Skip to content

Covid-19 Coronavirus: Datenschutz in Zeiten der Corona-Pandemie – was Unternehmen beachten sollten

Ansprechpartner
Dr. Ulrich Baumgartner

Partner

München

Profil ansehen →

Christine Kammermeier
Christine Kammermeier

Associate

München

Profil ansehen →

26 März 2020

Die Auswertung von Handydaten soll Aufschluss über das Mobilitätsverhalten der Bürger geben

Eine Pressemeldung lässt aufhorchen: Ein deutsches Telekommunikationsunternehmen hat bereits zum zweiten Mal einen Datensatz an das Robert-Koch-Institut (RKI) weitergegeben. Bereits am 17. März 2020 wurde bekannt, das rund fünf Gigabyte anonymisierte Handydaten an das RKI übermittelt wurden. Nunmehr wurde ein zweiter Satz in ähnlichem Umfang übergeben. Auch eine weitere Fortführung der Datenübermittlung werde geprüft. Die Daten enthielten dabei den Zeitpunkt des Aufbaus einer Mobilfunkverbindung und den entsprechenden Mobilfunkmast, über welchen die Verbindung erfolgte. Aufgrund der rasant steigenden Covid-19-Infektionszahlen in Deutschland will das RKI diese Daten nutzen, um Bewegungsströme abzubilden und so Prognosen über die Ausbreitung von Covid-19 zu berechnen. Die Daten sollen Erkenntnisse darüber bringen, ob sich die Mobilität der Gesellschaft seit dem Ergreifen vieler Maßnahmen wie Ausgangsbeschränkungen verändert hat.

Der RKI-Präsident Lothar Wieler begründete diesen Schritt damit, dass so besser nachzuvollziehen sei, ob die bislang von den Regierungsbehörden beschlossenen Instrumente wirksam seien. Sollten Bürger ihre Mobilität nicht entsprechend der jeweiligen Anweisungen der Länder einschränken, so drohe eine weitere Ausbreitung des Virus, die nur schwer einzudämmen sei. Wieler äußerte sich optimistisch, dadurch eine Prognose für die Entwicklung der weiteren Infektionszahlen erstellen zu können.

Gleichzeitig arbeitet das RKI nach eigenen Angaben an einer eigenen App, um selbst personalisierte Handydaten auswerten zu können. Nähere Informationen dazu, wie die App funktionieren soll und auf welche Daten dabei zugegriffen werden soll, gibt es zum jetzigen Zeitpunkt noch nicht. Nach Angaben des betroffenen Unternehmens wurde das Verfahren der Datenübergabe an das RKI in Abstimmung mit den Datenschutzbehörden bereits vor Jahren entwickelt und im Jahr 2015 von der damaligen Bundesdatenschutzbeauftragten abgenommen. Die Daten seien in anonymisierter Form übergeben worden und ließen keine Rückschlüsse auf einzelne Bürger oder Infizierte und damit kein individuelles Tracking zu.

Die Maßnahmen im internationalen Vergleich

Im Kampf gegen die Ausbreitung des Coronavirus haben auch mehrere europäische Telekommunikationsanbieter ihre Bereitschaft signalisiert, Standortdaten an die EU-Kommission weiterzuleiten. Damit soll auch auf europäischer Ebene gezielt die Verbreitung des Virus analysiert werden können. Der europäische Datenschutzbeauftragte Wojciech Wiewiórowski verwies in einer ersten Stellungnahme darauf, dass die derzeit geltenden europäischen Datenschutzgesetze ausreichend flexibel sind, den Einsatz solcher Daten im Kampf gegen Pandemien zu erlauben. Allerdings fordert Wiewiórowski die EU-Kommission auf, genau zu definieren, zu welchen Zwecken die Daten verwendet werden sollen und für eine umfassende Transparenz gegenüber der Bevölkerung zu sorgen. Weiter müsste eine Anonymisierung der Daten vorgenommen werden und geeignete Sicherheits- und Vertraulichkeitsvorkehrungen getroffen werden, sollten die Daten an Dritte weitergeleitet werden. Auch eine sofortige Löschung der Daten nach Beendigung der Notfalllage sei erforderlich. Eine Speicherung auf Vorrat sei in jedem Fall zu unterbinden.

Mit Bewegungsprofilen zum Überwachungsstaat?

Während derartige Datenanalysen in Deutschland und anderen europäischen Ländern (vorerst) lediglich dafür genutzt werden, um statistische Erkenntnisse über die Mobilität der Bürger zu gewinnen, gehen andere Länder längst weiter. In Asien werden neben GPS-Daten von Smartphones auch Daten von Überwachungskameras, Kreditkartentransaktionen oder Einreiseinformationen systematisch analysiert, um Infektionsrisiken einzelner Bürger einzuschätzen und per App individuelle Quarantäne-Maßnahmen anzuordnen. Dabei werden die gewonnenen Daten teilweise auch öffentlich gemacht, damit sich Verdachtspersonen testen lassen können. Auch in Israel greift man in der Corona-Krise auf einschneidende Überwachungsmaßnahmen zurück. So werden Smartphones von infizierten Personen und "Verdachtsfällen" in einer Kooperation zwischen den Gesundheitsbehörden und dem Inlandsgeheimdienst permanent dahingehend überprüft, ob sich die betroffenen Personen an sämtliche Weisungen und Vorgaben halten. Gleiche Bestrebungen lassen sich in den USA beobachten, wo Regierungsstellen derzeit versuchen, mit Hilfe der Daten großer Tech-Unternehmen infizierte Personen über deren mobile Endgeräte zu tracken (wogegen sich die betroffenen Unternehmen derzeit wehren).

Grundrechtskonforme Situation in Deutschland

Aber zurück nach Deutschland: Der Bundesdatenschutzbeauftragte Ulrich Kelber hält die oben beschriebene Nutzung von Handydaten durch das RKI in der gewählten Form angesichts der derzeitigen Pandemie-Situation für grundsätzlich vertretbar. Er bestätigte auf Twitter, dass das Vorgehen grundrechtskonform gestaltet worden sei, äußerte jedoch auch Bedenken, dass in anderen Staaten der Datenschutz in Zeiten der Corona-Pandemie teilweise vernachlässigt werde. Auch die Bevölkerung steht derartigen Maßnahmen positiv gegenüber, schenkt man einer repräsentativen Umfrage Glauben, die das Marktforschungsunternehmen Innofact im Auftrag des Datenschutz-Start-ups Usercentrics durchgeführt hat. Danach ist eine Mehrheit der Bundesbürger bereit, auf datenschutzrechtliche Vorgaben zu verzichten oder eine Ausweitung der Vorratsdatenspeicherung hinzunehmen, wenn eine effektive Bekämpfung der Corona-Krise solche Schritte erfordere. Bereits zu Beginn der Diskussion um ein solches Vorgehen mahnte der EU-Datenschutzbeauftragte Wiewiórowski und warnt davor, dass personenbezogene Daten in einem solchen Zusammenhang auch für undemokratische Zwecke genutzt werden könnten. Kritik erntete auch der Vorstoß des Gesundheitsministeriums, eine entsprechende Ermächtigung zur Auswertung von Standortdaten in das Infektionsschutzgesetz aufzunehmen. Eine entsprechende Passage aus dem Entwurf des Infektionsschutzgesetzes ist daher gestrichen worden, die Diskussion darüber hält hingegen an.

Was lässt sich aus dieser Entwicklung für die Unternehmen in Deutschland ableiten?

Wichtig ist Folgendes: Die beschriebene Entwicklung bedeutet nicht, dass private Unternehmen und Arbeitgeber nun zu entsprechenden Überwachungsmaßnahmen in Bezug auf ihre Mitarbeiter greifen dürfen, die im Widerspruch zu den geltenden Datenschutzgesetzen stehen. Gleiches gilt für die Offenlegung personenbezogener Daten von nachweislich infizierten oder unter Infektionsverdacht stehenden Mitarbeitern. etwa zur Information von Kontaktpersonen. Jede Erhebung und Verarbeitung von Mitarbeiterdaten (einschließlich von Gesundheits- und Standortdaten) ist nach wie vor ausschließlich im Rahmen der geltenden Datenschutzgesetze zulässig. Dies haben die deutsche Datenschutzkonferenz (DSK), das Gremium der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, sowie die europäischen Datenschutzbehörden jüngst noch einmal ausdrücklich festgestellt in ihren jeweiligen Stellungnahmen zu den datenschutzrechtlichen Implikationen der Corona-Pandemie. Dabei haben die Aufsichtsbehörden betont, dass eine Verarbeitung insbesondere von Gesundheitsdaten für einen umfassenden Schutz der Beschäftigten zwar grundsätzlich möglich ist, dies aber in einem restriktiven Rahmen und unter Beachtung der datenschutzrechtlichen Grundsätze zu erfolgen hat. Auch bei einer besonderen Eilbedürftigkeit, die in der Corona-Pandemie begründet liegt, muss sichergestellt bleiben, dass jede Verarbeitung personenbezogener und insbesondere sensibler Daten vorab umfassend auf ihre Rechtmäßigkeit geprüft wird.

Bei Missachtung der Datenschutzgesetze drohen Bußgelder

Unternehmen und Arbeitgebern ist daher dringend zu empfehlen, auch in Ausnahmezeiten wie diesen die Vorgaben der Datenschutzgesetze zu beachten, um Bußgelder und sonstige Sanktionen zu vermeiden. Insbesondere die DSGVO enthält durchaus Sonderregelungen für die derzeitige Situation, die ausreichenden Spielraum eröffnen. Dies setzt jedoch eine fundierte rechtliche Analyse voraus.

Weitere relevante Expertise

Das könnte Sie noch interessieren