Update: Corona und der Datenschutz – und was in der Pandemie untergegangen ist

Weiterhin dominiert das Corona-Virus unseren Alltag und wirft zahlreiche, auch datenschutzrechtliche Fragen auf – z.B. wie viele Daten bei Anträgen auf Soforthilfe auch durch private Unternehmen erfasst werden, um Phishing zu verhindern oder ob Gesundheitsämter die Daten von Corona-Infizierten an die Polizei weitergeben dürfen.

Nach langem Hin und Her um die Corona-App(s) und deren technische Details (und auch schon erste Gedankenspiele für digitale „Corona-Immunitäts-Ausweise“) hat sich die Bundesregierung nun offenbar endlich auf eine dezentrale Speicherung festgelegt. Dies stellt auch die Kompatibilität sowohl mit Google- als auch Apple-Systemen sicher und soll helfen, Infektionsketten möglichst frühzeitig zu erkennen und zu unterbrechen. Dazu wird via Bluetooth erfasst, welche Smartphones einander nahe gekommen sind und Nutzer werden gewarnt, wenn sich herausstellt, dass sie neben einem Infizierten standen.

Zunächst war eine zentrale Datenspeicherung geplant. Die könnte mittelfristig jedoch für eine viel weiter gehende Überwachung zweckentfremdet werden. Nach zahlreichen Warnungen von Datenschützern lenkte man dann ein – aus Furcht, dass bei einer zentralen Speicherung viele Menschen aus Datenschutzgründen die App nicht installieren würden. Experten zufolge müssten wenigstens 60 Prozent aller Menschen in Deutschland die App nutzen, um Infektionsketten wirksam nachvollziehen zu können. Nur dann können gezielter und flächendeckend Kontaktpersonen getestet werden, um einer zweiten Infektionswelle vorzubeugen.

Nun also ein Sieg für den Datenschutz! Die Veröffentlichung der App (mit zentraler Speicherlösung) war zunächst für Mitte April angekündigt. Nun teilte Gesundheitsminister Jens Spahn jedoch mit, dass die Entwicklung der App noch weitere „mehrere Wochen“ andauern werde, „weil Datensicherheit und Datenschutz so wichtig sind.“ Bereits an den Start gegangen ist jedoch die „Datenspende“-App, die dem Robert-Koch-Institut Daten von über 300.000 Nutzern von Smartwatches und Fitness-Armbändern zu deren Schlafzyklen, Ruhepulsen und Aktivitätsniveaus übermittelt.

Von der Diskussion um die Corona-Apps vollkommen überlagert wurde die Warnung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor zwei kritischen Sicherheitslücken in Apple-Mail. Hacker können durch die Lücken das betreffende Gerät durch E-Mails mit Schadcode kompromittieren und E-Mails lesen, verändern und löschen. Betroffen sind alle Betriebssystemversionen ab iOS 6. In iOS 13 müsse der Nutzer eine solche Mail noch nicht mal aktiv öffnen, allein der Empfang einer solchen Nachricht reiche aus. Die App ist standardmäßig auf iPhones und iPads installiert. Apple sieht keinen Handlungsbedarf, da „diese Probleme kein unmittelbares Risiko für unsere Nutzer darstellen“. Das BSI hingegen „schätzt diese Schwachstellen als besonders kritisch ein“. „Tausende iPhones und iPads von Privatpersonen, Unternehmen und Behörden“ seien „akut gefährdet“. Deshalb empfiehlt das Amt, die App zu löschen und vorläufig andere Apps zum Abruf der eigenen E-Mails zu nutzen. Alternativ kann man sich auch im Safari-Browser online bei seinem E-Mail-Dienst einloggen. Sobald Apple ein Update zur Verfügung stelle, das das Problem behebe, solle dieses schnellstmöglich durchgeführt werden.

Anfang April hat die Bundesregierung die Reform des Netzwerkdurchsetzungsgesetzes beschlossen, weil die bisherigen Regeln einerseits zu lax in Sachen Löschverpflichtung durch die Sozialen Netzwerke waren, andererseits aber wohl auch zur präventiven Löschung von durch die Meinungsfreiheit abgedeckten Statements geführt hatten. Komplizierte Straftaten wie Beleidigungen waren mit dem bisherigen Gesetz nicht einfach zu identifizieren und eine einheitliche Rechtsprechung kaum möglich. Social-Media-Nutzer sollen künftig mehr Rechte bekommen: Künftig soll man leichter und unkomplizierter Bedrohungen und Beleidigungen anzeigen können, Auskunftsansprüche gegenüber den Plattformen einfacher durchsetzen können und vor dem unberechtigten Löschen von Beiträgen geschützt werden. Das alles soll für mehr Transparenz auf beiden Seiten sorgen. Die Beratung im Bundestag steht noch aus. Bitkom ist auch mit dem neuen Gesetzentwurf nicht zufrieden.

Das Innenministerium arbeitet seit längerer Zeit auch an einer Reform des Verfassungsschutzgesetzes wegen neuer „Herausforderungen“ durch „internationalen Terrorismus und Rechtsterrorismus“. Der letzte Entwurf liegt zwar schon seit über einem Jahr auf Eis, ist aber noch nicht vom Tisch. Demnach soll das Bundesamt für Verfassungsschutz bei „besonders schweren Bedrohungen“ einen Staatstrojaner auf das Handy oder den Computer von Verdächtigen einschleusen können. Dadurch könnte das Bundesamt z.B. WhatsApp-Chats noch vor der Ende-zu-Ende-Verschlüsselung mitlesen, diese so de facto umgehen und Zugriff auf sensible Daten erhalten. Bislang ist nur der Bundesnachrichtendienst (BND) zum Hacken berechtigt – künftig soll der BND dann auch für andere Behörden, wie eine Polizeibehörde, Gespräche bei WhatsApp hacken und eine Kopie z.B. an die Polizei weiterleiten dürfen. Der Gesetzentwurf untergräbt nicht nur den Datenschutz, sondern  auch das verfassungsgemäße Trennungsgebot von Polizei und Geheimdiensten und eine demokratische Kontrolle der Aktivitäten des BND gestaltet sich auch schwierig. Horst Seehofer riskiert also einen Verfassungsverstoß.

Auf den Weg gebracht hat das Bundeskabinett hingegen einen Gesetzentwurf zur geplanten elektronischen Patientenakte, der vorsieht, dass neben Befunden und Röntgenbildern ab 2022 auch Impfausweis, Mutterpass oder Zahn-Bonusheft darin gespeichert werden können. Alle Versicherten sollen ab 1. Januar 2021 von der Krankenkasse eine E-Akte zur freiwilligen Nutzung angeboten bekommen. Versicherte können bestimmen, welcher Arzt auf welches Dokument zugreifen darf – allerdings erst ab 2022. Bei einem Krankenkassenwechsel sollen sich die Daten auch übertragen lassen.

Wer dachte, das Thema Brexit wäre endlich durch, sah sich kürzlich leider getäuscht. Noch bis Ende des Jahres läuft die Übergangsfrist für die endgültige „Scheidung“ Großbritanniens von der EU. Die Frist war ohnehin knapp gesteckt. Aufgrund der Corona-Pandemie stocken die Verhandlungen derzeit. Dennoch sieht es nicht nach einer Verlängerung der Übergangsfrist aus. Der Datenschutz-Brexit droht – wieder einmal! Denn während die frühere Premierministerin Theresa May betonte, dass die DSGVO-Regelungen auch nach dem Brexit beibehalten würden, kündigte ihr Nachfolger Boris Johnson bereits drei Tage nach dem Brexit am 31. Januar 2020 an, die DSGVO abzuschaffen und „eigene und unabhängige Regeln“ zu entwickeln, wobei „hohe Standards beibehalten“ werden sollen. Ein Datenaustausch wie bisher wäre dann nur möglich, wenn die Europäische Kommission die UK-Datenschutzgesetze als gleichwertig anerkennen würde. Davon ist die EU aber weit entfernt, denn die britischen Überwachungsgesetze wurden von europäischen Gerichten bereits wiederholt als Verstoß gegen die europäischen Datenschutzgesetze gewertet.

Es gibt bereits zahlreiche Übersichts-Seiten, worauf Unternehmen bei der Umstellung auf Home-Office etc. datenschutzrechtlich achten sollten, z.B. bei der Computerwoche, bei Datenschutz-Praxis und bei IT Daily. Auch die Videokonferenz-App Zoom ist weiter in den Schlagzeilen – und leider selten positiv. Hier gibt es Tipps, wie man Videokonferenzen rechtssicher gestaltet. Hier gibt es Infos zu Home-Schooling und zum nun gestarteten digitalen Sommersemester an den Unis. Sie sehen: Verallgemeinerungen und allumfassende Ratschläge sind schwierig. In jedem Unternehmen, in jeder Einrichtung werden Daten anders verarbeitet. Dafür sind immer individuelle Konzepte notwendig. Gern bin ich auch in diesen besonderen Zeiten für Sie da. Denn so schnell werden sie nicht vorüber gehen. Deshalb gilt es nun nach dem hektischen Umzug ins Home Office, auch für Datenschutzkonformität zu sorgen.