Datenschützer warnen! Überwachung im grossen Stil!
Wie bereits angekündigt veröffentliche ich heute den zweiten der Serie „Coronavirus – Lizenz zur Massenüberwachung?“. Im ersten Teil gab ich meine Meinung als Datenschützer und versuchte kritisch dieses Thema zu betrachten. Im zweiten Teil will ich das Zepter dem österreichischen Datenschutzbeauftragen, Juristen und Berater Michel Scharbin überlassen, den ich schon im ersten Teil kurz erwähnt habe, welcher diese Thematik mithilfe der DSGVO auseinandernimmt.
30.03.2020 - Gastbeitrag von Michel Sharbin
In diversen europäischen sowie auch internationalen Staaten, greift nunmehr der Staat auf die bereits zuvor sowie laufend erhobenen Daten der Bewegungsstromanalyse der Nutzer zu.
Wie bereits erörtert, ist diese Datenverarbeitung meiner Ansicht nach nicht DSGVO konform. Da zwingend zu einer Datenverarbeitung die Zustimmung des Betroffenen erforderlich ist, einerseits, und in diesem spezifischen Fall der Anwendung, die Daten in geforderter technischer Hinsicht ausreichend anonymisiert werden müssen, sodass gewährleistet wird dass eine Identifizierung der natürlichen Person technisch nicht möglich ist. Das Auslangen mit einer Pseudonymisierung wird angezweifelt.
Aufgrund des erhöhten Risikos für natürliche Personen ist von dem Datenverantwortlichen eine entsprechende Datenschutz – Folgeabschätzung zu erstellen, und in gegebenen Fall die Datenschutzbehörde zu konsultieren. Ein erhöhtes Risiko ist, in Art. 35 DSGVO normiert exemplarisch Art 35 Abs. 3a DSGVO „systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;“
Eine weitere Möglichkeit der Legitimation lässt sich in Analogie des Erwägungsgrundes 54 der DSGVO erblicken; „Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als Informationen über eine identifizierbare natürliche Person betrachtet werden. Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind. Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. 6Diese Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, auch für statistische oder für Forschungszwecke.“
Die statistische Auswertung anonymisierter Massendaten, könnten somit in eventu in Analogie zum Schutz der öffentlichen Gesundheit mit der DSGVO vereinbar und somit legitimierbar sein.
Laut Behörden in Brüssel ist es sodann in der Aufgabe der jeweiligen nationalen Gesetzgebung einen entsprechenden rechtlichen Rahmen für derartige Abweichungen von der DSGVO bestimmen. (Bericht: https://www.nachrichten.at/politik/aussenpolitik/corona-nutzung-persoenlicher-daten-laut-eu-kommission-rechtens;art391,3243928 ) Des Weiteren ist auf der Homepage des EU Rates / Rat der europäischen Union, angeführt; „Der Schutz der Gesundheit ihrer Bürgerinnen und Bürger steht für die EU an oberster Stelle.“ https://www.consilium.europa.eu/de/policies/covid-19-coronavirus-outbreak/
Wie bereits erörtert, wäre dies im Zuge diverser Maßnahmen welche durch die Regierung beschlossen wurden, im Bereich des Möglichen gewesen dies entsprechend an die Tagesordnung zu setzen und für auch diese außergewöhnliche Maßnahme einen außergewöhnlichen rechtlichen Rahmen zu schaffen, zur Sicherheit der Bürger und des Staates selbst. Ob hier nun im Nachhinein bei Möglichen weiteren Maßnahmenpaketen, dies auf die Tagesordnung kommt bleibt offen, eine breite Zustimmung vage ich zu bezweifeln da bereits die oppositionellen Parteien sich äußerst kritisch und ablehnend zu dieser Maßnahme, der spezifischen Datenverarbeitung ausgesprochen haben.
Die Datenanwendung ist nun im Austausch mit der Regierung aktiv, und liefert die Analysen zu dem gewünschten Zweck. Mit der hoffentlich absehbaren Bewältigung der Corona-Krise, und einem Ende der bedrohlichen Situation für die öffentliche Gesundheit, wird hoffentlich auch diese Datenverarbeitung ein Ende finden.
Hierzu muss ich leider einen Vergleich zu den verheerenden Anschlägen vom 11. September ziehen. Die Welt war auch nach diesem Tage, nicht mehr dieselbe. Und Monate danach wurde diverseste Maßnahmen ergriffen, sei dies rechtlich, faktisch oder wie die Aufdeckungen diverser Geheimdienstskandale beweisen, hinter verschlossenen Türen – „the Programme“, und dies zum Schutz der nationalen Sicherheit bzw. zur Terrorismusbekämpfung, und dies unteranderem auch zu Lasten der Privatsphäre in den verschiedensten Bereichen der natürlichen und juristischen Personen weltweit. Hier zeigt sich, dass nunmehr die Terrorismusgefahr sich im Sinne der kollektiven Risikowahrnehmung manifestiert und aus sich heraus als immanent wahrgenommen wird. Es hat zur Folge, dass nunmehr zwischenstaatliche „Differenzen“ bzw. nationale Interessen, mit dem Deckmantel der Terrorismusbekämpfung getarnt wird um seine Ziele zu verfolgen. Eine Vielzahl an Einbußen der Privatsphäre wie auch eine Vielzahl an Missbräuchen muss der Betroffene nun „in Kauf nehmen“ zu seinem Schutz, und zum Schutz der nationalen bzw. internationalen Sicherheit.
Müssen wir nun in Folge, wieder etwas „in Kauf nehmen“, zum Schutz der öffentlichen Gesundheit? Es ist in der jüngeren Geschichte bereits mit so manchen Krankheitserregern die Gefahr zu Tage getreten, dass diese sich unkontrolliert verbreitet haben eine bedrohliche Situation für die öffentliche Gesundheit entstanden ist. Wird auch hier sich die Risikowahrnehmung manifestieren und im Grunde eine kurzfristige Maßnahme, als erprobtes Mittel etablieren, und den Datenschutz und die Privatsphäre weiter aushöhlen.
Es ist nun von essentieller Bedeutung, dass hierzu einerseits Stellung bezogen wird, andererseits dass ausdrücklich und nachweislich eine Beendigung mit Bewältigung der Krise im Sinne der öffentlichen Gesundheit sprich die Beendigung der Ausgangsbeschränkungen, auf staatlicher Ebene stattfindet. Des Weiteren sei zu gewährleisten, dass diese Maßnahmen keinen Präzedenzfall erwirkt, und die Staaten verpflichtet sind für derart gravierende Eingriffe und Maßnahmen auch einen rechtskonformen Rahmen zu schaffen.
Die Datenverarbeitung an sich bleibt nach einer hoffentlich absehbaren Beendigung der Übermittlung an die Staaten, weiter bestehen. Die diversen Telekomunternehmen haben diese Daten zuvor erhoben und verarbeitet und werden dies auch weiterhin tun.
Hier sei ausdrücklich erwähnt, dass eine diesbezügliche Zustimmung die potentiell erteilt wurde, sehr kritisch zu betrachten ist, ob diese im vorliegender Form DSGVO konform ist.
Die Datenverarbeitung zur Bewegungsstromanalyse ist nicht Vertragserfüllungsrelevant, und ist es das gute Recht eines jeden Kunden diverser Telekomunternehmen Auskunft über diese Datenverarbeitung zu begehren, der Datenverarbeitung zu widersprechen, und diese Daten nachweislich löschen zu lassen.
Es sei darauf verwiesen, dass das Thema nicht abschließend behandelt wird, und der Verfasser einen Beitrag zur awareness der datenschutzrechtlichen „privacy“ zur Verfügung stellt.
Über den Autor
- Mag. Michel Sharbin
- Zertifizierter Datenschutzbeauftragter (DKU)
- Jurist (KFU)
- Berater div. Nationaler und internationaler Unternehmen, Investmentgesellschaften, UHNWI und staatliche Institutionen
- Unternehmer
Kontakt: info(at)oumcom.com