Landesdatenschützer zahnlose Tiger?
Das Niedersächsische Ministerium für Soziales, Gesundheit und Gleichstellung hat die Gesundheitsämter des Bundeslandes mit Erlass vom 31.03.2020 angewiesen, die Daten von Personen, die positiv auf Covid-19 getestet wurden und deren Kontaktpersonen, die sich in Quarantäne befinden, an die Polizei zu melden.
Die Landesbeauftragten für den Datenschutz (LfD) Niedersachsen, Barbara Thiel protestierte aufs Schärfste: „Es ist inakzeptabel und nicht hinnehmbar, dass das Niedersächsische Gesundheitsministerium meiner Aufforderung zur Rücknahme des Erlasses nicht folgt, sondern stattdessen am vergangenen Freitag sogar noch einen weiteren bestätigenden Erlass an die Gesundheitsämter herausgegeben hat“
Sie forderte das Ministerium auf, den Erlass zurück zu nehmen. Doch statt der Forderung zu folgen, gab das Ministerium einen weiteren, bestätigenden Erlass heraus. Das Ministerium argumentiert mit dem Infektionsschutzgesetz und dem Niedersächsische Polizei- und Ordnungsbehördengesetz und sieht den Tatbestand des rechtfertigenden Notstands als eingetreten. Es gehe nicht um Befunde, sondern lediglich um Namen.
Da es selbstverständlich um Gesundheitsdaten geht, steht außer Frage, auch Mediziner haben sich bereits kritisch geäußert.
Fr. Thiel: „Mit diesem Erlass erschwert das Gesundheitsministerium die aktuellen Bemühungen auf Bundesebene. Es ist zweifelhaft, ob Bürgerinnen und Bürger freiwillig bereit sind, ihre Standortdaten zu teilen, wenn in Niedersachsen sensible Gesundheitsdaten ohne Rechtsgrundlage an die Polizei übermittelt werden. Genau diese Freiwilligkeit ist aber eine Voraussetzung dafür, dass derartige Apps funktionieren und einen Beitrag zur Lockerung der derzeitigen Kontaktverbote leisten können. Ich wiederhole meine Anordnung an das Gesundheitsministerium daher nochmals mit aller Vehemenz. Die derzeitige, rechtswidrige und bevorratende Datenübermittlung muss umgehend eingestellt werden“
Leider hat die Landesdatenschützerin keine Macht, sich durchzusetzen, die wurde ihr vom Landesgesetzgeber nicht übertragen.

Datenspende für RKI-APP
Seit dem 07.04.20 bietet das Robert-Koch-Institut eine Corona-Smartphone-App zum Download an. Sie wurde zusammen mit dem eHealth-Unternehmen Thryve entwickelt. Die Weitergabe von Gesundheitsdaten über diese App ist freiwillig.
Die App soll Daten dazu liefern, wo und wie schnell sich das Corona-Virus in Deutschland ausbreitet. Angeblich war der Bundesdatenschutzbeauftragte in die Entwicklung involviert. Tatsächlich war er beratend tätig, aber die fertige App wurde ihm nicht zum Test vorgelegt, wie der BfDI in einer Kurzmeldung am 08.04. mitteilte. Somit ist unklar ob sie alle datenschutzrechtlichen Anforderungen erfüllt. Eine Überprüfung von außen ist nicht möglich da der Quellcode nicht offengelegt wurde. Aktuell läuft eine Anfrage zur Datenschutzfolgenabschätzung der App über fragdenstaat.de.
Es handelt sich laut RKI nicht um anonyme, sondern um pseudonymisierte und damit personenbezogene Daten, die von der App aufgezeichnet werden. Unter der eindeutigen und individuellen ID des Nutzers werden mittelbar viele Daten einer natürlichen Person erfasst.
Aus der Datenschutzerklärung der App:
„Speicherung von personenbezogenen Daten
• Die individuelle Nutzung der App basiert auf einem pseudonymen Token.
• Folgende personenbezogene Gesundheitsdaten werden durch die App nach Verknüpfung mit meinem Fitnessarmband automatisch erhoben und gespeichert werden:
• Daten zur Einschätzung der individuellen Gesundheitsdaten:
o Alter (gerundet auf 5 Jahre)
o Größe (gerundet auf 5 cm)
o Geschlecht
o Gewicht (gerundet auf 5 kg)
• Automatisch und manuell erfasste Aktivitäten meines Fitnessarmbands, wie bspw.:
o Sport (bspw. Fahrradfahren, Laufen)
o Schlafen und Schlafphasen
o Aktivsein (bspw. Gehen, Aktivität)
o Ruhezeiten
• Automatisch und manuell erfasste Vitaldaten meines Fitnessarmbands, wie bspw.:
o Puls
o Herzratenvariabilität
o Stress
o Temperatur
o Gewicht
Speicherung des Standorts
Für die Nutzung der App ist die Eingabe der Postleitzahl notwendig, in der ich mich überwiegend aufhalte. Damit wird für den Zweck die Wahrscheinlichkeit von Erkrankungen pro Postleitzahlgebiet zusammengefasst.“

Der Nutzer hat selbstverständlich seine Einwilligung zu geben. Bleibt die Frage, wie freiwillig eine Einwilligung sein kann, wenn der gesellschaftliche Druck wächst.

Der Europäische Datenschutzausschuss (EDSA) zum Datenschutz während Corona-Zeiten
Der EDSA hat am 21.04.20 zwei neue Leitlinien zum Datenschutz während Corona-Zeiten veröffentlicht. Darin geht es um den Umgang mit Gesundheitsdaten für Forschungszwecke und Grundsätze von Tracking Tools.

… und nochmal EDSA – neue Cookie-Leitlinie
Da sich Webseiten-Betreiber bei der Ausgestaltung der Einwilligung zu Cookies sehr fantasievoll, aber wenig datenschutzkonform zeigen, hat die EDSA in der neuen Leitlinie viel Altbekanntes erneut aufgegriffen:
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf
Der BfDI Prof. Kelber äußerte sich positiv und betrachtet die neue Leitlinie für die europäischen Aufsichtsbehörden als verbindlich.