Foto: dpa/Hauke-Christian Dittrich

BerlinDie EU-Staaten haben sich auf einheitliche Standards für Corona-Apps zur Eindämmung von Covid-19 verständigt. In einem gemeinsamen Konzept der EU-Kommission und der EU-Staaten vom Donnerstag heißt es, dass solche Apps zur Kontaktnachverfolgung mit den EU-Vorschriften zum Datenschutz und zum Schutz der Privatsphäre im Einklang stehen müssten. Smartphone-Apps könnten eine Schlüsselrolle im Krisenmanagement spielen, heißt es. Deshalb müsse sichergestellt werden, dass die EU-Bürger diese Apps auch nutzen. Und dafür müssten sie solchen digitalen Lösungen auch vertrauen können.

EU-Kommissar Thierry Breton erklärte, dass strenge Datenschutzvorkehrungen Voraussetzung für die Einführung dieser Apps und damit für ihren Nutzen seien. „Wir sollten zwar innovativ sein und die Technik bestmöglich nutzen, um die Pandemie zu bekämpfen, aber wir werden unsere Werte und Anforderungen an den Schutz der Privatsphäre nicht aufs Spiel setzen.“

EU-Justizkommissar Didier Reynders sagte: „Solche Apps können beispielsweise den Nutzern die Selbstdiagnose erleichtern, als sicherer Kommunikationskanal zwischen Ärzten und Patienten dienen, potenziell infizierte Nutzer warnen und zur Lockerung der Ausgangsbeschränkungen beitragen. Gleichzeitig geht es aber um äußerst sensible Daten über die Gesundheit der Bürgerinnen und Bürger, die unbedingt geschützt werden müssen.“

Grundsätzlich sollen diese App auf der Basis der Freiwilligkeit beruhen und die Nutzer sollen die „vollständige Kontrolle über ihre personenbezogenen Daten“ behalten, heißt es in den Leitlinien der EU-Kommission. Außerdem sei die Kommission der Ansicht, „dass Standortdaten für die Ermittlung von Kontaktpersonen nicht erforderlich sind und dafür auch nicht verwendet werden sollten.“

Diese Apps sollen in enger Abstimmung mit den Gesundheitsbehörden der jeweiligen Ländern eingeführt werden. Auch Deutschland plant die Einführung einer Corona-App. Bis Mai werde das aber noch dauern, sagte Bundesgesundheitsminister Jens Spahn am Freitag. In mindestens zwölf europäischen Ländern wird an solchen Apps gearbeitet. In Österreich und in Norwegen sind sie bereits im Einsatz.

Diese Voraussetzungen sollen laut EU-Kommissin und EU-Staaten für die Entwicklung von Coronavirus-Apps gelten

  • Die Rolle der nationalen Gesundheitsbehörden: Es muss von Anfang an eindeutig festgelegt werden, wer für die Einhaltung der EU-Vorschriften zum Schutz personenbezogener Daten verantwortlich ist. In Anbetracht der hohen Sensibilität der Daten und des letztlichen Zwecks der Apps sollten dafür nach Ansicht der Kommission die nationalen Gesundheitsbehörden verantwortlich sein. Bei der Nutzung der erhobenen Daten müssten die Gesundheitsbehörden die Einhaltung der Datenschutz-Grundverordnung gewährleisten und so unter anderem dafür sorgen, dass betroffene Einzelpersonen alle erforderlichen Informationen hinsichtlich der Verarbeitung ihrer personenbezogenen Daten erhalten.
  • Nutzer behalten vollständige Kontrolle über ihre personenbezogenen Daten: Die Installation einer App auf dem Gerät eines Nutzers sollte freiwillig sein. Die Nutzer sollten die Möglichkeit haben, zu jeder einzelnen Funktion einer App separat ihre Einwilligung zu erteilen. Falls Umkreisdaten verwendet werden, sollten sie auf dem Gerät der betroffenen Person gespeichert und nur mit Einwilligung des Nutzers weitergegeben werden. Die Nutzer sollten ihre Rechte im Rahmen der DSGVO wahrnehmen können.
  • Begrenzte Nutzung personenbezogener Daten: Die Apps sollten den Grundsatz der Datenminimierung einhalten, dem zufolge ausschließlich erforderliche personenbezogene Daten verarbeitet werden dürfen und die Verarbeitung auf das für den jeweiligen Zweck notwendige Maß beschränkt ist. Die Kommission ist der Ansicht, dass Standortdaten für die Ermittlung von Kontaktpersonen nicht erforderlich sind und dafür auch nicht verwendet werden sollten.
  • Strikte Beschränkung der Datenspeicherung: Personenbezogene Daten sollten nicht länger als notwendig gespeichert werden. Die Speicherungsdauer sollte von der medizinischen Relevanz und von einer realistischen Dauer der erforderlichen administrativen Schritte abhängen.
  • Datensicherheit: Die Daten sollten auf dem Gerät der betroffenen Person gespeichert und verschlüsselt werden.
  • Gewährleistung korrekter Daten: Nach den EU-Vorschriften zum Schutz personenbezogener Daten müssen alle von Dritten verarbeiteten personenbezogenen Daten korrekt sein. Um größtmögliche Korrektheit zu gewährleisten, die auch für die Wirksamkeit von Kontaktnachverfolgungs-Apps von wesentlicher Bedeutung ist, sollten Technologien wie Bluetooth eingesetzt werden, die genauer Aufschluss über die Kontakte eines Nutzers mit anderen Personen geben.
  • Einbeziehung nationaler Datenschutzbehörden: Die nationalen Datenschutzbehörden sollten umfassend in die Entwicklung der Apps einbezogen und konsultiert werden sowie deren Einsatz laufend überprüfen.

Obwohl die Kontaktnachverfolgung weitgehend anonymisiert und auf freiwilliger Basis erfolgen soll, ist das Konzept unter Datenschützern und in der wissenschaftlichen Community nicht unumstritten.

Die SPD-Abgeordnete Birgit Sippel sieht vor allem die Grundrechte auf Freizügigkeit bedroht. „Wenn etwa das Recht, das Haus zu verlassen, oder die U-Bahn zu nutzen, an die Nutzung einer App gekoppelt wird, dann können wir nicht mehr von Freiwilligkeit sprechen.“