Telekom gibt Handy-Standortdaten weiter: Daten dürfen Leben retten

Am Mittwoch wurde bekannt, dass die Deutsche Telekom anonymisierte Bewegungsdaten an das Robert-Koch-Institut (RKI) weitergegeben hat. Die Wissenschaftler können die Daten nutzen, um den Erfolg von Maßnahmen gegen die Ausbreitung des Coronavirus besser zu überprüfen. Nun streiten sich Juristen, ob das zulässig war.

Während der Europäische Datenschutzbeauftragte die Anonymisierung von Telefondaten als technisch schwierig ansieht, hält der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) dieses Vorgehen bereits für datenschutzrechtlich vertretbar. Unter anderem auf Twitter entbrannte eine Diskussion darüber, wie weit der Staat im Kampf gegen Corona gehen dürfe. Stehen wir kurz vor einer unverhältnismäßigen Vollüberwachung der Bevölkerung oder gebietet es der öffentliche Gesundheitsschutz - gerade in der heutigen Zeit, in der uns moderne Technologien zur Verfügung stehen -, auch private Datenquellen zu verwenden, um gegen eine zu schnelle Verbreitung des Virus vorzugehen?

Die sprichwörtliche (und datenschutzrechtliche) Musik dieses Falls spielt dabei gar nicht so sehr bei der Frage, ob das RKI anonymisierte Daten verwenden darf, sondern auf der Stufe davor: Handelt es sich tatsächlich um anonymisierte Daten? Und wenn ja, wurden datenschutzrechtliche Anforderungen an eine solche Anonymisierung eingehalten?

Und raus bist Du: Die Krux mit anonymisierten Daten

Gemäß ErwG 26 S. 5 Datenschutz-Grundverordnung (DSGVO) sollen die Grundsätze des Datenschutzes nicht für anonyme Informationen gelten. Anders ausgedrückt: Liegen erst einmal anonymisierte Daten vor, hat das Datenschutzrecht keine Bedeutung mehr.

Für die Anwendbarkeit der DSGVO ist es zwingend erforderlich, dass personenbezogene Daten verarbeitet werden. Deshalb ist vorliegend die datenschutzrechtlich entscheidendere Frage, ob die Daten der Handynutzer tatsächlich vollumfänglich anonymisiert wurden und welche datenschutzrechtlichen Grundsätze bei der Anonymisierung zu beachten sind.

So stellt sich die Frage: Wann ist von den in der DSGVO erwähnten "anonymen Informationen" auszugehen? Der europäische Gesetzgeber lässt den Rechtsanwender bei dieser Frage allein. Es gibt hierzu keine konkreten Vorgaben, weder organisatorischer noch technischer Natur. Klar ist nur: Ziel der Anonymisierung muss es seinen, den Bezug der Daten zu einer Person zu entfernen. Letztlich muss gewährleistet sein, dass weder der Verantwortliche selbst noch ein Dritter ohne unverhältnismäßigen Aufwand einen Bezug der Daten zu einer Person wiederherstellen können.

Der Europäische Gerichtshof (EuGH) schließt das Vorliegen personenbezogener Daten unter zwei alternativen Bedingungen aus: Entweder kann nachgewiesen werden, dass die Re-Identifizierung einer Person aus einem Datensatz unmöglich ist - oder aber die Re-Identifizierung würde gegen Gesetze verstoßen (EuGH, Urt. v. 19.10.2016, Az. C-582/14). Ob und welche Voraussetzungen die Weitergabe der anonymisierten Daten von der Telekom an das RKI erfüllt, ist aktuell nicht bekannt.

Wie anonymisiert man richtig? Und wie hat es die Telekom gemacht?

Zwar hat sich der BfDI bisher nicht abschließend dazu geäußert, wann seines Erachtens eine vollständige Anonymisierung personenbezogener Daten vorliegt. Aktuell läuft aber ein öffentliches Konsultationsverfahren zum Thema "Anonymisierung unter der DSGVO unter besonderer Berücksichtigung der TK-Branche", in dem interessierte und betroffene Kreise den Entwurf des BfDI zu diesem Thema kommentieren können. Eine ausdrückliche behördliche Maßgabe, ab wann man von einer Anonymisierung sprechen darf, steht also noch aus.

Andere Anhaltspunkte hat die ehemalige sogenannte Art.-29-Datenschutzgruppe geliefert. Sie war ein Gremium, das die Europäische Kommission im Datenschutz beraten hat. Die ihr angehörigen Experten unterschieden bereits im Jahr 2014 verschiedene Anonymisierungstechniken. Nach Ansicht der Art.-29-Datenschutzgruppe soll es bereits ausreichen, wenn die direkte Verbindung zwischen den Daten und der betroffenen Person durch Randomisierung entfernt wird. Heißt: Wenn der Verantwortliche die Daten auf einer Ebene zusammenfasst und dabei keine Einzelereignisse mehr identifizierbar sind, kann man den so entstandenen Datenbestand als anonym bezeichnen. Doch auch hier gilt: Gesetzliche Vorgaben, etwa in der Form von gesetzlich festgelegten Mindeststandards, fehlen.

Welche Techniken die Telekom nun konkret benutzt und wie das Ergebnis, also der anonymisierte Datenbestand, aussieht, ist aktuell nicht bekannt. Unklar ist auch, welche Anforderungen der BfDI hier an das Unternehmen stellte. Jedoch zeigen die obigen beispielhaften Ansichten aus Rechtsprechung und den Behörden, dass eine wasserdichte Anonymisierung wohl nur unter Einsatz von beträchtlichem Aufwand möglich ist.

"Verwendet" man beim Anonymisieren die Daten?

Neben dieser vor allem technisch und organisatorisch geprägten Ebene ist aber auch wichtig, dass die Anonymisierung datenschutzrechtlich zulässig ist. Dies mag auf den ersten Blick suspekt anmuten, da die Anonymisierung der Daten doch gerade im Sinne des Datenschutzes ist. Jedoch bestimmt das Datenschutzrecht auch, dass jeder Umgang mit personenbezogenen Daten - also auch ein Wegschneiden, Kürzen und wohl auch ein Anonymisieren - gewisse Anforderungen erfüllen muss.

Die DSGVO benennt in der Definition "personenbezogener Daten" in Art. 4 Nr. 1 DSGVO konkret Standortdaten als ein Beispiel, weshalb es sich jedenfalls vor der Anonymisierung durch den Telekommunikationsprovider um personenbezogene Daten handelt.

Überaus umstritten ist aber, ob der Vorgang der Anonymisierung an sich als "Datenverarbeitung" gemäß Art. 4 Nr. 2 DSGVO anzusehen ist. Unabhängig von den Details dieses Streits muss die Telekom die Daten jedenfalls irgendwie "verwenden", wenn sie diese anonymisieren will. Da das "Verwenden" von personenbezogenen Daten eine Datenverarbeitung nach Art. 4 Nr. 2 DSGVO darstellt, liegt es nahe, von einer Datenverarbeitung auszugehen, wenn der Bezug der Daten zu einer Person entfernt wird.

Damit ist die juristische Prüfung aber noch lange nicht abgeschlossen: Wenn man von einer Verwendung ausgeht, muss für die Anonymisierung zudem eine Rechtsgrundlage aus Art. 6 DSGVO vorliegen.

Die Eindämmung des Coronavirus als legitimer Zweck

Denkbar wäre natürlich, sich von jedem Kunden eine Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO einzuholen. Dies wäre angesichts der Masse an Kunden aber nicht nur unpraktisch. Jeder einzelne Kunde könnte seine Einwilligung für die Zukunft auch jederzeit widerrufen. Die Telekom dürfte also nicht darauf vertrauen, weiterhin anonymisierte Daten bereitstellen zu können.

Daneben dürfte eine Anonymisierung der Daten nach Art. 6 Abs. 1 S. 1 lit. b) DSGVO zur Erfüllung des Vertrages mit dem Kunden ebenfalls ausscheiden – warum sollte das erforderlich sein?
Eine Anonymisierung aufgrund einer gesetzlichen Verpflichtung (z. B. Art. 6 Abs. 1 S. 1 lit. c) DSGVO iVm. § 98 TKG) dürfte ebenfalls keine taugliche Rechtsgrundlage darstellen, da die Standortdaten nach dieser Regelung nur zur Bereitstellung von Telekommunikationsdiensten mit Zusatznutzen verarbeitet werden dürfen.

Relevanter dürfte vielmehr die Rechtsgrundlage der Interessenabwägung nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO sein. Die erforderlichen "berechtigten Interessen" der Telekom liegen schließlich vor: Sie ist daran interessiert, dem RKI bei dem Kampf gegen die aktuelle Pandemie zu helfen. Daneben liegen auch beachtenswerte berechtigte Interessen Dritter, nämlich der gesamten Bevölkerung, vor. Wenn mit den anonymisierten Daten, vereinfacht gesagt, Leben gerettet werden können, dann liegt dies im Interesse der Gesamtbevölkerung. Zudem wurde die Anonymisierung wohl nur für einen Zweck durchgeführt, nämlich zur Eindämmung des Coronavirus.

Überwiegende Interessen der betroffenen Personen, also der Kunden, deren Daten anonymisiert weitergegeben werden, sind dabei nicht anzunehmen. Der Schutz personenbezogener Daten besteht nach Auffassung des EuGH nämlich nicht absolut, sondern kann eingeschränkt werden (EuGH, Urt. v. 24.9.2019, Az. C-136-17). Der Schutz der Gesundheit der Gesellschaft und auch die Vermeidung weiterer negativer Folgen (etwa für die Gesamtwirtschaft) können insoweit triftige Gründe sein.

Ein DSGVO-Rattenschwanz

Liegt eine Verarbeitung personenbezogener Daten vor, so schließt sich ein ganzer Rattenschwanz an Pflichten aus dem Datenschutzrecht an. Insbesondere müssen Betroffene über die Verarbeitung ihrer Daten informiert werden.

Wie immer gibt es aber auch hier Ausnahmen. So zum Beispiel, wenn die Betroffenen schon über die erforderlichen Informationen verfügen. Das könnte der Fall sein, wenn Telekom-Kunden schon in der Vergangenheit darauf hingewiesen wurden, dass Daten aus ihrer Handynutzung eventuell anonymisiert und weitergegeben werden.

Der Autor Dr. Carlo Piltz ist Rechtsanwalt bei reuschlaw Legal Consultants und hat sich aufs Datenschutzrecht spezialisiert.

Der Autor Johannes Zwerschke ist Rechtsanwalt bei reuschlaw Legal Consultants und hat sich ebenfalls aufs Datenschutzrecht spezialisiert.