Am 16.4.2020 hat die EU-Kommission in Reaktion auf zahlreiche Ansätze für Smartphone-Apps zur Bekämpfung des Coronavirus unverbindliche Leitlinien zur Gewährleistung von Datenschutzstandards in diesen Apps veröffentlicht. Die Leitlinien sollen Empfehlungen geben, wie die Vorgaben des europäischen Datenschutzrechts bei der Entwicklung solcher Apps beachtet werden können.
(Der Beitrag wurde auch veröffentlicht in ZD-Aktuell 2020, 2010_07112_1)
Auch der Europäische Datenschutzausschuss (EDSA) wurde im Zuge der Erstellung des Dokuments angehört. Zentrale Botschaften der Leitlinien sind: Erstens setzt auch eine Krise wie die aktuelle Corona-Krise die Grundprinzipien und Anforderungen des Datenschutzrechts nicht außer Kraft. Und zweitens ist eine datenschutzkonforme Gestaltung möglich und umzusetzen. Die Leitlinien setzen auf den bereits am 8.4.2020 veröffentlichten Empfehlungen der EU-Kommission zur Unterstützung von Ausstiegsstrategien durch Daten von mobilen Geräten und Mobil-Apps auf. Zeitgleich mit den Leitlinien stellte die Kommission ein EU-Instrumentarium für die Nutzung von Mobil-Apps zur Kontaktnachverfolgung und Warnung bei der Bekämpfung der Coronavirus-Pandemie vor.
Bezugspunkt der Leitlinien sind freiwillig installierte und genutzte Smartphone-Apps, die mindestens eine der folgenden Funktionalitäten entfalten:
- Informieren des Nutzers über die Pandemie
- Fragebögen zur Selbstdiagnose und Symptomkontrolle
- Kontaktverfolgung (Tracing) und -warnung sowie
- Kommunikationsforum zwischen Arzt und Patient i. S. d. Telemedizin
Nicht behandelt werden Apps, die der Durchsetzung von Quarantänemaßnahmen dienen.
Die Leitlinien benennen zehn Elemente, die Grundrechtseingriffe durch die Apps minimieren und Konformität mit datenschutzrechtlichen Vorgaben sicherstellen sollen:
- Die Apps sollten so gestaltet werden, dass die nationalen Gesundheitsbehörden datenschutzrechtlich Verantwortliche sind. Dadurch soll ein kompetenter und vertrauenswürdiger Umgang mit den anfallenden hochsensitiven Daten sichergestellt werden.
- 2. Die Apps müssen durch die Nutzer beherrschbar sein. Dazu gehört auch, dass ihr Einsatz freiwillig ist und keine negativen Konsequenzen drohen, wenn die App nicht genutzt wird. Verschiedene Funktionalitäten (s. o.) sollten nicht zwangsweise gebündelt werden, damit sich der Einzelne bewusst für oder gegen eine bestimmte Funktionalität entscheiden kann. Daten zur Kontaktverfolgung sollten lokal gespeichert und nur mit Einwilligung des Nutzers an die Behörden übertragen werden. Zudem muss sichergestellt werden, dass die App die Informationspflichten der Art. 12 und 13 DS-GVO sowie des Art. 5 der ePrivacy-Richtlinie erfüllt; die Durchsetzbarkeit der datenschutzrechtlichen Betroffenenrechte (Recht auf Löschung, Recht auf Berichtigung etc.) muss garantiert sein. Einschränkungen der genannten Rechte müssen verhältnismäßig sein. Außerdem sollte die App spätestens dann automatisch deaktiviert werden, wenn die Pandemie als unter Kontrolle gebracht gilt.
- Es wird empfohlen, im nationalen Recht konkrete Rechtsgrundlagen für den Einsatz entsprechender Apps und die Verarbeitung personenbezogener Daten durch die Apps vorzusehen, sofern diese nicht bereits existieren.
- Der Grundsatz der Datenminimierung ist zu beachten. Danach dürfen nur personenbezogene Daten verarbeitet werden, die zur Erreichung des legitimen Zwecks erforderlich sind. Die EU-Kommission weist etwa darauf hin, dass eine App zur Selbstdiagnose keinen Zugriff auf im Smartphone gespeicherte Kontakte benötigt. In einem weiteren Beispiel erklärt die Kommission, dass Standortdaten für das Tracing nicht erforderlich sind.
- Der Zugriff auf die durch die App anfallenden Daten ist streng zu regeln. Es dürfen nur die jeweils erforderlichen Daten nach außen fließen.
- Die Zwecke der Datenerhebung sind klar zu benennen und im Recht des jeweiligen Mitgliedstaats oder im EU-Recht spezifisch festzuhalten. Unklarheiten bezogen auf die zur Zweckerreichung benötigten personenbezogenen Daten müssen vermieden werden.
- Das Prinzip der Speicherbegrenzung muss beachtet werden. Personenbezogene Daten dürfen nur so lange gespeichert werden, wie dies zur Zweckerreichung erforderlich ist.
- Die Kommission empfiehlt, dass Daten auf dem Endgerät und in verschlüsselter Form abgelegt werden, um Datensicherheit zu gewährleisten. Werden die Daten auf einem zentralen Server gespeichert, so soll ein Zugriffsmanagement eingerichtet werden. Annährungsdaten (proximity data) sollten bereits bei der Erhebung pseudonymisiert werden. Der Quellcode der App sollte öffentlich gemacht werden. Zudem empfiehlt die Kommission u. a. automatisierte Löschroutinen.
- Die Richtigkeit der Daten muss sichergestellt werden. Diese Vorgabe ergibt sich nicht nur aus der Notwendigkeit einer effektiven Bekämpfung der Pandemie, sondern auch direkt aus dem Datenschutzrecht. Falsch positive Ergebnisse sind zu vermeiden. Um belastbare Informationen aus der App zu ziehen, sollte beim Tracing nicht auf die ungenauen Standortdaten gesetzt werden, sondern auf Bluetooth oder ähnliche Technologien.
- Die Datenschutzaufsichtsbehörden sollten direkt in die Entwicklung von entsprechenden Apps einbezogen werden. Die Kommission weist zudem auf das zwingende Erfordernis der Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO hin.
Diese Leitlinien entsprechen weitgehend den bereits im Beitrag v. 14.4.2020 aufgeführten „Kriterien für eine datenschutzgerechte Corona-App“ (Roßnagel, Blog des Forum Privatheit v. 14.4.2020).