Die Digitale Gesellschaft e. V. fordert die Verantwortlichen für Apps zur Unterstützung der Eindämmung der Corona-Pandemie auf, eine vollständige Datenschutzprüfung durchzuführen und diese zu veröffentlichen. „Hierzu bietet sich die Offenlegung der ohnehin durchzuführenden Datenschutz-Folgenabschätzung an“, sagt Benjamin Bergemann, Vorstand der Digitalen Gesellschaft.

Die Datenschutz-Grundverordnung (DSGVO) schreibt in Artikel 35 vor, dass für Datenverarbeitungen, die mit hohen Risiken für die Grundrechte von Betroffenen einhergehen, vorab eine Datenschutz-Folgenabschätzung durchzuführen ist. „Bereits eingesetzte und derzeit diskutierte Corona-Apps verarbeiten Gesundheitsdaten beziehungsweise Kontaktprofile in großem Umfang. Das sind klare Fälle für Datenschutz-Folgenabschätzungen.“, sagt Dr. Elke Steven, Geschäftsführerin der Digitalen Gesellschaft.

In einer Datenschutz-Folgenabschätzung muss der datenschutzrechtlich Verantwortliche, also der Betreiber der Applikation und der dazugehörigen Infrastruktur, dokumentieren, wie die Datenverarbeitung funktionieren soll, ob sie zur Erreichung des Zwecks notwendig ist und welche Risiken mit ihr einhergehen. Der Verantwortliche muss schließlich darlegen, ob und inwiefern er sicherstellen kann, dass die Grundrechtsrisiken vertretbar sind. Erst dann kann er entscheiden, ob er die Datenverarbeitung betreiben darf. „Es handelt sich hier um die rechtsstaatlich gebotene Verhältnismäßigkeitsprüfung, die bei einer Datenschutz-Folgenabschätzung mit einer höheren Detailtiefe vorgenommen werden muss. Das gilt vor allem für die konkreten organisatorischen und technischen Gegebenheiten.“, sagt Bergemann.

Die DSGVO schreibt die Offenlegung der Datenschutz-Folgenabschätzung nicht vor. Die europäischen Datenschutzbehörden empfehlen jedoch zumindest öffentlichen Stellen die Veröffentlichung der Datenschutz-Folgenabschätzung. Zudem sind Behörden durch Informationsfreiheitsgesetze ohnehin zur Herausgabe amtlicher Informationen verpflichtet. Hierzu zählt auch das Robert Koch-Institut. Für deren Datenspende-App hat Benjamin Bergemann noch am Tag der Bereitstellung der App die Datenschutz-Folgenabschätzung angefragt – bislang ohne Antwort.

Andere zivilgesellschaftliche Organisationen haben bereits die Offenlegung des Quelltexts von Corona-Apps und Transparenz über die Mitwirkenden an den Projekten gefordert. Das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) hat eine Muster-Datenschutz-Folgenabschätzung veröffentlicht. Die Offenlegung der Datenschutz-Folgenabschätzung durch die eigentlichen Verantwortlichen sowie der zu ihrem Verständnis notwendigen Dokumentation komplettiert diese Forderungen. Steven: „Öffentliche Datenschutz-Folgenabschätzungen ermöglichen zum einen eine informierte Auseinandersetzung darüber, ob Corona-Apps grundrechtskonform betrieben werden können. Zum anderen sind sie ein Mittel, um Betreiber rechenschaftspflichtig zu machen.“

Im Fall der derzeit diskutierten Vorschläge zur Kontakt-Nachverfolgung („Contact Tracing“) ist eine umfängliche Risikobetrachtung notwendig. Bei der Risikobetrachtung müssen neben den häufig diskutieren Risiken der Re-Identifizierung von Infizierten und Kontakten auch die weitergehenden Risiken für die Betroffenen diskutiert werden. Eine geeignete Vorarbeit hierfür bietet die Muster-Datenschutz-Folgenabschätzung des FIfF. „Die DSVGO schützt gemäß Artikel 1 Absatz 2 alle Grundrechte und nicht nur den Datenschutz im engeren Sinne. Das wird leider oft übersehen. Bislang sehe ich das nur in der Veröffentlichung des FIfF berücksichtigt“, sagt Bergemann. Ein solches Risiko besteht in der sozialen Erwartung oder dem tatsächlichen Druck zur Benutzung der App und zur Offenlegung des eigenen Risikowertes. „Eine Corona-App könnte schnell zur Eintrittskarte für die Teilnahme am öffentlichen Leben werden“, sagt Steven.

Wenn die Contact-Tracing-App-Betreiber auf die angekündigte Infrastruktur von Google und Apple zurückgreifen wollen, müssen die Verantwortlichen untereinander klären, wer für was verantwortlich ist. Zudem müssten in einer Datenschutz-Folgenabschätzung dann auch die aus der Nutzung der Google-Apple-Infrastruktur resultierenden Risiken betrachtet werden, etwa die Zweckentfremdung zu kommerziellen Zwecken. „Der schlimmste Fall wäre, wenn die App-Betreiber sich mit Google und Apple gegenseitig die Verantwortung zuschieben. Wir kennen das aus der Debatte um die gemeinsame Verantwortung in sozialen Netzwerken.“, sagt Bergemann.