Wer trägt die Verantwortung für den Datenschutz bei der sogenannten Corona-App*?
Probleme scheinen sich zu wiederholen. Hatten wir schon einen Klärungsbedarf bei der Suche nach dem Betreiber bzw. der verantwortlichen Stelle für die Telematik-Infrastruktur im Gesundheitswesen, scheint sich dieses Problem jetzt auch bei der Corona-App zu wiederholen – leider wieder für sehr sensible Gesundheitsdaten.
Alle diskutieren die Sicherheit, die Freiwilligkeit und die dezentrale Funktionsweise der Corona-App. Aber wenn etwas schief geht, wer ist hierfür zur Verantwortung zu ziehen, wer wird der Betreiber dieser App sein? Das örtliche Gesundheitsamt, die Gesundheitsministerien der Länder, der Softwareherstelle (vermutlich die Deutsche Telekom AG) oder noch eine andere, neu zu schafende Stelle?
Nicht erst wenn die Corona-App an den Start geht, schon jetzt können Fehler gemacht werden:
- Die Vorgaben nach einer dezentralen Speicherung könnte durch Programmierfehler unterlaufen werden
- In Verbindung mit anderen Apps könnte die Freiwilligkeit unterlaufen werden – z.B. wenn die anderen Apps ohne die Kontrolle des Nutzers Bluetooth ein- oder ausschalten
- Durch einen Hackerangriff könnte eine falsche Infizierten-Meldung herausgebracht werden, nach der sich dann zahllose Mitbürger verängstigt, aber unnötig, testen lassen oder vorsorglich in häusliche Quarantäne begeben, wenn die Sicherheit der App lückenhaft ist
Die Anforderungen der DS GVO sind klar:
- Datenschutz durch Voreinstellung (privacy bei Default)
- Datenschutz durch Technik (privacy by design)
Die Technik wird jetzt geplant, entwickelt und getestet; nicht erst bei deren Einsatz in wenigen Wochen. Das bedeutet, dass auch jetzt schon der Betreiber, die verantwortliche Stelle, die die Anforderungen der DS GVO sicher stellt, feststehen und bekannt sein muss.
Welche Behörde, welches Unternähmen wäre hier zur Verantwortung zu ziehen?
Es ist nicht das Programm, die Technik, die Probleme löst und ggf. Fehler macht. Es sind Menschen, Organisationen, die mehr oder weniger verantwortungsvoll handeln können.
Wer sind diejenigen, denen die zahllosen Nutzer ihre Daten und damit ihr Vertrauen schenken sollen?
* Zur Klarstellung: Dieser Beitrag bezieht sich auf die Tracking App, die sich merkt, wann wer wem so nahe gekommen ist, dass es zu einer Infektion hätte kommen können. Andere Corona-Apps, die auch in der öffentlichen Diskussion waren, sind hier nicht gemeint.
Von Roland Schäfer
Ergänzung vom 20. Juni 2020
Das Geheimnis ist gelüftet. An dem Tag, an dem die App der Öffentlichkeit vorgestellt und zugänglich gemacht wurde, am 16. Juni 2020, hat auch das Robert-Koch-Institut (RKI) erstmal öffentlich preisgegeben, dass es als Betreiber, bzw. als Verantwortlicher i.S.d. DS GVO auftritt.
Das ist enttäuschend spät. Zum Zeitpunkt der Entwicklung und der Test gab es kein entsprechendes Bekenntnis. Da kann man sich fragen, ob das RKI überhaupt eine Rolle gespielt hat bei der konkreten Ausgestaltung der Corona-App. Und auch, ob es diese steuernde Rolle nunmehr übernehmen möchte. Zu diesem Zweifel kommt noch der hinzu, ob das RKI die Verhandlungsmacht und die Qualifikationen hat, Unternehmen wie SAP und die Telekom Weisungen im Sinne das Art 28 DS GVO im Umgang mit personenbezogenen Daten wirksam zu erteilen.