Corona in Österreich - Mobilfunker liefert Bewegungsdaten an Regierung

von Dr. Axel Spies, veröffentlicht am 19.03.2020

Die österreichische Presse berichtet, dass ein großer Mobilfunkbetreiber „aus eigenem Antrieb“ der Regierung die Bewegungsprofile aller Handynutzer österreichweit zur Verfügung stellt. Die Daten sollen dem österreichischen Krisenstab zeigen, wie und ob die sozialen Kontakte abnahmen oder nicht. Es ist nicht ganz klar, welche Daten übermittelt wurden. Der Mobilfunkbetreiber betont, dass man anhand der Daten keinerlei Rückschlüsse auf den einzelnen Handy-Nutzer ziehen könne. Jedes Handy bekomme eine für das Tracking automatisch nach dem Zufallsprinzip generierte Nummer zugewiesen. All diese Nummern würden alle 24 Stunden frisch vergeben.

Österreichische Datenschutzexperten haben hiergegen Bedenken: Der Betreiber greife auf vorliegende, historische Standortdaten zu, die nicht vollständig anonymisiert werden können. Allenfalls führe die Maßnahme zu einer Pseudonymisierung – d.h. die DS-GVO sei weiter anwendbar (vgl. Art. 4 Nr. 5 DS-GVO). Eine Rechtsgrundlage nach dem österreichischen Telekomgesetz oder dem Epidemiegesetz gäbe es nicht, meint ein Experte. Die österreichischen Oppositionsparteien SPÖ und FPÖ schließen sich der Kritik an.

Die Meldung passt in den hier schon diskutierten Zusammenhang, dass in Krisenzeiten der Datenschutz zurückgefahren wird - wie immer man dazu stehen mag.

Z.B. könnten die Behörden die Betreiber bitten oder gar zwingen, die generierten Standortdaten von (potenziell oder tatsächlich) Infizierten zu erhalten oder Infizierte nachzuverfolgen. Bekannt ist die massenhafte Auslesung der Standortdaten in China, wo ein Aufenthalt im Virus-Krisengebiet (angezeigt als „rot“) nach Berichten eine Zwangsquarantäne des Mobilfunknutzers nach sich ziehen kann.

Auch Israel überwacht infizierte Nutzer anhand ihrer Standortdaten. In Italien und Belgien werden solche Maßnahmen nach Presseberichten diskutiert.

Was halten Sie vom der österreichischen Initiative? Gerechtfertigt z.B. nach Art. 9 (2) (g) (h) oder (i) DS-GVO oder schlicht und einfach rechtswidrig? Was meinen Sie?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

6 Kommentare

Kommentare als Feed abonnieren

Selbst wenn es rechtskonform sein sollte ist es ein Unding.

Sind die Rosa Listen kein Begriff mehr in der Politik und Gesellschaft?

0

Die Zulässigkeit ist primär nach der ePrivacyRL (in Österreich umgesetzt im TKG) zu beurteilen (zum Verhältnis DSGVO - ePrivacyRL gibt es in Österreich übrigens bereits mehrere E der Datenschutzbehörde).

0

Das EDPB hat sich gestern auch zu dem Thema geäußert: https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_en

Die Übermittlung der Standortdaten an Regierungsstellen ist übrigens auch ein Thema in den USA: 

"Sen. Edward J. Markey, D-Mass., wrote to the Trump administration on Thursday urging the executive branch to "balance privacy with any data-driven solutions to the current public health crisis."

 Though reports said the administration was only seeking to sift through aggregated and anonymized location data for insights, Markey said that also posed a privacy risk because of the amount of information that can be extracted from such data.

 "Attempting to limit smartphone location data in this manner is insufficient to preclude violations of Americans' privacy," Markey said. "We need assurances that collection and processing of these types of information, even if aggregated and anonymized, do not pose safety and privacy risks to individuals."

 Markey isn't the only one concerned about privacy being breached as the federal government works to contain the spread of COVID-19, which had infected more than 11,000 people in the United States as of Thursday afternoon.

 Five other Democratic senators wrote to Vice President Mike Pence on the same day with questions about the administration's planned rollout of a website [...] to shepherd individuals with symptoms toward testing sites."

Nicht nur viele Laien, sondern auch viele Politiker, kennen den Unterschied zwischen Anonymisierung und Pseudoisierung nicht.

0

Kommentar hinzufügen