Das Verfahren geht weit über „die App“ hinaus – Datenschutzfragen von Corona-Tracing-Apps. Einführung in Datenschutz-Folgenabschätzungen als Mittel, gesellschaftliche Implikationen zu diskutieren

• Published in: Informatik-Spektrum Vol. 43; no. 5; pp. 334 - 338
• Main Authors: Bock, Kirsten, Kühne, Christian Ricardo, Mühlhoff, Rainer, Ost, Měto R, Pohle, Jörg, Rehak, Rainer
• Format: Journal Article
• Language: German
• Published: Berlin Springer 01.10.2020; Springer Berlin Heidelberg
• Subjects: Computer Hardware; Computer Science; Computer Systems Organization and Communication Networks; Data Structures and Information Theory; Hauptbeitrag; Software Engineering/Programming and Operating Systems
• ISSN: 1432-122X; 0170-6012; 1432-122X
• DOI: 10.1007/s00287-020-01313-z

Seit der Ausbreitung des SARS-CoV-2-Virus in Europa Anfang 2020 wir dan technischen Lösungen zur Eindämmung der Pandemie gearbeitet. Unter den verschiedenen Systementwürfen stechen jene hervor, die damit werben, datenschutzfreundlich und DSGVO-konform zu sein. Die DSGVO selbst verpflichtet die Betreiberïnnen umfangreicher Datenverarbeitungssysteme wie etwa Tracing-Apps zur Anfertigung einer Datenschutz-Folgenabschätzung (DSFA) aufgrund des hohen Risikos für die Rechte- und Freiheiten (Art. 35 DSGVO). Hierbei handelt es sich um eine strukturierte Risikoanalyse, die mögliche grundrechtsrelevante Folgen einer Datenverarbeitung im Vorfeld identifiziert und bewertet. Wir zeigen in unserer DSFA, dass auch die aktuelle, dezentrale Implementierung der Corona-Warn-App zahlreiche gravierende Schwachstellen und Risiken birgt. Auf der rechtlichen Seite haben wir die Legitimationsgrundlage einer freiwilligen Einwilligung untersucht und formulieren die begründete Forderung, dass der Einsatz einer Tracing-App gesetzlich geregelt werden muss. Weiterhin wurden Maßnahmen zur Verwirklichung von Betroffenenrechten nicht ausreichend betrachtet. Nicht zuletzt ist die Behauptung, ein Datum sei anonym, hoch voraussetzungsreich. Anonymisierung muss als ein kontinuierlicher Vorgang begriffen werden, der eine Abtrennung des Personenbezugs zum Ziel hat und auf dem Zusammenspiel von rechtlichen, organisatorischen und technischen Maßnahmen beruht. Der derzeit vorliegenden Corona-Warn-App fehlt es an einem solchen expliziten Trennungsvorgang. Unsere DSFA zeigt dabei auch die wesentlichen Defizite der offiziellen DSFA der Corona-Warn-App auf.