vor- als auch Nachteile
Die 14 Tage lang in der App gespeicherten Daten umfassen den Namen, Anschrift und Telefonnummer der Nutzer. Sollte die App bundesweit als Kontaktverfolgungs- Tool eingeführt werden, könnten die Daten Infizierter an Gesundheitsämter übermittelt werden, wenn diese einverstanden sind. Für die bundesweit einheitliche Einführung bedarf es allerdings einer gesetzlichen Regelung. Eine Pflicht zur Nutzung von Kontaktverfolgungs- Apps ist bisher nicht geregelt, eine Nutzung geschieht stets freiwillig.
Eine bundesweit genutzte Tracking- App würde die Kontaktverfolgung vereinheitlichen und vereinfachen. Im Raum steht jedoch technische und rechtliche Kritik. Insbesondere wird die fehlende Transparenz der von Seiten der App-Betreiber bemängelt. Der Programmcode wird nicht als Open Source zur Verfügung gestellt, die Funktionsweisen der Software sind also nicht einsehbar oder öffentlich zugänglich. Zudem werden die Daten der Nutzer*innen sowie der Veranstaltungsstätten zentral auf dem Server der App-Betreiber gespeichert. Nutzer*innen können sich zwar mit Pseudonymen in der App anmelden. Bei Check-ins bei einer Veranstaltungsstätte wird neben den verschlüsselten Daten allerdings auch die IP- Adresse und Informationen über das Mobiltelefon geteilt. Die Sicherheit der bestehenden Verschlüsselung von Daten müsse laut DSK verstärkt bzw. garantiert werden, um Angriffen auf Datensätze vorbeugen zu können.
Das Speichersystem soll nun laut DSK mit den Betreibern der App überprüft werden. Außerdem werde die DSK mit weiteren App-Anbietern Kontakt aufnehmen, um alternative digitale Verfahren der Kontaktverfolgung zu erarbeiten.
Solche Apps stellen alltägliche Begleiter eines jeden Smartphone-Nutzers dar. Gerade deshalb wird es umso wichtiger, aufkommende Fragen und datenschutzrechtliche Sorgen mit Blick auf alle mit den Apps verbundenen Vor- und Nachteile zu identifizieren und sodann zu beantworten.
Für Fragen stehen wir Ihnen in diesem Zusammenhang und anderer Anliegen jederzeit zur Verfügung!
Folgende Beiträge rund um das Arbeiten während der Corona-Pandemie und der DSK könnten Sie auch interessieren:
- Datenschutzerklärung für Ihre Website – Inhalte & Hinweise nach DSGVO
- Auftragsverarbeitung nach DSGVO – So einfach gehts!
- Checkliste: Datenschutzrechtliche Vorgaben im Homeoffice