EDSA-Leitlinien für Tracing-Apps

Tracing-Apps – Am 21.04.2020 hat der Europäische Datenschutzausschuss (EDSA) seine Leitlinien 04/2020on the use of location data and contact tracing tools in the context of the COVID-19 outbreak“ veröffentlicht (nur in englischer Sprache verfügbar).  Damit sollen die Rahmenbedingungen des Datenschutzes für die Entwicklung und den Einsatz der aktuell vieldiskutierten Tracing-Apps zur Eindämmung des Corona-Virus festgestellt werden. Der EDSA soll für eine europaweit einheitliche Anwendung der DSGVO sorgen und kann von sich aus eben beispielsweise durch den Erlass solcher Leitlinien tätig werden (Artikel 70 DSGVO).

Die Leitlinien haben auch einem Anhang speziell für die Entwickler von „contact tracing apps“. Der Anhang soll als Hilfestellung dienen und dürfte für die Entwicklung solcher Apps sehr hilfreich sein, weil er die juristischen Aspekte für die Entwickler in konkrete Handlungsanweisungen überträgt.

Hauptaspekte für Tracing-Apps

Gegenstand der Leitlinien sind insbesondere die datenschutzrechtlichen Bedingungen für die Nutzung von Standortdaten und „contact tracing tools“.

Die zurzeit in der Entwicklung befindlichen Apps sollen letztlich folgende Funktionen erfüllen:

  • Abbildung der Virusausbreitung,
  • Einschätzung der Effektivität der getroffenen Eindämmungsmaßnahmen, sowie
  • Information von Personen, die Kontakt mit einer infizierten Person hatten.

Der EDSA macht sich dabei für ein gemeinsames Vorgehen innerhalb der EU stark. Jedenfalls sollte demnach die Entwicklung interoperabler Systeme in gesamteuropäischer Abstimmung erfolgen.

Wichtig dabei ist dem EDSA, dass die von den Apps generierten Daten dem Kampf gegen die Pandemien dienen, nicht aber der Kontrolle, Stigmatisierung oder Unterdrückung von Personen.

Dabei sei bei Anwendung der bestehenden rechtlichen Vorgaben beides möglich: eine effiziente Reaktion auf die Pandemie und ein Schutz der Grundrechte und -freiheiten der Betroffenen.

Aus Sicht des EDSA sollte die Nutzung entsprechender Apps freiwillig sein. Diejenigen, die sich gegen die Nutzung entschieden, dürften hieraus keine Nachteile haben.

Um das notwendige Vertrauen in der Bevölkerung herzustellen und damit die Akzeptanz für die freiwillige Nutzung solcher Apps zu erreichen, sei die Einhaltung des Datenschutzes unverzichtbar. Dabei dürfe der Einsatz der Apps nicht zu individuellem Tracking führen.

Nutzung von Standortdaten

Der EDSA verweist auf die Rechtsvorschriften der ePrivacy-Richtlnie der EU für die Verarbeitung von Standortdaten. Demnach sei die Weitergabe von Standortdaten an Behörden oder Dritte nur in anonymisierter Form oder mit Einwilligung des Nutzers möglich. Der Zugriff auf Informationen auf einem Endgerät der Nutzer sowie deren Speicherung und die spätere Nutzung für weitere Zwecke seien ebenfalls nur auf Basis einer Einwilligung oder entsprechender Vorschriften der EU oder der Mitgliedstaaten nach Maßgabe von Artikel 23 DSGVO zulässig.

Einer anonymisierten sei statt einer personenbezogenen Datenverarbeitung der Vorzug zu geben. Allerdings wird auch betont, dass die Anforderungen an die Anonymisierung von Daten, im Gegensatz zur bloßen Pseudonymisierung, komplex sind. Insbesondere Standortdaten seien schwierig zu anonymisieren.

Welche Datenschutzprinzipien müssen eingehalten werden? Müssen DSGVO-Grundsätze eingehalten werden? Lesen Sie mehr dazu im Beitrag auf unserem Datenschutzportal.

Timo Schutt
Ihr Datenschutz Partner
Externer Datenschutzbeauftragter
Fachanwalt für IT-Recht

Urheberangabe für das Foto für diesen Beitrag:

  • Woman with disposable mask and smartphone outdoors. Dangerous vi: belchonock - 123RF.com