Zur Pandemiebekämpfung wurden und werden neben medizinischen Wegen auch technische Wege beschritten – in Deutschland in Gestalt der Corona-Warn-App. Doch ist diese App datenschutzkonform? Diese Leitfrage nahmen Mathias Cellarius, Konzerndatenschutzbeauftragter von SAP, und Thomas Klingbeil in ihrem Vortrag am 16. Februar zum Anlass, das Datenschutzrecht in der Pandemie unter die Lupe zu nehmen. Der Vortrag beschließt die öffentliche Vortragsreihe "Datenschutz in der Praxis".
Zunächst gab Thomas Klingbeil, Director des Innovation Enablement der SAP SE, einen überaus spannenden Einblick in die Entwicklung der Corona-Warn-App, für die insgesamt „nur“ 50 Tage zur Verfügung standen. Die Zuhörer erhielten Einblicke in die eingesetzte Bluetooth-Technik und die Kommunikationsflüsse beim Einsatz der Corona-Warn-App – vom Einscannen des QR-Codes auf einem SARS-CoV-2-Testformular bis zum Abruf des Corona-Testergebnisses.
Weiter stellten die Referenten die wichtigsten Parameter vor, anhand derer die Corona-Warn-App das Ansteckungsrisiko berechnet: die empfangene Signalstärke, die Dauer einer „Risikobegegnung“ sowie der von der App auf freiwilliger Basis abgefragte Symptomstatus infizierter Personen. Spätestens bei dieser Thematik war – selbst für technische Laien – zu erahnen, welch große Herausforderungen bestehen, um eine datenschutzfreundliche Gestaltung der Corona-Warn-App zu gewährleisten.
Der Vortrag beleuchtete auch die juristischen Herausforderungen der Corona-Warn-App. Im Vordergrund stand zunächst die Frage, ob die Datenvermeidungsstrategien zu einer vollständigen Anonymisierung führt. Auch die Frage nach der Aufteilung der Verantwortlichkeit zwischen dem Robert-Koch-Institut einerseits sowie die maßgeblich involvierten IT-Hersteller andererseits wurde thematisieretr. Besonders interessant waren die mit dem Auditorium geteilten Gedanken zu der viel und zum Teil prominent diskutierten Frage, ob die Nutzung der Corona-Warn-App für bestimmte Bereiche des öffentlichen Lebens zwingend vorgeschrieben werden könnte.
Eine Schwäche der DSGVO kam in der anschließenden Diskussion zur Sprache, die Hersteller von IT-Leistungen nicht als Adressaten des (wünschenswerten!) Grundsatzes der Datensparsamkeit bestimmt. Weitere, zahlreiche Fragen aus dem Zuhörerkreis betrafen etwa die Ausgestaltung der Einwilligungen in der App, die Datenschutzfolgeabschätzung sowie die Verantwortlichkeitsabgrenzung zwischen App-Betreiber (RKI) und Hardware-Herstellern (Google, Apple).
Zum Abschluss der Vortragsreihe dankte der geschäftsführende Direktor des Instituts für Rechtsinformatik, Prof. Dr. Georg Borges, der die Vorlesungen und Vortragsreihe leitete, den Referent:innen und Teilnehmer:innen für spannende Blicke auf den Datenschutz in der Praxis und die vielen anregenden Diskussionen!
Weitere Informationen zur Vorlesungsreihe: Datenschutz in der Praxis