Ärzte fordern Datenschutz-Überprüfung europäischer Corona-Apps

Läuft bei den Corona-Apps alles DSGVO-gerecht? [SHUTTERSTOCK]

Es müssen dringend Folgenabschätzungen durchgeführt werden, um die tatsächliche Effektivität von Coronavirus-Apps zur Ermittlung von Kontaktpersonen zu bewerten und die Nutzer datenschutzrechtlich abzusichern, so die Europäische Ärztevereinigung (CPME).

Diese Forderung kommt, nachdem das britische Gesundheitsministerium am Montag Datenschutzbedenken ausgelöst und infolgedessen zugegeben hatte, dass die britische App zur Ermittlung von Kontaktpersonen gegen die Datenschutzgrundverordnung der EU (DSGVO) verstößt.

In einem kürzlich erschienenen Newsletter äußerte die CPME ihre Besorgnis über die Verwendung digitaler Apps zur Ermittlung von Kontaktpersonen und nannte „unbefugten Zugang zu Gesundheitsdaten, Missbrauch der Datenerfassung und eine Umnutzung oder allmähliche Ausweitung der Nutzung der App über den ursprünglichen Zweck hinaus“ als Risiken, denen angemessen begegnet werden müsse.

Corona-Warn-App: Letzte Bedenken auf hohem Niveau

Nächste Woche soll die deutsche Corona-Warn-App vorgestellt werden. Der öffentliche Source Code scheint sauber zu sein, doch Datenschützer fordern weiterhin eine Rechtsgrundlage. 

Sara Roda, EU Senior Policy Advisor bei der CPME, glaubt, dass die EU-Mitgliedsstaaten „keine Ausreden“ haben, wenn es um die Durchführung von Folgenabschätzungen der Apps geht: Es müsse zwingend sichergestellt werden, dass die EU-Datenschutzgesetze eingehalten werden.

„Eine Folgenabschätzung trägt zu einer informierten Entscheidungsfindung und zum Schutz persönlicher Daten bei, und kann auch gesellschaftliche Bedenken adressieren,“ sagte sie gegenüber EURACTIV.com und fügte hinzu, dass solche Abschätzungen „vor Beginn der Verarbeitung persönlicher Daten beginnen sollten – also vor der offiziellen Einführung der App.“

Außerdem sollte die Einhaltung des Datenschutzes in „regelmäßigen Abständen überprüft werden“, insbesondere wenn neue Informationen verfügbar werden.

In dieser Hinsicht können gegebenenfalls auch Strafen verhängt werden: Die DSGVO gibt den Datenschutzbehörden in der gesamten EU die Befugnis, Geldstrafen von bis zu vier Prozent der weltweiten Einnahmen der Hersteller beziehungsweise von bis zu 20 Millionen Euro durchzusetzen, je nachdem, welcher Betrag höher ist.

Die bisher höchste Strafe belief sich auf 50 Millionen Euro, die die französische Datenschutzbehörde im Jahr 2019 wegen mangelnder Transparenz gegen Google verhängte.

Verstöße der britischen Tracing-App

Die CPME betonte ferner, dass Apps zur Ermittlung von Kontaktpersonen den grundlegenden Anforderungen der Europäischen Kommission, des Europäischen Datenschutzausschusses (EDPB) und des Europäischen Datenschutzbeauftragten (EDSB) entsprechen müssen. Diese Institutionen hatten einen möglichst einheitlichen EU-Ansatz, die Einhaltung des EU-Datenschutzrechts und grenzüberschreitende „Interoperabilität“ der Apps gefordert.

Trotzdem wurde bereits festgestellt, dass die britische Software gegen die EU-Datenschutzgesetze verstößt. Das britische Gesundheitsministerium hat inzwischen eingeräumt, dass die App ohne Durchführung einer Folgenabschätzung zum Datenschutz gestartet wurde, berichtete die BBC am Montag.

Daher ist die Maßnahme seit ihrem Start am 28. Mai faktisch rechtswidrig. Die Regierung müsste nun eine Datenschutz-Folgeabschätzung durchführen, wie es die EU-DSGVO vorsieht.

Datentransfers nach dem Brexit: "Auf alle Eventualitäten vorbereiten"

Das Vereinigte Königreich könnte mit Ende der Brexit-Übergangsfrist seine Datenschutzstandards von denen der EU abweichen lassen.

Im Gespräch mit der BBC sagte Bildungsminister Gavin Williamson allerdings, dass es „auf keinen Fall einen Verstoß in Bezug auf die gespeicherten Daten“ gegeben habe. Er betonte weiter, es sei notwendig gewesen, die Tracing-App „mit unglaublicher Geschwindigkeit zum Laufen zu bringen“ – trotz möglicher Verletzungen der EU-Datenschutzgesetzgebung.

In Bezug auf die Schnelligkeit, mit der die EU-Mitgliedsstaaten ihre Coronavirus-Apps eingeführt haben, betonte Sara Roda, dass „die Europäische Kommission, der EDSB und der EDPB eigentlich recht schnell gehandelt haben, um zu versuchen, diese Bedenken auszuräumen“. Sie fügte ihre Hoffnung hinzu, dass, wenn eine App nicht mit der DSGVO übereinstimmt, „dies bei nationalen und EU-Instanzen festgestellt wird und die nationalen Datenschutzbehörden entsprechende Maßnahmen ergreifen“.

Unabhängig vom Vereinigten Königreich, für das Ende des Jahres die Übergangsfrist nach dem Brexit endet, hob Rada auch Bedenken in Bezug auf die EU-Staaten Polen und die Slowakei hervor. Es gebe bereits Berichte, dass diese Länder beabsichtigten, Daten über die Empfehlungen des EDSB und des EDPB hinaus zu speichern.

Sie schloss: „Es muss eine unabhängige Instanz geben, die die fortschreitende Implementierung und Nutzung der Apps durch die Gesundheitsbehörden überwacht. Dies sollte die Rolle der nationalen Datenschutzbehörden sein.“

[Bearbeitet von Samuel Stolton und Tim Steins]

Gegen EU-Empfehlung: Slowenien will verpflichtende Coronavirus-App einführen

Apps zur Ermittlung von Coronavirus-Kontakten sollten zur Pflicht gemacht werden, fordert der slowenische Premierminister Janez Janša.

Bundesregierung präsentiert „beste Corona-Tracing-App weltweit“

Die deutsche Corona-Warn-App ist da, bei der Präsentation sparte die Regierung nicht mit Eigenlob. Auch die zuvor kritischen Grünen empfehlen den Download, fordern aber weiter eine Rechtsgrundlage.

Brexit: Großbritannien geht, Verbraucherschutz darf bleiben 

Für Europa ist der Brexit wirtschaftlich wie politisch ein Desaster. Aber in Sachen Verbraucherschutz gibt es ein solides Fundament, auf dem sich aufbauen lässt, schreibt Klaus Müller.

Melden Sie sich für "The Capitals" an

Vielen Dank für das Abonnieren des The Capitals Newsletters!
  • Mit EURACTIV immer auf dem Laufenden!

Subscribe to our newsletters

Subscribe
UNTERSTÜTZEN