Jusletter

Daten: Die Schlüsselrolle im Kampf gegen die Coronavirus-Pandemie?

Chancen und Risiken der Contact-Tracing-Apps

  • Autoren/Autorinnen: Jutta Sonja Oberlin / Rainer Kessler
  • Beitragsart: Beiträge
  • Rechtsgebiete: Datenschutz, Informatik und Recht, Gesundheitsrecht
  • DOI: 10.38023/876e2105-1115-4bb6-8f66-758230fb1ef0
  • Zitiervorschlag: Jutta Sonja Oberlin / Rainer Kessler, Daten: Die Schlüsselrolle im Kampf gegen die Coronavirus-Pandemie?, in: Jusletter 16. November 2020
Gesundheitsdaten werden in 2020 von diversen Staaten zur «Geheimwaffe» gegen das Covid-19-Virus erklärt. Vor allem in den demokratischen Ländern entfachte im April 2020 eine emotionale Diskussion: Im Mittelpunkt stehen bis heute die verschiedenen Versionen der Contact-Tracing-Apps. Keine Frage ist die Eindämmung des Covid-19 ein überaus wichtiges Ziel, für dessen Erreichung auch technische Hilfsmittel begrüsst werden. Wie steht es jedoch mit dem Datenschutz im Zusammenhang mit den eingesetzten technischen Hilfsmitteln und den damit verarbeiteten, teilweise gesundheitsbezogenen Daten? Vorliegender Artikel bringt ein gewisses Mass an Licht in diese Thematik.

Inhaltsverzeichnis

  • 1. Einleitung
  • 2. Die Technologie der Kooperationspartner: Google/Apple
  • 3. Die gesetzlichen Anforderungen
  • 4. Opt in / Opt out
  • 5. Standortdaten: GPS ja oder nein?!
  • 6. Die Schweizer Version: DP-3T (SwissCovid-App)
  • 7. Anonymisierung: Gelten Daten auch aus technischer Sicht als anonymisiert? Und was sagt das revDSG und die DSGVO?
  • 8. Wie freiwillig kann eine solche App in der Zukunft sein?
  • 9. Weitere problematische Ergebnisse der Prüfung der SwissCovid-App
  • 10. Die hypothetische Annahme einer obligatorischen Nutzungspflicht der SwissCovid-App: Die Prüfung der Rechtmässigkeit unter dem revDSG und der Einschränkung von Art. 13 BV (Unter Bezugnahme auf die DSGVO)
  • 11. Fazit
Unverbindliches Probeabo lösen Zeitschrift abonnieren

5 Kommentare

  • 1

    Was soll dieser Beitrag aussagen?

    Der Beitrag arbeitet mit Annahmen, Möglichkeiten und denkbaren Szenarien, die auf der Funktionsweise ausländischer Applikationen – die notabene ohne besondere Rechtsgrundlagen erschaffen worden sind – zu gründen scheinen. Diese stülpt der Beitrag hypothetisch über die SwissCovid-App, ohne erkennbare Auseinandersetzung mit deren Eigenheiten. Dabei unberücksichtigt bleibt die fundamentale Tatsache, dass in der Schweiz für die SwissCovid-App – im Gegensatz zu den erwähnten europäischen Applikationen – spezifische formell-gesetzliche Grundlagen (Art. 60a, 62a, 80 Abs. 1 Bst. f und 83 Abs. 1 Bst. n EpG) und eine eigene Ausführungsverordnung (VPTS) erlassen worden sind. Das gipfelt exemplarisch in der hypothetischen Annahme einer Nutzungspflicht und deren Beurteilung (Abschnitt 10): • N 54 "[…] Annahme, dass der Bundesrat beschliesst, dass die Nutzung der SwissCovid-App in Zukunft obligatorisch sein müsse und eine entsprechende gesetzliche Grundlage erlässt bzw. sich auf die einschlägigen Artikel des EpG stützt.": In der Schweiz erlässt das Parlament die gesetzliche Grundlage. Die einschlägigen Artikel des EpG schliessen ein Obligatorium gerade ausdrücklich aus (Art. 60a Abs. 4 EpG), vom Gesetzgeber so erzwungen mit den beiden Motionen 20.3144 und 20.3168. Weder kann der Bundesrat also die einschlägigen Grundlagen für ein allfälliges Obligatorium erlassen, noch kann er die einschlägigen Grundlagen zum Erlass eines Obligatoriums heranziehen. Im Folgenden scheint die Analyse u.a. zu verkennen, dass die vorliegende staatliche Bearbeitung von besonders schützenswerten Personendaten bereits jetzt / nach geltendem Recht auf einer genügenden formell-gesetzlichen Grundlage beruhen muss und beruht (siehe ausführlich die Botschaft zur EPG-Revision und die Erläuterungen zur VPTS). • N 73: «Es ist an der Zeit, dass die Gesetzgebung eingreift. Schutzmassnahmen zu den konkreten Problemen der App müssen in einer gesetzlichen Grundlage normiert werden, um eine angemessene Rechtsgrundlage zu schaffen.». Das hatte der schweizerische Gesetzgeber wie gesagt getan. Was notabene von anderen Autoren aus dem IT-Recht u.a. als «Leuchtturm der Gesetzgebung für digitale staatliche Projekte mit Ausstrahlung auf die Schweiz sowie viele andere Länder» bezeichnet worden ist... Gestützt darauf gelangen die Autoren zu ihrem Fazit (Abschnitt 11), u.a. "[…] Zudem muss die Terminologie der Anonymisierung überdacht und angepasst werden, um so ausreichende Transparenz für die Datensubjekte zu schaffen." Allerdings ist die "Terminologie der Anonymisierung" der SwissCovid-App seit jeher und ganz bewusst fremd. Wie wiederum in den Rechtsetzungsmaterialien ausführlich dargelegt, kann aufgrund der potentiellen Re-Identifikation keine Rede von «Anonymisierung» sein. Aus diesem Grund wird u.a. die Bundesgesetzgebung über den Datenschutz als anwendbar erklärt für das gesamte Proximity-Tracing-System (Art. 60a Abs. 6 EpG). Wogegen richtet sich also die ausführlich vorgebrachte Kritik?

    avatarRafael Häcki16.11.2020 17:27:29Antworten

  • 2

    Die Bemerkung, dass viele Annahmen getroffen werden, ist angebracht. In der Tat geht es beim Artikel nicht nur um die Faktenlage sondern um die weiterräumige Betrachtung der Thematik. Es war jedoch durchaus auch betreffend bestehender Fakten notwendig, gewisse Annahmen zu treffen, da die öffentlich verfügbaren Informationen unseres Erachtens nicht genügen. Was uns aufgefallen ist, ist, dass bspw. das BAG als verantwortliche Stelle den Softwareentwicklern komplett ausgeliefert ist. Entsprechend sind unsere Hinweise auch als Warnung vor allfälligen Stolpersteinen zu verstehen. Ungeachtet dessen sind wir froh um diesen Kommentar und sehen in diesem ein Indiz, dass das Thema kontrovers diskutiert werden darf uns soll.

    avatarJutta Sonja Oberlin19.11.2020 21:04:12Antworten

  • 3

    Selbstverständlich darf kontrovers diskutiert werden. Kontroverse Diskussionen zur SwissCovid-App wurden aber seit März in Hunderten und Hunderten von Stunden namentlich mit Nationalem Zentrum für Cybersicherheit NCSC, Eidgenössischem Datenschutz- und Öffentlichkeitsbeauftragtem EDÖB, mit Bundesamt für Justiz BJ, in/mit mehreren Parlamentarischen Kommissionen, in/mit den beiden parlamentarischen Kammern und nicht zuletzt mit zahlreichen Kritikern geführt. Sehr vieles davon ist ausführlich dokumentiert und öffentlich zugänglich gemacht worden. Ich kann nun aber nicht erkennen, inwiefern sich der Beitrag damit auseinandersetzen würde. Exemplarisch: Worauf basiert denn die (so völlig haltlose) Annahme / Behauptung, dass das BAG als verantwortliche Stelle nach Art. 4 VPTS den Softwareentwicklern angeblich komplett ausgeliefert sei? Etwa die nun seit 9 Monaten äusserst enge und intensive Zusammenarbeit des BAG u.a. mit den beauftragten Softwareentwicklern von Ubique sagt das Gegenteil (vgl. dazu auch https://www.ubique.ch/blog/die-geschichte-der-swisscovid-app/)... Oder verstehe ich Sie hier falsch?

    avatarRafael Häcki20.11.2020 17:34:53Antworten

  • 4

    Man darf sich nicht blenden lassen von äusseren Sachverhalten, wie bspw. eine Zusammenarbeit. Die Praxis zeigt, dass eine Kunden/Lieferanten-Zusammenarbeit im Softwareentwicklungsbereich kein Garant dafür ist, dass der Kunde durchblickt. Aber selbstverständlich können hier die Sichten unterschiedlich sein. Wir sind der Ansicht, dass gerade der kritische Diskurs eine Sache weiterbringt. Fehlt letzterer, ist die Entwicklungsgrundlage mangelhaft.

    avatarJutta Sonja Oberlin23.11.2020 15:56:38Antworten

  • 5

    Um Missverständnisse zu vermeiden: Um überhaupt eine Grundlage für einen kritischen Diskurs schaffen zu können, wollte ich wissen, worauf Ihre Grundposition denn gründet. Frage: Worauf basiert denn Ihre hier veröffentliche Feststellung, dass «das BAG als verantwortliche Stelle den Softwareentwicklern komplett ausgeliefert» sei – eine in dieser Form doch äusserst gewagte und entsprechend begründungsbedürftige Behauptung / Unterstellung? Ihre Antwort: «Die Praxis zeigt, dass eine Kunden/Lieferanten-Zusammenarbeit im Softwareentwicklungsbereich kein Garant dafür ist, dass der Kunde durchblickt.» Verstehe ich das also richtig? Sie postulieren einerseits, diesbezüglich dürfe man «sich nicht blenden lassen von äusseren Sachverhalten, wie bspw. eine Zusammenarbeit» (konkrete Praxis hier: seit 9 Monaten institutionalisierte tägliche Zusammenarbeit von BAG und Softwareentwickler/-betreiber auf verschiedenen Ebenen). Andererseits urteilen Sie von aussen, alleine gestützt auf einen äusseren Sachverhalt (allgemeine Praxiserfahrung, wonach Zusammenarbeit nicht zwingend Durchblick seitens Kunden nach sich ziehe): Das BAG sei vorliegend komplett Ubique ausgeliefert (und präsentieren diese «Erkenntnis» als vermeintliches Resultat Ihrer rechtlichen Analyse)? Wenn das Ihre Position sowie Ihr Verständnis von Rechtswissenschaft und kritischem Diskurs zutreffend erfassen sollte, dann sind weitere Verständnis- und Diskussionsbemühungen meinerseits sinnlos.

    avatarRafael Häcki27.11.2020 11:40:32Antworten

Ihr Kommentar zu diesem Beitrag

AbonnentInnen dieser Zeitschrift können sich an der Diskussion beteiligen. Bitte loggen Sie sich ein, um Kommentare verfassen zu können.