Verwendung von Bewegungsdaten der Bevölkerung zur Eindämmung von COVID-19

„Digitale Technik kann tatsächlich einen Beitrag leisten, um Betroffenen einen zusätzlichen Schutz vor einer Corona-Ansteckung zu bieten. Apps auf Mobilgeräten mit einer präzisen Lokalisierungsfunktion, wie sie zum Beispiel mit GPS gegeben ist, kann die Nutzenden informieren, wann und wo sie sich in einem Risikogebiet aufhalten. Voraussetzung ist, dass solche Risikogebiete zuvor digital erfasst wurden. Mit Bluetooth-Lösungen könnte gar eine Warnung von Gerät zu Gerät bei räumlicher Nähe ohne zentrale Datenzusammenführung erfolgen.“

„Dabei ist man derzeit auf die bereitwillige Kooperation von vielen Beteiligten angewiesen: Niemand kann im Moment gezwungen werden, ein Smartphone zu nutzen und darauf spezifische Gesundheits-Apps zu installieren. Für Epidemie-‚Fußfesseln‘ fehlt derzeit jede Rechtsgrundlage. Es wäre mehr als fraglich, wie eine derartige Ortung von Infizierten gesetzlich erlaubt werden könnte, da ein solches Gesetz erforderlich, geeignet und angemessen, also insgesamt verhältnismäßig sein müsste. Das Infektionsschutzgesetz ist hierfür nicht angelegt. Entsprechendes gilt für die Katastrophenschutzgesetze der Länder. Wir leben – der Demokratie sei Dank – nicht in China, wo per digitale Überwachung eine Totalkontrolle der Menschen möglich ist. Wenn also der Gesetzgeber hier tätig werden möchte, was wohl auch kurzfristig möglich wäre, muss er Schutzmaßnahmen für die Betroffenen vorsehen. Anderenfalls gäbe es Widerstand in der Öffentlichkeit, was zudem schädlich wäre für die derzeit bestehende weitgehende Akzeptanz für die bisherigen staatlichen Maßnahmen zur Corona-Abwehr.“

„Demgegenüber sehe ich eine auf freiwilliger Basis funktionierende Warn-App nicht nur als technisch, sondern auch datenschutzrechtlich machbar an: Die Verarbeitung basiert dann auf einer informierten Einwilligung. Hierfür ist es aber nötig, dass die Betroffenen hinreichend verstehen, welche Daten von ihnen durch wen wie verarbeitet werden. Die Bereitschaft, bei einer solchen App mitzumachen, dürfte groß sein, zumal digitale Lösungen heutzutage auf eine große und zunehmende Akzeptanz stoßen und hier der Selbstschutz und der Schutz der anderen wirksam kombiniert werden können. Wichtig ist für die Akzeptanz, dass eine strenge Zweckbindung der Daten gewährleistet wird. Zugriffe von US-Firmen wie Google, Facebook oder Apple (und damit letztlich von Trump beziehungsweise US-Behörden) müssen ebenso ausgeschlossen werden wie staatliche Zugriffe, etwa durch die Polizei. Selbst bei einem Zugriff der Gesundheitsverwaltung sollte gewährleistet werden, dass die Daten nicht zum Nachteil der Betroffenen genutzt werden.“

„Mit dem Digitale-Versorgung-Gesetz ist erstmals in Deutschland eine ärztliche Verschreibung von Apps und deren Finanzierung durch die Krankenkassen möglich. Wenn die Datenverarbeitung unter ärztlicher Leitung erfolgt, hätte dies zudem den Vorteil, dass dann die Daten der ärztlichen Schweigepflicht unterlägen, was einen hohen Schutz der Daten, selbst vor Beschlagnahme, zur Folge hätte.“

„Die massenhafte Speicherung und Auswertung von personenbezogenen Standortdaten bedeutet erhebliche Eingriffe in das Fernmeldegeheimnis sowie das Datenschutzgrundrecht. Für derartige Maßnahmen gibt es im geltenden Recht keine ausreichende Grundlage.“

„Um eine Rechtsgrundlage zu schaffen, die solche Eingriffe legitimieren könnte, bestehen hohe verfassungsrechtliche Hürden. Diese gelten auch im Krisenfall. Der Zweck der Speicherung und Auswertung müsste genau festgelegt werden. In diesem Zusammenhang müssten Beschränkungen der Speicherung und Auswertung etwa betreffend Zeitraum, Gebiet und Personenkreis getroffen werden. Auch technische und organisatorische Schutzmaßnahmen für die Speicherung der Daten wären notwendig.“

„Unter Berücksichtigung der technischen Möglichkeiten und dem potenziellen Nutzen der Daten für die zuständigen Behörden wäre besonders die Verhältnismäßigkeit einer solchen Regelung kritisch zu prüfen. Es fragt sich unter anderem, ob Telekommunikationsanbieter die notwendigen Daten präzise und schnell genug ausleiten und die Behörden diese effektiv genug auswerten könnten, um den verfolgten Zweck zu erreichen.“

„Bei der Durchsetzung von Quarantänen und Ausgangssperren erscheint das schwer vorstellbar. Die Überwachung der Standorte über Mobilfunkgeräte dürfte nicht nur technisch und personell schwer umsetzbar sein, sondern wäre auch leicht zu umgehen. Eher rechtlich umsetzbar schiene es, mit Hilfe aggregierter Daten generelle Bewegungstendenzen zu ermitteln, um etwa in Bezug auf bestimmte Krisengebiete gezielt Vorsorgemaßnahmen treffen zu können.“

„Die Hauptfrage ist meines Erachtens, wie man Bewegungsdaten zur Gesundheitsvorsorge nutzen kann, ohne dass sie missbraucht werden können.“

„Hier wäre es zum Beispiel denkbar, dass die Daten verschlüsselt abgelegt werden und der Schlüssel zum Entschlüsseln der Daten auf mehrere Institutionen verteilt ist, sodass wirklich nur im Krisenfall auf diese Daten zugegriffen werden kann, etwa nur, wenn die Mehrheit der Institutionen ihren Teil des Schlüssels herausgibt. Man könnte auch noch raffiniertere Lösungen entwickeln, etwa, dass der Schlüssel nach einer gewissen Zeit neu gewählt wird, sodass Behörden nur Zugriff auf einen bestimmten Zeitraum hätten, oder dass die Schlüssel geschickt vom Ort abhängen, so dass man Bewegungsdaten nur innerhalb bestimmter Regionen entschlüsseln kann.“

„Die Kryptographie erlaubt also technische Lösungen, mit denen die Privatsphäre weitestgehend geschützt werden kann. Welchen Schutz und welche Zugriffsmöglichkeiten man aber genau haben will, dafür brauchen wir eine gesellschaftliche Debatte. Ansonsten könnten einige eine umfangreiche Vorratsdatenspeicherung ‚durch die Hintertür‘ befürchten. Die notwendigen Techniken gibt es jedenfalls.“

Zur Frage, welche Anbieter die erforderlichen Standortdaten schon haben:
„Die Daten könnten von Mobilfunkanbietern kommen oder, besser, von den Mobilgeräten selbst, weil diese eine viel genauere Ortung erlauben, etwa über GPS oder darüber welche WLAN-Netze in der Nähe sind. Es wäre also, wenn die Datensicherheit nachweislich gesichert ist, denkbar, dass eine App diese Daten bereitstellt.“

Zur Frage, auf welcher rechtlichen Grundlage eine Verwendung der Bewegungsdaten der Bevölkerung im Fall der COVID-19 Pandemie möglich wäre:
„Die Verwendung von Bewegungsdaten der Bevölkerung, etwa zur Eindämmung des Corona-Virus, ist aus rechtlicher Perspektive eine Verarbeitung personenbezogener Daten. Das heißt, die Frage nach der Zulässigkeit einer derartigen Verarbeitung ist vorwiegend eine des Datenschutzrechts.“

„Die Suche nach einer rechtlichen Grundlage für eine Verwendung von Bewegungsdaten der Bevölkerung gestaltet sich in Deutschland allerdings schwierig. Das deutsche Recht kennt kein ‚allgemeines Pandemierecht‘, das die Befugnisse des Staates in Katastrophenfällen einheitlich regelt und Zuständigkeiten und Kompetenzen bündelt. Gleichwohl gibt es verschiedene Spezialgesetze, die im Einzelfall die Befugnisse des Staates in derartigen Fällen erweitern. Letztlich besteht daher im Falle einer Pandemie oder eines ähnlichen Katastrophenfalles ein Flickenteppich mit zahlreichen Sonderregelungen und Notstandbefugnissen des Staates, die in verschiedenen Spezialgesetzen geregelt sind.“

„Zu denken ist hierbei insbesondere an das Infektionsschutzgesetz (§§ 16 Abs. 1, 29 IfSG), das Bundespolizeigesetz (§§ 7 Abs. 1, 29 ff. BPolG) sowie das Telekommunikationsgesetz (§ 113c TKG). Auch die europäische Datenschutz-Grundverordnung (DS-GVO) ist zu beachten.“

„Die rechtliche Grundlage für eine Verarbeitung und Auswertung von Bewegungsdaten hängt maßgeblich von der Ausgestaltung der Datenverarbeitung ab: Zum einen könnten Bürgerinnen und Bürger ihre Daten ‚spenden‘ und damit in eine Verarbeitung ihrer Bewegungsdaten einwilligen. Das wäre rechtlich am Einfachsten zu lösen, dürfte in der Praxis aber auf große Probleme stoßen, etwa weil zu wenige Bürgerinnen und Bürger ihre Einwilligung erteilen wollen oder zu viele sie nicht erteilen können. Hinzu kommt die zeitliche Dauer des Einholens der Einwilligungen. Daher könnte zum anderen eine Verarbeitung aufgrund einer gesetzlichen Eingriffsbefugnis durch den Staat vorgenommen werden. Für den Staat sind dabei wegen des mit einer derartigen Datenverarbeitung verbundenen massiven Eingriffs in die Privatsphäre der Bürgerinnen und Bürger die rechtlichen Voraussetzungen allerdings sehr hoch. In Betracht käme insofern ein Rückgriff auf die spezialgesetzlichen Befugnisse, die auch eine Datenverarbeitung rechtfertigen können.“

Zur Frage, welche Voraussetzungen, wie der Ausruf des Katastrophenfalls, dafür erfüllt sein müssten:
„Wenn die Verwendung von Bewegungsdaten der Bürgerinnen und Bürgern so ausgestaltet wäre, dass diese nur im Falle einer freiwilligen ‚Datenspende‘ stattfindet, dann sind die rechtlichen Voraussetzungen für die Wirksamkeit einer entsprechenden Einwilligung zu beachten. Dies bedeutet, dass eine hinreichende Information über die Reichweite und Zwecke der Datenverarbeitung erfolgen muss, damit die Bürgerinnen und Bürger frei entscheiden können, ob sie ihre Daten zu Zwecken der Pandemiebekämpfung ‚spenden‘ wollen oder nicht. Es müsste also unter anderem eindeutig darüber informiert werden, in welchem Umfang Bewegungsdaten für welchen Zeitraum und für welche Dauer verarbeitet werden. Auch müsste Aufschluss darüber gegeben werden, zu welchen Zwecken diese Daten verarbeitet werden. So ist für eine wirksame Einwilligung nötig, dass die Bürgerinnen und Bürger wissen, wie die Datenverarbeitung stattfindet, also ob detaillierte Bewegungsprofile jedes Einzelnen erstellt werden oder ob etwa ein Abgleich mit den Bewegungsdaten von an dem Corona-Virus erkrankten Patienten stattfindet. Diese Voraussetzungen sind unabhängig vom Vorliegen eines Katastrophenfalles wie der Corona-Virus-Pandemie. Ein ‚Notrecht‘ in diesem Sinne kennt das Datenschutzrecht bei der Einwilligung nicht. Das macht eine einwilligungsbasierte Datenverarbeitung im Katastrophenfall sehr umständlich und rechtsunsicher, weil oftmals die Wirksamkeitsvoraussetzungen einer Einwilligung nicht vorliegen werden und diese zudem jederzeit von den Bürgerinnen und Bürgern im Einzelnen widerrufen werden kann.“

„Die Alternative zu einer Einwilligung der Bürgerinnen und Bürger wäre die Vornahme der Datenverarbeitung aufgrund einer gesetzlichen Befugnis des Staates. Das Infektionsschutzgesetz erlaubt es etwa den zuständigen Behörden zur Abwendung einer dem Einzelnen oder der Allgemeinheit drohenden Gefahr die notwendigen Maßnahmen zu treffen, dies kann auch eine sogenannte Beobachtung sein. Eine damit einhergehende Datenverarbeitung könnte insoweit von der Ermächtigungsgrundlage im Falle einer Pandemie gedeckt sein. Das sieht das Infektionsschutzgesetz bei Beachtung strenger Vorgaben ausdrücklich vor. Ob das Infektionsschutzgesetz auch die Verwendung von Bewegungsdaten der Bevölkerung legitimieren kann, ist kritisch zu untersuchen.“

„Aber auch das Bundespolizeigesetz sieht verschiedene Befugnisse zur Datenverarbeitung und Datennutzung im Notstandsfall vor. So kann die Bundespolizei etwa personenbezogene Daten erheben, speichern und nutzen, wenn dies im Notstandsfall für die Aufgabenerfüllung erforderlich ist. Ob dies auch eine Verwendung von Bewegungsdaten der Bevölkerung umfasst ist allerdings fraglich, weil die Befugnisse der Bundespolizei vorrangig an eine von einer Person ausgehende konkrete Gefahr und daran anschließende entsprechende Maßnahmen anknüpfen und nicht an eine Überwachung der gesamten Bevölkerung.“

„Das Telekommunikationsrecht erlaubt es allerdings, gespeicherte Daten an eine Gefahrenabwehrbehörde der Länder zu übermitteln, sofern diese für die Abwehr einer konkreten Gefahr für eine Person oder den Bestand des Bundes oder eines Landes erforderlich ist. Es wäre eingehend und kritisch zu prüfen, ob diese Voraussetzungen im Pandemie-Fall eine Übermittlungsbefugnis unter Umständen begründen können.“

„Ob derartige spezialgesetzliche Regelungen die Verarbeitung der Bewegungsdaten der Bevölkerung rechtfertigen können, ist insgesamt fraglich. Gleichwohl könnten die Regelungen zu Sonderbefugnissen in Katastrophenfällen weitreichende Maßnahmen ermöglichen. Auch die Verfassung, die Rechtsprechung des Bundesverfassungsgerichtes (BVerfG) und die Verwaltungspraxis kennen Möglichkeiten und Mittel für Annexkompetenzen, die in Ausnahmesituationen besondere Maßnahmen rechtfertigen können. Aufgrund der Eingriffsintensität wird hier aber die kurzfristige Schaffung entsprechender Rechtsgrundlagen unerlässlich sein.“

Zur Frage, wie in diesem Fall verschiedene Rechtsgrundlagen gegeneinander abzuwägen sind, etwa Gesetze zum Datenschutz gegen Pandemierecht oder Katastrophenschutzrecht:
„Gesetzgebung in Krisensituationen und Rechtsanwendung in Krisen stehen vor der Herausforderung, besonnen zu bleiben und trotzdem Missständen entgegenzuwirken und abzuhelfen. Auch im Angesicht einer Bedrohung von Leib und Leben der Bevölkerung müssen bleibende Kollateralschäden für die Grundrechte vermieden werden. Führt man nun von Seiten Privater oder des Staates eine flächendeckende Überwachung der Bevölkerung per Handytracking ein, wie das auf unterschiedliche Weise in China, Israel oder Österreich geschieht, verlangt das eine bewusste und in alle Richtungen verantwortliche Entscheidung.“

„Im deutschen Recht erfolgen Eingriffe in Rechtspositionen der Bürgerinnen und Bürger unter Anwendung von Rechtsgrundlagen, die abgewogene Wertungsentscheidungen enthalten. Die Befugnisnormen des Infektionsschutzrechts müssen in einer einheitlichen Rechtsordnung mit dem Datenschutz der betroffenen Personen abgewogen sein. Die Frage lautet: Wie tief darf der Eingriff sein, den die Pandemiebekämpfung dem Datenschutz abtrotzt? Hierbei ist sorgfältig zu prüfen, ob die Voraussetzungen des Gesetzes erfüllt sind, das etwa eine Verwendung von Bewegungsdaten der Bevölkerung in Notzeiten erlaubt. Unter Umständen können auch verschiedene Rechtsnormen miteinander ‚kombiniert‘ werden, um so eine taugliche Rechtsgrundlage für einen Eingriff in die Rechte der betroffenen Person zu schaffen. So wirken etwa das Infektionsschutzrecht und das Polizeirecht zusammen. Zugleich muss der Gesetzgeber den Datenschutz aber immer gebührend würdigen. Die Kontrollüberlegung für die Gesetzgebung muss sein, ob man Regelungen, die man in Zeiten der Krise trifft, auch nach deren Überwindung noch verantworten kann.“

Zur Frage, wie schnell ein eventuelles Gesetz oder eine Verordnung verabschiedet werden könnte:
„Das Grundgesetz enthält grundsätzlich keine Regelungen für ein Schnellverfahren der Gesetzgebung. Die Geschäftsordnungen der gesetzgebenden Organe enthalten allerdings Möglichkeiten das Gesetzgebungsverfahren zu beschleunigen. So kann etwa auf eine Überweisung einer Gesetzesvorlage an den zuständigen Ausschuss verzichtet werden und zügig zur Schlussberatung übergangen werden. Auch Formalien wie die Gegenzeichnung durch die Bundeskanzlerin und die Ausfertigung und Verkündung des Gesetzes durch den Bundespräsidenten können beschleunigt werden. Letztlich obliegt es den beteiligten Verfassungsorganen, im Rahmen ihrer Befugnisse in Eilfällen für einen zügigen Ablauf des Gesetzgebungsverfahrens zu sorgen. Dass das geht, haben wir bereits im Rahmen der Erleichterung des Zugangs zum Kurzarbeitergeld im Rahmen der COVID-19-Pandemie erlebt. Entsprechende Gesetze können also innerhalb weniger Tage und sogar rückwirkend in Kraft treten.“

„Die Entwicklung in Ländern wie Israel und Österreich zeigt, dass Bewegungsdaten aus verschiedenen Quellen vorhanden und Unternehmen auch bereit sind, sie mit den Behörden zu teilen. Neben den eher groben Bewegungsdaten in Funkzellen, auf die die Mobilfunknetzbetreiber*innen Zugriff haben, betrifft dies auch die Trackingdaten, die mobile Betriebssysteme und Apps mithilfe der GPS- und WLAN-Informationen des Smartphones sammeln.“

„Aus wissenschaftlicher Sicht sprechen technische wie datenschutzrechtliche Argumente gegen die Nutzung dieser Daten. Es sind aber auch datenschutzfreundliche Szenarien denkbar, wie eine stärkere Nutzung digitaler Dienste zur Bekämpfung der aktuellen Pandemie beitragen kann.“

„Technisch sind die Funkzellendaten viel zu ungenau, um damit Kontaktpersonen zu ermitteln. Würden alle, die sich über einen längeren Zeitraum in der Nähe einer infizierten Person aufgehalten haben, benachrichtigt werden, wäre die Zahl viel zu hoch. Und gerade in der Gruppe der besonders gefährdeten Senior*innen kann man nicht von einer hohen Nutzungsrate ausgehen, man würde sie also weder mit erheben noch benachrichtigen können.“

„Gleichzeitig birgt die großflächige Benachrichtigung Nachteile mit sich – würden sich alle potenziell Betroffenen dann aus Sorge bei den Gesundheitsämtern oder gar direkt im Krankenhaus melden, wäre eine (weitere) Überlastung wahrscheinlich.“

„GPS-Daten werden in Deutschland nicht flächendeckend erhoben, eine Nutzung zur genauen Positionsbestimmung etwa zur Kontrolle einer Ausgangssperre würde den Zwang zur Nutzung eines Smartphones mit einer bestimmten, mindestens teilstaatlichen, App voraussetzen. Und im Zweifel könnten diejenigen, die einen Verstoß planen, ihr Handy einfach zu Hause lassen oder sich auf die erlaubten Ausnahmen berufen. Der Zweck einer Bewegung (ist man auf dem Weg zum Arzt, zum Einkauf oder zum Job) lässt sich aus den Daten nicht ablesen.“

„Aus der Perspektive des Datenschutzes stimmen wir mit der Einschätzung des Bundesdatenschutzbeauftragten Ulrich Kelber überein. Auch in der aktuellen Krise gilt der Verhältnismäßigkeitsgrundsatz, der danach fragt, ob eine Maßnahme zur Erreichung eines Zweckes geeignet, erforderlich und angemessen ist. Aktuell scheinen die Daten zur Erreichung der beschriebenen Zwecke nicht erforderlich, weil eben nicht sinnvoll, zu sein. Gleichzeitig steht ein Grundrechtseingriff, der mit der vollständigen Bewegungserfassung einhergeht, in keinem angemessenen Verhältnis zum Ziel. Schließlich werden auch viele anderen Maßnahmen, die etwa in China ergriffen wurden, wie die Zwangseinweisung von Kontaktpersonen in Quarantäne-Stationen, bei uns auch nicht durchgeführt.“

„Nichtsdestotrotz gibt es viele Möglichkeiten, wie neue Technologien genutzt werden können, um mit der Pandemie umzugehen. Es spricht etwa nichts dagegen, dass sich zum Beispiel gefährdete Personen freiwillig mit einer App der Gesundheitsämter (unter Einhaltung der Datenschutzregeln) tracken lassen. Bei der Entwicklung einer solchen App sollte darauf geachtet werden, dass keine personenbezogenen Daten an Drittanbieter wie etwa Facebook weitergegeben werden, welche häufig standardmäßig in App-Programmier-Frameworks eingebunden sind. Auch die Nutzung von anonymisierten Bewegungsdaten in der Epidemiologieforschung, um die Ausbreitung besser zu verstehen, ist datenschutzfreundlich möglich. Ein umfassende individuelle Bewegungsüberwachung jedes*r Einzelnen halten wir dagegen für nicht zielführend und sogar gefährlich.“

Zur Frage, auf welcher rechtlichen Grundlage eine Verwendung der Bewegungsdaten der Bevölkerung im Fall der COVID-19 Pandemie möglich wäre:
„Zurzeit sehe ich keine erforderliche gesetzliche Ermächtigung, auf deren Grundlage das möglich wäre. Es bedürfte für die damit verbundenen Eingriffe in das Recht auf informationelle Selbstbestimmung spezifischer Eingriffstatbestände, die das Infektionsschutzgesetz nicht kennt.“

„Aufgrund seiner Spezialität dürfte das Infektionsschutzgesetz auch einen Rückgriff auf das allgemeine Gefahrenabwehrrecht der Landespolizeigesetze weitgehend ausschließen. Selbst wenn der Rückgriff auf die Polizeigesetze nicht ausgeschlossen wäre, sind elektronische Aufenthaltsermittlungen dort nur für Fälle einer konkreten Gefahr vorgesehen (etwa § 22 Absl 1 Nr. 3 PolG BW). Die könnte etwa vorliegen, wenn die Gefahr besteht, dass eine infizierte Person eine gegen sie angeordnete Quarantäne verletzt – etwa, weil bekannt ist, dass sie sich trotz Quarantäneanordnung auf eine Reise begeben will oder Ähnliches. Eine flächendeckende Überwachung auch nur bestimmter Teile der Bevölkerung lässt sich aber auf diese Regelungen nicht stützen.“

Zur Frage, welche Voraussetzungen, wie der Ausruf des Katastrophenfalls, dafür erfüllt sein müssten:
„Auch die Katastrophenschutzgesetze der Länder kennen keine entsprechenden Regelungen. Neben organisationsrechtlichen Zentralisierungen sehen sie zwar regelmäßig auch Hilfsplichten der Bevölkerung vor, aber keine besonderen Vorschriften zur flächendeckenden Standortdatenerhebung. Die Ausrufung des Katastrophenfalls ändert daher nichts an der fehlenden gesetzlichen Grundlage für entsprechende Maßnahmen.“

Zur Frage, wie in diesem Fall verschiedene Rechtsgrundlagen gegeneinander abzuwägen sind, etwa Gesetze zum Datenschutz gegen Pandemierecht oder Katastrophenschutzrecht:
„Von besonderer Bedeutung ist hier das Recht auf informationelle Selbstbestimmung, in das massiv eingegriffen würde. Richtig verstanden schützt es vor den abstrakten Gefahren, die besonders auch mit entsprechend weitreichenden Datenerhebungen und -verarbeitungen für die Grundrechte der Betroffenen verbunden sind. Um diesen Gefahren vorzubeugen, wäre es wichtig, dass mit einer entsprechenden gesetzlichen Grundlage auch verlässliche verfahrensrechtliche und organisatorische Sicherungen getroffen würden, die einen Missbrauch der Daten verhindern und sicherstellen, dass die Daten tatsächlich nur für die Pandemiebekämpfung genutzt werden. So setzen also etwa die südkoreanischen Regelungen auf größtmögliche Transparenz des Datenabgleichs und verlangen die rückhaltlose Löschung aller Daten nach dem Ende der Krise. In Israel wird der Kreis derjenigen, die Zugriff auf die Daten haben, auf möglichst wenige Sicherheitsbeamte beschränkt. Für die deutsche Rechtordnung müsste im Einzelnen überlegt werden, welche Sicherungen dieser und noch weiterer Art – etwa durch Anonymisierung und Pseudonymisierung der Daten – möglich wären. In Deutschland wäre die gesetzliche Regelung einer solchen Bekämpfungsstrategie nur dann verfassungsrechtlich zulässig, wenn es eine entsprechende Absicherung gegen die mit der Überwachung verbundenen Gefahren gäbe.“

Zur Frage, wie schnell ein eventuelles Gesetz oder eine Verordnung verabschiedet werden könnte:
„Rechtlich wäre ein Handeln des Gesetzgebers erforderlich. Die fehlenden gesetzlichen Grundlagen müssten in den Ministerien erarbeitet und dann durch den Bundestag und den Bundesrat beschlossen werden. Dass der Gesetzgeber in Notsituationen auch innerhalb von Tagen handeln kann, hat er in dieser Krise – wie auch in anderen – bereits unter Beweis gestellt.“

„Faktisch setzt eine Bekämpfungsstrategie, die – wie die südkoreanische – ganz wesentlich auf die Nachverfolgung Infizierter setzt, zum einen umfangreiche Testkampagnen und eine IT-infrastruktur voraus, die die Daten operationalisierbar macht. In Südkorea dürfte die große Akzeptanz des Vorgehens und wohl auch sein Erfolg nicht zuletzt auch darauf beruhen, dass die Daten der Bevölkerung über Applikationen auf ihren Mobilfunkgeräten in Echtzeit zugänglich gemacht wurden.“

„Die Rechtslage hängt ganz zentral davon ab, auf welche ‚Bewegungsdaten‘ die Behörden überhaupt zugreifen würden. Aggregierte Daten beispielsweise haben von vornherein keinen individuellen Personenbezug, es gibt dort also keine rechtlichen Grenzen. Wenn es um (individuell) personenbezogene Ortsdaten geht, die aus Telekommunikationsnetzen stammen (das heißt Daten zur Einwahl in Funkzellen), greifen neben dem Datenschutz aber auch die Restriktionen des Fernmeldegeheimnisses und des bereichsspezifischen Datenschutzes des Telekommunikationsgesetzes (TKG). Für den Zugriff auf solche Daten gelten dann grundlegend andere Regeln, weil diese sich nach der Erhebung von Verkehrsdaten nach dem TKG richten, einschließlich von dessen zugehörigen Richtlinien und Rechtsverordnungen. Für die Erhebung von Ortsdaten aus anderen Quellen (zum Beispiel von Anbietern von Apps oder Handy-Betriebssystemen) gibt es keinen vergleichbaren Rechtsrahmen. Die Antworten unten versuchen so gut wie möglich beide Alternativen abzudecken.“

Zur Frage, auf welcher rechtlichen Grundlage eine Verwendung der Bewegungsdaten der Bevölkerung im Fall der COVID-19 Pandemie möglich wäre:
„Im aktuellen Recht wären als Rechtsgrundlage die Polizeigesetze von Bund und Ländern denkbar. Diese Gesetze enthalten in der Regel Rechtsgrundlagen, nach denen die Polizeibehörden personenbezogene Daten erheben können, beispielsweise von Mobilfunkanbietern oder von den Anbietern von Apps. Je nachdem, um welche Daten es geht, müssen diese Rechtsgrundlagen aber bestimmte Anforderungen erfüllen. Bei der Erhebung von Ortsdaten aus Telekommunikationsnetzen muss das betreffende Gesetz sich ausdrücklich auf Telekommunikationsdaten beziehen. Es muss außerdem einen Abschnitt enthalten, mit dem klargestellt wird, dass dieses Gesetz in das Telekommunikationsgeheimnis aus Art. 10 GG eingreift, man spricht vom sogenannten Zitiergebot. Am wichtigsten ist aber, dass ein solcher Zugriff auf Daten nur in Fällen einer drohenden Gefahr für wichtige Rechtsgüter erfolgen darf. Man kann eine solche Gefahr nicht pauschal annehmen, sondern man müsste bei jedem abgerufenen Datensatz begründen, warum er für die Bekämpfung der Pandemie erforderlich ist.“

„Für wahrscheinlicher halte ich es, dass unsere Gesetzgeber eine neue Rechtsgrundlage schaffen – durch Erlass eines Gesetzes oder eine Rechtsverordnung. Ein solches Gesetz müsste sich dann aber an den Grundrechten messen lassen. Eine an Unternehmen gerichtete Pflicht, massenweise Bewegungsdaten aufzuzeichnen und an die zuständigen Behörden zu übermitteln, wäre nur dann denkbar, wenn es um die Abwehr einer ganz konkreten, überragend wichtigen Gefahr für die Allgemeinheit geht. Das kann nicht jede beliebige Grippewelle sein, aber die aktuelle Corona-Krise wäre durchaus ein Fall, bei dem eine solche Maßnahme verhältnismäßig sein könnte.“

Zur Frage, welche Voraussetzungen, wie der Ausruf des Katastrophenfalls, dafür erfüllt sein müssten:
„Bei einer Datenerhebung nach den aktuellen Polizeigesetzen bräuchte man, grob zusammengefasst, eine auf Tatsachen basierende, unmittelbar drohende Gefahr für Leib, Leben oder Gesundheit von Personen, oder eine ‚gemeine Gefahr‘, das heißt eine schwerwiegende Gefahr für die Allgemeinheit. Das hängt im Einzelnen vom jeweiligen Gesetz ab, und auch davon, um welche Daten es überhaupt geht. Beim Corona-Virus wären diese Voraussetzungen wohl erfüllt.“

„Ob ein ‚Katastrophenfall‘ ausgerufen wurde oder nicht, spielt für diese Rechtsgrundlagen keine Rolle.“

Zur Frage, wie in diesem Fall verschiedene Rechtsgrundlagen gegeneinander abzuwägen sind, etwa Gesetze zum Datenschutz gegen Pandemierecht oder Katastrophenschutzrecht:
„Ein Gericht, das die Rechtmäßigkeit einer solchen Maßnahme zu beurteilen hätte, würde wohl vor allem auf zwei Aspekte achten. Erstens: Sind die erhobenen Daten überhaupt dafür geeignet, um die Pandemie zu bekämpfen? Gerade bei Daten aus Mobilfunknetzen besteht das Problem, dass diese womöglich für den Zweck nicht genau genug sind – je nachdem, um welchen Zweck es geht. Man kann auf Basis solcher Daten in der Regel nicht sagen, wo genau eine Person sich aufgehalten hat, aber allgemeine Bewegungsmuster kann man daraus schon ableiten. Zweitens: Welche Daten will die Behörde erheben, und braucht sie wirklich alle diese Daten? Wenn es beispielsweise darum geht, Personen zu identifizieren, die aus einem Risikogebiet ausgereist sind, dann braucht die Behörde nur Daten zu Personen, die sich im jeweiligen Gebiet zur fraglichen Zeit aufgehalten haben. Sie braucht nicht die Bewegungsdaten aller Deutschen aus den letzten zwei Wochen.“

„Wichtig ist in jedem Fall, dass solche Daten streng zweckgebunden zu nutzen sind (also nur zur Bekämpfung der Pandemie) und gegen Missbrauch gut abgesichert werden müssen.“

Zur Frage, wie schnell ein eventuelles Gesetz oder eine Verordnung verabschiedet werden könnte:
„Wie gesagt: Ein neues Gesetz wäre nur notwendig, wenn es um mehr geht als um die bereits jetzt vorgenommene Verarbeitung von nicht-personenbezogenen aggregierten Daten.“

„Falls aber auch eine unmittelbar personenbezogene Datenerhebung ermöglicht werden soll, spricht viel dafür, dass über ein solches Gesetz nur der Bundestag entscheiden kann. Immerhin geht es um eine Angelegenheit von überragender Wichtigkeit, und die gehört in das Parlament. Der Bundestag kann im Zweifel durchaus auch innerhalb weniger Tage ein neues Gesetz erlassen, wenn er die Eile für geboten hält. Aber erst einmal wäre zu prüfen, für welche Zwecke die Gesundheitsbehörden solche Daten überhaupt benötigen.“

„Mobilfunkanbieter kennen nur den ungefähren Aufenthaltsort eines Mobiltelefons. Der Aufenthaltsort lässt sich durch die Funkzellen bestimmen, in denen ein Telefon eingebucht ist. Gerade auf dem Land haben diese Funkzellen einen Durchmesser von hunderten von Metern bis zu mehreren Kilometern. In dicht bevölkerten Städten ist der Durchmesser geringer, teilweise kann dort der Aufenthaltsort auf einzelne Straßenzüge genau bestimmt werden.“

„Solche groben Positionsdaten sind also eher nicht dazu geeignet, um herauszufinden, mit welchen Personen eine bestimmte Person Kontakt hatte. Anhand der groben Positionsdaten lassen sich jedoch Bewegungen über größere Distanzen bestimmen, etwa ob sich ein Mobiltelefon lediglich zwischen Wohn- und Arbeitsort bewegt oder sich auch an anderen – als womöglich unnötig eingestuften – Orten aufhält. Weiterhin kann man die Daten in ihrer Gesamtheit betrachten, um zu analysieren, wie sich das Mobilitätsverhalten der Gesellschaft im Zeitverlauf insgesamt verändert.“

„Eine genauere Standortbestimmung ist für Mobilfunkanbieter grundsätzlich schon möglich, jedoch mit zusätzlichem Aufwand verbunden. Ist ein Mobiltelefon in Reichweite mehrerer Funkmasten, kann man durch die Analyse der einzelnen Signalstärkenbeziehungsweise der Signallaufzeiten den Standort durch Triangulation genauer schätzen.“

„Als weitere Quelle kommen die von den Mobiltelefonen selbst erhobenen Positionsdaten in Frage. Die vom Telefon erhobenen Positionsdaten sind weitaus genauer als die Daten, die den Mobilfunkbetreibern vorliegen. Die Telefone nutzen nicht nur GPS, sondern berücksichtigen dabei auch die in ihrer Umgebung empfangbaren WLAN- und Bluetooth-Sender, deren Standorte von Anbietern wie WiGLE kartographiert worden sind. Hier lassen sich – auch in Gebäuden – sehr hohe Genauigkeiten im Bereich von wenigen Metern oder weniger als einem Meter erzielen.“

„Den umfangreichsten Zugriff auf diese Daten haben potenziell Google und Apple, da sie die Betriebssysteme entwickeln, die auf den Telefonen laufen. Beide Anbieter sammeln bereits präzise Mobilitätsdaten für ihre eigenen Zwecke sofern die Nutzer diese Funktionen nicht deaktiviert haben. Bisher werden solche Daten wegen ihrer Sensitivität allerdings wohl nur für ganz bestimmte Zwecke und nicht personenbezogen vorliegen; hier müssten die Anbieter also ihre bestehenden Selbstverpflichtungen lockern.“

„Schließlich könnten auch eigene Apps in Umlauf gebraucht werden, die Positionsdaten sammeln und mit Einwilligung des Nutzers zur Verfügung stellen. Wichtig wäre dabei, dass die Apps die Positionsdaten kontinuierlich, also auch im Hintergrund sammeln. Dies kann die Akkulaufzeit spürbar reduzieren. Weiterhin wäre zu prüfen, inwiefern die Plattformbetreiber Google und Apple eine solche kontinuierliche Sammlung über mehrere Tage hinweg überhaupt erlauben. Möglicherweise müssten hier zuerst die Bedingungen gelockert werden.“

„Problematisch an der Nutzung von Standortdaten ist, dass es hier zu erheblichen Fehleinschätzungen kommen kann. In Gebäuden mit mehreren Stockwerken könnte man fälschlicherweise einen Kontakt zwischen zwei Mobiltelefonen vermuten, obwohl sich die Besitzer in verschiedenen Stockwerken aufhalten. Um herauszufinden, wer mit wem Kontakt hatte, müssten Smartphones kontinuierlich nach anderen Bluetooth-Geräten in ihrer Umgebung suchen und übermitteln, welche Geräte sie in ihrer Nähe gesehen haben. Dies gelingt aber nur mit Unterstützung durch das Betriebssystem und würde immer noch keine zuverlässige Erkennung von Kontaktpersonen garantieren.“

Zur Frage, auf welcher rechtlichen Grundlage eine Verwendung der Bewegungsdaten der Bevölkerung im Fall der COVID-19 Pandemie möglich wäre:
„Auf der Grundlage des gegenwärtigen Rechts wäre es nicht zulässig, die Bewegungsdaten der Bevölkerung generell personenbezogen zu erfassen, um Corona-Ansteckungsgefahren zu begegnen. Die Katastrophenschutzgesetze und die Polizeigesetze kennen zwar Vorschriften, die es erlauben, die Standortdaten von Personen zu ermitteln, um eine gegenwärtige Gefahr für das Leib oder Leben einer Person abzuwehren, zum Beispiel die Funkzellenabfrage, die Telekommunikationsüberwachung und andere Ermächtigungen. Aus mehreren Gründen sind diese Vorschriften aber nicht darauf zugeschnitten, Bewegungsdaten der gesamten Bevölkerung zu erheben und nutzen. Beispielsweise setzt die Anordnung einer Telekommunikationsüberwachung aus Gründen der Verhältnismäßigkeit grundsätzlich eine richterliche Anordnung im Einzelfall voraus und zielt generell nur auf Infizierte, grundsätzlich aber nicht auf sonstige Dritte. Auch das Infektionsschutzgesetz und die DSGVO beziehungsweise das BDSG (Bundesdatenschutzgesetz; Anm. d. Red.) kennen zwar Ermächtigungen, die es legitimieren, im öffentlichen Interesse die erforderlichen Maßnahmen gegen schwerwiegende Gesundheitsgefahren zu treffen. Diese Vorschriften sind jedoch nicht hinreichend bestimmt, um Standortdaten oder Bewegungsdaten der gesamten Bevölkerung einzuholen. Je intensiver ein Grundrechtseingriff ist, umso präziser muss die Norm sein, die ihn legitimiert.“

„Anders zu beantworten ist die Frage, inwieweit sich Bewegungsdaten anonymisiert nutzen lassen, um Bewegungsströme zu modellieren und gegebenenfalls Zonen zu identifizieren, in denen die Infektionsgefahr besonders hoch ist. Da in diesem Fall kein Rückschluss auf einzelne Personen möglich ist, ist das informationelle Selbstbestimmungsrecht der Bürger nicht berührt, daher kann die Maßnahme zulässig sein (vorausgesetzt die Anonymisierung ist zuverlässig).“

Zur Frage, wie in diesem Fall verschiedene Rechtsgrundlagen gegeneinander abzuwägen sind, etwa Gesetze zum Datenschutz gegen Pandemierecht oder Katastrophenschutzrecht:
„Abzuwägen sind das informationelle Selbstbestimmungsrecht Betroffener sowie das Telekommunikationsgeheimnis gegen das Recht auf Leben und Gesundheit sowie die öffentliche Sicherheit. In der Pandemie kollidieren diese Grundrechtspositionen geradezu dilemmatisch. Den Staat trifft einerseits eine Schutzpflicht für das Leben und die Gesundheit. Auf der anderen Seite griffe eine App, welche die Bewegungsdaten der Bevölkerung erfasst, äußerst tief in das Recht auf Schutz personenbezogener Daten ein. Keines der Schutzgüter darf blind auf Kosten des anderen geopfert werden. Vielmehr sind sie nach Möglichkeit zur optimalen Entfaltung zu bringen. Eine Corona-App, welche die Bewegungsdaten der Bevölkerung erfasst, wäre von ähnlicher Schwere wie die Vorratsdatenspeicherung und die Telekommunikationsüberwachung: Sie erfasst vorsorglich die Standortdaten der Bevölkerung über den Zweck der Telekommunikationsverbindung hinaus, ohne dass der Einzelne einen konkreten Anlass gesetzt hat und bevorratet diese für den Fall, dass die Daten einen Gesundheitsnutzen erzeugen. Die Maßnahme unterliegt deshalb strengsten Anforderungen an die Verhältnismäßigkeit. Sie müsste kraft Gesetzes auf das absolut Notwendige begrenzt werden, zum Beispiel hinsichtlich der Speicherdauer, der Reichweite der Datenerfassung sowie der Zahl der betroffenen Personen.“

Zur Frage, wie schnell ein eventuelles Gesetz oder eine Verordnung verabschiedet werden könnte:
„Um einen solch tiefgreifenden Einschnitt in die Grundrechte der Bürger zu rechtfertigen, bedürfte es eines Parlamentsgesetzes. Denn grundrechtswesentliche Entscheidungen sind dem Parlament vorbehalten. Der Grundsatz ‚Not kennt kein Gebot‘ gilt für die Einschränkung der Grundrechte in Deutschland nicht. Andere Staaten handhaben das anders. Die besondere Betonung des Grundrechtsschutzes (auch) in Notsituationen ist insbesondere Ausfluss der verfassungshistorischen Erfahrungen, die Deutschland in der Weimarer Zeit gesammelt hat.“

Dr. Gernot Beutel und Jens Wille sind maßgeblich an der Entwicklung der „geoHealthApp“ beteiligt.

„Die erste Idee zur Nutzung von Location Daten, um mehr Insights bei der Ausbreitung von Viren zu bekommen, entstand zwischen Dr. Gernot Beutel (Medizinische Hochschule Hannover) und Jens Wille (Ubilabs, Hamburg) im Zuge der EHEC Krise 2011. Ende 2019 wurde die Idee einer Datenanalyseplattform wieder aufgegriffen und die konkrete Machbarkeit untersucht.“

„Die Idee für die App kam im Zuge der Gespräche mit dem Startup GeoHealth im Februar 2020 dazu.“

„Die grundlegende Funktion beruht darauf, dass die Location Histories von Indexpatienten (Corona-positive Mitbürger) mit denen von potenziellen Kontaktpersonen abgeglichen werden können. Ein Risikomodell berechnet dann aus Faktoren wie Entfernung der Personen zueinander und Dauer des Kontakts das mögliche Infektionsrisiko.“

„Ubilabs hat Ende Februar 2020 einen ersten Prototypen der Datenanalyseplattform zur Auswertung von Location Histories entwickelt und dem Robert Koch Institut sowie dem Bundesamt für Gesundheit vorgestellt. (Screenvideo: siehe [1])“

Zur Frage, was eine solche App leisten muss und welche Ziele damit bei der Seuchenbekämpfung verfolgt werden:
„Die App dient als benutzerfreundlicher Ansatz zur Nutzung der Datenanalyseplattform, sodass die Technologie nicht nur seitens der GeoMapping-Experten sondern auch durch jeden Mitbürger genutzt werden kann. Mittels der App kann jeder Corona-positive Mitbürger seinen Standortverlauf (Location History) als anonyme Datenspende zur Verfügung stellen. Anderen Mitmenschen ist dadurch die Möglichkeit gegeben, ihren Standortverlauf mit den positiv getesteten Mitbürgern abzugleichen. Einerseits können sich die Mitbürger darüber Informationen einholen, ob bei Ihnen innerhalb der letzten Tage ein Kontakt zu einem positiven Mitbürger bestand, um so beispielsweise grippale Symptome besser einzuschätzen. Andererseits können sich die Benutzer der App an einer Übersichtskarte orientieren, wie viele Menschen in Ihrer näheren Umgebung infiziert wurden.“

„Neben diesem ersten Schritt, bei dem es um die Erhebung möglichst genauer Daten geht, möchten wir in einem zweiten Schritt die Auffassung von Indexpatienten durch das RKI und die Gesundheitsämter erleichtern. Dieses normalerweise auf einem Interviewverfahren basierende Vorgehen soll durch ein einfach nutzbares Kartentool erleichtert werden. Denkbar ist auch dann, dass bei der Vielzahl von Erkrankten das Interviewverfahren durch einen digital hinterlegten Fragenkatalog erfolgt und somit die vor Ort tätigen Mitarbeiter der Gesundheitsämter entlastet.“

„Die Nutzung der App erfolgt auf freiwilliger Basis. Angesichts der bedrohlichen Situationen für alle Mitbürgerinnen und Mitbürger setzen wir auf ein ‚Mach’ mit‘ und hoffen, dass die Krise von vielen verstanden und getragen wird. In einer aktuellen Umfrage auf heise online [VII] sind derzeit 65 bis 75 Prozent der 4000 Befragten bereit, ihre Daten zu spenden.“

„Vom Ansatz her versteht sich die App wie eine Impfung. Auch bei einer Impfung muss eine Vielzahl von Personen einbezogen werden, um für die Gesamtheit einen Kohortenschutz zu erlangen. In Analogie zu einer Impfung gegen die bekannten Infektionskrankheiten kann man bei unserem Ansatz von einer elektronischen Impfung (e-vaccination) sprechen, um den Benutzern eine digitale Immunität zukommen zu lassen.“

„Die App soll ein Teil eines Maßnahmenkatalogs sein, den die Bundesregierung aber auch jeder Bürger für sich jetzt nutzen kann. So sollte neben den Verhaltensmaßnahmen (social distancing), einer regelmäßigen Händehygiene und Desinfektion unserer Sicht nach auch die Verwendung einer App in Betracht gezogen werden. Die bisherige Funktionalität einer reinen Plattform zur Analyse von Bewegungsprofilen soll in Zukunft beispielsweise durch eine Beratungsfunktion ergänzt werden. Aufgrund der offenen Gestaltung unseres Ansatzes können in Zukunft verschiedene Tools in Form eines ‚Ökosystems‘ in die vorhandene App integriert werden. Ein multizentrischer Ansatz mit Projekten aus verschiedenen Institutionen bietet aus unserer Sicht die beste Möglichkeit eines weit gefassten Ansatzes, zukünftige Infektionsketten zu erkennen und zu unterbinden.“