COVID-19 Proximity Tracing Apps und Datenschutzrecht- Eine Auslegeordnung


Zur Bekämpfung der COVID-Pandemie sollen in Europa und in der Schweiz bald sog. Proximity Tracing Apps (PT-Apps) eingeführt werden. Eine PT-App warnt ihre Nutzer über eine mögliche Infektionsgefahr, wenn diese für eine Infektion relevante Dauer engen Kontakt mit einer positiv getesteten Person hatten. Je nachdem, wie eine PT-App im Einzelfall ausgestaltet ist, kann der potenzielle Eingriff in die Grundrechte aber erheblich sein. Europäische und eidgenössische Datenschutzbehörden haben den Einsatz von PT-Apps grundsätzlich begrüsst, fordern aber unter anderem die Freiwilligkeit der App-Nutzung und einen möglichst weitgehenden Verzicht auf die Erhebung von Standort- und Personendaten. Aus dem Blickwinkel des Datenschutzes ist eine PT-App nur dann unproblematisch, wenn sie ausschliesslich anonymisierte Daten und keine Personendaten bearbeitet, denn in diesem Fall wäre das Datenschutzgesetz (DSG) nicht anwendbar. Liegt hingegen eine Bearbeitung von Personendaten vor, ist gemäss Datenschutzgesetz insbesondere sicherzustellen, dass die allgemeinen Bearbeitungsgrundsätze eingehalten werden. Um die Anforderungen an den Datenschutz zu erfüllen, müsste die in der Schweiz geplante staatliche PT-App zusätzlich zur Einhaltung der datenschutzrechtlichen Bearbeitungsgrundsätze auf einer genügenden gesetzlichen Grundlage beruhen sowie verhältnismässig sein. Eine genügende gesetzliche Grundlage besteht nach Ansicht des Schweizer Parlaments zurzeit aber nicht, weshalb das Parlament in seiner Sondersession den Aufschub der Einführung einer PT-App beschlossen und den Bundesrat mit dem Entwurf eines dringlichen Bundesgesetzes beauftragt hat. Dennoch wird damit gerechnet, dass die Testversion der PT-App ab Mitte Mai 2020 verfügbar sein wird. Die definitive Einführung der PT-App in der Schweiz, ist voraussichtlich nach der Sommersession des Parlaments zu erwarten.
  

Einführung von COVID Proximity Tracing Apps

Vor dem Hintergrund der COVID-Pandemie wird derzeit weltweit über die Einführung von sog. COVID Proximity Tracing Apps diskutiert. In einigen europäischen Ländern (z.B. Österreich) sowie im asiatischen Raum (z.B. Singapur oder Südkorea) wurden entsprechende PT-Apps bereits lanciert. Diese Smartphone-Apps sollen dazu beitragen, die Ausbreitung des Coronavirus einzudämmen, insb. auch nach der schrittweisen Lockerung getroffener Massnahmen im Rahmen der COVID-Pandemie.

Anders als man auf den ersten Blick meinen könnte, warnen die Apps nicht unmittelbar beim Kontakt mit einer COVID-positiv getesteten Person. Vielmehr sollen die Apps das „Contact Tracing„, d.h. die Rückverfolgung von Infektionsketten, ermöglichen, indem sämtliche für eine Infektion relevanten Kontakte zwischen App-Nutzern erfasst werden. Ein für den COVID-Kontext  „relevanter Kontakt“ zwischen zwei Personen liegt nach aktuellen Erkenntnissen dann vor, wenn diese während mindestens 15 Minuten miteinander in Kontakt stehen und dabei den Abstand von 2m nicht einhalten. Um die Nähe zu anderen Nutzern und die Verweildauer zu ermitteln, verwenden PT-Apps die auf Smartphones verfügbare Funktechnik Bluetooth Low Energy (BLE).

Die PT-App funktioniert so, dass sie einen Nutzer im Nachhinein benachrichtigt, wenn dieser mit einer COVID-positiv getesteten Person einen relevanten Kontakt hatte. Dabei informiert die App den Nutzer bezüglich notwendiger Massnahmen. Als Illustration soll das folgende Fallbeispiel dienen:

Die beiden App-Nutzer A und B sitzen im Zug während 15min nebeneinander ohne den Abstand von 2m einzuhalten. Die App erfasst und speichert diesen relevanten Kontakt auf dem Smartphone. Am nächsten Tag wird A positiv auf COVID getestet. A registriert sich in der App freiwillig als „positiv getestete“ Person durch Verwendung eines Sicherheitscodes aufgrund des positiven Testergebnisses. Anhand dieser Information berechnen die Apps, wer in den vergangenen 15 Tagen einen relevanten Kontakt zu A hatte. Weil B mit A am Tag zuvor im Zug einen relevanten Kontakt hatte, warnt die App B über die mögliche Infektionsgefahr und empfiehlt diesem, sich in Selbstisolation zu begeben oder einen klinischen Test in die Wege zu leiten.

Contract Tracing liefert somit Hinweise auf eine mögliche Übertragung des Virus, sagt aber nichts über eine tatsächliche COVID-Ansteckung aus. Durch den Einsatz dieser Technologie erhofft man sich, die Übertragungskette auf effiziente Weise unterbrechen zu können. Weil Infizierte bereits ansteckend sind, bevor sie Symptome aufweisen, seien PT-Apps für diese Zwecke besonders gut geeignet.
  

Debatte über die Technologien: PEPP-PT oder DP-3T

In den vergangenen Wochen sind weltweit bereits mehrere Projekte entstanden, die sich der Entwicklung der den PT-Apps zugrundeliegenden Technologie widmen. Wie eine verantwortungsvolle und datenschutzkonforme Contact-Tracing-Technologie im Detail aber auszusehen hat, ist in der Schweiz und in Europa derzeit noch Gegenstand von (politischen) Debatten.

Im Vordergrund der Debatte stehen die beiden Technologieprojekte „PEPP-PT“ (Pan-European Privacy-Preserving Proximity Tracing) und „DP-3T“ (Decentralized Privacy-Preserving Proximity Tracing):

  • Beim PEPP-PT Projekt handelt es sich um einen Zusammenschluss von rund 130 Wissenschaftlern, Datenschutzexperten und Entwicklern aus insgesamt acht europäischen Ländern. Damit nicht jedes Land seine eigene Technologie entwickelt, welche nur innerhalb der Landesgrenzen funktioniert, hatte sich PEPP-PT vorgenommen, eine gesamteuropäische Lösung zu entwickeln, auf dessen Grundlage verschiedene nationale Apps entstehen könnten, die miteinander kompatibel sind und auch grenzüberschreitend funktionieren.
      
  • Das DP-3T Projekt begann ursprünglich an der EPFL in Lausanne und der ETH in Zürich, wurde dann aber von einem Team aus über 25 Wissenschaftlern und Forschern aus ganz Europa weiterentwickelt. Obwohl die Mitglieder von DP-3T anfangs auch am PEPP-PT Projekt beteiligt waren, arbeiten diese derzeit unabhängig von Letzterem an ihrer eigenen Technologie weiter. Damit unabhängige Experten die Software überprüfen können, ist der Source Code des DP-3T Projekts im Internet frei zugänglich (sog. Open Source).
      

In funktionaler Hinsicht stimmen beide Projekte weitgehend überein. Ein wesentlicher Unterschied liegt aber darin, dass PEPP-PT derzeit einen zentralisierten Ansatz verfolgt, während DP-3T auf ein dezentrales Modell setzt. Dies war offenbar auch der Hauptgrund, weshalb sich die Mitglieder von DP-3T vom PEPP-PT Projekt zurückgezogen haben. Erstere sind nämlich der Meinung, dass ein dezentrales Modell zielführender sei.
  

Zentrale versus dezentrale Tracing-Technologie

Ob sich eine zentrale oder dezentrale Technologie besser für den Einsatz von Proximity Tracing Apps eignet, ist eine derzeit weltweit kontrovers diskutierte Frage. Im Wesentlichen geht es darum, ob bei einem relevanten Kontakt die Tracing-Daten auf einem zentralen Server aufgezeichnet werden sollen oder dezentral auf den Geräten der einzelnen Nutzern verteilt gespeichert sein sollen:

  • Bei einem zentralen Modell speichern die Apps der beiden Nutzer bei einem relevanten Kontakt einen Zeitstempel (aktuelles Datum) und eine zufällig generierte ID unverschlüsselt auf den Smartphones selbst ab. Schickt nun ein Nutzer aufgrund eines positiven COVID-Testergebnisses eine Warnung raus, werden alle lokal auf dem Smartphone gespeicherten IDs samt Zeitstempel unverschlüsselt auf einem zentralen Server gespeichert. Kritiker weisen darauf hin, dass der Betreiber des zentralen Servers direkten Zugriff auf sensible Daten hätte und Begegnungen ggf. auch rekonstruieren könnte. Beim zentralen Modell bestünde deshalb eine gewisse Missbrauchsgefahr und die Anonymität der App-Nutzer sei nicht sichergestellt.
      
  • Bei einem dezentralen Ansatz wird im Falle eines relevanten Kontakts neben dem Zeitstempel ein kryptografisch generierter Code auf den Smartphones gespeichert. Der generierte Code fungiert als eine Art Schloss. Schickt nun ein Nutzer aufgrund eines positiven COVID-Testergebnisses eine Warnung raus, so gelangt nur ein kryptografischer Schlüssel an den zentralen Backend-Server. Falls dieser Schlüssel auf ein lokal gespeichertes Schloss passt, wird die entsprechende Person über die mögliche Infektionsgefahr informiert. Aus den Daten auf dem Server selbst lässt sich nur die Anzahl der infizierten Personen ermitteln, andere Rückschlüsse auf die Person sind aber grundsätzlich nicht möglich. Anders als beim zentralen Modell bleiben die sensiblen Daten nur auf dem lokalen Gerät gespeichert. Damit soll eine möglichst anonyme Nutzung gewährleistet werden können. Aus diesem Grund wird der dezentrale Ansatz auch mehrheitlich als datenschutzfreundlichere Technologie erachtet.
      

In der Zwischenzeit hat die Debatte etwas an Bedeutung eingebüsst, da Google und Apple kürzlich bekanntgegeben haben, dass ihre mobilen Betriebssysteme iOS und Android nur eine dezentrale Lösung unterstützen werden. Eine Tracing-App, welche auf deren Betriebssystem betrieben werden soll, müsste somit wohl auf einer dezentralen Technologie – z.B. DP-3T – basieren.
  

Staatliche oder private App?

Kontrovers diskutiert wird derzeit auch die Frage, ob die App vom Staat oder von einem privaten Anbieter bereitgestellt werden soll. Technisch wäre es problemlos möglich, eine PT- App vollständig über einen privaten Anbieter zu betreiben. Kritiker einer privaten App sehen aber eine potenzielle Gefahr, dass gewisse Personen sich fälschlicherweise als infiziert ausweisen könnten, was zu Fehlalarmen führen würde. Auch sei es unwahrscheinlich, dass die Nutzer den Empfehlungen stets Folge leisten. Bei einer rein privaten App könnten Gesundheitsämter wie das BAG die erhobenen Daten auch nicht für epidemiologische Zwecke verwenden, etwa zur Errechnung von Trends und zur Dokumentierung des klinischen Verlaufs der Infektion. Mehrheitlich wird deshalb davon ausgegangen, dass der Staat an der App zumindest beteiligt sein sollte.
  

Situation in der Schweiz

In der Schweiz wird derzeit über die Einführung einer staatlichen App diskutiert, welche auf dem dezentralen Ansatz von DP-3T basiert. Die Umsetzung erfolgt in Zusammenarbeit mit der EPFL und der ETH und somit unabhängig von den Entwicklungen im Rahmen der europäischen Initiative PEPP-PT.

Derzeit ist die Lancierung der App aber noch Gegenstand parlamentarischer Debatten. Ende April haben die beiden staatspolitischen Kommissionen des National- und Ständerates jeweils eine Motion eingereicht, welche beide den Bundesrat auffordern, die angeblich notwendige gesetzliche Grundlage zur Einführung der PT-App dem Parlament vorzulegen und keine Notverordnung dazu zu verabschieden. Sie betonten auch, dass nur dezentrale Lösungen verwendet werden sollten, die keine personenbezogenen Daten auf einem zentralen Server speichern. Zudem forderten die Motionen auch die Freiwilligkeit der App-Nutzung.

In seiner Stellungnahme vom 1. Mai 2020 beantragte der Bundesrat die Ablehnung der Motion. Die PT-App diene der Krankheitsbekämpfung, weshalb das Epidemiengesetz eine genügende gesetzliche Grundlage für die Bearbeitung von Gesundheitsdaten biete.

Der Bundesrat äusserte sich auch konkreter zur Funktionsweise der möglichen Schweizer App. Als Data Trust Center der App soll das Bundesamt für Statistik dienen, während das Bundesamt für Informatik und Telekommunikation die App hostet und die notwendige Infrastruktur unterhält. Auch würden Ortsangaben von der PT-App nicht aufgezeichnet, sondern lediglich geschützte Daten über relevante Kontakte. Einzig der behandelnde Arzt und das bestehende kantonale Contact-Tracing-Zentrum würden die Identität der COVID-positiv getesteten Person kennen. Nur durch Aushändigung eines anonymen Codes nach einem positiven COIVD-Testergebnis durch den Arzt, könnten sich positiv getestete Personen freiwillig in der PT-App als „infiziert“ registrieren. Auch betonte der Bundesrat, bei der App-Nutzung müssten die folgenden Grundprinzipien garantiert sein:

  • Freiwilligkeit auf allen Ebenen (insb. Herunterladen der App, Einschalten von Bluetooth, Eingabe des positiven Testergebnisses und Benachrichtigung der anderen Nutzer)
      
  • Weitestgehender Verzicht auf die Bearbeitung von Personendaten
      
  • Guter Missbrauchsschutz durch technische und organisatorische Massnahmen
      
  • Zeitliche Beschränkung des Einsatzes auf die Dauer der Krise
      
  • Zeitliche Beschränkung der Datenspeicherung auf das jeweils notwendige Mass
      

Weil die PT-App schon weit fortgeschritten ist und diese sämtliche Anliegen der Motion bereits erfülle, sollte sie der Gesellschaft möglichst schnell zur Verfügung gestellt werden, so der Bundesrat.

Die Diskussion rund um die geplante PT-App wurde in der ausserordentlichen Session des Parlaments erneut aufgegriffen. In der Debatte rund um die PT-App ging es insbesondere um das Fehlen einer genügenden gesetzlichen Grundlage. Die eingereichte Motion hält fest, dass der potenzielle Eingriff in die Grundrechte beim Proximity Tracing je nach Ausgestaltung massiv sei. Aufgrund der möglichen Schwere der Grundrechtseingriffe sei eine parlamentarisch abgestützte gesetzliche Grundlage, und keine Notverordnung des Bundesrats zu verabschieden. Dies sah auch die Mehrheit des Parlaments gleich, so dass der Bundesrat nun innert 4 Wochen ein dringliches Bundesgesetz auszuarbeiten hat, welches anschliessend von beiden Räten in der Sommersession verabschiedet werden muss.

Trotzdem soll die App aber schon vorher zum Einsatz kommen, jedoch bloss in Form eines Tests. Das BAG plant, die Beta-Version der PT-App bis am 11. Mai 2020 in Betrieb zu nehmen und so die Testphase zu lancieren. Die breite Ausrollung der finalen Version wird sich nach dem Beschluss des Parlaments aber in den Sommer verschieben. Mit der umfassenden Lancierung der App ist somit frühestens im Juli zu rechnen.
  

Datenschutzrechtliche Einordnung

Je nachdem, wie eine PT-App im Einzelfall ausgestaltet ist, kann der potenzielle Eingriff in die Grundrechte erheblich sein. In den Medien wurde deshalb mehrmals postuliert, die PT-App müsse die „Anonymität“ der Nutzer sicherstellen sowie „datenschutzkonform“ ausgestaltet sein. Auch der Bundesrat hat gefordert, dass ein „weitestgehender Verzicht auf die Bearbeitung von Personendaten“ erfolgen soll. Doch wie sind diese floskelhaften Forderungen aus datenschutzrechtlicher Sicht zu beurteilen?

Primär ist festzuhalten, dass das DSG nur dann Anwendung findet, wenn eine Bearbeitung von Personendaten vorliegt (Art. 1 i.V.m. Art. 3 Bst. a DSG). Bei Personendaten handelt es sich um Angaben, die sich direkt oder indirekt auf eine bestimmte oder bestimmbare Person beziehen (z.B. Namen, eindeutige zuordenbare Identifikatoren, Standortdaten, etc.).

Geht man somit davon aus, dass die PT-App – wie häufig behauptet wird – ausschliesslich anonymisierte Daten bearbeitet, wäre dies datenschutzrechtlich unproblematisch, weil das DSG in diesem Fall gar nicht anwendbar wäre, liegt doch gar keine Bearbeitung von Personendaten vor.

Geht man aber davon aus, dass die PT-App – wenn auch dezentral – gewisse Personendaten bearbeitet oder sich die Daten auf zumindest bestimmbare Personen beziehen oder die bearbeiteten Daten lediglich pseudonymisiert sind, so dass der Personenbezug der Daten in bestimmten Konstellationen ohne übermässigen Aufwand wiederhergestellt werden könnte, sind die Bestimmungen des DSG zu beachten.

Je nach Ausgestaltung der PT-App ist das DSG somit anwendbar. In diesem Fall müssen die allgemeinen Bearbeitungsgrundsätze (Art. 4 ff. DSG) eingehalten werden, also insbesondere die Verhältnismässigkeit, die Zweckbindung und die Transparenz. Die durch die PT-App erfolgende Datenbearbeitung wäre dann verhältnismässig, wenn die bearbeiteten Daten zur Zweckerreichung (hier: Bekämpfung der Pandemie) geeignet sind und nur Daten bearbeitet werden, die hierfür auch tatsächlich erforderlich sind.

Zudem verpflichtet das Zweckbindungsprinzip dazu, die erhobenen Daten nur für den ursprünglich erkennbaren oder transparent gemachten Zweck zu verwenden. Beabsichtigt beispielsweise das BAG, die durch die PT-App erhobenen Daten auch noch für epidemiologische Zwecke zu verwenden, müssten die App-Nutzer hierüber vorgängig informiert werden, um die Erkennbarkeit bzw. die Transparenz sicherzustellen.

Werden Personendaten von einem Bundesorgan bearbeitet, ist eine gesetzliche Grundlage hierfür notwendig (Art. 17 DSG). Als Bundesorgan gelten auch Unternehmen, welche mit öffentlichen Aufgaben des Bundes betraut sind. Nachdem das Parlament beschlossen hat, dass das Epidemiengesetz keine taugliche gesetzliche Grundlage sei und folglich eine neue gesetzliche Grundlage geschaffen werden muss, erübrigen sich weitere Debatten hierzu und auch zur Frage, inwiefern eine der Ausnahmen vom Erfordernis der gesetzlichen Grundlagen hätte greifen können (vgl. dazu allgemein MLL-News vom 28.4.2019).

Interessant ist sodann in diesem Zusammenhang auch die durch die EPFL in Auftrag gegebene sehr ausführliche Datenschutzfolgeabschätzung. Diese ist, wie alle anderen Grundlagen rund um das Projekt D3-PT, frei zugänglich.
  

Beurteilung des Eidgenössischen Datenschutzbeauftragten (EDÖB)

Bereits am 21. März 2020 wurde der EDÖB von der EPFL gebeten, das Projekt DP-3T einer datenschutzrechtlichen Beurteilung zu unterziehen. Begrüsst wurde vom EDÖB insbesondere die Freiwilligkeit der App auf allen Ebenen, sowie die Tatsache, dass auf die Erhebung von Geolokalisierungsdaten verzichtet werde. Positiv vom EDÖB gewürdigt wurde auch die Tatsache, dass das Projekt D3-PT einen dezentralen Ansatz verfolgt. Obwohl sowohl zentrale als auch dezentrale Ansätze Vor- und Nachteile hätten, wäre Letzterer im Sinne der Datensparsamkeit vorteilhafter, weil auf dem zentralen Server nur anonyme Daten gespeichert würden. Am 21. April forderte der EDÖB in grundsätzlicher Hinsicht den Nachweis einer genügenden gesetzlichen Grundlage (Art. 17 DSG). In der Zwischenzeit hat der EDÖB die Systemarchitektur und die technische Umsetzung des Projekts geprüft. Am 30. April 2020 teilte er mit, die auf dem zentralen Backend-Server stattfindende Datenbearbeitung sei verhältnismässig. Zudem erarbeitet der EDÖB derzeit eine Gesamtbeurteilung zur PT-App in Berichtsform, welche die bisherigen Teilbeurteilungen zusammenführt und mit weiteren Aspekten ergänzt.

 

Beurteilung des Europäischen Datenschutzausschusses

Auch der europäische Datenschutzausschuss (EDSA) hat sich im Rahmen der am 21. April veröffentlichten Richtlinien zu datenschutzrechtlichen Aspekten von Proximity Tracing Apps geäussert. In den Richtlinien hat der EDSA die Einführung von Proximity Tracing Apps zur Bekämpfung der COVID-Pandemie grundsätzlich begrüsst, stellte aber die folgenden grundsätzlichen Anforderungen an eine PT-App:

  • Die App-Nutzung muss freiwillig sein und deren Nichtnutzung darf zu keinerlei Nachteilen führen.
      
  • Im Sinne des Prinzips der Datensparsamkeit sollen möglichst wenig und nur die absolut notwendigen Daten erhoben werden (z.B. keine Erhebung von Ortsangaben).
      
  • Anonymisierte Daten sind ggü. personenbezogenen Daten zu bevorzugen.
      
  • Gesammelte Daten dürfen ausschliesslich zur COVID-Bekämpfung verwendet werden (Zweckbindung).
      
  • Massnahmen zur Verhinderung der Re-Identifizierung müssen getroffen werden.
      
  • Gesammelte Daten sollen auf dem Endgerät des Nutzers gespeichert werden.
      
  • Vor der Implementierung muss eine Datenschutzfolgeabschätzung erfolgen.
      

Weitgehend identische Forderungen an Proximity Tracing Apps wurden auch von den EU-Mitgliedsstaaten im EU-Instrumentarium für die Nutzung von Mobil-Apps zur Kontaktnachverfolgung und Warnung gestellt, welches mit Unterstützung der EU Kommission entwickelt wurde.
  

Kritische Würdigung und Fazit

Rund um die Proximity Tracing Apps sind noch viele Fragen offen. Fest steht jedoch, dass die Wirksamkeit der Technologie massgeblich davon abhängen wird, wie viele Personen die App tatsächlich nutzen, sich bei einem positiven Testergebnis auch als „COVID-positiv getestet“ registrieren und sich bei einer Warnung an die Empfehlungen halten werden. Ob die Bereitschaft der Bevölkerung hierfür vorhanden ist, wird sich erst noch zeigen müssen. Dies insbesondere darum, weil COVID-positiv getestete Personen sowie Personen mit einem relevanten Kontakt zu positiv getesteten Personen, für eine gewisse Zeit isoliert werden, um die COVID-19 Übertragungskette effektiv zu unterbrechen. Obwohl dies unter dem Stichwort der „freiwilligen Selbstisolierung“ erfolgt, handelt es sich dabei um eine einschneidende Beschränkung der Grundrechte der betroffenen Personen. Da die Politik aber generell von der Freiwilligkeit im Zusammenhang mit der PT-App spricht, ist davon auszugehen, dass eine Durchsetzung der Quarantänemassnahmen sehr schwer werden dürfte. Die staatliche Durchsetzung der Massnahmen im Zusammenhang mit der PT-App würden der von der Politik geforderten Freiwilligkeit diametral entgegenstehen, sofern diese den Grundsatz der Verhältnismässigkeit nicht beachten. Zu bedenken ist aber, dass ohne verhältnismässige Durchsetzungsmöglichkeiten bzw. Anreize zur Herbeiführung des gewünschten Verhaltens, die PT-App ihre Wirkung generell verfehlen dürfte. Wie der Bundesrat mit diesem Konflikt umgehen wird, wird sich noch zeigen.

Aus datenschutzrechtlicher Sicht sind Proximity Tracing Apps unproblematisch, wenn keine Bearbeitung von Personendaten erfolgt. Dies ist aber wohl eher unwahrscheinlich. Geht man davon aus, dass eine Bearbeitung von Personendaten erfolgt, müssen die DSG-Bestimmungen eingehalten werden und die PT-App ist datenschutzkonform auszugestalten.

Die staatliche PT-App, die in der Schweiz eingeführt werden soll, wäre dann datenschutzkonform, wenn diese auf einer genügenden gesetzlichen Grundlage basiert – welche gemäss Parlament noch geschaffen werden muss – sowie verhältnismässig ist. Letzteres wäre selbstverständlich nur erfüllt, wenn die App den von ihr verfolgten Zweck auch erreichen kann. Geht man mit dem BAG indessen davon aus, dass die App nur dann wirksam wäre, wenn mindestens 60% der Bevölkerung von einer PT-App Gebrauch macht, ist es fraglich, ob ein nur freiwilliger Gebrauch zur Zweckerreichung überhaupt ausreichend wäre. Es gilt hierbei zu beachten, dass die häufig diskutierte Freiwilligkeit keine datenschutzrechtliche Zulässigkeitsvoraussetzung für eine staatliche Datenbearbeitung ist. Ist die (staatliche) Datenbearbeitung durch die App nach dem DSG verhältnismässig, spielt das Kriterium der Freiwilligkeit aus rechtlicher Sicht keine Rolle. Ist die App (bzw. die staatliche Datenbearbeitung) hingegen unverhältnismässig, wird sie nicht dadurch, dass deren Nutzung freiwillig ist, rechtmässig. Die Forderungen nach Freiwilligkeit scheinen eher zu indizieren, dass offenbar noch Zweifel an der Verhältnismässigkeit bestehen. Diesbezüglich wurde während der parlamentarischen Debatte in der Sondersession darauf hingewiesen, dass die freiwillige Nutzung nicht dazu führen dürfe, dass Personen, welche die App nicht nutzen, benachteiligt werden, weil sie z.B. aufgrund der Nicht-Nutzung der PT-App einen Vertrag nicht abschliessen können (z.B. die Verweigerung des Zutritts zu einem Restaurant oder einem Hotel, etc.). Damit wird die Zweckerreichung sicher nicht realistischer.

Die bisherige Diskussion über Tracing Apps drehte sich primär um die Aspekte der Freiwilligkeit, Technik (z.B. Debatte über die Implementierung eines zentralen oder dezentralen Modells) sowie um die Frage der genügenden gesetzlichen Grundlage. Die Frage der Verhältnismässigkeit im Sinne einer Zweck-Mittel-Relation wurde bisher dagegen wenig beleuchtet. Es bleibt somit mit Spannung abzuwarten, ob dies vor der definitiven Einführung der App noch geschehen wird. Wie wirksam die App zur Bekämpfung der Pandemie tatsächlich sein wird, wird sich noch zeigen. Auf dem Weg zur definitiven Einführung der PT-App in der Schweiz wird die Testphase, welche Mitte Mai anlaufen soll, erste Anhaltspunkte liefern, ob die App schlussendlich die gewünschten Wirkungen entfalten kann.

 

Weitere Informationen: