* das ist „Binärisch“ und bedeutet…: 1
Wenn sich einer mit Datenschutz und Datensouveränität auskennt, dann ist das Peter Schaar. Der Bundesdatenschutzbeauftragte a.D. und Vorsitzende der Europäischen Akademie für Informationsfreiheit und Datenschutz spricht mit uns über die Corona-Warn-App. Über 25 Millionen Menschen nutzen die App bereits und einige fragen sich sicherlich: Funktioniert die App eigentlich noch? Ist Datenschutz bei der Pandemiebekämpfung ein Hindernis? Wie machen es andere Länder in Europa und der Welt?
Bei Fragen oder Anregungen schreibt uns gerne eine Mail an hallo@dasou.law und folgt uns auf Twitter: @DaSou_law.
Show-Notes:
https://www.eaid-berlin.de/blog-de/
Transkript
Karina Filusch:Hallo und herzlich Willkommen beim DaSou-Podcast. Wir sind Rechtsexpertinnen und sprechen in jeder Folge über Datensouveränität, abgekürzt DaSou. Ich bin Karina Filusch, Datenschutz-Anwältin und externe Datenschutzbeauftragte.
Aileen Weibeler: Ich bin Aileen Weibeler und angehende Juristin.
Karina Filusch:Wir beschäftigen uns in unserem Büro täglich mit Datenschutz und haben in letzter Zeit Fragen erhalten, die mit Datenschutz und Corona zu tun haben.
Aileen Weibeler: Ich habe zum Beispiel einige Posts auf Social-Media gesehen, in denen Leute Screenshots von der Corona-Warn-App geteilt haben, dass sie nicht mehr funktionieren würde. Dabei gab es nur einige Änderungen.
Karina Filusch:Ja, ich habe mich auch gefragt, ob meine Corona-Warn-App noch funktioniert. Das sind genau die Beispiele aus dem Alltag, die uns auf die Idee gebracht, eine Podcast-Folge daraus zu machen. Und natürlich spielt auch hier DaSou eine wichtige Rolle.
Aileen Weibeler: Genau, da soll es dann thematisch darum gehen, warum der Datenschutz eigentlich immer Schuld an allem haben soll, wie die Corona-Warn-App funktioniert, was an ihr geändert wurde, wie sie weltweit funktioniert, vielleicht auch im Vergleich zu anderen Ländern.
Karina Filusch:Ja, und wir gehen auch der Frage auf den Grund, ob weniger Datenschutz bei der Corona-Warn-App wirklich eine gute Idee ist.
Aileen Weibeler: Es gab tatsächlich einige Stimmen in der Öffentlichkeit, die gesagt haben, dass weniger Datenschutz angebracht wäre. So zum Beispiel Markus Söder, der gesagt hat, dass es ein zahnloser Tiger wäre oder auch Winfried Kretschmann, der gesagt hat, dass einfach falsche Maßstäbe in einer solchen Pandemie gesetzt werden.
Karina Filusch:Deshalb haben wir uns heute einen absoluten Experten eingeladen, der mit uns einige Fragen bespricht. Bei uns ist Peter Schaar. Peter Schaar war von 2003 bis 2013 Bundesbeauftragter für den Datenschutz und ist Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz.
Aileen Weibeler: Auf der Seite der europäischen Akademie gibt es auch einen spannenden Blog, bei dem ihr gerne mal vorbeischauen könnt.
Karina Filusch:Wir verlinken euch diesen Blog natürlich auch in den Shownotes.
Karina Filusch:Herr Schaar, wie war es denn eigentlich so, Bundesdatenschutzbeauftragte zu sein? Haben Sie sich manchmal so als Buhmann der Nation gefühlt?
Peter Schaar:Nein, das war nie mein Eindruck gewesen.
Natürlich war es mein Anliegen, die Grundrechte zu wahren bzw. dazu beizutragen, dass das Grundrecht auf informationelle Selbstbestimmung oder wie man jetzt sagt, das Grundrecht auf Datenschutz auf europäischer Ebene geschützt wird. Aber auf der anderen Seite geht es natürlich immer auch um eine Abwägung, wenn unterschiedliche Interessen betroffen sind, wenn es darum geht, bestimmte digitale Lösungen möglich zu machen. Dann ging es mir immer auch darum, pragmatische Lösungen zu finden, also nicht in allererster Linie zu sagen, dass etwas nicht geht, sondern dazu beizutragen, Lösungen zu finden, die dann auch funktionieren.
Karina Filusch:Ich spreche das an, weil in letzter Zeit oder generell hört man immer, der Datenschutz ist schuld, wenn etwas nicht umgesetzt werden kann. Was sagen Sie denn dazu? Was halten Sie von solchen Sprüchen?
Peter Schaar:Also diese Ausrede ist in der Tat uralt.
Insofern bin ich das schon gewöhnt. Von Anfang an bisweilen geht es sogar um Fragestellungen, die überhaupt nichts mit dem Datenschutz zu tun haben, wo sich jemand einfach dagegen wehrt, dass er bestimmte Rechenschaft ablegen soll, ob es jetzt um Unternehmensdaten geht oder auch um staatliche Daten, die möglicherweise gar keinen Personenbezug aufweisen. Dann ist Datenschutz sehr schnell bei der Hand, um dann zu sagen, wir geben nichts heraus, Sie wissen schon, Datenschutz. Da muss man schon genauer hinschauen und stellt schnell fest, Datenschutz ist gar nicht das Thema. Da will einfach jemand nichts herausgeben und er hat wirklich verzweifelt nach einem Argument gesucht und meinte, das ihm Stichwort Datenschutz gefunden zu haben. Das hat mich schon immer geärgert. Das ärgert mich besonders jetzt auch wieder, wenn so etwas kommt, denn das hört ja offensichtlich nicht auf. Das hat vielleicht auch ein bisschen damit zu tun, dass diejenigen, die so eine Ausrede benutzen, sich im Datenschutz auch gar nicht auskennen oder es interessiert sie eigentlich gar nicht.
Schwieriger ist es in Fällen, wo tatsächlich auch ein Konflikt da ist, wo bestimmte Informationen personenbezogen sind, also einzelnen Menschen zugeordnet werden können und diese Informationen für bestimmte Zwecke einfach verarbeitet werden sollen. Da geht es dann eben um diese Abwägung und auch zunehmend um technische und organisatorische Lösungen, die diese Grundrechtseingriffe vermeiden lassen oder aber sie auf einem geringstmöglichen Niveau reduzieren.
Karina Filusch:Ja, zuletzt hat man diese Ausrede gehört in Niedersachsen, als gesagt wurde, es kann nicht auf das Melderegister zugegriffen werden, um Personen über Impftermine zu informieren und der Grund sei der Datenschutz.
Peter Schaar:Ja, das hat mich auch sehr gewundert. Ich habe dann auch nochmal nachgeschaut, wie denn die Gesetzeslage ist. Im Bundesmeldegesetz ist vorgesehen, dass öffentliche Stellen im Rahmen ihrer Aufgaben selbstverständlich auf die Grundmeldedaten zugreifen dürfen. Das heißt auch auf den Namen und auf das Alter bzw. Geburtsdatum der entsprechenden Personen und auch auf die Adressdaten. Ich würde sogar sagen, gerade für solche Zwecke hat man vor vielen, vielen Jahren das Melderegister überhaupt eingerichtet. Wenn nicht für einen Zweck, wie hier vorliegend für die Impfungseinladung, für welchen Zweck sonst soll man eigentlich dann ein Melderegister nutzen? Ich habe manche Kritik an dem Melderecht auch an der leichten Möglichkeit, diese Zugangsmöglichkeiten zu Meldedaten missbrauchen, aber in diesem Falle wäre es auf jeden Fall gerechtfertigt gewesen.
Und dann stellte sich heraus es gibt offensichtlich ein niedersächsisches Umsetzungsgesetz zum Bundesmeldegesetz, das man so interpretieren könnte, dass in einer bestimmten Konstellation, wo ein Privater beauftragt wird, von einer staatlichen Stelle, er dann keinen zentralen Zugang zu Melderegister bekommt. Zum einen halte ich das selbst bei der jetzigen Gesetzeslage überhaupt nicht für zwingend, denn es ist ja auch die Durchführung der Impfungen eine Aufgabe der Gesundheitsbehörden des jeweiligen Landes, also eine öffentliche Aufgabe. Und insofern wäre es auch möglich gewesen, auch unter der jetzigen Rechtslage auf diese Daten zuzugreifen.
Und zweitens: Wenn tatsächlich nur Landesrecht hier zur Diskussion stand, dann hätte der Landesgesetzgeber, in diesem Falle der niedersächsische Landtag, diese landesrechtlichen Regelungen ja auch ohne weiteres ändern können, ohne da irgendwelche verfassungsrechtlichen Probleme mit zu haben. Das ist nicht geschehen.
Offensichtlich hat das niedersächsische Sozialministerium, das für diesen Bereich zuständig ist, dann ohne die Landesdatenschutzbeauftragte zu fragen, dann dafür entschieden, Daten aus einer ganz anderen Quelle anzukaufen, nämlich aus dem Datenbestand der Deutschen Post, DHL, der sich aber dann als völlig ungeeignet erwiesen hat, wie dann danach beklagt wurde. Und dann wurde gesagt, ja, da ist der Datenschutz schuld. Und über solche Argumente ärgere ich mich und natürlich müsste man eigentlich den Kopf schütteln. Es ist auch gerade angesichts des sehr sinnvollen Verwendungszweckes, nämlich Menschen einzuladen, eine Möglichkeit der Impfung gegen Covid-19 zu bekommen.
Dieser Zweck wird dann auch nicht erfüllt. Das heißt, man hat auf der einen Seite der Gesundheit der Menschen damit einen Tort getan. Auf der anderen Seite hat man durch diese absurde Schuldzuweisung an den Datenschutz auch nochmal versucht, die Schuld von den eigenen Schultern zu laden.
Karina Filusch:Ja, so sieht es aus. Als ich das in der Zeitung gelesen habe, fand ich das auch absurd, diese Argumentation. Mich trösten dann immer ihre Tweets auf Twitter. Die sind immer so herrlich überspitzt und das bringt mir dann wieder ein Schmunzeln ins Gesicht und tröstet mich ein bisschen über die Absurdität hinweg. Wir sind ja ein Podcast für Datensouveränität. Was ist denn für Sie Datensouveränität eigentlich?
Peter Schaar:Also es gibt ja einen Begriff, der weitgehend synonym mit dem Begriff Datenschutz verwendet wird. Es ist der Begriff des Grundrechts auf informationelle Selbstbestimmung. Das basiert auf der Rechtsprechung des Bundesverfassungsgerichts seit 1983 und für mich ist Datensouveränität bezogen auf personenbezogene Daten eigentlich informationelle Selbstbestimmung, also die Möglichkeit des Einzelnen, auf den sich Daten beziehen über diese Daten auch so weit wie möglich zu bestimmen. Natürlich im Rahmen der Gesetze. Und diese Gesetze sehen eben auch vor, dass dieses Grundrecht eben nicht unbegrenzt gilt, sondern dass abgewogen werden muss, zum Beispiel jetzt in Corona-Zeiten mit dem Grundrecht auf Leben und körperliche Unversehrtheit. Das ist dieser Abwägungsprozess und dieser Abwägungsprozess bleibt auch den Datenschützern nicht erspart und kein Grundrecht ist absolut.
Und insofern ist das sozusagen der erste Zugang.
Der zweite Zugang ist bei der Datensouveränität, der mehr politisch-wirtschaftliche Kontext, wo es jetzt um die Frage geht, wie sieht es eigentlich mit der Souveränität Deutschlands oder Europas aus, wenn es um den Umgang mit Daten geht?
Und ich denke, das muss man schon trennen, wenn man diesen Begriff verwendet, weil er ja so ein Stückchen weit unscharf ist. Und hier denke ich auch, dass es letztlich darum geht, dass Europa als Völkerrechtssubjekt und auch letztlich die Bundesrepublik Deutschland als Völkerrechtssubjekt nicht in eine totale Abhängigkeit von Dritten geraten, wo letztlich keine Entscheidungsspielräume mehr da sind oder diese Entscheidungsspielräume immer geringer werden.
Und in diesem Zusammenhang geht es dann um Fragen der Gewährleistung von Verarbeitungsmöglichkeiten, auch in Europa, also die Frage der Vermeidung von Abhängigkeiten von Cloud Services, die außerhalb Europas gehostet werden und nicht nur gehostet werden, sondern wo auch die Kontrolle und die zentralen Entscheidungen eben nicht in Europa stattfinden, sondern irgendwo in China oder in den USA oder sonst wo. Also da geht es dann eben auch um technische Möglichkeiten, so Souveränität zu verbessern oder aber auch, da spielt dann die Datenschutzgrundverordnung hinein, aber sie ist sicher nicht das einzige Instrument, die Frage der Regulierung.
Insofern wird man da dann in diesem Wettbewerb auch der Regionen ein stückweit darüber diskutieren müssen und das geschieht ja auch, wie man eben aus bestimmten Abhängigkeitssituationen von Technologieunternehmen oder von anderen Regionen in dieser Welt gibt, wie man sich daraus befreien kann.
Karina Filusch:Kommen wir jetzt mal zu den praktischen Anwendungsfällen, die das Thema Datensouveränität bietet, jetzt vor allem in der Pandemie. Mittlerweile haben 25 Millionen Personen die Corona-Warn-App heruntergeladen. Ich nehme an, Sie nutzen die App auch?
Peter Schaar:Ja, ich nutze die auch, von Anfang an.
Karina Filusch: Ich auch. Ich habe an dem Tag, an dem sie rausgekommen ist, sogar zwei Stunden früher den Wecker gestellt, extra, um wie eine Verrückte die App herunterzuladen und mir dann gleich die Datenschutzbestimmungen durchzulesen, weil ich so neugierig darauf war und habe sie dann natürlich gleich allen empfohlen. Sie haben schon lange bevor die App rausgekommen ist, einen kleinen Katalog aufgestellt, was die App so können müsste, beziehungsweise, was sie datenschutzkonform machen würde. Da haben Sie z.B. geschrieben, sie müsste auf freiwilliger Basis eingesetzt werden und so weiter. Was macht denn für Sie eine gute Corona-Warn-App aus?
Peter Schaar:Also eine gute Corona-App muss natürlich geeignet sein, Kontakte, Risikokontakte festzustellen. Und sie muss letztlich auch dazu beitragen, dass Menschen, die dann positiv getestet wurden, sich sozusagen mittels dieser Corona-App, diese Testergebnisse laden können und sie müssen auch dann die Möglichkeit haben, dieses positive Testergebnis gegebenenfalls mit Dritten zu teilen bzw. dazu beizutragen, dass Dritte, mit denen sie wissentlich oder unwissentlich Kontakt hatten, auch gewarnt werden. Das ist die funktionale Seite. Das muss erfüllt sein. Ich glaube, das ist recht gut erfüllt, soweit ich das beurteilen kann.
Es gibt eine neue Version der Corona-App, seit einiger Zeit, die gerade diese Risikobewertung sehr viel genauer vornimmt als die früheren Versionen. Das ist, soweit ich weiß, auch in Deutschland seit Januar dann auch in die deutsche Corona-Warn-App integriert worden.
Der zweite Aspekt, der wichtig ist, ist, dass die Menschen darauf vertrauen können, dass diese Informationen, die sie dieser Warn-App anvertrauen, nämlich dass sie sich in der Öffentlichkeit bewegen, dass sie möglicherweise auch Kontakte haben zu anderen Menschen und, dass sie selbst oder diese anderen gegebenenfalls positiv auf dieses Virus getestet worden sind, dass dieses vertraulich bleibt und nicht dazu führt, dass einzelne Menschen auf diese Art und Weise öffentlich als infiziert erkennbar werden. Und das hängt dann ganz eng auch damit zusammen, dass diese Warn-App eben nicht als Überwachungsinstrument durch irgendwelche staatlichen Stellen verwendet wird, was dazu führen würde, dass ein großer Teil der Menschen, die heute diese Warn-App verwenden, sie nicht mehr verwenden würden. Und eine Verwendungspflicht für eine App ist unrealistisch und sehr schwer vorstellbar. Auch in diesen Zeiten, die etwas ungewöhnlich sind.
Karina Filusch:Sie haben gerade ganz viele wichtige Punkte angesprochen. Ich komme auf einen Punkt zurück. Sie sagten, im Januar wurden die Risikobewertungen neu eingestellt. Ich habe vermehrt in sozialen Medien auf Twitter z.B. Posts gelesen, auf denen Screenshots von der Corona-Warn-App gepostet wurden und darüber geschrieben wurde: „Ich habe seit Wochen keinen Risikobewertung mehr bekommen. Funktioniert diese App noch? Das Projekt ist gescheitert.” Aber das ist genau das, was Sie gesagt haben. Im Grunde wurden nur die Kriterien verbessert, deswegen schlägt die App nicht mehr so oft aus. Aber sie geht weiterhin, sie funktioniert, das Projekt ist nicht gescheitert.
Peter Schaar: Ja, erstens sie funktioniert weiterhin, aber es scheint auch noch eine zweite Änderung vorgenommen worden zu sein, die aus meiner Sicht eigentlich ganz sinnvoll ist. Wir haben in der Zeit bis zu dieser Umstellung, dieser Systemumstellung auf das neue Release häufig Warnmeldungen bekommen, mit denen wir wenig anfangen konnten. Risikokontakte, die aber keine Risikokontakte waren bzw. nur ein niedriges Risiko repräsentierten. Also da ha ich mal drei auf einmal gehabt oder vier, dann ist man beunruhigt und dann schaut man sich an, was soll man jetzt machen? Und dann heißt es nichts. Und diese Meldung scheint es nicht mehr zu geben.
Es gibt also offensichtlich zwei Änderungen und das ist leider nicht richtig kommuniziert worden, finde ich. Jedenfalls ist das zu mir auch nur auf Umwegen gelangt, diese Information. Also die erste Änderung der Corona-Warn-App betrifft dieses Risiko Framework. Das heißt die Risikoeinschätzung, wo auch einfach neue Faktoren sehr intelligent in dieses Framework eingebaut worden sind. Also um es auf den Punkt zu bringen, es geht eben darum, zum einen, dass diese dieses Contact-Tracing anhand der Feldstärke noch sehr viel genauer zu kalibrieren, als das vorher der Fall war. Das ist die technische Ebene.
Und die zweite Ebene ist, dass diejenigen, die positiv getestet worden sind, gebeten werden, auch auf freiwilliger Basis, den Beginn der Krankheitssymptome zu datieren und auch mitzuteilen, ob man überhaupt Krankheitssymptome hat, wann sie angefangen haben, wann sie vielleicht auch schon zu Ende waren. Das erleichtert es, diese technisch erhobenen Kontaktdaten zu matchen mit dem individuellen Risiko, das von der positiv getesteten Person ausgegangen ist. Das ist der Hintergrund, weshalb das sehr viel genauer heute ist. Und das zweite ist die Darstellungsebene. Das heißt nicht jeder Kontakt, der irgendwie entfernt mit irgendeinem vernachlässigbaren Risiko verbunden war, führt jetzt dazu, dass man eine grüne Meldung kriegt, ein Risikokontakt mit niedrigem Risiko, sondern, dass hier offensichtlich nur noch Personen angezeigt werden oder Kontakte angezeigt werden, die ein höheres Risiko repräsentieren.
Karina Filusch:Also, liebe Leute, eure App funktioniert auf jeden Fall weiterhin. Das Projekt ist nicht gescheitert. Die App wurde nur optimiert. Das ist das Schöne an der App. Sie wird immer weiter verbessert und optimiert. Es gab schon mehrere Updates. Die Häufigkeit der Serverabfragen ist z.B. gestiegen. Es wurde eine Datenspende-App eingerichtet, wo man freiwillig Daten spenden kann. Und das Schöne ist auch, dass bald die App auch auf alten Geräten anwendbar sein wird.
Peter Schaar:Auch noch zu nennen ist das sogenannte Kontakt-Tagebuch. Auch das ist eine freiwillige Anwendung und das, was man dort an Kontakten eingibt, bleibt auf dem Gerät. Das geht nicht etwa auf so einen zentralen Server, aber man kann sich dort reinschreiben: „Am Montag war ich um 10 Uhr bei Edeka.” Also das kann ich dort jetzt als Gedächtnisstütze eintragen. Oder ich habe mich mit einem Freund getroffen. Dieses kann man dort eintragen und das dient dann letztlich der Gedächtnisstütze für den Fall, dass man positiv getestet wurde. Aber es gibt da keinen Automatismus, dass das dann an irgendjemanden übertragen wird.
Karina Filusch:Insgesamt ist unsere App also ganz schön datenschutzfreundlich. Es heißt auch, dass das der Grund sein soll, dass die Corona-Warn-App so erfolgreich ist im Vergleich zu anderen europäischen Ländern, die nicht so datensparsam sind. Vielleicht können wir das nochmal im Vergleich, im weltweiten, ein bisschen angucken, was da noch so in der in der Welt alles los ist.
Peter Schaar:Ja, also es gab zumindest in Europa zwei Fälle, wo die Regierung einen anderen Weg gegangen war, nämlich zu zentralisierten Lösungen zu kommen.
Das war auch auf freiwilliger Basis, soweit ich richtig informiert bin.
Karina Filusch:In Frankreich.
Peter Schaar:In Frankreich und in Norwegen. Und in beiden Fällen hat das dazu beigetragen, dass kaum jemand diese App tatsächlich nutzte. Und da haben dann die Regierungen, denke ich, richtig entschieden und haben gesagt, wir schließen uns diesem europäischen Mainstream an, wie der deutschen Corona-Warn-App. Wir machen da zwar auch ein paar Zusatzfunktionalitäten mit rein, das ist bei all diesen nationalen Apps möglich. Und da gibt es jetzt und das ist jetzt ein Punkt, den wir noch nicht angesprochen haben, eben auch die Möglichkeit und das wird auch realisiert, dass beim sogenannten Roaming, das heißt, wenn ich von einem Staa t in den nächsten wechsle, diese App ihre Funktionalität weiter beibehält. Das heißt, ich kann, wenn ich von Deutschland nach Österreich reise, in Zukunft vielleicht etwas leichter wieder oder nach Italien oder nach Spanien. Dann ist es so, dass Risikokontakte auch in diesen Ländern erfasst werden.
Das geschieht aber nur, wenn ich diese Roaming-Funktion auch nochmal ausdrücklich aktiviert habe. Das ist so eine Neuerung, die jetzt letztens eingebaut worden ist. Ich finde das gut. Im Augenblick spielt das vielleicht nicht die entscheidende Rolle, aber wir werden ja hoffentlich auch wieder in Zeiten kommen, wo das Reisen möglich ist.
Karina Filusch:Ja, das wäre schön. Mittlerweile hat glaube ich auch so ziemlich jedes europäische Land eine App und ich glaube, es haben sich ungefähr zehn Länder angeschlossen. Frankreich glaub ich nicht. Also für diese Roaming-Option. Andere Länder, vor allem in Asien, gehen nochmal einen ganz anderen Weg. Die setzen nicht auf das Tracing, also auf die Verfolgung der Spur an sich, sondern auf das Tracking, also die Standortermittlung, sodass man guckt, wo sich die Bürger auch aufhalten.
Peter Schaar:Ja, da gibt’s sehr unterschiedliche Lösungen.
Also wenn man sich beispielsweise mal Taiwan anschaut, da gibt es überhaupt keine Tracking- und Tracing-App, die Kontakte darstellt, sondern da geht es darum, dass man diese elektronischen Mittel zur Quarantäneüberwachung einsetzt, im Wesentlichen.
Das heißt also, wenn ich von einem Drittstaat von einem anderen Land nach Taiwan reise, dann bin ich dazu verpflichtet, meine Handydaten dort den Behörden mitzuteilen, damit die dann anhand dieser Handydaten, der Standortdaten, die von den Handys ermittelt werden, dann gegebenenfalls meine Wege nachverfolgen können. Aber das gilt im Prinzip, soweit ich weiß, nur für Personen, die selbst in Quarantäne sind, z.B. weil sie eingereist sind oder weil sie positiv getestet wurden. Und um das datenschutzgerecht zu gestalten, hat man dort den Weg gewählt, spezielle SIM-Karten herauszugeben, die nur zwei Wochen aktiv sind. Das heißt nicht der komplette Kommunikationsverlauf wird auf diese Art und Weise erfasst, sondern nur die Standortdaten für diese zwei Wochen und danach ist diese Karte dann deaktiviert und die Daten werden ja auch dann nicht mehr gebraucht und können dann auch gelöscht werden.
Karina Filusch:Ja, und dann gibt es Länder wie China, die tatsächlich tracken. Bei autoritären Staaten hat man natürlich die Angst, dass sie diese Daten dann auch missbrauchen für andere Zwecke.
Peter Schaar:Ja, also in China beispielsweise hat man die Alibaba Bezahl-App Alipay verwendet, die praktisch fast jeder in China benutzt. Also ist es weitaus stärker verbreitet als bei uns elektronische Zahlungsmittel wie Apple Pay oder so etwas. Und mit dieser Alipay-Funktion hat man praktisch dann ein Tracking verbunden. Und das war dann für China genau der Weg, Personen zu identifizieren. Nicht nur ihre Standorte, auch ihr Kaufverhalten. Das ist natürlich eine ganz interessante Geschichte. Also wenn man z.B. eine Kontaktbeschränkung hat auf eine bestimmte Zahl von Personen. Wenn man dann im Supermarkt größere Mengen einkauft, dann macht man sich gegebenenfalls verdächtig. Also das Ganze war dann wohl auch sogar verknüpft mit elektronischen Zugangskontrollsystemen. Das heißt also, wenn ich in einem Wohnblock wohne, in dem ein solches Zugangskontrollsystem besteht und das ist jetzt ein Stadtteil, wo man jetzt Ausgangssperren beschließt, und man hat keine Ausnahmegenehmigung, die man dann entsprechend auch programmieren könnte, dann werde ich nicht mehr aus dem Haus gelassen.
Das ist etwas, was sich unserem Vorstellungsvermögen weitgehend entzieht, weil es einfach nur ein autoritärer Staat durchsetzen kann, bei dem Bürgerrechte sowieso nix zählen. Und bei uns würde sowas ja einer gerichtlichen Kontrolle unterliegen, auch einer verfassungsgerichtlichen Kontrolle und würde mit Sicherheit nicht die Gnade der Verfassungsrichter finden.
Karina Filusch:Ja, wir haben eine totale Luxus-App kann man eigentlich sagen, die wirklich sehr datensparsam ist. Was würden Sie denn am liebsten Personen entgegnen, die sagen also der Datenschutz ist hier hinderlich, wir müssen auf den Datenschutz bei der App verzichten.
Peter Schaar:Naja, also das zentrale Argument ist, dass über die Freiwilligkeit und die datenschutzfreundliche Gestaltung der App Vertrauen geschaffen wird und damit auch die Bereitschaft, eine solche App tatsächlich zu nutzen. Und das ist ein ganz hoher Wert. Und ich denke, das korrespondiert generell mit einer Politik, die ich auch in Deutschland nach wie vor überwiegend sehe, dass man sagt, wir sind darauf angewiesen, dass die Menschen letztlich auch mitmachen. Und klar, man kann den Menschen auch nur als Objekt sehen, wie das in China offensichtlich der Fall ist.
Wir haben eben da bestimmte Vorstellungen von Freiheit, die sich da nicht ohne weiteres vollständig einem solchen Corona-Bekämpfungsprogramm unterordnen und das ist auch richtig so. Das hat auch der Bundestagspräsident Schäuble völlig richtig gesagt. Es gibt unterschiedliche Grundrechte und es gibt nur ein Supergrundrecht. Das ist das Grundrecht auf Menschenwürde. Selbst das Grundrecht auf Leben und körperliche Unversehrtheit steht nicht ganz einsam über allen anderen. Sonst dürften wir z.B. nicht Autofahren, weil Autofahren risikobehaftet ist, und zwar nicht nur für das eigene Leben, sondern auch für Dritte. Wir kennen die Unfallstatistiken und da fallen immer noch sehr viele Menschen Unfällen zum Opfer. Und trotzdem sagen wir, dass dieses Grundrecht auf Freizügigkeit, ist uns so viel wert, dass wir so ein Risiko eingehen. Und das gilt natürlich auch für das Grundrecht auf Datenschutz, wo man auch sagen muss, gerade in einer digitalisierten Welt kommt Selbstbestimmung des Einzelnen, dem Grundrecht, eben nicht dauernd verfolgt zu werden und registriert zu werden, eine ganz hohe Bedeutung bei. Aber das muss natürlich abgewogen werden und je schwerwiegender die Gefährdung z.B. dieses Grundrechts auf Gesundheit ist, wie in diesen Corona-Zeiten, desto stärker sind natürlich auch bestimmte Eingriffe zu rechtfertigen. Aber ich finde gerade bei der Corona-Warn-App hat man es ja gerade hingekriegt, dass man die wesentlichen Funktionalitäten realisiert und gleichzeitig dieses Grundrecht auf informationelle Selbstbestimmung, das Grundrecht auf Datenschutz weitgehend wahrt und in anderen Bereichen ist das sicherlich auch bei der Corona-Bekämpfung nicht so einfach gewesen. Wenn es z.B. darum geht, dass in der Zeit, als Restaurants noch offen haben durften, sie verpflichtet waren und auch die Gäste verpflichtet waren, die entsprechenden Adressen zu registrieren. Das war schon ein Eingriff in den Datenschutz, der aus meiner Sicht völlig gerechtfertigt war. Natürlich hat es auch in anderen Bereichen Eingriffe in den Datenschutz gegeben und gibt sie immer noch, wenn z.B. ein positiver Corona-Test festgestellt wird, das wird vom Gesundheitsamt registriert. Die Einhaltung dieser Maßnahmen der Quarantäne-Maßnahmen wird auch kontrolliert und dazu dürfen auch personenbezogene Daten verwendet werden. Nur eben nicht die Corona-Warn-App, weil sie einem anderen Zweck dient.
Karina Filusch:Jetzt haben wir ein paar wichtige Punkte angesprochen. Also im Grunde ist die App ganz gut, aber in der Praxis wünschen sich ein paar Leute, dass sie hilft, die Situation noch zu verbessern. Was könnten wir machen, damit die Nutzung der App noch ein bisschen verbessert wird? Also die verpflichtende Nutzung, die scheidet ja aus. Also ich glaube, wir beide sind uns einig, dass die Freiwilligkeit hier ein zentrales Thema ist. Aber was könnten wir noch machen, damit die Situation besser wird?
Peter Schaar:Also ein Verbesserungsvorschlag, den ich schon vor einiger Zeit selbst gemacht habe und wo auch andere auf dieselbe Idee gekommen sind, ist es die Möglichkeit, die App auch zur sogenannten Cluster-Erkennung zu verwenden.
Das heißt, es wäre mit diesem Framework durchaus vereinbar, mit dem technischen Framework vereinbar, dass man auch auf anonymer Basis feststellt, ob man sich in einer Situation befunden hat, wo eine solche Gruppe, wo ein Superspreading-Event möglicherweise stattgefunden hat und, dass das darüber im Falle einer Positiv-Testung, dann auch der Betroffene informiert wird, damit er das dann entsprechend daraus entsprechende Schlussfolgerungen ziehen kann, z.B. auch im Hinblick auf eine mögliche Testung, selbst wenn der einzelne Kontakt geringer war.
Also von der zeitlichen Form, vom zeitlichen Ausmaß oder von der Intensität, also der Nähe der Personen, die dann positiv getestet wurde, könnte es ja sein, dass allein aufgrund der Vielzahl der Personen eben noch eine zweite Person positiv ist, die gar nicht getestet wurde. Und gerade wenn man sagt, da war man da in einem größeren Cluster von Personen, dass dieses dann auch bei der Risikobewertung berücksichtigt wird. Sowas wäre durchaus eine mögliche Weiterentwicklung, die aber durchaus technisch ziemlich ambitioniert ist, weil bestimmte Parameter, die da bisher verwendet werden, dann auch angepasst werden müssten. Aber das wäre aus meiner Sicht auch ohne größere Datenschutzprobleme möglich.
Karina Filusch:Mir gefällt ihre Lösung sehr gut, vor allem weil es Events möglich machen würde, wenn die Inzidenzzahlen natürlich nicht mehr so hoch sind. Das klingt nach einem sehr tollen, praktikablen Vorschlag. Ich hoffe, das wird eingebaut. Die App wird kontinuierlich verbessert, wie wir schon die ganze Zeit besprochen haben.
Also bleibt zu hoffen, dass auch dieser Vorschlag vielleicht mal aufgenommen wird.
Peter Schaar:Ja, also das wird, soweit ich weiß, ist das von der Bundesregierung nur als Prüfauftrag bisher beschlossen worden, also nicht als Auftrag für die Weiterentwicklung. Aber das bräuchte man im Grunde genommen.
Karina Filusch:Also beobachten wir die Lage mal.
Peter Schaar:Das ist richtig.
Karina Filusch:Herr Schaar, ich bin ohne Ende dankbar, dass wir heute sprechen konnten über das Thema Datensouveränität und Datenschutz und bedanke mich herzlich, dass Sie sich bereit erklärt haben.
Peter Schaar: Ja, ich bedanke mich auch für die Möglichkeit, mit Ihnen darüber zu sprechen und wünsche Ihnen guten Erfolg.
Karina Filusch:Tja und ich dachte immer ich bin total cool und vorsichtig, dass mir die App nichts mehr anzeigt, aber da hat sich ja herausgestellt, dass das nicht ich war.
Aileen Weibeler: Sehr gut, dann hätten wir mal geklärt, wie wir die App alle nutzen können und sollten.
Karina Filusch:Hört doch beim nächsten Mal wieder rein, wenn wir wieder über DaSou sprechen.
Aileen Weibeler:In der nächsten Folge geht es dann um die beliebten Sprachassistenten wie Siri und Alexa und was diese im Alltag vielleicht an der ein oder anderen Stelle so aufschnappen.
Karina Filusch:DaSou ist eine Produktion der Kanzlei Filusch. Mehr Infos findet ihr auf unserer Website www.dasou.law. Der Jingle wurde komponiert von Mauli, die Idee zu DaSou hatte Axel Jürs, das Cover hat Hélène Baum erstellt, beraten wurden wir von Susan Stone.
Aileen Weibeler: Wenn ihr eine Frage zu DaSou habt, schickt uns eine Mail an hallo@dasou.law oder folgt uns auf Twitter und Instagram @dasou_law.
Karina Filusch: Danke fürs Zuhören. Bis nächstes Mal!
Aileen Weibeler: Bis zum nächsten Mal!