Datenschutz vs. Allgemeinwohl?

Im Rahmen ihrer breiter angelegten „Open Data“-Politik will die Europäische Kommission die EU-Mitgliedsstaaten mit dem Aufbau von Strukturen beauftragen, die die Nutzung von Daten für das „Gemeinwohl“ erleichtern. Die Exekutive hofft offenbar, dass durch die aktuelle Coronavirus-Krise auch der allgemeine Nutzen von groß angelegten Datenanalysen demonstriert werden kann.

Bedenken werden jedoch von Datenschutzaktivisten geäußert, beispielsweise mit Blick auf temporäre „Symptom-Tracker“ im Kampf gegen das Coronavirus.

Kritik gibt es auch an der jüngsten Ankündigung der Kommission, die EU-Telekommunikationsfirmen könnten Daten und Bewegungsmuster liefern, um damit die Ausbreitung des Virus beobachten und rückverfolgen zu können.

Im Gespräch mit EURACTIV.com am Rande des Europäischen Forums für Internetsicherheit (CYBERSEC) sagte Yvo Volman, Leiter der Abteilung Datenpolitik und Innovation der DG Connect der Kommission, die aktuelle Krise zeige „das enorme Potenzial von Daten“ auf: „Die Auswirkungen der Datenanalyse auf die Entscheidungsfindung sind riesig.“

Er betonte: „Die Daten machen einen massiven Unterschied in der Krise,“ und fügte hinzu, dass es „Aufrufe zur Beschleunigung“ der Europäischen Strategie für Daten geben werde. Die Kommission wolle eine „angemessene“ Umsetzung dieser im Februar angekündigten Pläne und Maßnahmen sicherstellen.

Datenschutz vs. Datennutzung

Die von der Kommission angedachte Strategie umfasst Maßnahmen zur Schaffung von neun gemeinsamen „EU-Datenräumen“ in verschiedenen Sektoren, darunter Gesundheitswesen, Landwirtschaft und Energie, sowie die Einführung eines neuen Datengesetzes im Jahr 2021, das „die gemeinsame Nutzung von Daten durch Unternehmen und Behörden im öffentlichen Interesse“ fördern könnte.

Zum Thema der gemeinsamen Nutzung von Gesundheitsdaten betonte Volman, es
sei unter den gegenwärtigen Umständen nicht angemessen, „die Privatsphäre gegen die Datennutzung zu stellen“. Seiner Meinung nach gehe es angesichts der Pandemie „um einen bewussten und proaktiven Umgang mit Daten“. Man dürfe nicht „das eine gegen das andere“ ausspielen.

Derweil hatte Binnenmarktkommissar Thierry Breton am Dienstag eine Videokonferenz mit Geschäftsführern einiger europäischer Telekommunikationsunternehmen sowie der GSMA, dem Verband der Mobilfunkbetreiber, abgehalten. Der Kommissar forderte die Unternehmen dabei auf, anonymisierte Daten bereitzustellen, um die Ausbreitung des Coronavirus besser überwachen zu können.

In einer Erklärung der Kommission wurde ebenfalls festgehalten, in der Diskussion sei „die Notwendigkeit der Sammlung anonymisierter mobiler Metadaten zur Analyse der Verbreitungsmuster des Coronavirus“ angesprochen worden. Der Prozess müsse jedoch „vollständig mit der Datenschutzgrundverordnung der EU und den Rechtsvorschriften zum Schutz der Privatsphäre in der elektronischen Kommunikation vereinbar“ sein, hieß es dort weiter.

Diese Forderung löste jedoch Besorgnis bei anderen EU-Institutionen aus. So schrieb die liberale EU-Parlamentsabgeordnete Sophie in t Veld einen Brief an Kommissar Breton, in dem sie fragt, wie die EU sicherstellen könne, dass die von Telekommunikationsfirmen erhaltenen Daten wirklich anonym bleiben. Sie hege auch Zweifel am tatsächlichen Nutzen der „Sammlung sehr großer Mengen von Standortdaten“, wenn Millionen EU-Bürgerinnen und Bürger ohnehin mit Ausgangssperren belegt seien und sich größtenteils zu Hause aufhielten.

In Reaktion auf den Brief der niederländischen Parlamentarierin erklärte Breton am Mittwochabend, es sei „im Kampf gegen diese Gesundheitskrise von größter Bedeutung, dass wir die Ausbreitung der Pandemie und ihren wahrscheinlichen Höhepunkt in jedem Land vorhersehen können“. Breton versicherte außerdem, dass alle Daten gelöscht würden, sobald die gegenwärtige Krise zu Ende sei, und dass alle abgerufenen Informationen vollständig „anonymisiert“ seien. Wie dies gewährleistet werden könne, erläuterte er allerdings nicht näher.

Der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski hob am Mittwoch ebenfalls die Rechtmäßigkeit des Vorgehens der Kommission hervor. Der Pole erklärte, die derzeit in Europa geltenden Datenschutzvorschriften seien „flexibel genug, um verschiedene Maßnahmen im Kampf gegen Pandemien zu ermöglichen“.

Der Datenschutzbeauftragte rief die Kommission allerdings auf, möglichst viel Transparenz bei der spezifischen Art von Daten, die sie von Telekommunikationsunternehmen erhalten möchte, zu bieten.

Weitere Kritik gab es von Expertinnen und Experten sowie der Zivilgesellschaft im Bereich Datenschutz. So zeigte sich beispielsweise Edin Omanovic, Advocacy Director bei Privacy International, gegenüber EURACTIV.com besorgt. Die angekündigten Pläne seien „genau die Art von Maßnahmen, von den ich gefürchtet hatte, dass Breton sie vorschlagen wird“.

Er wies darauf hin, dass „Standortdaten aus der Telekommunikation nicht genau sind. Außerdem sind sie unglaublich schwer zu anonymisieren. Und in einer Zeit, in der große Teile Europas bereits völlig abgeschottet sind, ist es schwer zu erkennen, wie [das Sammeln von Daten] in irgendeiner Weise sinnvoll oder hilfreich sein könnte.“

Coronavirus-Apps

An anderer Stelle hat der Einsatz von sogenannten Symptom-Tracker-Apps im Kampf gegen das Coronavirus bei Datenschutz-Aktivisten die Alarmglocken schrillen lassen.

Zum Beispiel haben ForscherInnen des King’s College und der Krankenhäuser Guy’s und St. Thomas in London in Zusammenarbeit mit dem Gesundheitsdatenunternehmen ZOE eine Covid-Symptom-Tracker-App entwickelt. Diese ermöglicht es COVID-19-Patienten, Daten über sich und ihren aktuellen Zustand einzureichen, um damit die Entwicklung und Verbreitung des Virus leichter beurteilen zu können.

ZOE erklärt dabei, die App entspreche der DSGVO der EU. Außerdem würden die Daten ausschließlich an „Personen, die Gesundheitsforschung betreiben“, einschließlich der Angestellten des britischen National Health Service, sowie an Wohltätigkeitsorganisationen und Forschungseinrichtungen weitergegeben. Das Unternehmen räumte jedoch ein, dass es bei der Verarbeitung personenbezogener Daten auch Dienstleistungen Dritter in Anspruch nimmt.

Zu diesen Drittfirmen, an die die Daten weitergegeben werden, gehören Amazon Web Services und Google.

In Österreich gibt es eine ähnliche App: Das Programm „Stopp Corona“ des Roten Kreuzes wurde am Mittwoch offiziell gestartet. Sein tatsächlicher Nutzen ist umstritten: Die bisher umgesetzten Lösungen seien zwar unbedenklich, dafür aber quasi nutzlos, so Datenschutz-Aktivisten im Gespräch mit EURACTIV.de. Um wirklich effektiv zu überwachen, müsste man tief in die Privatsphäre eingreifen – doch die Hürde der Verhältnismäßigkeit sei dabei kaum zu nehmen.

Auch Diego Naranjo von der Bürgerrechtsorganisation European Digital Rights warnt derweil vor den potenziellen Risiken für die Privatsphäre, die sich aus der Nutzung derartiger Apps ergeben können. „Es erscheinen minütlich neue lokale Apps, und es ist nicht klar, ob sie alle mit der DSGVO und der ePrivacy-Richtlinie in Einklang stehen. Deshalb müssen die Datenschutzbehörden jetzt als echte Wachhunde fungieren und [die bestehenden Datenschutzgesetze] schnell durchsetzen,“ forderte er.

Naranjo sagte weiter: „Die tatsächliche Notwendigkeit, die Verhältnismäßigkeit, eine Zweckbeschränkung – also Datensammeln nur aus Gründen der öffentlichen Gesundheit – und Speicherbeschränkungen sind Schlüsselfragen, wenn man technologische Lösungen, die die Verwendung von persönlichen Daten beinhalten, wirklich in Betracht zieht.“

Yvo Volman von der DG Connect der Kommission hegt indes die Hoffnung, dass die Mitgliedsstaaten in Zukunft einen kohärenteren Rahmen für das, was er als „Datenspenden“ bezeichnet, schaffen könnten. In diesem Rahmen könnten Bürgerinnen und Bürger ihre eigenen Daten für die (medizinische) Forschung dann einfacher einreichen.

Volman sagte: „Wenn ich meinen Körper für die Wissenschaft zur Verfügung stellen will, weiß ich bereits, wie ich das tun kann. Aber wenn ich meine Gesundheitsdaten, beispielsweise zur Bekämpfung von COVID-19, bereitstellen will, weiß ich nicht, wie ich das tun soll. Die Strukturen dafür sind einfach nicht vorhanden.“

Seiner Ansicht nach müssten die europäischen Bürgerinnen und Bürger daher bestmöglich darüber informiert werden, wie sie künftig ihre Daten für das Allgemeinwohl zur Verfügung stellen könnten.

[Bearbeitet von Benjamin Fox und Tim Steins]