Fast täglich erreichen uns Meldungen über neue Maßnahmen zur Eindämmung der Covid-19-Pandemie. Einige Länder werten hier bereits große Mengen personenbezogener Daten ihrer Bürger aus. Auch die österreichische Bundesregierung äußerte unlängst Überlegungen zum Einsatz von Big Data zur Bekämpfung des Coronavirus. Viele sehen darin eine mögliche Gefährdung der Grundrechte und forderten deshalb am 30. März eine Debatte im Verfassungsausschuss. Gleichzeitig lassen Datenschutzexperten wiederum verlautbaren, dass die Gesundheit dem Datenschutz jedenfalls vorgeht.

Es stellen sich also folgende Fragen: Bestehen die Befürchtungen der Kritiker zu Recht? Was ist bei Big-Data-Anwendungen aus Sicht des Datenschutzes tatsächlich zu beachten? Und hebelt der Gesundheitsschutz den Datenschutz wirklich aus? Die Antworten auf diese drei Fragen in aller Kürze: Ja, vieles und nein.

Big Data im Krisenfall

Sascha Jung leitet das Datenschutzteam von Jank Weiler Operenyi Rechtsanwälte | Deloitte Legal. - © Deloitte/feelimage
Sascha Jung leitet das Datenschutzteam von Jank Weiler Operenyi Rechtsanwälte | Deloitte Legal. - © Deloitte/feelimage

Big Data bezeichnet die Erhebung, Bearbeitung und Auswertung großer Datenmengen. Quellen für die Sammlung dieser Daten können das über Kunden- und Zahlungskarten ermittelte Einkaufsverhalten, die über die IP-Adresse verfolgte Internetnutzung oder – wie zuletzt in aller Munde – die über das Handy vorgenommene Ortung des Standortes und das Tracking der Bewegungen sein. Die so erhobenen Daten lassen sich mithilfe von Algorithmen und künstlicher Intelligenz miteinander verknüpfen. Damit lassen sich Profile erstellen sowie Risiken und Trends auswerten.

Randolph Schwab ist Rechtsanwaltsanwärter im Datenschutzteam von Jank Weiler Operenyi Rechtsanwälte | Deloitte Legal unter der Leitung von Sascha Jung. - © Deloitte/feelimage
Randolph Schwab ist Rechtsanwaltsanwärter im Datenschutzteam von Jank Weiler Operenyi Rechtsanwälte | Deloitte Legal unter der Leitung von Sascha Jung. - © Deloitte/feelimage

Durch den Einsatz von Big-Data-Auswertungen könnte im konkreten Krisenfall erkannt werden, ob beispielsweise an einem bestimmten Ort aus bestimmten Gründen gerade die 50- bis 60-Jährigen mit einer hohen Wahrscheinlichkeit von 80 % mit COVID-19 infiziert sind. Weist der Ort eine ausreichend große Anzahl an Bewohnern auf, ist der Rückschluss auf Einzelpersonen noch nicht möglich. Sobald diese Information jedoch etwa mit den Meldedaten der Bewohner abgeglichen werden, weiß man, welche Bürger in diesem Ort konkret betroffen sind. Und daran könnte automatisch die Maßnahme geknüpft sein, dass sich alle betroffenen Personen für 14 Tage in häusliche Quarantäne begeben müssen.

Wachsamkeit ist angebracht

Der Einsatz von Big Data muss nicht, kann aber zu Missbrauch, Manipulation und Diskriminierung führen. Es ist Kritikern somit zuzustimmen, dass Maßnahmen, die auf Big-Data-Auswertungen basieren, mit einem sehr wachsamen Auge beobachtet werden müssen. Die Datenschutzgrundverordnung verbietet Big-Data-Anwendungen nicht, gibt aber aufgrund der Risikopotenzials dennoch einige unmissverständliche und sehr strenge Regeln vor.

Sofern Big Data nur mit anonymisierten Daten arbeitet, kommt der Datenschutz nicht zur Anwendung. Allerdings fließen in Big Data oftmals auch Personenbezüge ein oder die Ergebnisse werden schlussendlich mit personenbezogenen Daten gematcht, um sie in der Praxis verwertbarer zu machen. Ist ein solcher Personenbezug gegeben, kommen die Regeln der DSGVO voll zur Anwendung. Dann gilt ganz allgemein, dass die Datenverarbeitung stets einem genau bestimmten Zweck dienen muss. Daten dürfen nur in jenem Ausmaß erhoben und solange gespeichert werden, wie dies zur Erfüllung dieses Zwecks notwendig ist.

Wenn Big Data außerdem zu automatisierten Entscheidungen führt, die gegenüber Bürgern rechtliche Wirkung entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen wie oben in unserem Beispiel skizziert, so ist das prinzipiell verboten. Dazu gibt es drei Ausnahmen: Die Entscheidung ist für eine Vertragserfüllung notwendig, der einzelne Bürger hat seine freiwillige Einwilligung erteilt oder der Staat hat eine entsprechende Rechtsvorschrift erlassen. Im Rahmen der COVID-19-Pandemie kann praktisch nur die dritte Ausnahme relevant sein. Damit solche Rechtsvorschriften den Europäischen Datenschutzstandard nicht aushöhlen, fordert die DSGVO jedoch angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie Interessen der betroffenen Bürger.

Kein automatischer Vorrang

Sobald Gesundheitsdaten bei Big-Data-Auswertungen ins Spiel kommen, gelten zudem noch strengere Regeln. Denn hier müssen die Rechtsvorschriften ein erhebliches öffentliches Interesse verfolgen, in einem angemessenen Verhältnis zum angestrebten Ziel stehen und das Recht auf Datenschutz seinem Wesen nach wahren. Auch im Falle zulässiger Beschränkungen darf der Eingriff in die Grundrechte nur in der schonendsten zielführenden Art vorgenommen werden.

Dass die Gesundheit dem Datenschutz vorgeht, lässt sich also so pauschal mit Sicherheit nicht sagen. Wenngleich besondere Situationen besondere Maßnahmen rechtfertigen können, sind automatisierte Entscheidungsfindungen auf Basis von Big-Data-Analysen mit Personenbezug ohne entsprechende Gesetzesgrundlage unzulässig. Bei der Schaffung einer solchen Gesetzesgrundlage ist der Gesetzgeber gut beraten, nicht einfach maßnahmenorientiert vorzugehen, sondern diese im Rahmen einer umfassenden Prüfung sorgfältig mit den Grundrechten und Interessen der Bürger abzuwägen.