Kann die neue "Corona-App" Infektionsschutz und Datenschutz in einer Anwendung vereinen?

Erstellt von Janine Winkler | |  BTadvice 2020-Q2

Im Kampf gegen die Corona-Pandemie wurde nun eine neue, vielversprechende Idee vorgestellt: Der Einsatz einer „Corona-App“, die zuverlässig Infektionsrisiken meldet und somit die Ausbreitung des Virus verlangsamen kann. Doch wie ist es dabei um den Datenschutz bestellt? Während ältere Vorstöße zumeist große datenschutzrechtliche Bedenken hervorgerufen haben, soll die neuste Entwicklung nun beides leisten können: Infektionsschutz und Datenschutz, vereint in einer Anwendung: „Best of both worlds“ statt “whatever it takes”.

Pan-European Privacy-Preserving Proximity Tracing (Pepp-PT) heißt die neueste Entwicklung eines paneuröpaischen Forscherteams. Anders als in früheren Ideen und entgegen der Apps, die in anderen Länder eingesetzt werden, sollen mit diesem Verfahren keine Standortdaten oder Informationen über Namen und Aufenthaltsorte von Personen gespeichert und verarbeitet werden. Die Nutzer sollen eine App installieren, die auf Basis von Bluetooth und anderen Funksignalen den Abstand zu anderen Nutzern misst. Pepp-PT generiert für jede Nutzerin und jeden Nutzer eine anonyme Identifikationskennung. Die wird aber nur temporär vergeben, damit eine eindeutige Identifikation vermieden wird. 

Nähern sich zwei Smartphones mit dieser Pepp-PT-App in der epidemiologisch ausreichenden Nähe und in einer epidemiologisch ausreichenden Zeitspanne, tauschen sie ihre jeweilige Kennung aus. Die Kennungen werden dann verschlüsselt und ausschließlich lokal auf dem jeweils anderen Smartphone gespeichert. Ein Cloud-Upload ist nicht vorgesehen. Der Zeitpunkt des Kontaktes, Standortinformationen oder andere personenbezogene Daten sollen nicht ausgetauscht und gespeichert werden. Auch kann der Nutzer selbst seine vergangenen Kontakte nicht einsehen. Ältere Kontakte werden gelöscht, sobald sie keine Ansteckungsgefahr mehr bergen.
 
Sollte bei einem der beiden Nutzer eine Infektion festgestellt werden, wird er von den Gesundheitsbehörden informiert und erhält von diesen eine Transaktionsnummer (TAN). Unter Angabe dieser TAN kann er seinen Kontaktdatenverlauf auf einen Server hochladen. Der Server kann aus diesen übermittelten Kennungen zwar nicht entschlüsseln, welche Menschen sich dahinter verbergen, er kann aber alle betroffenen Handys informieren. Die Nutzer erhalten sodann eine Warnung, dass sie Kontakt mit einer infizierten Person hatten, und können sich dann testen lassen oder in Quarantäne begeben. Die Nutzer erfahren jedoch nicht, wer der Infizierte ist und wann der Kontakt erfolgte.
 
Personen, die sich möglicherweise infiziert haben, sollen also schnell und zuverlässig gewarnt werden. Hierbei soll es allerdings nicht möglich sein zurückzuverfolgen, wo die Ansteckung stattfand und wer die ursprünglich infizierte Person war. Durch die stetigen Änderungen der eigenen Kennung wird zudem verhindert, dass die eigenen Standortdaten nachvollziehbar sind. 
 
Ist mit dieser Technik die Quadratur des Kreises gelungen? Durchaus möglich.

Unterstellt, die Technik funktioniert wie oben beschrieben, ist datenschutzrechtlich größtmögliche Sicherheit gegeben. Die Identifikationskennungen sind keine personenbezogenen Daten gem. Art 4 Nr. 1 EU- Datenschutzgrundverordnung (DSGVO), da die jeweilige Person nicht mithilfe der Kennung identifizierbar ist. Somit erfolgt zu keinem Zeitpunkt eine datenschutzrechtlich relevante Übermittlung personenbezogener Daten - insbesondere auch nicht einer besonderen Kategorie von personenbezogener Daten nach Art 9 DS-GVO. Ausweislich der Veröffentlichungen der Forschergruppe rund um die Pepp-PT soll es nicht möglich sein zurückzuverfolgen, welches Smartphone (und somit welche Person) zu welcher Kennung gehört – weder für den Nutzer, noch für die Gesundheitsbehörden oder sonstigen Stellen wie beispielsweise das Robert-Koch-Institut. Dies gilt sowohl für den Upload der gespeicherten IDs durch die infizierte Person als auch für die Information potentiell Betroffener. 
 
Aus der Sicht des Datenschutzes kann man somit vorsichtig optimistisch sein. Einen Pferdefuß hat diese Technik allerdings: da sowohl die Installation der App als auch die Übermittlung des Kontaktverlaufs aufgrund der eigenen Infektion auf freiwilliger Basis erfolgt, kann der Schutz vor Infektionen nur dann gelingen, wenn von dieser Möglichkeit flächendeckend Gebrauch gemacht wird.
 

Zurück