Was lange währt, wird endlich gut: Deutschland hat seine Corona-App

Apropros: Die Datenschutz-Grundverordnung hat gerade auch ihren zweiten Geburtstag gefeiert. Viele Unternehmer beklagen zwar einen größeren Bürokratieaufwand, aber die befürchtete große Abmahnwelle ist zum Glück ausgeblieben. Datenschützer begrüßen, dass sich endlich alle Unternehmen intensiv mit Datenschutz beschäftigen und dass Verbraucher nun viel besser über die Nutzung ihrer Daten bestimmen können – und für ihre Rechte auch kämpfen. Ein Problem sind offenbar noch die 69 nationalen Öffnungsklauseln in der eigentlich EU-weit gültigen DSGVO, sodass in jedem Land doch im Detail wieder unterschiedliche Regeln können – was für international aktive Firmen schon eine Herausforderung sein kann. Manchmal ist die Auslegung sogar zwischen den deutschen Bundesländern unterschiedlich.

Dass sich die Bundesländer nicht unbedingt immer einig sind, haben wir in den Corona-Diskussionen der letzten Wochen oft genug erlebt. Und auch über die sinnvollste epidemiologische und die beste datenschutzkonforme Lösung für die Corona-App wurde lange debattiert, sodass sie nicht auf dem vorläufigen Höhepunkt der Pandemie in Europa kurz vor Ostern herauskam, sondern eben erst jetzt. Und leider auch immer noch mit kleineren Macken. Aber immerhin ist die App nun fertig und ein Faktor bei der Eindämmung der Pandemie.

Wie funktioniert sie? Die App misst über die Bluetooth-Funktion, welche Smartphones – und so welche Nutzerinnen und Nutzer – sich für mindestens eine Viertelstunde näher als ca. zwei Meter gekommen sind, wenn das andere Smartphone auch die App installiert hat. Dabei werden keine Orte getrackt, keine Bewegungsprofile erstellt. Aus der Stärke des jeweils anderen Bluetooth-Signals kann die ungefähre Distanz berechnet werden. Bluetooth erkennt aber leider nicht, ob z.B. eine Wand zwischen den Menschen war. Jedem Nutzer wird mehrmals in der Stunde eine neue anonymisierte Identifikationsnummer zugeteilt. So erfasst die App die Begegnungsdaten, die auf jedem Gerät dezentral gespeichert werden.

Bei wem Covid-19 diagnostiziert wird, der kann sich mittels eines QR-Codes vom Testlabor selbst als infiziert melden. Da viele Labore aber noch nicht ausreichend technisch ausgestattet sind, kann man sich alternativ an eine Hotline wenden, die dann nach einer kurzen Befragung den Nutzer der App als infiziert „markiert“. Dieser „Medienbruch“ von der App zum Telefon bereitet dem BfDI noch etwas Sorge, weil bei einer telefonischen Befragung keine vollständige Pseudonymisierung mehr gewährleistet werden kann. Immerhin konnte er aber die Speicherung der personenbezogenen Daten aller Anrufer abwenden.

Nach der Meldung einer Infektion in der App werden sofort alle anderen App-Nutzer benachrichtigt, die in letzter Zeit dem Infizierten begegnet sind. Ein Risikowert für eine Infektion wird kalkuliert, der z.B. berücksichtigt, dass Infizierte unmittelbar vor dem Ausbruch der Krankheitssymptome besonders ansteckend sind. Wer eine Warnung erhält, sollte weitere Vorsichtsmaßnahmen ergreifen, sich selbst auf Covid-19 testen lassen und die eigenen Kontakte für die nächsten Tage reduzieren.

Zwischenzeitlich gab es auch eine Debatte darüber, ob die App ein eigenes Gesetz braucht – gerade auch um weiter zu betonen, dass der Download freiwillig ist und auch bleibt, und dass durch das Benutzen oder Nichtbenutzen keine Vor- oder Nachteile für die Nutzer entstehen. Auch der BfDI betont: „Es ist in keinem Fall zulässig, dass Dritte Einblick in die App fordern.“

Haben Sie die App schon installiert? 3 von 5 Leuten sollten mindestens mitmachen, um eine aussagekräftige Abdeckung zu erreichen. In einer ARD-Umfrage gaben kurz vor Start der App immerhin 42 Prozent der Befragten an, die App installieren zu wollen. Singapur ist uns da etwas Voraus. Hier wurde die lokale Corona-App, die ähnlich funktioniert wie in Deutschland, bereits vor drei Monaten vorgestellt. Die Bilanz des Systems ist durchwachsen, nur rund zwanzig Prozent der Bevölkerung hat die App freiwillig installiert. Deswegen setzt die Regierung dort nun auf ein eigens entwickeltes Gerät, das völlig unabhängig von Handys funktionieren soll – und innerhalb Singapurs womöglich verpflichtend werden könnte. Die Behörden haben kleine Bluetooth-Geräte („Tokens“) verteilt, die quasi genauso funktionieren wie die App – aber möglicherweise auf höhere Akzeptanz stoßen. Die Benutzer sollen das Gerät an der Kleidung oder in der Tasche immer mit sich führen. Das kommt all denjenigen entgegen, die kein (kompatibles) Smartphone haben, sich um einen schneller entleerenden Akku sorgen oder weiterhin Datenschutzbedenken hegen. Wir werden sehen, was daraus wird. In Europa wird es wohl stark vom weiteren Infektionsgeschehen abhängen, welche Maßnahmen noch ergriffen oder zumindest diskutiert werden.

Ich hatte es im letzten Artikel kurz anklingen lassen: Ein Nebeneffekt der Corona-Maßnahmen sind ja derzeit die Gästelisten zur Nachverfolgung von Infektionsketten in Restaurants, Museen, bei Veranstaltungen, beim Sport, beim Frisör usw. Mit diesen Daten muss natürlich sensibel umgegangen werden. Vielerorts sieht man, dass die Listen offen ausliegen und jeder Gast sehen kann, wer heute auch schon da war. Das ist eindeutig unzulässig und sollte eigentlich zum Datenschutz 1×1 gehören: Nur einzelne Formulare – ein Formular je Besuchergruppe – sind eine akzeptable Lösung.

Weitere Blüten treibt der Datenschutz während der Corona-Zeit beim sogenannten Home-Schooling, wenn Lehrkräfte Zoom oder WhatsApp nutzen, um Schüler während der Pandemie zu unterrichten. Mangels geeigneter Infrastruktur mussten und müssen viele Lehrer pragmatisch sein, um überhaupt Stoff vermitteln zu können. Datenschutz spielt da zunächst kaum eine Rolle. In Thüringen hat nun der Landesdatenschutzbeauftragte angekündigt, Bußgelder für Lehrkräfte zu prüfen, die womöglich gegen Vorschriften verstoßen hätten. Es geht darum, welche Software, welche Clouds und welche Kommunikationsplattformen Lehrkräfte nutzen dürfen und ob z.B. ausreichende Einwilligungen von Schülern oder deren Eltern eingeholt wurden. Die Politik zeigte sich parteiübergreifend alarmiert. Hoffentlich führt das dann mal zu einer echten und planmäßigen Digitalisierung an deutschen Schulen. Vorbild könnte beispielweise Neuseeland sein. Denn die Schuld liegt ja nicht wirklich bei den Lehrerinnen und Lehrern. Durch Bußgelder werden die nur noch mehr vom digitalen Lehren abgeschreckt.

Und zum Schluss noch ein wichtiges Urteil des Bundesgerichtshofs zum Thema „Cookies“. Cookies dienen der Wiedererkennung eines Endgerätes durch individuell vergebene IDs und ermöglichen z.B., dass man sich in einem Online-Shop nicht auf jeder Artikelseite immer wieder neu einloggen muss. Es gibt Cookies, die für das Funktionieren von Webseiten essenziell sind, aber auch solche, die auf dem Endgerät des Nutzers platziert werden, um ihn für Werbetreibende zu identifizieren. Führend ist dabei Google Analytics, das den Nutzer über verschiedene Webseiten hinweg wiedererkennen und so ein Werbeprofil jedes Nutzers kreieren kann. Letztlich geht es natürlich darum, die Daten zu Geld zu machen.

Der BGH hat geurteilt, dass Besucher von Webseiten der Nutzung von Cookies aktiv zustimmen müssen. Sowohl vorausgefüllte Kästchen als auch Cookie-Banner, die man einfach nur wegklicken muss oder eine „Cookie-Wall“, der man alternativlos zustimmen muss, sind nicht zulässig und unwirksam. Das Urteil ist zwar zunächst ein Erfolg für den Datenschutz. Ob es aber die gewünschten Konsequenzen mit sich bringt, ist noch nicht abzusehen.

Von nun an – sie haben es bestimmt schon auf so mancher Seite gemerkt – muss man als Nutzer ständig neu entscheiden, welche Cookies die Seite nutzen darf. Dass Deutschland es mehrfach verschlafen hat, das Telemediengesetz an die EU-Cookie-Richtlinie anzupassen, stellt nun viele Betriebe vor Probleme, denn oft stehen die notwendigen Daten von Seiten der Drittanbieter auch Ihnen gar nicht zur Verfügung.

Dazu kommt das sogenannte Datenschutz-Paradox: Zwar geben die Menschen in Umfragen stets an, dass sie nicht wollen, dass ihre Daten für unternehmerische Zwecke oder Empfehlungen verwendet werden. Im Alltag aber achtet man dann nicht so mehr so genau darauf – denn gerade die Datenkraken-Apps „sind ja so praktisch“. So sagen 82 Prozent der Deutschen, sie gäben online nur Daten preis, die dringend erforderlich sind – und fast sechs von zehn Bundesbürgern wissen, welche Daten sie freigeben. Aber weniger als ein Prozent aller Webseitenbesucher interessieren sich für die datenschutzrechtlichen Hinweistexte.

Wie Sie nun als Webseiten-Betreiber also pragmatisch auf die neue Rechtsprechung reagieren, erläutere ich gerne mit Ihnen gemeinsam in einem persönlichen Termin.