3 Min

Datenschutz und Corona Teil 3: Spahn's Verhältnis zum Datenschutz

In der Corona Krise durchlebt die Bundesrepublik Deutschland die wohl herausforderndste Zeit ihrer Geschichte. Nicht nur dem Gesundheitssystem und der Volkswirtschaft droht der Zusammenbruch - auch das Grundgesetz wird einer echten Nagelprobe unterzogen. Die Stabilität einer Verfassung zeigt sich besonders in Krisenzeiten. Ausgerechnet jetzt wartet Gesundheitsminister Jens Spahn mit einem Gesetzesentwurf auf, der das Grundrecht auf informationelle Selbstbestimmung in Frage stellt.

Was ist das Recht auf informationelle Selbstbestimmung?

Das Recht auf informationelle Selbstbestimmung ist das Recht des Einzelnen, grundsätzlich selbst darüber bestimmen zu dürfen welche personenbezogenen Daten er preisgibt und welche von anderen verwendet werden dürfen. Eine ausdrückliche Kodifikation im Grundgesetz hat das Recht auf informationelle Selbstbestimmung nicht erfahren. Es ist eine Ausprägung des allgemeinen Persönlichkeitsrechts und wurde vom Bundesverfassungsgericht erstmals im Jahre 1983 im Rahmen des Volkszählungsurteils etabliert. Das Grundrecht auf informationelle Selbstbestimmung ist – insbesondere in einer zunehmend technologisierten Welt – zunächst ein wichtiges Abwehrrecht gegenüber dem Staat, findet aber auch im Verhältnis unter Privaten durch Rechtsakte zum Datenschutz (insbesondere DSGVO und BDSG) Ausdruck (unmittelbare Drittwirkung).

Das Recht auf informationelle Selbstbestimmung wird nicht schrankenlos gewährleistet. Dies bedeutet, dass das Grundrecht grundsätzlich aufgrund eines Gesetzes eingeschränkt werden kann. Wichtig ist dabei aber insbesondere, dass dieses Gesetz den Grundsatz der Verhältnismäßigkeit berücksichtigt und nicht übermäßig in das Grundrecht eingreift.

Was sah Spahns Gesetzesentwurf vor?

Der Entwurf sah vor, dass Behörden – hier insbesondere Gesundheitsbehörden – im Falle einer Epidemie in Deutschland Verkehrsdaten bei Telekommunikationsanbietern anfordern können. Dies bedeutet im Einzelfall, dass sobald bekannt wird, dass sich eine Person infiziert hat, die zuständige Behörde die Daten auf dem Smartphone des Betroffenen auslesen und auswerten dürfte. Aber nicht nur die infizierte Person selbst wäre von dieser Grundrechtseinschränkung betroffen, sondern sämtliche Personen, die mit dem Infizierten Kontakt gehabt haben könnten. Das würden die Behörden anhand der Standortdaten der Mobilfunknutzer erkennen. Man stelle sich vor, der Infizierte befand sich in der U-Bahn – hier scheint ein Eingriff in das Grundrecht hunderter Personen denkbar. Experten halten es sogar für möglich, dass wegen einer einzigen infizierten Person mehr als zehntausende Menschen betroffen sein könnten, die sich im Umkreis aufgehalten haben, weil Standortdaten oft zu ungenau sind.

Im Übrigen zählen zu den Verkehrsdaten - also jene Daten, die die zuständigen Behörden beim Telekommunikationsanbieter abfragen dürften – nicht nur die Standortdaten, sondern auch sonstige Daten wie mit wem der Infizierte telefoniert oder Nachrichten ausgetauscht hat. Dies würde somit gleichzeitig und zusätzlich zu einer Einschränkung des Fernmeldefreiheit führen

Welche Spielarten von Standortdatenerfassung wurden in den letzten Tagen diskutiert?

In den letzten Tagen wurden drei Arten der Standortdatenerfassung diskutiert:

Die erste Variante sieht vor, dass den Regierungen aggregierte Daten zur Analyse von Wegstrecken zur Verfügung gestellt werden. Dies dient der Beurteilung des allgemeinem Mobilitätsverhaltens der Bevölkerung (Ausführlich hierzu: Teil 1 der DataGuard Trilogie zu Datenschutz und Corona). Solange hier tatsächlich keine Möglichkeit der Re-Persionalisierung besteht,  bestehen bei diesem Vorgehen keine datenschutzrechtlichen Bedenken.

Bei der zweiten Variante handelt es sich um freiwillige Smartphone-Apps, die nicht auf GPS Daten zugreifen, sondern auf der Bluetooth-Technologie basieren. Hierbei werden keine personenbezogene Daten erhoben und gespeichert sondern lediglich gewarnt, sobald ein Kontakt zu einem Infizierten stattgefunden hat. Diese Variante wurde beispielsweise in Singapur genutzt. Derartige Apps wurden auch bereits in Deutschland entwickelt. Auch diese Spielart kann DSGVO-konform ausgestaltet werden. Dabei kommt es  insbesondere auch auf die Einhaltung der technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO an. Die dritte Variante ist die oben beschriebene „Methode Spahn“, bei der der Staat auf Standortdaten der Bürger zugreifen darf. Diese Variante hat sich inbesondere Südkorea zu Nutze gemacht, indem auf GPS-Ortungsdaten und darüber hinaus sogar auf Kreditkartendaten zugegriffen werden durfte.

Wie ist die Spahn Variante der Corona App zu beurteilen?

Auf dem folgenden Schaubild sind die oben beschriebenen Varianten grafisch dargestellt. Auf der x-Achse ist der Grad der Freiwilligkeit dargestellt, auf der y-Achse ist der Grad der Überwachung zu erkennen. In der unteren rechten Ecken sind die freiwilligen Apps, die auf Bluetooth-Technologie setzen zu sehen.

In der linken oberen Ecke befinden sich die Technologien nach Variante 3. Zu sehen sind mit absteigender Überwachungsmöglichkeit: Die chinesische, die israelische, die südkoreanische Lösung –  und letzlich auch die Lösung von Gesundheitsminister Spahn. Nach jetztigem Kenntnisstand bestehen keine Anhaltspunkte dafür, dass die chinesische App oder die israelische Überwachung Covid-19 hilfreich bekämpft haben. Die südkoreanische App hat möglicherweise zur Minderung der Infektionen beigetragen, aber die Bevölkerung auch massiv in Menschenrechten eingeschränkt. Eines der erfolgreichsten Länder in der Bekämpfung der Krise war hingegen Singapur – die ganz ohne GPS Ortungsdaten auskamen.

Ist Datenschutz nur was für Gesunde?

Spahns Vorstoß war nicht sein erster Versuch den Datenschutz (vermeintlich zu Gunsten des Gesundheitsschutzes) zu untergraben. Schon in seinem Buch „App vom Arzt“ vertrat Spahn die provokant formulierte These „Datenschutz ist was für Gesunde“, was er nur leicht relativiert aber genauso verstanden wissen wollte.

Bekannt ist auch die massive datenschutzrechtliche Kritik von IT-Experten und Ärzten an der elektronischen Patientenakte, so etwa auch vom Bundesdatenschutzbeauftragten.

Wie sehr helfen Handydaten bei der Bekämpfung von Epidemien wirklich?

Das ist sehr umstritten. Während manche auf den Erfolg Südkoreas bei der Bekämpfung der Corona-Epidemie verweisen (siehe Datenschutz und Corona Teil 2) führen Experten immer wieder das Problem der Ungenauigkeit der Standortdaten an (siehe oben).

Nimmt man die Corona-Epidemie zum Maßstab, so zeigt sich schnell, dass Standortdaten nicht das Allheilsmittel bei der Bekämpfung von Epidemien sind. Dabei wurden hauptsächlich zwei weitere große Schwächen ausgemacht:

Erstens setzt das „System Spahn“ voraus, dass den Gesundheitsbehörden die Infektionen der betroffenen Personen bekannt ist. Virologen vermuten allerdings, dass es eine hohe Dunkelziffer an Menschen gibt, die zwar erkrankt sind, aber keinerlei Symptome aufweisen. Verspürt eine Person keine Anzeichen, dass sie den Erreger in sich tragen könnte, so wird sie
sich auch nicht testen lassen. Dabei handelt es sich nach bisherigen Erkenntnissen aber um genau die Personen, die für eine schnelle Ausbreitung des Virus sorgen. Ohne Test, wird die Gesundheitsbehörde allerdings niemals von der Infektion der Person erfahren, sodass die Effektivität des Modells bereits deshalb höchst fraglich ist.

Zweitens könnte eine Alarmierung aller Personen, die mit dem Infizierten vermeintlich in Kontakt gekommen sein könnten, nicht nur wenig zielführend, sondern sogar kontraproduktiv bei der Bekämpfung der Epidemie sein. Verlangen all jene Personen, also auch solche die aufgrund der Ungenauigkeit der Daten überhaupt nicht mit dem Infizierten in Kontakt gekommen sind, nach einem Test, so könnte dies zur Folge haben, dass Tests dort wo sie tatsächlich dringend benötigt werden nicht mehr – oder nur sehr viel zeitverzögerter - zu bekommen sind.

Es wurde sogar spekuliert, dass der Staat eigene Apps auf den Smartphones der Bevölkerung installieren darf, um so eine bessere Ortung zu ermöglichen. So könnte auf diese genaueren GPS-Daten zugegriffen werden. Dies würde allerdings einen Grundrechtseingriff enormen Ausmaßes bedeuten, der wohl nicht zu rechtfertigen wäre. Im Gesetzentwurf war etwas kryptisch vom Einsatz "technischer Mittel" die Rede.

Fazit:

Gerade in der derzeitigen Lage liegt es nahe, dass die Furcht vor einer unkontrollierten Ausbreitung des Corona-Virus bei vielen Bürgern an allererster Stelle steht. Debatten über
Grundrechtseinschränkungen und Datenschutz erscheinen vielen dabei möglicherweise kleinkariert und pedantisch. Es besteht die Gefahr, dass Gesundheitsminister Spahn versucht, sich genau diese Gemengelage zu Nutze zu machen, um seinen lang gehegten Wunsch nach weniger Datenschutz zu erfüllen – und das per Gesetzesinitiative, die im Eiltempo in drei Lesungen an einem Tag durch das Parlament gepeitscht wird. Ein Schnellschuss der in ruhigeren Zeiten möglicherweise bitter bereut werden würde.

Solange erhebliche Zweifel bestehen, ob die Erfassung von Mobildaten überhaupt einen Beitrag zum Gesundheitsschutz leisten können, fehlt es schon an der eindeutigen
Feststellung, der Geeignetheit des Gesetzes. Einer Diskussion über die Angemessenheit der Einschränkung des Grundrechts auf informationelle Selbstbestimmung – welche erst nach Feststellung der Geeignetheit des Gesetzes entstehen kann - ist damit bereits die Grundlage entzogen. Eine Grundrechtseinschränkung zu Gunsten eines Mittels, dessen Erfolg nicht nachgewiesen ist, ist schlichtweg unter keinen Umständen hinnehmbar.

Sollte sich – wider Erwarten – herausstellen, dass Standortdaten tatsächlich einen wichtigen Beitrag zum Schutz der Volksgesundheit liefern können, kann somit überhaupt erst über die Verhältnismäßigkeit im engeren Sinne diskutiert werden.

Es bleibt jedenfalls festzuhalten, dass nicht zu erwarten ist, dass Gesundheitsminister Jens Spahn in Zukunft noch ein großer Fan des Datenschutzes wird. Auch wenn sein Gesetzesvorhaben zur Kontrolle der GPS Ortungsdaten aller Bundesbürger in Corona Zeiten gescheitert ist, wird er auch wohl in der Folgezeit nichts unversucht lassen, den Datenschutz zu schwächen. Besonders anzukreiden ist ihm hierbei allerdings, dass der Verdacht besteht, dass Spahn die Corona-Ausnahmesituation dazu nutzen wollte, sich einen lang gehegten Wunsch nach mehr Kontrolle zu erfüllen und sich dabei die Ängste der Bevölkerung zu Nutze machen wollte. Es wird darauf zu achten sein, ob Spahn bei seinen
zukünftigen Gesetzesentwürfen weiterhin wichtige rechtsstaatliche Prinzipien wie den Verhältnismäßigkeitsgrundsatz außer Betracht lässt. 

 

Über den Autor

Dr. Niels Beisinghoff & Niklas Schroth Dr. Niels Beisinghoff & Niklas Schroth
Dr. Niels Beisinghoff & Niklas Schroth

Legal Counsel Dr. Niels Beisinghoff arbeitete jeweils fünf Jahre als Unternehmensberater und Startup-Unternehmer. Obwohl der Volljurist erst bei DataGuard tiefer in den Datenschutz eintauchte, liefern seine Studienjahre erste Hinweise auf seinen späteren Berufsweg: „Datenschutz ist für mich ein Menschenrecht, das nun endlich mithilfe der DSGVO durchsetzbar wurde. Ich habe meine Doktorarbeit über die Durchsetzung von Menschenrechten gegenüber Firmen geschrieben.“ Heute unterstützt er internationale Unternehmen aus Branchen wie Logistik, Industrie und E-Mobility. Als Rechtsanwalt steht Niklas Schroth internationalen Konzernen beratend zur Seite. Auf die wachsende Bedeutung des Datenschutzes wurde er während seiner Tätigkeit als Rechtsanwalt bei einer internationalen Kanzlei aufmerksam: „Aufgrund der rasanten technologischen Entwicklung ist das Datenschutzrecht am Puls der Zeit wie kein anderes Rechtsgebiet. Es gilt, stets ein Spannungsfeld verschiedener Interessen zum Ausgleich zu bringen – und dabei bestmögliche Ergebnisse für den Kunden zu erlangen.“

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als 4.000+ Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren