Aufgrund der CORONA-Krise wurden und werden global in vielen Staaten Ausgangsbeschränkungen, Versammlungsverbote und ähnliches erlassen. Obgleich aus grundrechtlicher Sicht das alles in höchstem Maße besorgniserregend ist, so sind diese Schritte aus aktueller Sicht notwendig - darüber herrscht weitläufig Einigkeit.

Die Akzeptanz dieser Maßnahmen ist jedoch nicht bei jedem gleich. „Corona-Parties“ und ähnliches finden weiterhin statt, trotz angedrohter Bestrafungen.
Um die Einhaltung der Ausgangsbeschränkungen (besser) überwachen zu können, versuchen viele Staaten Zugriff auf höchst persönliche Daten der Bevölkerung zu erlangen - unsere Bewegungsprofile.


Was passiert im Detail

In Österreich, stellt A1 die Bewegungsprofile aller Handy-Nutzer, der Regierung (zu eben diesem Zweck) zur Verfügung; in Deutschland macht die Deutsche Telekom selbiges für das Robert-Koch-Institut.

In datenschutzrechtlicher Hinsicht stellen sich hier zwei Fragen:

  1. Um welche Daten geht es überhaupt, wie sieht diese ganze Überwachung eigentlich aus?
  2. Ist das überhaupt zulässig?

Hinsichtlich der ersten Frage lässt sich diversen Artikeln innerhalb der Presse entnehmen, dass ausschließlich anonymisierte Daten übermittelt und analysiert werden.

Jedes Handy wird mit einer – 24h lang gültigen – ID versehen. Nach Ablauf dieser 24h Periode wird eine neue ID vergeben. So wird sichergestellt, dass es nicht möglich ist, zielgerichtet eine Nummer über mehrere Tage zu verfolgen. Sprich, das Bewegungsprofil wird in 24h Bruchstücke aufgeteilt.

Weiters werden Daten nur in „20er“-Blöcken geliefert, sodass aus einer Analyse nicht die Bewegung einzelner Personen, sondern ausschließlich von Gruppen (skaliert in 20er Schritten) eruiert werden kann.


Einschätzung aus Sicht der DSGVO

Aus Sicht der DSGVO wird in Österreich somit nicht mit personenbezogenen Daten gearbeitet, da aufgrund dieser beiden Maßnahmen eine Anonymisierung erfolgt und keine Rückschlüsse auf eine konkrete Person mehr möglich sind.

Auch in Deutschland ist davon auszugehen, dass die von der dortigen Telekom übermittelten Daten nur in anonymisierter Form weitergebeben werden. Hinsichtlich der genauen Art der Anonymisierung liegen allerdings offiziell keine Angaben vor.

Im engeren Sinn ist somit die DSGVO gar nicht berührt, da diese eben „nur“ für personenbezogene Daten anzuwenden ist. Die Beantwortung der zweiten Frage könnte damit unterbleiben.

Penible Juristen, würden an dieser Stelle anmerken, dass bereits die Anonymisierung selbst eine Verarbeitung im Sinne der DSGVO ist, weshalb wir wiederum den Anwendungsbereich der DSGVO und die grundsätzliche Frage der Zulässigkeit klären müssen.

Über die Wertung der Anonymisierung als Verarbeitung mag man streiten können, ungeachtet dessen ist die Frage nach der grundsätzlichen Legitimation dieser Überwachungsmaßnahme aber berechtigt und wichtig.

Aus derzeitiger Sicht (und auch da sind sich viele einig) ist von einer Zulässigkeit auszugehen, da gemäß Art 6 Abs 1 lit f DSGVO zum aktuellen Zeitpunkt der mit dieser Überwachungsmaßnahme verfolgte Zweck (Einhaltung der Schutzmaßnahmen gegen das Corona-Virus) im öffentlichen Interesse liegt und – angesichts der Anonymisierung – der Eingriff in dies Privatsphäre des Einzelnen verhältnismäßig ist.


Fazit

Angemerkt sei noch einmal, dass es sich hierbei nur um eine vorübergehende Maßnahme handeln darf.
Und wir tun gut daran, darauf zu achten, dass sämtliche Maßnahmen auch wieder zurück genommen werden, sobald sich die Lage wieder etwas normalisiert hat.

Den wie schon Carl Friedrich von Weizsäcker wusste:
Freiheit ist ein Gut, das durch Gebrauch wächst, durch Nichtgebrauch dahinschwindet.