Die Telekom spendet Bewegungsdaten von Handy-Nutzern an das Robert-Koch-Institut. Die Rechtsgrundlage ist denkbar dünn. Datenmissbrauch und ein Überwachungsstaat könnten leicht die Folge sein. Ein kritischer Kommentar eines Datenschützers.


Das Handelsblatt titelt in seiner heutigen AusgabeTelekom gibt Bewegungsdaten an das Robert-Koch-Institut weiter“. Für mich ein Anlass, das Thema kritisch als Datenschützer zu kommentieren, auch wenn der Kampf gegen das Virus höchste Priorität für uns alle hat.

Telekom-“Datenspende” mit Rechtsstaat vereinbar?

Grundsätzlich stehe ich voll hinter der Regierung und den Bemühungen des Robert-Koch-Instituts, alles nur Menschenmögliche für die Bekämpfung der Pandemie zu tun. Jedoch sind wir keine Bananen-Republik und (noch) kein Überwachungsstaat, in dem Willkür, Manipulation und Diskriminierung herrschen. Deutschland ist ein Rechtsstaat, in dem alle Maßnahmen im Rahmen unserer Gesetze erfolgen müssen – so sinnvoll die Bestrebungen auch sein mögen.

Dass Telekommunikationsunternehmen personenbezogene Daten über den Standort von Handys zum Zweck der Diensterbringung und Betrugsprävention verarbeiten, ist sicher mit der DSGVO vereinbar. Ob eine Weitergabe dieser angeblich nun “anonymisierten” Daten zu anderen Zwecken mit dem Zweckbindungsgrundsatz der Gesetzgebung vereinbar ist, muss ich bezweifeln und sehe große Gefahren.

Ulrich Kelber, Foto: Bundesregierung/Kugler

Die Datenschutzkonferenz der Länder hat jüngst Stellung bezogen und der Datennutzung im Zeichen der Corona-Krise einen Rahmen gesetzt.

Auch der Bundesdatenschutzbeauftragte Ulrich Kelber fasst in seiner Pressemitteilung die strengen rechtlichen Bedingungen zusammen, äußerte sich dann jedoch unkritisch zum Telekom-Datentransfer:

Vor allem unter den aktuellen Umständen spricht nichts gegen die Weitergabe dieser Daten zum Zweck des Gesundheitsschutzes, selbst wenn sich mit der Europäischen Datenschutz-Grundverordnung die rechtlichen Voraussetzungen für den Anonymisierungsschritt selbst geändert haben.

Ulrich Kelber, BfDI gegenüber dem Handelsblatt

Anonym ist nicht immer anonym

Weil anonyme Daten ohne Personenbezug nicht unter die DSGVO fallen, dürfen sie grundsätzlich weitergegeben werden, sofern die Weitergabe nicht von anderen Regelungen eingeschränkt ist. Insofern teile ich die Einschätzung des Bundesdatenschutzbeauftragten.

Die Vergangenheit hat jedoch leider gezeigt, dass vermeintlich anonyme Datensätze bei intelligenter Analyse und Kombination mit anderen Datenquellen nicht anonym bleiben. Bereits 2007 stolperte Netflix über vermeintlich “anonyme” Daten, aus denen sich die politische Orientierung einzelner Nutzer ableiten ließ.

Der Guardian berichtete 2014 über die De-Anonymisierung von eigentlich “anonymen” Taxi-Fahrdaten in New York, durch die sowohl die Fahrer als auch die Fahrgäste und ihre Ziele leicht identifizierbar waren. So konnten Bewegungsmuster von Prominenten genauso nachvollzogen werden wie psychische Erkrankungen oder sexuelle Bedürfnisse einzelner Fahrgäste. Der Unternehmer Vijay Pandurangan, der dies aufdeckte, konstatierte seinerzeit:

Anonymising data is really hard.

Vijay Pandurangan, de-anonymisierte “anonyme” Daten

Datenrinnsal wird zum reißenden Fluss

Selbst wenn die von der Telekom bereitgestellten Daten sich nicht so leicht de-anonymisieren lassen und einen guten Zweck erfüllen, besteht aus meiner Sicht die Gefahr, dass unser über Jahre erkämpftes Recht auf informationelle Selbstbestimmung schnell aufgeweicht und ad-absurdum geführt wird.

Wo heute Corona die Medien bestimmt, ist es morgen die Terrorabwehr und übermorgen die Diskriminierung von Randgruppen oder politisch Andersdenkenden. Es besteht das Risiko, dass eine Erosion unseres Rechtsstaats beginnt und aus dem gut gemeinten Datenrinnsal zukünftig ein reißender Fluss entsteht. Natürlich immer unter der Prämisse “nur Gutes tun zu wollen” gerät der Datenschutz ins Hintertreffen. Die Folgen für unsere Demokratie und unser Zusammenleben sind unabsehbar und unkontrollierbar.

Plädoyer für Daten-Solidarität

Was mir in der ganzen Corona-Krise besonders gegen den Strich geht, ist der sich abzeichnende Egoismus. Die Amerikaner bewaffnen sich zur Selbstverteidigung und wir Deutschen kaufen das Klopapier leer. Warum stehen wir nicht solidarisch zusammen und begegnen gemeinsam der Krise?

Nur wenn wir uns alle an die Empfehlungen und Vorgaben der Regierung halten, den Rechtsstaat respektieren und auch in schweren Zeiten kreative Ideen entwickeln, werden wir die Krise bewältigen. Gemeinsam und im Einklang. Waffen kaufen und Klopapier horten macht für mich genauso wenig Sinn wie die unkontrolliert Datenweitergabe der Telekom.

Datenspenden wie Blutspenden behandeln

Aus meiner Sicht muss es jedem Bürger freigestellt sein, in die Verwendung seiner Standortdaten einzuwilligen. Dabei darf er nicht versteckt und “konkludent” der Datennutzung zustimmen, geschweige denn, dass seine “anonymen” Daten zweckentfremdet und ungefragt genutzt werden.

Der Vergleich mit Blutspenden liegt nahe. Diese sind freiwillig und werden (hoffentlich) auch nur zweckgebunden für die Behandlung Bedürftiger verwendet. Und nicht etwa heimlich zur Feststellung meiner ethnischen Herkunft, meiner genetischen Krankheitsdispositionen oder gar meiner sexuellen Präferenzen missbraucht.

Datenspenden müssen wie Blutspenden behandelt werden, dann spende ich gern.

Christian Bennefeld

Ich spende jedenfalls sehr gerne meine Standortdaten, sofern sicher gestellt ist, dass sie ausschließlich zur Bewältigung der Virus-Krise verwendet und nach angemessener Zeit unwiederbringlich gelöscht werden.

Genauso wie bei Blutspenden sollte ein verantwortungsvoller Staat die Daten seiner Bürger schützen und einer unkontrollierten Weitergabe und Analyse von “anonymen” Daten Einhalt gebieten.

Nur mit großer Vorsicht und Bedacht sollten sensiblen Bewegungsdaten überhaupt genutzt werden. Sonst ist Missbrauch und Verletzung der Rechtsstaatlichkeit vorprogrammiert und der Schritt zum Überwachungsstaat nur noch klein.

Südkorea, Österreich und Israel lassen bereits grüßen. Denn ob die hier bereits umgesetzte Bürger-Überwachung jemals wieder zurück gefahren wird, bleibt fraglich.


Wie wir mit Daten in der Krise agieren sollten

Statt unkontrolliert beliebige Daten zu verteilen, sind wir gut beraten, wie in jedem Projekt vorzugehen: Die Ziele sollten stets im Mittelpunkt stehen. Hier müssen die Wissenschaftler genaue Anforderungen definieren, welche Daten sie in welcher Granularität, Aktualität und Frequenz tatsächlich benötigen.

Basierend auf diesen Zielen muss dann evaluiert werden, welche Datenquellen zur Verfügung stehen. Und wenn diese Daten personenbezogene Daten umfassen, muss sichergestellt werden, dass eine Kompatibilität mit dem Datenschutz hergestellt wird und sie unseren rechtsstaatlichen Prinzipien genügen.

Ob dies am Ende Routingdaten von Verkehrsströmen aus Navigations-Apps sind, bei denen Nutzer ohnehin in die Datenverwendung eingewilligt haben, “anonyme” Bewegungsdaten aus Handy-Ortungen oder Daten von Kameras aus Verkehrsüberwachungssystemen, muss Anforderungsgetrieben ermittelt werden.

In jedem Fall gilt: Wir müssen mit Bedacht und Verhältnismäßigkeit agieren und den Rechtsstaat achten. Dann werden wir diese Krise auch im Sinne des Datenschutzes bewältigen.