Corona und EU-Datenschutz-Leitlinien zu „location data und contact tracing tools“

von Prof. Dr. Katrin Blasek, LL.M., veröffentlicht am 22.04.2020

Gestern hat der Europäische Datenschutzausschuss (EDPB) eine Richtlinie über die Nutzung von Systemen/Tools zur Ermittlung von Kontaktpersonen bzw. zur Lokalisierung von Personen im Zusammenhang mit dem Covid 19 Ausbruch erlassen:
Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak - adopted on 21 April 2020; english version available at https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_20200420_contact_tracing_covid_with_annex_en.pdf)

Da das Corona-Virus nicht an Ländergrenzen halt macht, soll mit der Leitlinie ein einheitliches Vorgehen bei der Anwendung des Datenschutzrechts innerhalb der EU befördert werden.

Anonymität, Freiwilligkeit und Verhältnismäßigkeit der Datenverarbeitung ziehen sich durch die Richtlinie wie ein roter Faden.

Ohne Anspruch auf Vollständigkeit erscheint mir in aller Kürze wichtig:

Kontext:  

Aus Sicht des EDPB sollten Daten und Technologie zur Bekämpfung von Covid 19 befähigen und nicht zur Kontrolle, Stigmatisierung oder Unterdrückung von Personen.

Nr. 4: „The EDPB generally considers that data and technology used to help fight COVID-19 should be used to empower, rather than to control, stigmatise, or repress individuals.“

Die Leitlinien wollen Klarheit (und natürlich EU-weite Einheitlichkeit) im Hinblick auf die Bedingungen und die verhältnismäßige Nutzung von „location data and contact tracing tools“, die

  1. zur Abbildung der Virusausbreitung und Einschätzung der Effektivität der getroffenen Eindämmungsmaßnahmen
  2. zur Information Betroffener, darüber, dass sie Kontakt mit einem Träger des Virus hatten
     

Standortdaten:

Der EDPB weist darauf hin, dass Standortdaten nur innerhalb der Vorgaben von Art. 6-9 der sog. ePrivacy Richtlinie (2002/58/EG) verarbeitet werden dürfen, dass also ihre Übertragung an Behörden oder Dritte nur in anonymisierter Form oder mit vorheriger Einwilligung des Nutzers zulässig ist.

Nr. 10 „The EDPB recalls that location data4collected from electronic communication providers may only be processed within the remits of articles 6 and 9 of the ePrivacy Directive. This means that these data can only be transmitted to authorities or other third parties if they have been anonymised by the provider or, for data indicating the geographic position of the terminalequipment of a user, which are not traffic data, with the prior consent of the users“.

 

Contact tracing tools:

Im Zusammenhang mit der Lokalisierung von Personen erinnert der EDPB an die Datenschutzprinzipien, insb. Datensparsamkeit und den Schutz durch technisch-organisatorische Maßnahmen (privacy by design und by default):  

Nr. 27: „In the context of a contact tracing application, careful consideration should be given to the

principle of data minimisation and data protection by design and by default:

- contact tracing apps do not require tracking the location of individual users. Instead, proximity data should be used;

- as contact tracing applications can function without direct identification of individuals,

appropriate measures should be put in place to prevent re-identification;

- the collected information should reside on the terminal equipment of the user and only

the relevant information should be collected when absolutely necessary

Hier geht der EDPB auch auf die unterschiedlichen Rechtsgrundlagen (also nicht nur die Einwilligung des Betroffenen) ein, die eine solche Datenverarbeitung rechtfertigen können, wobei ihre Anwendung nicht zur Aushöhlung des Einwilligungstatbestands führen dürfen.

Nr. 32 „However, if the data processing is based on another legal basis, such as consent (Art. 6(1)(a)) for example, the controller will have to ensure that the strict requirements for such legal basis to be valid are met“

Auch die Zulässigkeit der Datenverarbeitung für wissenschaftliche und statistische Zwecke (ohne Einwilligung) verweist der EDPB:

Nr. 34: In accordance with the initial purpose,Article 9(2)(j) GDPR also allowsfor health data to be processed when necessary for scientific research purposes or statistical purposes.

[Hierzu noch mein Hinweis, dass allerdings zum Schutze der Betroffenen geeignete TOMs ergriffen werden müssen (Art. 89 DSGVO sowie §§ 27 f. BDSG).]

 

Fazit:

Schließlich sieht der EDPB keinen Widerspruch zwischen effizienter Datenanwendung und der Wahrung der individuellen Freiheitsrechte.

NR. 49 „The EDPB underlines that one should not have to choose between an efficient response to the current crisis and the protection of our fundamental rights: we can achieve both, and moreover data protection principles can play a very important role in the fight against the virus. European data protection law allows for the responsible use of personal data for health management purposes, while also ensuring that individual rights and freedoms are not eroded in the process.“

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

Kommentare als Feed abonnieren

Kommentar hinzufügen