Die Corona-Krise rechtfertigt es aus Sicht von Politikern und Sicherheitsbehörden offenkundig, die Grundrechte von Bürgern stark einzuschränken – auch auf der Suche nach Infizierten. Der Datenschutzbeauftragte des Landes Baden-Württemberg, Stefan Brink, schlägt Alarm.
Stuttgart - Die Corona-Krise fordert ihren Tribut beim Datenschutz. Vor allem auf Bewegungsdaten von Infizierten haben es Behörden abgesehen. Der Landesdatenschutzbeauftragte Stefan Brink fürchtet einen Missbrauch, wie er im Ausland schon üblich ist.
Herr Brink, in Krisenzeiten sind Grundrechte bedroht. Sehen Sie diese Gefahr auch beim Datenschutz in der Corona-Krise?
Na klar, daran besteht überhaupt kein Zweifel. Das wird man an sehr vielen Ecken und Enden merken. Nicht nur viele Bürger, sondern auch viele öffentliche Stellen sehen in der Krise eine Notfallsituation, bei der die Bindung an Recht und Gesetz irgendwie gelockert zu sein scheint. Da wird auch der Datenschutz häufig beiseitegeschoben nach dem Motto: Wenn die Zeiten besser sind, kümmern wir uns um exquisite Rechte – im Moment sind viele eher rustikal unterwegs.
Was stört Sie so daran?
Ich habe großes Verständnis dafür, dass viele Verantwortliche, die gerade im Gesundheitsbereich oder in Sicherheitsbehörden unter einem erheblichen Druck stehen, sich im Moment nicht mit komplexen Fragen auseinandersetzen wollen. Die öffentliche Verwaltung darf jedoch auch in einer Krisensituation nicht nachlassen, an der Rechtsbindung festzuhalten. Wenn der Staat nicht mehr verlässlich ist in diesem Bereich, verliert er das Vertrauen, das er braucht, damit ihm die Bürger überhaupt noch folgen. Es sind ja sehr gravierende Maßnahmen, die jetzt angeordnet worden sind. Wenn nicht das Vertrauen da ist, dass die Behörden das schon gut machen werden, dann wird die Lage insgesamt wesentlich schwieriger werden. Es ist extrem wichtig, dass die staatlichen Stellen jetzt signalisieren: Ja, wir haben eine Ausnahmesituation, aber wir halten uns an Recht und Gesetz.
All die Maßnahmen werden mit der Abwehr von noch größeren Gefahren begründet?
Klar gibt es derzeit Konflikte zwischen Werten: Weil die kollektive Gesundheit gefährdet ist, meinen viele, dass andere Werte jetzt hintanstehen müssen. Das ist aber keine Entscheidung eines einzelnen Politikers oder einer einzelnen Behörde – diese Entscheidung trifft der Gesetzgeber. Im Infektionsschutzgesetz zum Beispiel habe wir sehr viele, auch ausgewogene Regeln, unter welchen Bedingungen man der Gesundheit oder der allgemeinen Freiheit den Vorrang geben muss. Da kann sich nicht jeder aufschwingen, seine eigenen Entscheidungen zu treffen. Selbst wenn wir einen vom Parlament festgestellten Notstand hätten, gäbe es auch dazu klare gesetzliche Regeln. Daran müssen wir uns jetzt halten.
Vor allem Infizierte müssen fürchten, dass auf sie mit digitalen Mitteln Jagd gemacht wird – teilen Sie diese Sorge?
Die liegt auf der Hand. Einzelne Staaten praktizieren das schon in einer Art und Weise, die nach unseren Maßstäben offensichtlich verfassungswidrig wäre: In Israel nutzt der Geheimdienst Bewegungsprofile einzelner Menschen, um die Einhaltung von Quarantänevorschriften zu überprüfen. Und in Österreich bieten Mobilfunkanbieter ihre Ortungsdaten dem Staat an – was ein klarer Bruch des Telekommunikationsgeheimnisses ist. Die Entscheidung, Gesundheit als wichtiger einzustufen als das geltende Recht, steht den Unternehmen nicht zu. Der Gesetzgeber muss die Grundfrage beantworten: In welchen Fällen ist die Gesundheit höher einzuordnen als die informationelle Selbstbestimmung, die Versammlungsfreiheit oder die Religionsfreiheit des Einzelnen. Eine Entscheidung über einen Notstand, der Gesetze außer Kraft setzt, gibt es bisher nicht.
Ist die Nutzung der Bewegungsdaten von Infizierten nicht sinnvoll? Es hilft doch, wenn man etwa einen Ort als Hotspot für Infektionen ausfindig macht.
Absolut. Dass das sinnvoll ist, liegt auf der Hand. Ich glaube jedem Virologen oder jedem Hygieniker, der mir erläutert, dass er diese Bewegungsdaten wunderbar zur Nachverfolgung von Ansteckungsfällen nutzen kann. Die Frage ist aber: darf er das dem Gesetz nach? Ich kann bisher nicht erkennenziert, dass es dafür eine rechtliche Grundlage gibt. Da brauchen wir eine gesetzgeberische Entscheidung, die durchaus in diesem Sinne ausfallen kann – aber sie müsste auch differenziert sein, wenn sie verfassungsgemäß sein soll. Da müsste man zum Beispiel die Bewegungsdaten eines Infizierten anders behandeln als die von einem Verdachtsfall.
Gesundheitsminister Jens Spahn (CDU) wollte das Infektionsschutzgesetz derart verschärfen, dass mit Hilfe der Handyortung auch Kontaktpersonen von Infizierten lokalisiert werden können – hat dies nach Protesten aber vorerst fallen gelassen. Beruhigt Sie das?
Einerseits ja: Unsere Wertschätzung für Grundrechte ist noch nicht erloschen. Andererseits ist das ein Alarmsignal: Die Lage ist so ernst, dass viele bereit sind, Grundwerte unseres Zusammenlebens wie Rechtsstaatlichkeit und individuelle Freiheiten in Frage zu stellen.
Die Telekom hat bereits anonymisierte Bewegungsdaten zu Forschungszwecken an das Robert-Koch-Institut weitergegeben. Liegt dieser Fall anders?
Das ist nicht offensichtlich rechtswidrig. Wenn man Daten anonymisiert, also den Personenbezug der Ortungsdaten auflöst und löscht, können sie frei verwendet werden. Das hat die Telekom offensichtlich gemacht. Von daher keine Einwände. Aber das ist natürlich an Bedingungen geknüpft: Die Anonymisierung muss tatsächlich funktioniert haben. Das ist in Zeiten von Big Data und künstlicher Intelligenz kein Kinderspiel. Es muss sichergestellt sein, dass am Ende nicht doch noch personenbezogene Bewegungsdaten zugeordnet werden können. Es reicht nicht aus, nur die Mobilfunknummer zu verfremden. Es darf auch nicht durch Kenntnis der Abläufe ein Personenbezug hergestellt werden können.
In Spanien werden Drohnen eingesetzt, um Menschenansammlungen und damit große Ansteckungsgefahren aufzuspüren?
Da wird die Büchse der Pandora aufgemacht. Da denken sich viele in der derzeitigen Krisenlage alle möglichen Überwachungsszenarien aus. Die nächste Überlegung wäre womöglich, Infizierte mit einer elektronischen Fußfessel, also einem Sender, zu versehen, um ihre Aufenthaltsorte nachzuvollziehen – das wird in China schon bei Einreisenden praktiziert. Viele Bürger, Politiker und Verwaltungsmitarbeiter sind derzeit der Auffassung, dass Not kein Gebot kennt und dass man „natürlich“ auf alles Mögliche zugreifen müsste, um die Krise zu bewältigen. Das ist im Rechtsstaat aber so nicht möglich. Wir müssen darauf beharren, dass der Gesetzgeber diese Konflikte behutsam und verhältnismäßig löst. Wir müssen uns die Besonnenheit, unsere Freiheit zu schützen, bewahren.
Wie steht es mit dem Informationsaustausch der Behörden über Infizierte untereinander?
An uns wurde die spannende Fragestellung herangetragen, ob Sicherheitsbehörden die Listen von Infizierten oder Verdachtsfällen von Gesundheitsämtern abrufen können, um die Einhaltung von Quarantäneauflagen überprüfen zu können. Anfragen gibt es – da sind wir von beiden Seiten schon angesprochen worden. Ob das konkret schon umgesetzt wurde, wissen wir aber nicht. Wir beschäftigen uns nun damit, unter welchen Bedingungen Polizeibehörden an diese Daten herankommen und was sie damit machen dürfen.
Inwieweit dürfen Arbeitgeber personenbezogene Daten von Mitarbeitern in Zusammenhang mit der Epidemie verwenden?
Niemand sollte Aufgaben wahrnehmen, die er nicht bewältigen kann. Arbeitgeber haben eine Fürsorgepflicht gegenüber allen Mitarbeitern und wollen natürlich dafür sorgen, dass eine Ansteckung innerhalb des Betriebs nicht weitergegeben wird. Aber kein Arbeitgeber sollte anfangen, auf eigene Faust Gesundheitsdaten von Mitarbeitern zu erheben. Alle damit zusammenhängenden Fragen können sinnvoll nur von Gesundheitsbehörden beantwortet werden. Die handeln dann auch schnell und richtig, indem sie Verdachtsfälle oder Infizierte aus dem Betrieb herausleiten.
Ist es einem Arbeitgeber erlaubt, den Namen eines Infizierten im Betrieb zu verbreiten, um Kollegen auf eine mögliche Gefährdung hinzuweisen?
Das ist die häufigste Frage, die uns im Moment gestellt wird. Ein ganz schwieriger Komplex. Dabei kann unglaublich viel schiefgehen, wenn zum Beispiel die Information von der angeblichen Infektion gar nicht stimmt oder wenn der Betroffene stigmatisiert wird oder wenn in der Folge weitere Mitarbeiter untersucht werden sollen. Wenn in Notsituationen Gesundheitsämter überlastet sind, kann es ausnahmsweise zulässig sein, dass der Arbeitgeber den Namen eines Infizierten im Betrieb weitergibt, um Gefahren von Mitarbeitern abzuwenden. Aber das sind absolute Ausnahmezustände, von denen wir noch weit entfernt sind.
Haben Sie schon offensichtliche Verstöße festgestellt?
Es wird uns immer wieder berichtet, dass sich Arbeitgeber in dem Bereich falsch verhalten. Dann setzen wir uns mit ihnen in Verbindung und weisen sie auf ihre Möglichkeiten hin. Viele agieren gar nicht böswillig, sondern sind einfach in Sorge und handeln übermäßig. In aller Regel liegt da eine Überforderung der Arbeitgeber vor. Sie sollten nie auf eigene Faust vorgehen, sondern die Behörden fragen.
Vermissen Sie Twitter schon als Aktionsinstrument – in so einer Krise wäre es doch sehr sinnvoll?
Kein Zweifel. Die Reichweite von Twitter vermisse ich – sie wäre im Moment auch für eine Datenschutzaufsichtsbehörde interessant. Unsere Entscheidung, Twitter zu verlassen, war aber gut begründet und wahrscheinlich auch alternativlos. Wir werden nichts Rechtswidriges tun, um unsere Reichweite zu erhöhen. Und wir sind über unsere Homepage und die Medien gut zu sehen.
