Wie kann man mehr über die Verbreitung des Coronavirus in der Bevölkerung herausfinden, ohne sie zu bespitzeln? Diesen Spagat wollte das Robert Koch-Institut mit seiner App "Corona Datenspende" schaffen. Doch ist das gelungen? Wir haben beim Hamburger Datenschutz-Beauftragten nachgefragt.
Der Ansatz ist zunächst vielversprechend: Die Daten werden nur von Personen erhoben, die freiwillig die App installieren. Um die Daten der Bevölkerung nicht klar zuweisen zu können, soll die App die Daten pseudonymisieren, also von der Person getrennen. Damit nicht über die sehr persönlichen Daten wie Alter, Geschlecht und Größe trotzdem Rückschlüsse auf die Person möglich sind, werden die Werte zudem auf Fünferschritte gerundet. So soll eine Arbeit mit den Daten möglich sein, ohne sie zuweisen zu können. Mehr erfahren Sie hier.
Hochsensible Daten
Doch wie sieht es mit dem Datenschutz aus? "Bei einer freiwilligen Zurverfügungstellung von Daten ist die Gestaltung der Einwilligungserklärung entscheidend für die Datenschutzkonformität", erklären Martin Schremm, Sprecher des Hamburger Datenschutzbeauftragten. Da der Bundesdatenschutz-Beauftragte an der Entwicklung beteiligt gewesen sei, nehme man an, dass das beachtet worden sei. Der Begriff Datenspende stößt allerdings sauer auf. Schließlich behalte der Spender - anders als bei Sachspenden - das Recht an seinen Daten. "Unter anderem sichert ihm das gesetzlich geregelte Widerrufsrecht weiterhin die Souveränität hinsichtlich der Datenverarbeitung."
Die abgefragten Daten sind hochsensibel. Neben den persönlichen Angaben greift die App auch auf Fitnesstracker zu und kann - je nach Gerät - auch Puls, Schlafqualität und sogar die Körpertemperatur abrufen. Diese Daten sind sonst heißbegehrt. "Mögliche Missbrauchsszenarien von Gesundheitsdaten sind vielfältig. Insbesondere sind Fitnessdaten im Falle eines Datenlecks beziehungsweise ihrer Veröffentlichung im Internet auch für Versicherungen von Interesse, die sie zur Ermittlung risikoadaptierter Tarife nutzen könnten", so die Datenschützer. "Der Sicherheit der Daten kommt daher große Bedeutung zu."
Keine Verifikation der Versprechungen möglich
Ob die Daten wirklich wie vom RKI versprochen nur in pseudonymer Form gespeichert werden, sei nicht verifizierbar. "Der Quellcode der App ist nicht öffentlich gemacht worden. Insofern kann hier zumindest aus technischer Sicht noch keine klare Aussage über die Corona-App getroffen werden." Erst wenn die angewandten Methoden transparent wären, würde Schremm auch persönlich seine Daten zur Verfügung stellen. "Mit Blick auf den gemeinwohlorientierten Zweck würde ich das durchaus in Erwägung ziehen."
Um eine erzwungene Teilnahme müssen sich die Deutschen aber wohl keine Sorge machen. "In Deutschland gibt es derzeit keine hinreichende Rechtsgrundlage für ein Tracking der Gesundheits- bzw. Fitnessdaten von Personen zur Ermittlung von Infektionsverdachtsfällen", beruhigen die Datenschützer. "Angesichts der verfassungsrechtlichen Prinzipien, insbesondere der Verhältnismäßigkeit, erscheint die Schaffung einer solchen Rechtsgrundlage durch den Bundesgesetzgeber auch kaum vorstellbar."
Quelle: RKI
