Corona und "Datenspende-App"
Gespeichert von Prof. Dr. Katrin Blasek, LL.M. am
Der Bundesbeauftragte für den Datenschutz (Herr Kelber) hat sich gestern Abend zur datenschutzkonformen Nutzung der angedachten „Datenspende-App“ geäußert.
https://www.bfdi.bund.de/DE/Home/Kurzmeldungen/2020/09_Statement-Datenspende-App-RKI.html
Ein schwieriges Unterfangen, wenn man bedenkt, dass die endgültige Version noch nicht vorliegt.
Er hält diese aber grundsätzlich für möglich:
„Meiner Behörde liegt bis jetzt noch keine fertige Version der "Corona Datenspende"-App vor. Meine Mitarbeiterinnen und Mitarbeiter haben das Robert Koch-Institut im Vorfeld beraten. Grundsätzlich halte ich eine datenschutzkonforme Umsetzung für möglich und begrüße entsprechende Entscheidungen des RKI bei der Konzeption der App. Wir werden die Beratung fortsetzen und anschließend die Datenverarbeitung der App auch im Rahmen unserer Datenschutzaufsicht begleiten.
In seinem Statement weist er auf die einzuhaltenden Informationspflichten (Art. 12 ff. DSGVO) hin, wobei er da noch Nachholbedarf sieht im Hinblick auf die Speicherdauer (Art. 13 Abs. 2a DSGVO):
„Die Bürgerinnen und Bürger müssen eindeutig und widerspruchsfrei informiert sein, welche Daten die App zu welchem Zweck sammelt. Außerdem muss das RKI noch konkretisieren, wie lange die Daten gespeichert werden.“
Er adressiert auch zwei Grundsätze der Datenverarbeitung, 1. den Zweckgrundsatz:
„Ich erwarte zusätzlich, dass regelmäßig evaluiert wird, ob die App ihren Zweck erfüllt. Tut sie das nicht, muss die Verarbeitung beendet werden.“
und 2. den bislang am meisten diskutierten Grundsatz, nämlich die mögliche Rechtsgrundlage.
Kelber geht offenbar – wie auch einige Landesdatenschutzbeauftragte - davon aus, dass dies nur die Einwilligung (Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2a DSGVO sein kann, also nicht etwa ein "öffentliches Interesse" (Art. 9 Abs. 2 lit. i DSGVO oder Art. 6 Abs. 1 lit. e DSGVO).
Er verweist auf die jederzeitige Widerrufsmöglichkeit (Art. 7 Abs. 3 DSGVO) und die Rechte der Betroffenen im Hinblick auf die Löschung der Daten (Art. 17 Abs. 1b DSGVO).
Betroffene „… können ihre Einwillung jederzeit widerrufen. Das RKI hat zugesagt, dass in diesem Fall alle gesammelten Daten gelöscht werden.“
Den Namen findet Kelber unglücklich gewählt:
„Noch ein Hinweis: Aus meiner Sicht ist der Name "Datenspende-App" unglücklich gewählt. „Auch wenn Betroffene dem RKI ihre Daten freiwillig übermitteln, geben sie das Recht an ihren Daten nicht ab…“
Aus Sicht von Kelber sind die eigentlichen Achillesfersen der App die Schnittstellen zu kommerziellen Datensammlern im life science Bereich:
„Ganz allgemein weise ich darauf hin, dass das Datenschutzniveau bei Fitness-Trackern und SmartWatches je nach Hersteller sehr unterschiedlich ist. Diese Schnittstelle ist wahrscheinlich das größte Problem aus Sicht des Datenschutzes.“