Podcast: Play in new window | Download
Datenschutz wird für Unternehmen immer wichtiger. Im Zuge der Corona-Krise hat das Thema einen zusätzlichen Schub erfahren. Denn auf einmal richten sich alle Augen auf Onlinedienste wie Zoom – und damit auch auf ihre Sicherheitslücken und Datenschutzprobleme. Zudem bietet auch die geplante Corona-App allerlei Anlass für Privatsphäre- und Datenschutz-Diskussionen. Die Skepsis bei vielen Experten ist groß.
Für die 75. Folge unseres Podcasts hat Nils deshalb Jasmin Lieffering eingeladen. Sie ist selbstständige Datenschutzbeauftragte und Gründerin der Unternehmensberatung LITC, die auf Datenschutz spezialisiert ist.
Im Gespräch mit Nils berichtet Lieffering von den aktuellen Herausforderungen, denen sich Unternehmen gegenübersehen. Außerdem erläutert sie, welche Probleme es mit der Corona-App geben könnte und wie eine datenschutzkonforme App gestaltet sein müsste.
Datenschutz-Probleme der Online-Tools
Seit der Corona-Krise boomen Online-Dienste, mit denen man virtuelle Videokonferenzen führen kann. Zugleich wird immer wieder massive Kritik laut, da Sicherheit und Datenschutz in vielerlei Hinsicht zu wünschen übrig ließen. Vor allem der Anbieter Zoom ist dabei ins Visier der Kritiker geraten.
Auch wenn die Datenschutzprobleme von Online-Tools in den Medien in jüngster Zeit besonders hochgekocht sind – für Lieffering sind diese Themen keineswegs neu. Schon seit Inkrafttreten der DSGVO im Jahr 2018 hat sich die Beraterin mit Diensten wie Zoom, Skype und Google Hangouts befasst. Denn ihre Kunden – häufig Firmen, die selbst stark digitalisiert sind – haben auch damals schon verstärkt auf Videokonferenzen zurückgegriffen.
Für Lieffering hat sich in ihrer täglichen Arbeit durch Corona nicht viel verändert. Eine Sache ärgert sie allerdings bei der aktuellen Diskussion, und zwar „dass sich die Leute so an der Datenschutzerklärung aufgehangen haben.“ Viele hätten kritisiert, dass dort nicht klar vermerkt sei, dass Videos von den Anbietern aufgezeichnet würden. Allerdings: Das müsse laut Lieffering auch gar nicht in der Datenschutzerklärung stehen. Dafür sei nämlich der Auftragsverarbeitungsvertrag da.
Zudem müsse man bei all der Kritik immer bedenken: Bei den meisten dieser Dienste handelt es sich um Systeme, die vor der DSGVO entwickelt worden sind. Deshalb könnten sie gar nicht DSGVO-konform sein und alles berücksichtigen, was in der Datenschutz-Grundverordnung stehe. Und auch nachträgliche Anpassungen seien nicht immer so leicht umzusetzen. Denn darunter würde die Nutzerfreundlichkeit oft extrem leiden. Ohnehin ist das laut Lieffering wohl eine der größten Herausforderungen: den Datenschutz in die User Experience einzubauen.
Zweck und Angemessenheit der Corona-App
Die DSGVO spielt auch bei der geplanten Corona-App eine zentrale Rolle. Denn die Datenschutz-Grundverordnung verlangt eine Zweckbindung bei der Datenverarbeitung. Dabei muss sehr klar definiert werden, warum bestimmte Daten erhoben werden, was also das Ziel ist. Das gilt auch für die Corona- App. Die einfache Erklärung, die Pandemie eindämmen zu wollen, reicht laut Lieffering dafür nicht aus. Auch das Ziel, Menschenleben zu retten, sei zu unkonkret: „Es kann nicht sein, dass der Zweck heißt ‚Wir wollen Leben retten‘, und alles andere bleibt nebulös“, so die Expertin.
Zwar sei das Recht auf Leben und körperliche Unversehrtheit ein Grundrecht. Dieses Grundrecht dürfe aber nicht über alle anderen Grundrechte – etwa das Recht auf informationelle Selbstbestimmung – gestellt werden. Andernfalls könnte man in allen möglichen Situationen argumentieren, Leben retten zu wollen. Auch die Video-Totalüberwachung könnte dann beispielsweise gerechtfertigt werden, indem man erklärt, damit Terroranschläge verhindern und Leben retten zu wollen.
Die Angemessenheit der Datenerhebung ist daher laut Lieffering die eigentliche Frage – und diese könne nur beantwortet werden, wenn man den Zweck der Corona- App eindeutig definiert habe. Zudem gelte es viele weitere Fragen zu klären: Die Speicherdauer sei eine davon. Eine andere, wer Zugriff auf die sehr sensiblen personenbezogenen Daten habe. Darüber hinaus müsse die Rechtsgrundlage geklärt werden. Und auch das Thema „Freiwilligkeit“ sei bislang noch nicht geklärt.
Gesetzliche Rechtsgrundlage muss geschaffen werden
Für Lieffering ist der letztgenannte Punkt ein entscheidender. Sie geht davon aus, dass die App nur dann den gewünschten Erfolg erzielen wird, wenn die Bürger verpflichtet werden, die Anwendung zu nutzen. Das allerdings stehe der DSGVO entgegen. Denn die Einwilligung dazu, dass personenbezogene Daten erhoben werden, muss gemäß der Datenschutz-Grundverordnung freiwillig sein. Das bedeutet: Die Bürgerinnen und Bürger müssten eine Wahl haben, ob sie die App nutzen oder nicht. Ist das jedoch der Fall – so Liefferings Überzeugung –, kann kaum die erforderliche Nutzung von 60 bis 70 Prozent der Bevölkerung erreicht werden.
Deshalb sieht die Datenschutzexpertin letztlich nur eine Möglichkeit für eine gesetzeskonforme Corona-App: Es müsse eine entsprechende Rechtsgrundlage geschaffen werden, also ein Gesetz für die App. Ähnlich wie bei Bundeswehreinsätzen im Ausland könnte darüber nachgedacht werden, ob es eines Mandates für das Gesetz bedürfe. So könne regelmäßig überprüft werden, ob die Anwendung der App noch sinnvoll und angemessen ist. Und falls dies nicht der Fall sei, wäre es möglich, den Anwendungszeitraum des Gesetzes schlicht nicht zu verlängern.
Unabhängig davon, wie die Corona-App am Ende konkret ausgestaltet ist, wichtig sind laut Lieffering vor allem Transparenz und eine klare Kommunikation: Die Regierung müsse leicht und für jeden verständlich erklären, wofür die App genau genutzt werde, woher die Daten kämen, wohin sie gingen und wer darauf Zugriff habe. Damit stehe und Falle letztlich der Erfolg des ganzen Projektes.
Links aus dem Interview
- Jasmin Lieffering bei XING
- LITC: Website von Jasmin Lieffering
- DSGVO:
Die Datenschutz-Grundverordnung bei Wikipedia - Stiftung Warentest
- Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
- Produktiv in digitalen Zeiten: Podcast
- Europäische Kommision:
Vorschriften zum Schutz personenbezogener Daten innerhalb und außerhalb der EU
