Seit heute bietet das Robert-Koch-Institut eine Smartphone-App für die freiwillige Weitergabe von pseudonymisierten Gesundheitsdaten zum Download an. Aber wie zwanglos kann eine Einwilligung sein, wenn massiver (gesellschaftlicher) Druck ausgeübt wird?
App zur Messung der Ausbreitung des Corona-Virus
In einer Pressemitteilung vom 07.04.2020 des Robert-Koch-Institut (RKI) wird medienwirksam verkündet, dass ab sofort eine App zur Verfügung gestellt wird,
„die ergänzende Informationen dazu liefern soll, wo und wie schnell sich das Coronavirus (SARS-CoV-2) in Deutschland ausbreitet. Die App ist unter dem Namen „Corona-Datenspende“ für iOS und Android-Geräte verfügbar. Sie funktioniert in Kombination mit Fitnessarmbändern und Smartwatches verschiedener Hersteller. Die Nutzung der App ist freiwillig und pseudonymisiert – das RKI hat zu keiner Zeit Kenntnis über persönliche Informationen wie Name oder Anschrift der App-Nutzer.“
Zudem wird gesagt, dass das Robert-Koch-Institut die App
„gemeinsam mit dem e-Health-Unternehmen Thryve und unter Einbeziehung des Bundesdatenschutzbeauftragten“
entwickelt hat. Insofern kann davon ausgegangen werden, dass die datenschutzrechtlichen Anforderungen erfüllt sind.
Welche (personenbezogenen) Daten werden verarbeitet?
Dem ist an sich nicht viel entgegenzuhalten. Dennoch darf zumindest die aktuelle Entwicklung der inflationären Nutzung von sensiblen personenbezogenen Daten aus juristischer (insbesondere datenschutzrechtlicher) Sicht kritisch hinterfragt werden.
Wie das RKI selbst zutreffend ausführt, handelt es sich bei den verarbeiteten Daten zunächst nicht um anonyme, sondern um pseudonymisierte – und damit personenbezogene – Daten. Denn die App hat zwar zu keinem Zeitpunkt Zugriff auf unmittelbar identifizierende Informationen wie Namen oder Adresse, aber erfasst dennoch eine Menge an Informationen, die aufgrund einer eindeutigen und individuellen ID zumindest mittelbar einer natürlichen Person zugeordnet werden können. Hierüber wird in der Datenschutzerklärung der App aber umfassend aufgeklärt:
"Speicherung von personenbezogenen Daten
• Die individuelle Nutzung der App basiert auf einem pseudonymen Token.
• Folgende personenbezogene Gesundheitsdaten werden durch die App nach Verknüpfung mit meinem Fitnessarmband automatisch erhoben und gespeichert werden:
• Daten zur Einschätzung der individuellen Gesundheitsdaten:
• Alter (gerundet auf 5 Jahre)
• Größe (gerundet auf 5 cm)
• Geschlecht
• Gewicht (gerundet auf 5 kg)
• Automatisch und manuell erfasste Aktivitäten meines Fitnessarmbands, wie bspw.:
• Sport (bspw. Fahrradfahren, Laufen)
• Schlafen und Schlafphasen
• Aktivsein (bspw. Gehen, Aktivität)
• Ruhezeiten
• Automatisch und manuell erfasste Vitaldaten meines Fitnessarmbands, wie bspw.:
• Puls
• Herzratenvariabilität
• Stress
• Temperatur
• Gewicht
Speicherung des Standorts
Für die Nutzung der App ist die Eingabe der Postleitzahl notwendig, in der ich mich überwiegend aufhalte. Damit wird für den Zweck die Wahrscheinlichkeit von Erkrankungen pro Postleitzahlgebiet zusammengefasst."
Freiwilligkeit oder doch gesellschaftlicher Zwang?
Nachdem man diese Angaben also freiwillig teilt und in deren Nutzung einwilligt, könnte man an dieser Stelle aufhören und sich mit dem Ergebnis zufriedengeben.
Allerdings bleibt bei einigen in der Gesamtbetrachtung der bisherigen Corona-Ereignisse vielleicht dennoch ein ungutes Gefühl. Natürlich möchte jeder helfen und niemand als Querulant gelten, der sich gegen das Wohl der Allgemeinheit stellt. Und genau an diesem Punkt könnte man sich doch die Frage stellen, wie „freiwillig“ eine Einwilligung erteilt wird, wenn von außen ein gewisser oder gar massiver (gesellschaftlicher) Druck aufgebaut wird. Wenn jeder, der die Erwartungshaltung der Allgemeinheit nicht vollends erfüllt, von eigenen Arbeitskollegen, Nachbarn, (ehemaligen) Freunden oder gar der engsten Familie nur Argwohn und Unverständnis erntet oder sich den Vorwurf des billigenden Inkaufnehmens von Toten stellen muss.
Voraussetzungen an eine frei erteilte Einwilligung
Die Anforderungen an eine wirksame und damit rechtsgültige Einwilligung ergeben sich insbesondere aus Art. 7 DSGVO und werden durch einige Erwägungsgründe weiter spezifiziert (z.B. Erwägungsgrund Nr. 32, 33, 43).
Mithin muss die Einwilligung insbesondere freiwillig, für einen konkreten Fall, nach ausreichender Information des Betroffenen und unmissverständlich abgegeben werden. Damit die Einwilligung aber als „freiwillig“ angesehen werden kann, muss der Betroffenen eine echte Wahl haben. Dies hat der europäische Gesetzgeber erkannt und in Erwägungsgrund Nr. 42 Satz 5 explizit ausgeführt:
"Es sollte nur dann davon ausgegangen werden, dass sie ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden."
An dieser Stelle kann sich jeder selbst eine Antwort geben, ob in der gerade vorherrschenden Situation, eine zwanglose Verweigerungshaltung gegenüber „Mitwirkungshandlungen“ überhaupt möglich sind, ohne sich dem Unmut der restlichen Welt auszusetzen.
Und was bringt die Zukunft?
Bei der vom RKI angebotenen App, die zur Corona-Datenspende aufruft, mag dies zum aktuellen Zeitpunkt zwar noch gegeben sein. Was passiert aber beispielsweise, wenn Arbeitgeber und/oder Arbeitskollegen einen (psychischen) Druck auf andere Mitarbeiter ausüben und diese als Gefahr für den laufenden Betrieb und damit das Leben und die Existenz der restlichen Belegschaft ansehen, weil diese sich weigern, diese oder eine ähnliche App zu installieren und an der Eindämmung der Pandemie mitzuwirken?
Wie ist die Situation, wenn Dienstleister auf eine behördliche Anordnung hin, etwaige Daten herausgeben sollen, weil dies aufgrund einer auf § 28 Abs. 1 Infektionsschutzgesetz gestützten Allgemeinverfügung der Exekutive als „notwendig“ erachtet wird, um die weitere Eindämmung der Pandemie zu erreichen?
Zuweilen sollen bspw. in Mecklenburg-Vorpommern täglich pünktlich um 10:00 Uhr Listen sämtlicher Corona-Infizierter (anlasslos und präventiv) an die Polizeibehörden übermittelt werden. Nach im verlinkten Artikel zugrundeliegender Auffassung des Landesdatenschutzbeauftragten Heinz Müller
„liegt der Vorgabe ein berechtigtes Interesse der Polizei zugrunde, die bei Einsätzen etwa gegen häusliche Gewalt wissen müsse, ob ein Infektionsrisiko für sie bestehe.“
Wie eine Interessenabwägung bei der Übermittlung von Daten nach Art. 9 DSGVO aussehen kann, die diesen Erlaubnistatbestand nicht kennt, wird indes nicht verraten.
Doch selbst, wenn die Datenschutzbehörden die (m.E. einzig richtige) Meinung vertreten, dass es keine Rechtsgrundlage für die pauschale Übermittlung von sensitiven Gesundheitsdaten an Polizeibehörden gibt, werden diese einfach ignoriert, wie das Beispiel Niedersachsen eindrucksvoll unter Beweis stellt.
Einwilligung mit der Pistole auf der Brust
Insofern sollte die weitere Entwicklung mit einem gesunden Maß an Skepsis weiterverfolgt werden. Es gibt augenscheinlich leider nur sehr wenige Stimmen, die die getroffenen Maßnahmen kritisch hinterfragen oder die Verfassungsmäßigkeit der Beschränkungen unserer Freiheit öffentlich ansprechen. Womöglich liegt dies ebenfalls daran, dass jeder Gegenstimme gleich eine Mitschuld an der unkontrollierten weiteren Ausbreitung des Corona-Virus und damit dem Tod von vielen Menschen gegeben wird. Wenn dies keine massive Drucksituation darstellt, was dann?
Beitrag hier kommentieren
