Kommentar zur Diskussion über die Verwendung von Handy-Standortdaten zur Ermittlung von Corona-Infizierten
Während Art. 9 Abs. 2 lit. i DSGVO grundsätzlich die Möglichkeit einräumt, gesundheitsbezogen besonders geschützte Daten zum Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren zu verarbeiten, unterliegen Handy-Standortdaten zusätzlich noch dem Fernmeldegeheimnis. Derzeit schließt § 88 Abs. 3 TKG eine entsprechende Verwendung dieser Daten aus. Um das dennoch rechtskonform durchführen zu können, müsste erst eine entsprechende Gesetzesänderung mit ausdrücklichem Bezug auf Telekommunikationsvorgänge erfolgen. Das könnte durchaus auch im Infektionsschutzgesetz (IfSG) erfolgen. Die aktuell gültige Fassung des IfSG beinhaltet keine entsprechende Rechtsnorm in diesem Sinne.
Jede Gesetzesänderung muss aber der Prüfung genügen, ob relevante Grundrechtsnormen eingehalten werden. Dazu zählt, dass durch die Gesetzesänderungen eine ausgewogene Abwägung zwischen verschiedenen Rechtsgütern erfolgt. Gemäß der ständigen Rechtsprechung des Bundesverfassungsgerichts zählen dazu die Normenklarheit, die Verhältnismäßigkeit und das Einhalten angemessener Vorkehrungen. Normenklarheit bedeutet hierbei, dass die rechtliche Vorschrift eindeutig und nachvollziehbar formuliert ist. Die von dieser Regelung betroffenen Personen und Stellen müssen verstehen, was von ihnen verlangt wird. Die getroffene Regelung muss, um verhältnismäßig zu sein, für das verfolgte Ziel geeignet sein und sie darf auch nicht unangemessen sein. Widerstreitende Grundrechte sind dabei in ein akzeptables Verhältnis zueinander zu bringen. In diesem Zusammenhang ist auch die Wirkung der Regelung auf die Zukunft zu betrachten. Aus diesem Grund sieht die Rechtsprechung vor, dass sog. Einschreitschwellen nur unter bestimmten Voraussetzungen überschritten werden dürfen. Dabei gilt, je weitreichender der vorgesehene Eingriff ausfallen soll, desto höher ist die Schwelle und desto mehr Garantien und Vorkehrungen muss die konkrete Rechtsnorm vorsehen.
Im vorliegenden Fall haben wir auf der einen Seite also den Schutz der Gesundheit der Bevölkerung. Auf der anderen Seite steht die Privatheit des Einzelnen, bestehend aus dem informationellen Selbstbestimmungsrecht hinsichtlich seiner Bewegungsdaten und dem Fernmeldegeheimnis hinsichtlich seiner Standortdaten. Die genannten Grundrechte sind allesamt wahre Schwergewichte bei der rechtlichen Abwägung. Da die Wirkung zugunsten des Schutzes der Gesundheit jedoch relativ ungewiss ist, weil zum einen die Standortdaten aus technischen Gründen im Verhältnis zu dem vom Robert Koch Institut empfohlenen Mindestabstand (1–2 Meter) zu ungenau erfasst werden (Funkzellen lassen i.d.R. keine höhere Genauigkeit zu als 100 Meter). Zum anderen folgt aus der Kenntnis, welches Handy sich über eine ausreichend lange Dauer in räumlicher Nähe eines Infizierten befand, noch keine Garantie, rechtzeitig und zielgenau Quarantäne anordnen zu können. Es wird nämlich angenommen, dass eine hohe Wahrscheinlichkeit für eine Infektion erst nach ca. 15 Minuten in räumlicher Nähe besteht – sofern man sich nicht berührt hat oder den Virus via Schmierinfektion aufgenommen hat. Letzteres kann ein Mobiltelefon aber gar nicht gesichert dokumentieren – zumal die Infektion zwischen zwei und vierzehn Tagen zuvor passiert sein kann. Das Mittel der Standortdatenabfrage zugunsten eines Schutzes vor Infektion erscheint vor diesem Hintergrund daher viel zu ungenau und unverhältnismäßig. Insoweit überwiegt bei objektiver Betrachtung die Privatheit des Einzelnen – bei aller verständlichen Bestrebung, taugliche Instrumente zum Schutz der Bevölkerung zu finden.
Zudem zeigt die Erfahrung, dass einmal begründet herbeigeführte Einschränkungen sukzessive, ebenfalls jeweils wohlbegründet, ausgeweitet werden. Aus diesem Grund bedürfen derart weitreichende Eingriffe stets einer Überprüfung, die einerseits durch richterlichen Vorbehalt wahrgenommen und andererseits durch regelmäßige Wiedervorlage beim Gesetzgeber aktiv entschieden wird. Die zu treffenden Vorkehrungen müssen weitreichend sein und einen angemessenen Schutz übermittelter Daten vorsehen.
Bei der bereits angelaufenen Maßnahme der Deutschen Telekom werden die Standortdaten angeblich lediglich anonymisiert weitergegeben. Das Ziel besteht dabei wohl darin, überregionale Bewegungsmuster zu erkennen und zu überprüfen, ob sich die Bevölkerung an den Appell hält, zu Hause zu bleiben. In diesem Zusammenhang ist kritisch zu hinterfragen, ob Standortdaten von Mobiltelefonen überhaupt ausreichend anonymisiert werden können. Dies erscheint vor dem Hintergrund einiger Untersuchungen zweifelhaft.
Wenn der Datentransfer hingegen personenbezogen erfolgt, etwa um eine angeordnete Quarantäne oder Ausgangssperre zu überwachen, ist das Risiko für die Rechte und Freiheiten betroffener Personen als hoch einzuschätzen. Schließlich werden Gesundheitsdaten mit Bewegungsprofilen der Betroffenen verknüpft. Dementsprechend wäre in diesem Fall ein besonders hoher Schutzbedarf festzustellen, der sowohl technische als auch organisatorische Maßnahmen erforderlich macht, die deutlich über den Stand der Technik hinausgehen.
Orientierung in der Krise gibt die Rechtsprechung des Europäischen Gerichtshofs zur Vorratsdatenspeicherung. Demnach sind Eingriffe in Grundrechte auf das absolut Notwendige zu beschränken. Krisenbedingt kann zwar für eine beschränkte Zeit durchaus auch massiv in Grundrechte eingegriffen werden – entscheidend sind dafür aber die unwiderruflichen Garantien und Schutzmechanismen, die nach ausreichender Bewältigung der Krise wieder zu einem ausgewogenen Verhältnis führen. Panik ist jedoch ein denkbar schlechter Ratgeber, um dies gewährleisten zu können.
Bernhard C. Witt (Sprecher des GI-FB Sicherheit)
Obiger Kommentar wurde im GI-Radar 259 abgedruckt. In diesem Newsletter der GI finden sich u.a. auch interessante Ergänzungen zur ethischen Betrachtung.