Kürzlich wurde bekannt, dass das Telekommunikationsunternehmen A1 "Bewegungsprofile" seiner Mobiltelefonnutzer der Regierung und dem Roten Kreuz zur Verfügung stellt. Durch diese Analysen der Bewegungsströme kann nämlich nachvollzogen werden, ob sich die Einwohner Österreichs an die von der Regierung verordneten Maßnahmen halten, diese daher wirksam und ausreichend sind – oder ob die Maßnahmen noch verschärft werden müssen.

Diese Daten ermöglichen daher eine ungleich genauere Lagebeurteilung im Vergleich zu Alternativmethoden und ermöglichen eine schnellere und genauere Vorgehensweise im Umgang mit und der Eindämmung des Coronavirus. Gerade die schnelle und zielgerichtete Ergreifung von Maßnahmen ist aber in dieser Situation – drastisch formuliert – lebenswichtig. Zwar steht die Notwendigkeit dieser Datenübermittlung somit grundsätzlich außer Streit, doch stellt sich dennoch die Frage nach der datenschutzrechtlichen Legalität dieser Aktion.

Alle Daten sind anonymisiert

Sowohl A1 als auch Invenium, ein Spin-off der TU Graz, mit dem die Analysen gemeinsam durchgeführt werden, betonen, dass es sich hierbei ausschließlich um anonymisierte Daten handle. Die Bewegungsanalysen sind somit nicht personenbezogen, sondern aggregiert, und eine betroffene Person kann daher nicht mehr eindeutig identifiziert werden. Dies würde die Datenverarbeitung aus dem Anwendungsbereich der Datenschutzgrundverordnung (DSGVO) sowie anderer datenschutzrechtlicher Bestimmungen ausnehmen, da diese immer auf einen Personenbezug abstellen.

Ob dies aber tatsächlich so ist, kann an dieser Stelle naturgemäß nicht beurteilt werden. Es stellt sich nämlich insbesondere die Frage nach dem Detailgrad der Datenaufbereitung. Im Rahmen einer Bewegungsanalyse eines Handys kann der Standortverlauf nämlich (technisch) durchaus bis ins letzte Detail analysiert werden. So wird der Start- und Endpunkt einer Tagesbewegung in den meisten Fällen auf den Wohnort deuten und lässt sich selbst ohne Verknüpfung des Bewegungsprofils mit dem Inhaber der Telefonnummer leicht herausfinden, beispielsweise über Kartendienste oder das Telefonbuch, wer an dieser Adresse wohnt.

Wenn aber, wie nach eigenen Angaben von Invenium, lediglich die Daten aus Mobilfunk-Signalisierungsnetzen verwendet werden, aus denen etwa hervorgeht, wann Smartphones mit welchem Mobilfunkmasten Kontakt aufnehmen, und bereits diese Daten von A1 nur anonymisiert zur Verfügung gestellt werden, dann ist eine solche Unschärfe gegeben, die eine Rückverfolgung auf eine bestimmte Person nicht mehr zulässt. Umso mehr hat dies zu gelten, wenn überdies immer nur Gruppen von je 20 Profilen zusammengefasst werden. Diese Ansicht wird auch von der Leiterin der Österreichischen Datenschutzbehörde, Andrea Jelinek, im "ZiB"-Interview vertreten.

Unter die Regeln der DSGVO

Was aber würde gelten, wenn diese Daten nicht anonymisiert wären, sondern beispielsweise nur "pseudonymisiert", sich ein Personenbezog daher grundsätzlich wiederherstellen ließe? Dann würde diese Analysetätigkeit sehr wohl unter die Regelungen der DSGVO fallen und wäre insbesondere eine Rechtsgrundlage notwendig, auf Basis derer die Übermittlung der Rohdaten von A1 an Invenium sowie der Analysedaten weiter an die Regierung gerechtfertigt wäre.

Für nichtsensible Daten, worunter Bewegungsprofile grundsätzlich fallen, wäre eine solche Rechtsgrundlage etwa Artikel 6 Absatz 1 lit. d) oder f) DSGVO, wonach die Verarbeitung (einschließlich einer Übermittlung) zulässig ist, wenn sie erforderlich ist, "um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen" beziehungsweise erforderlich ist "zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen".

Wie oben beschrieben, können die Analysedaten tatsächlich dazu beitragen, Personen zu schützen – und würde dieses Ziel im Rahmen einer Abwägung gegenüber den Geheimhaltungsinteressen der Mobilfunknutzer, insbesondere bei Implementierung entsprechender Pseudonymisierungsmaßnahmen, wohl überwiegen.

Zulässig bei schwerwiegenden Gefahren

Für besondere Kategorien personenbezogener Daten ("sensible Daten") sieht Artikel 9 Absatz 2 lit. h) DSGVO zudem speziell vor, dass eine Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren, zulässig ist. Im Größenschluss ist diese Rechtsgrundlage aber wohl auch auf die Verarbeitung nichtsensibler Daten anwendbar. In diesem speziellen Fall zu Zwecken der Epidemie- beziehungsweise Pandemiebekämpfung wäre daher sogar die Verwendung von personenbezogenen Daten zulässig.

Neben diesen rechtlichen Überlegungen ist aber meines Erachtens vielmehr der Dank an Invenium und A1 für die proaktive Zurverfügungstellung dieser notwendigen Daten auszusprechen und dass diese es der Regierung ermöglichen, in dieser besonderen Situation zielgerichtet und adäquat zu reagieren. (Christian Kern, 19.3.2020)