Corona-App unter der juristischen Lupe

Die Swiss-Covid-App gilt datenschutzrechtlich als zulässig. Ihre Einführung könnte indes über einen juristischen Haken stolpern: Falls die Mehrheit der Schweizerinnen und Schweizer nicht gewillt sein sollte, die App anzuwenden, dann würde ihre Einführung allenfalls gegen das Datenschutzgesetz verstossen.

By Ueli Grüter 

Demnächst will der Bund die Swiss-Covid-Tracing-App für die breite Bevölkerung lancieren. Als Jurist, der sich mit rechtlichen Aspekten der digitalen Welt befasst, habe ich die App daher genauer unter die Lupe genommen. Dabei ist auch von Bedeutung, dass die Fallzahlen der Neuinfektionen in den letzten Wochen markant gesunken sind. Sollte sich diese positive Entwicklung in nächster Zeit fortsetzen, könnte die Bereitschaft der Schweizer Bevölkerung sinken, die Tracing-App anzuwenden. Das hätte juristische Einschränkungen zur Folge, die der App einen Riegel schieben könnten (mehr dazu weiter unten unter dem Zwischentitel «Juristische Bewertung der Swiss-Covid-App»). 

Nichtsdestotrotz ist davon auszugehen, dass Covid-19 nicht der letzte Virus gewesen ist, der uns bedroht. Es macht also durchaus Sinn, die Swiss-Covid-App zu testen und zu prüfen, ob sie die Prinzipien des Datenschutzes erfüllt.    

Rechtliche Grundlage: Relativ enger Schutz der Persönlichkeit 

Am 13. Mai 2020 hat der Bundesrat eine Verordnung über den Pilotversuch mit der SwissCovid App erlassen. Darin umschreibt er die Rahmenbedingungen, insbesondere zum Schutz der Persönlichkeit, relativ eng. Zudem stützt sich der Betrieb der Swiss-Covid-App  während des Pilotversuchs auf Art. 17a Datenschutzgesetz (DSG) und das Epidemiengesetz (EpG). In einem Faktenblatt beschreibt das Bundesamt für Gesundheit (BAG) die Funktionsweise der Swiss-Covid-App und publiziert dazu auch eine Datenschutzerklärung (siehe dazu auch meinen Folgebeitrag Parlament ergänzt Epidemiengesetz mit Artikel zum Corona-Tracing).

So funktioniert die SwissCovid App 

Die Swiss-Covid-App sendet über Bluetooth verschlüsselte Identifizierungscodes in Form von sogenannten Prüfsummen aus. Das sind lange zufällige Zeichenketten. Wenn sich ein anderes Smartphone, auf dem dieselbe App installiert ist, für insgesamt mehr als 15 Minuten täglich in weniger als zwei Metern Abstand befindet, tauschen die Geräte ihre Prüfsummen aus. Diese enthalten keine Informationen zur Person des App-Nutzenden, zum Standort oder verwendeten Gerät. Hingegen registrieren die Geräte die Signalstärke des jeweils anderen Geräts, das Datum und die geschätzte Dauer der Annäherung. So entsteht eine lokale Liste mit Prüfsummen. Damit sind die epidemiologisch relevanten Begegnungen registriert.  

Als User oder Userin muss man weiter nichts unternehmen, als das Smartphone bei eingeschalteter Bluetooth-Funktion bei sich zu haben. Nach drei Wochen werden die Prüfsummen automatisch wieder vom Gerät gelöscht.  

Freie Entscheidung nach Alarmierung 

Wer als Userin oder User der Swiss-Covid-App positiv auf das Coronavirus getestet wird, erhält vom kantonsärztlichen Dienst einen sogenannten Covidcode. Damit kann er oder sie die Benachrichtigungsfunktion der App aktivieren. Ob Betroffene dies tun wollen oder nicht, können sie frei entscheiden. Solange eine verifizierte infizierte Person keine Meldung auslöst, werden keine Daten auf den Server des BAG hochgeladen. Aktivieren Betroffene indes die Benachrichtigungsfunktion, wird ein «temporärer Schlüssel» an den Server des BAG gesandt – so erfolgt eine anonyme Identifikation der Swiss-Covid-App der infizierten Person. Die Apps der übrigen Userinnen und User fragen den Server regelmässig nach derartigen Identifikationen ab. Befindet sich dort eine Identifikation einer infizierten Person, mit der andere Userinnen oder User eine relevante Begegnung hatten, erhalten diese von ihrer eigenen App einen entsprechenden Alarm. Diese Information erfolgt wiederum anonym. In der Folge können sich die Alarmierten wiederum frei entscheiden, ob sie die dafür vorgesehene Hotline anrufen und allfällige weiteren Schritte abklären. 

Im Falle einer Infektion eines Users oder einer Userin erfasst das BAG im Codeverwaltungssystem die folgenden Informationen: 

• den Freischaltcode, 
• das Datum, an dem die ersten Symptome aufgetreten sind, 
• das Testdatum, (falls die infizierte Person keine Symptome hatte), 
• den Zeitpunkt der Vernichtung dieser Daten. Die Daten des Codeverwaltungssystems werden innert 24 Stunden nach ihrer Erfassung gelöscht.  

Garantie des BAG: keine zentrale Speicherung von persönlichen Daten 

Das BAG versichert, es würden im Zusammenhang mit der Swiss-Covid-App keine persönlichen Daten oder Bewegungsdaten der App-User gesammelt. Ausserdem würden keine Daten bezüglich der beschriebenen Kontakte zentral gespeichert. Diese verblieben auf dem Smartphone. Es gäbe auch keine Verbindung zwischen den ausgesandten Prüfsummen und den Nutzenden der Geräte. Der Einsatz des Systems sei auf die Dauer der Pandemie begrenzt.  

Diese Bundesorgane und Partner stehen hinter der App 

Das BAG weist zudem darauf hin, dass die Swiss-Covid-App vom Eidgenössischen Datenschutzbeauftragten, dem Nationalen Zentrum für Cybersicherheit und der Nationalen Ethikkommission geprüft worden sei. Die App wird unterstützt vom Bundesamt für Informatik und Telekommunikation (BIT) sowie von den beiden Eidgenössischen Technischen Hochschulen Zürich und Lausanne. Entwickelt hat sie die Schweizer Firma Ubique. 

Dezentralisiertes System schliesst zentrale Profilbildung aus 

Ein Tracing-System benötigt eine Infrastruktur im Hintergrund. Dafür werden zentralisierte oder dezentralisierte Systeme angewendet. Das bei der Swiss-Covid-App eingesetzte dezentralisierte System folgt dem datenschutzrechtlichen Prinzip der Verhältnismässigkeit. Dabei verbleiben so viele Daten wie möglich auf den Geräten der Userinnen und User. Daten über stattgefundene Begegnungen werden zu keiner Zeit auf einem zentralen Server gesammelt. Ein Server existiert nur, um den Nutzenden der App zu ermöglichen, mit ihren eigenen Geräten festzustellen, ob es zu relevanten Begegnungen kam. Der Server nimmt keine Informationen auf, die Personen zugeordnet werden können. Er vergibt keine Identifikationscodes. Dadurch kann eine zentrale Profilbildung ausgeschlossen werden. Auch sind beim dezentralen Ansatz die Risiken von Zweckänderungen und Angriffen auf den Server geringer.  

Risikofolgeabschätzung durch externes Beratungsunternehmen 

Die Verantwortlichen der Swiss-Covid-App habe ein externes Beratungsunternehmen damit beauftragt, eine Risikofolgenabschätzung sowie einen Data Protection Impact Assessment Report zu erstellen. Basierend darauf kommt der Eidgenössische Datenschutzbeauftragte (EDÖB) zu folgendem Schluss: Die Applikation zeigt die für die Privatsphäre der Userinnen und User bestehenden Gefahren hinreichend auf. Sie begegnet diesen mit angemessenen Massnahmen. 

Datenschutzbeauftragter hält die App für datenschutzrechtlich zulässig 

Gemäss einer Stellungnahme vom 11. Mai 2020 erachtet der Datenschutzbeauftragte den Versuchsbetrieb der App nach Art. 17a Datenschutzgesetz (DSG) als datenschutzrechtlich zulässig.  

Identifikation möglich aufgrund persönlicher Erinnerungen  

Auch wenn das notabene dezentrale System der Swiss-Covid-App technisch anonym funktioniert, ist gemäss einer Feststellung des Datenschützers eine persönliche Identifikation von Betroffenen nicht auszuschliessen. So besteht eine Wahrscheinlichkeit, dass bei der Benachrichtigung eine möglicherweise gefährdete Person aufgrund ihrer Erinnerung an ihre Sozialkontakte der letzten Tage allenfalls Rückschlüsse auf die Identität der infizierten Person ziehen kann.  

Juristische Beurteilung der SwissCovid-App 

Bei der rechtlichen Beurteilung der Swiss-Covid-App geht es primär um datenschutzrechtliche Aspekte. Werden dabei die Prinzipien des Datenschutzgesetzes (DSG) eingehalten? Gemäss Art. 3 lit. a DSG fallen unter den Schutz des Datenschutzgesetzes lediglich Personendaten. Da das System der Swiss-Covid-App mindestens technisch völlig anonym funktioniert, könnte man sich auf den Standpunkt stellen, dass das System per se nicht unter das Datenschutzgesetz fällt.  

Swiss-Covid-App untersteht trotz Anonymität dem Datenschutzgesetz 

Interessant ist indes, dass der Datenschützer in seiner Stellungnahme vom 11. Mai 2020 zu einem anderen Schluss kommt: Darin schreibt er, dass es sich bei der Swiss-Covid-App um komplexe automatisierte Bearbeitungen grosser Mengen von Daten aus Smart-Device-Quellen der Bevölkerung handelt, die mit Meldungen und Code-Generierungen schweigepflichtiger Medizinalpersonen ergänzt werden. Aufgrund des Bezugs dieser Datenquellen auf Personen und deren Gesundheit würden auch der Personenbezug und die datenschutzrechtliche Sensibilität des Vorhabens als Ganzes offensichtlich.  

Obgleich die Teilnehmenden nicht identifiziert werden dürften, bleibe das System der Swiss-Covid-App namentlich mit Re-Identifikationsrisiken verbunden, denen mit technischen Vorkehrungen zum Schutz der Privatsphäre und informationeller Selbstbestimmung der Betroffenen entgegengetreten werden müsse.  Darum unterstellt der Datenschützer das Projekt dem Datenschutzgesetz und prüft die Einhaltung der entsprechenden Prinzipien. 

Ist die rechtliche Grundlage gegeben? 

Art. 13 Abs. 1 DSG verlangt für die Erfassung und Bearbeitung von personenbezogenen Daten entweder die Einwilligung des Betroffenen, ein überwiegendes privates oder öffentliches Interesse oder eine gesetzliche Grundlage. Die Anwendung der Swiss-Covid-App ist freiwillig. Interessierte werden vom BAG umfassend informiert und können bei einer allfälligen Aktivierung der App frei und explizit zustimmen, ob sie einen Alarm empfangen oder auslösen wollen. Zudem basiert der Betrieb der Swiss-Covid-App auf einer Bundesrats-Verordnung, die voraussichtlich im Juni 2020 durch eine Anpassung des Epidemiengesetzes (EpG) durch das Parlament abgelöst wird. Damit ist zweifelsohne eine genügende rechtliche Grundlage gegeben. 

Auch der Datenschutzbeauftragte geht in seiner Stellungnahme vom 11. Mai 2020 davon aus, dass beim Projekt der Swiss-Covid-App vor allem die datenschutzrechtlichen Prinzipien der Verhältnismässigkeit, der Zweckgebundenheit sowie der Datensicherheit relevant sind. 

Brisante Schlussfolgerung: Verhältnismässigkeit ist noch zu klären 

Das Prinzip der Verhältnismässigkeit gemäss Art. 4 Abs. 2 DSG verlangt, dass der Zweck für die Erfassung und Bearbeitung klar und transparent kommuniziert, notwendig und geeignet ist. Wie bereits dargelegt, ist dies in vielen Aspekten der Fall.  

Hingegen gibt es beim Prinzip der Verhältnismässigkeit einen bislang nicht beachteten brisanten juristischen Aspekt: Die Tracing-App erfüllt ihren Zweck nur dann, wenn sie mindestens 60 Prozent der Bevölkerung auf ihrem Smartphone aktivieren. Laut einer repräsentativen Umfrage der Zürcher Hochschule für Angewandte Wissenschaften ZHAW war diese Bereitschaft im April 2020 noch hoch: Damals wären 60 Prozent der befragten Personen bereit gewesen, die Swiss-Covid-App anzuwenden. Zwischenzeitlich sind die Zahlen der Neuinfektionen stark gesunken. Sollte dieser Trend anhalten, könnte die Bereitschaft der Bevölkerung abnehmen, die App zu nutzen.  

Hier liegt der Knackpunkt: Bei einer Bereitschaft, die deutlich unter 60 Prozent liegt, könnte die App ihren Zweck nicht mehr erfüllen – damit wäre der Einsatz der App im Sinne von Art. 4 Abs. 2 DSG nicht mehr verhältnismässig und geeignet.  

Empfehlung zum Verzicht – sofern die Bevölkerung abwinkt 

Was also soll geschehen, falls sich im Rahmen des Pilot- oder Vollbetriebs abzeichnen sollte, dass die Applikation die in sie gesetzten Erwartungen nicht erfüllen kann? In diesem Fall empfiehlt der Datenschützer dem BAG ausdrücklich, auf die Aufnahme des Vollbetriebs oder dessen Fortführung zu verzichten (sic!). 

Einhaltung des Prinzips der Zweckbindung 

Das Prinzip der Zweckbindung nach Art. 4 Abs. 3 DSG besagt, dass Daten nur zu dem Zweck verwendet werden dürfen, der den Betroffenen bei deren Erhebung klar und transparent kommuniziert wurde. Das BAG zeigt in seiner Dokumentation ausführlich auf, dass die von den App-Usern erhobenen Daten, sogar anonymisiert, ausschliesslich für den Betrieb eines Tracing-Systems verwendet und lediglich an Partner übermittelt werden, die das System notwendigerweise unterstützen. Zudem werden die Daten nach dem notwendigen Gebrauch nach relativ kurzer Zeit gelöscht. Damit kann festgestellt werden, dass das datenschutzrechtliche Prinzip der Zweckbindung bei der Swiss-Covid-App mit grosser Wahrscheinlichkeit eingehalten wird. 

Einhaltung des Prinzips der Datensicherheit 

Nach Art. 7 DSG müssen Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Aus den Unterlagen des BAG und des Datenschützers geht hervor, dass das Tracing-System der Swiss-Covid-App einer umfangreichen technischen und organisatorischen Prüfung unterzogen wurde. Dazu gehört auch eine Risikofolgenabschätzung sowie ein Data Protection Impact Assessment Report.  

Datenschützer hält die App per se für datenschutzfreundlich 

Schlussendlich hat der Datenschutzbeauftragte bei seiner Prüfung des Systems festgestellt, dass dessen Architektur auch der unter der EU-Datenschutz-Grundverordnung (DSGVO) wichtigen «Privacy by Design» folgt und somit per se datenschutzfreundlich ist.

• Weitere Informationen des Bundesamtes für Gesundheit finden Sie unter dem Titel «Tracing App des Bundes» Wissen, Einstellungen, Erklärungsfaktoren Studienbericht zur Bevölkerungsbefragung. Unter diesem Link beantwortet das BAG häufig gestellte Fragen zur SwissCovid App. 
• Unter folgenden Links werden die Swiss-Covid-App und deren Grundlagen ausführlich dokumentiert: https://github.com/DP-3T/, https://github.com/DP-3T/documents, https://github.com/admin-ch.