Sabine Proßnegg, Lehrende am Studiengang „IT-Recht und Management“, erzählt in ihrem Blogbeitrag über die Corona-App und die damit verbundene Überwachung, Nichteinhaltung des Datenschutzrechtes sowie über ihre Bedenken.
Derzeit wird in Österreich die Corona-App des Roten Kreuzes beworben. Die Möglichkeiten, das gewohnte Leben wieder aufnehmen zu können, klingt verlockend, das Rote Kreuz, eine humanitäre Hilfsorganisation als Anbieter einer solchen App, unverdächtig. Bei einem Vortrag von Christof Tschohl im März 2020 im Rahmen der – übrigens sehr empfehlenswerten - Grazer Datenschutzgespräche zu den datenschutzrechtlichen Aspekten der App hat er mich, auch angesichts der Situation, überzeugt: dem Datenschutz trägt diese App nun weitgehend Rechnung.
Überwachung auf Schritt und Tritt
Und trotzdem: Wir lassen uns mit dieser App, natürlich nur – zumindest derzeit - freiwillig auf Schritt und Tritt überwachen. Selbst wenn es gelingt den (unmittelbaren) Personenbezug der Daten weitgehend zu begrenzen, ganz ist dies einfach nicht möglich. Vor dem Hintergrund der rasant zunehmenden Digitalisierung unseres gesamten Lebens ist die App ein weiteres Puzzleteilchen der totalen Überwachung.
Zentral für den Persönlichkeitsrechtsschutz sind neben dem Datenschutzrecht (der Datenschutzgrundverordnung (DSGVO) und dem Datenschutzgesetz (DSG)) auch die Europäische Menschenrechtskonvention (ERMK) und die Grundrechtecharta der EU (GRCH).
Art 8 Absatz 1 EMRK etwa sichert uns ein Recht auf unsere Daten und Achtung unseres Privat- und Familienlebens zu, allerdings zweifach relativiert. Einmal durch Art 8 Absatz 2 EMRK, wonach Eingriffe statthaft sind, soweit diese Eingriffe gesetzlich vorgesehen sind und Maßnahmen darstellen, die unter anderem dem Schutz der Gesundheit dienen. Darüber hinaus sieht Art 15 EMRK ein Außerkraftsetzen in Notfällen vor. Wie Clemens Thiele in jusIT 3/2020, 85-87 anmerkt, gibt es diese Einschränkungen in der GRCH nicht.
Bei all den Bemühungen um Datenschutz, Privatsphäre und Geheimhaltungsinteressen, durch die Digitalisierung gerät unsere Privatsphäre massiv unter Druck. Es stimmt zwar, dass die freiwillige und umfassende Preisgabe von Informationen durch die Nutzung der Sozialen Medien auf der einen Seite steht, aber meines Erachtens agieren junge Menschen hier bereits überwiegend vorsichtig und achten genau darauf, was sie wie preisgeben, im Gegensatz zu den digital eher unbedarften älteren Generationen.
Aber die unfreiwillige und rasante Sammlung von Daten durch IoT Devices, also die vernetzen Dinge, die uns in unserem zu Hause, am Körper (Wearables), im Auto, am Arbeitsplatz, auf der Straße und beim Einkaufen (Smart City) umgeben, haben diesen Trend dramatisch beschleunigt. Gab es bisher die Möglichkeit nicht bei allem dabei zu sein, also etwa nicht auf Plattformen der Sozialen Medien präsent und auch sonst datensparsam zu sein, hat uns der Corona-Lockdown und der damit einhergehende Digitalisierungsschub dieser Möglichkeiten weitgehend beraubt. Es gibt also kein Entkommen.
Die Digitalisierung hat unzweifelhaft und völlig unbestritten viele Vorteile, und das hat gerade der Lockdown deutlich gezeigt, allerdings gibt es dazu eine wesentliche Einschränkung: Digitalisierung braucht einen mächtigen Verbündeten an ihrer Seite: das Vertrauen.
Die Corona App geht nun noch einen Schritt weiter: wir stimmen ausdrücklich der Sammlung, Speicherung und wohl auch Auswertung sehr persönlicher, gesundheitsbezogener, also kritischer Daten, zu. In Deutschland wird derzeit intensiv die Abwägung zwischen dem Recht auf Menschenwürde und dem Recht auf Leben diskutiert, etwa in DieZeit, Ausgaben 7. und 14. Mai 2020. In Österreich hört man dazu nicht sehr viel, abgesehen von Fachzeitschriften wie etwa zuletzt dem Artikel von Clemens Thiele in jusIT 3/2020, 85-87.
Datenschutz: Corona-App
Werfen wir nun aber einen genaueren Blick auf die App und überspringen wir die – wie es in allen Datenschutzerklärungen so auch hier heißt – „strikte Einhaltung des Datenschutzes“. Die Schwachstellen der App sind zweifach: die Weiterverarbeitung der Daten durch und Nutzung zahlreicher externer Dienstleister, sowie die weltweite Weitergabe der Daten. In der Datenschutzerklärung ist etwa der App Store (zum Beispiel: Google Play Store oder Apple App Store) für den Download angeführt, wobei diese Daten durch den App Store verarbeitet werden und damit außerhalb des Einflussbereiches des Roten Kreuzes liegen. Verantwortliche sind Google und Apple, was nach der Lektüre des aktuellen EuGH Urteils vom 16. Juli 2020 zum Privacy Shield nicht sehr beruhigend wirkt – abgesehen davon, dass mit diesem Urteil die Basis zur Datenübermittlung in die USA hinfällig ist. Auch bei der Installation und zur Bereitstellung der App werden personenbezogene Daten verarbeitet, weiter unten in der Datenschutzerklärung wird angeführt, dass auch die Entwicklung, der Betrieb und die Wartung der Software an einen „zuverlässigen Partner“ ausgelagert wurden, nämlich an Accenture GmbH in Wien. Accenture, so ergibt ein Blick auf die Webseite des Unternehmens, ist ein global agierender Konzern, der in den Bereichen Strategy & Consulting, Technology, Interactive (vor allem für Marketing) und Operations in allen Branchen tätig ist. In der Datenschutzerklärung des Unternehmens liest man auch, dass das Unternehmen aufgrund von Binding Corporate Rules, die von der Irischen Datenschutzbehörde genehmigt worden sind, Daten weltweit speichert. Accenture besorgt das Hosting, den technischen Betrieb der App und des Servers („Backend“) sowie die Wartung im Störungsfall und die technische Datensicherheit unter Heranziehung weiterer Dienstleister. Als Hostingdienstleister nutzt Accenture Microsoft Azure, den Cloud Service von Microsoft. Für Apple-Endgeräte (iOS) leitet der Firebase Cloud Messaging Dienst Push Notifications an den „Apple Push Notification Service“ weiter. Microsoft wird sich gegebenenfalls ebenfalls weiterer Auftragsverarbeiter bedienen.
Gegenüber der Datenschutzerklärung vom April 2020 ist in der Datenschutzerklärung vom Juli 2020 die ausführliche Erklärung zur Infrastruktur und zum digitalen Handshake entfallen. Stattdessen, so verstehe zumindest ich als technischer Laie das, gibt es nun Verschlüsselungen für den digitalen Handshake. Genutzt wird die Bluetooth-Technologie, und „Es entsteht damit kein höheres Risiko als durch die sonstige Nutzung der Bluetooth-Funktionen des Endgeräts.“
Bedenken bleiben aufrecht
Damit bleiben doch einige Bedenken aufrecht, die gegen die Nutzung der App sprechen: Bedenken in Hinblick auf die mögliche weltweite Übertragung der Daten insbesondere in die USA, besonders mit Blick auf die Ausführungen des EuGH im Urteil vom 16.07.2020 zu deren Überwachungsmaßnahmen. Zweitens ist unklar, an wen welche Daten in welchem Umfang und zu welchem Zweck weitergegeben werden und was damit passiert, gerade angesichts der vielen Subdienstleister und deren Möglichkeit zur Datenweitergabe. Und dabei wurde bisher auf unbeabsichtigte Verluste oder beabsichtigte bösartige Zugriffe Dritter noch gar nicht eingegangen. Drittens erinnert vieles an dieser App an die Vorratsdatenspeicherungsdiskussionen im Jahre 2014, als eben dieser Vorratsdatenspeicherung seitens des EuGH und auch des Verfassungsgerichtshofs eine klare Absage erteilt wurde. Und letztlich: über die Krankheit und deren Übertragung wissen wir einfach noch zu wenig um den Umgang damit schon regeln zu können. Solch massive Eingriffe in unsere Persönlichkeitsrechte ohne Faktenbasis ist abzulehnen. Schließlich ist die Würde des Menschen gemäß Art 1 GRCH unantastbar.
Digitalisierung wird uns nicht gelingen, wenn es nicht gleichzeitig möglich ist, umfassendes Vertrauen aufzubauen. Und das ist auch ohne Überwachungsapp(s) schon schwierig genug.
Mehr zum Studium „IT-Recht & Management“ finden Sie auf unserer Webseite.
Die nächste Bewerbungsfrist endet am 30. Mai 2022.
Auf der Institutsseite "Internet-Technologien & -Anwendungen" erfährst du mehr über unser gesamtes Studienangebot.