# taz.de -- Corona und Datenschutz: Die falsche Erzählung
       
       > Für die Coronabekämpfung müssen wir auf Datenschutz verzichten, heißt es
       > oft. Doch das ist ein Kurzschluss: Man kann beides verbinden.
       
 (IMG) Bild: Friseurbesuch: nur mit Angabe von persönlichen Daten bei Terminbuchung und Schnelltest möglich
       
       Ein Friseurbesuch vor der Pandemie sah so aus: Hingehen, Haare schneiden
       lassen, zahlen, fertig. Wer dabei einen Salon ohne Terminbuchung wählte und
       die Summe in bar beglich, bekam eine neue Frisur ohne persönlichen Daten zu
       hinterlassen.
       
       Heute dagegen muss man einen Termin buchen, unter Angabe von Telefonnummer
       und/oder E-Mail-Adresse. [1][Beim Schnelltesttermin] muss man zudem auch
       noch Postadresse und Geburtsdatum angeben. Und außerdem noch den
       Personalausweis vorlegen, damit sich niemand den Test für eine andere
       Person organisieren kann.
       
       All diese Daten akkumulieren sich auf Servern, bei Cloud-Diensten oder auf
       unternehmenseigenen Rechnern. Wie lange sie dort liegen, wie sie geschützt
       und mit welchen anderen Daten verknüpft sind und ob eine auf Papier
       geführte Kontaktliste oder ein Ausdruck je einen Aktenvernichter von innen
       sehen wird – das ist für Betroffene kaum zu erkennen.
       
       In den vergangenen Monaten war in Sachen Datenschutz vor allem eine
       Erzählung vorherrschend: Der Schutz der Privatsphäre in Europa im
       Allgemeinen und in Deutschland im Speziellen schwäche die Bekämpfung der
       Pandemie.
       
       Doch wenn man genauer hinschaut, entpuppen sich die angeführten Argumente
       als haltlos. So würde etwa, um ein häufig bemühtes Beispiel zu nennen, eine
       Überwachung sämtlicher Bürger:innen per GPS oder Mobilfunkzellen
       keineswegs dazu führen, Infektionsketten schneller zu unterbrechen. Denn
       die damit gewonnenen Standortdaten wären zu ungenau.
       
       ## Luft nach oben
       
       Und doch hat sich diese Erzählung durchgesetzt. Dabei ist das Problem eher
       umgekehrt. Diverse Maßnahmen im Rahmen der Pandemiebekämpfung führen zu
       einer Aushöhlung des Datenschutzes. Dabei bauen Datenschutz-Kritiker:innen
       gern Fallen, die dazu führen sollen, den Schutz der Privatsphäre und die
       Bekämpfung der Pandemie gegeneinander zu stellen. Dabei sollte die Frage
       doch lauten: Wie kann man beides so gut wie möglich miteinander
       vereinbaren? Da ist aktuell noch Luft viel nach oben.
       
       Erstes Beispiel: Schnelltests. Die Testzentren erheben bei der
       Terminbuchung oder Anmeldung in der Regel folgende Daten: Vor- und
       Nachname, Wohnadresse, E-Mail-Adresse, Telefonnummer und Geburtsdatum. Das
       ganze Paket also, und niemand scheint sich in den betroffenen Zentren mal
       gefragt zu haben, ob sie all diese Daten brauchen.
       
       Diese Frage wäre aber nicht nur sinnvoll, sondern auch Pflicht. So schreibt
       die europäische Datenschutzgrundverordnung in Artikel 5 den Grundsatz der
       Datensparsamkeit vor. Was also ist davon wirklich nötig? Die
       E-Mail-Adresse, um das Testergebnis zu schicken. Name und Geburtsdatum, um
       die Identität der getesteten Person zu verifizieren. Der Rest ist
       überflüssig.
       
       ## Datensparsamkeit nutzt
       
       Zudem könnten die erhobenen Daten spätestens nach Ablauf der Gültigkeit des
       Tests, also 24 Stunden nach der Durchführung, gelöscht werden. Das in
       Kombination mit Datensparsamkeit hätte noch einen weiteren Vorteil: Ein
       Angriff oder ein Datenleck wären weniger gravierend.
       
       Das ist keine Theorie. Es gab schon Fälle, in denen Unbefugte auf die Daten
       aus Testzentren zugreifen konnten. Mitunter waren gleich mehrere Städte
       betroffen, in denen Zentren die gleiche Software einsetzten. Dabei wurden
       die Sicherheitslücken teilweise durch dilettantische Fehler verursacht.
       
       Zweites Beispiel: die Impfdokumentation. Ärzt:innen müssen Impfungen,
       genau wie andere Behandlungen, dokumentieren. Während ein Patient bei
       seiner Hausärztin zumindest davon ausgehen kann, dass die persönlichen
       Daten in der Praxis verbleiben, ist im Fall der Impfzentren in der Regel
       nicht erkennbar, was mit den eigenen Daten passiert.
       
       ## Berlin – ein negatives Beispiel
       
       Mit schlechtem Beispiel voran geht hier etwa die Hauptstadt. Berlin hat
       nicht nur die Buchung der Termine an einen externen Anbieter ausgelagert
       (wie etwa auch Schleswig-Holstein an das Unternehmen Eventim), sondern auch
       die Dokumentation. Das betrifft beispielsweise die kompletten Anamnesebögen
       – inklusive Daten zu schweren und chronischen Vorerkrankungen oder
       Allergien. [2][Die landen über den Anbieter Doctolib auf Servern von AWS,
       Amazon Web Services.]
       
       Drittes Beispiel: Kontaktnachverfolgung. Hier ist in den vergangenen
       Monaten vor allem [3][die Luca-App negativ] aufgefallen. Die soll dazu
       dienen, die bislang nur teildigitalisierte Kontaktnachverfolung der
       Gesundheitsämter schneller zu machen. Ob die App für dieses Ziel taugt, ist
       schon angesichts von Konzeptionsfehlern fraglich. Dazu kommen zahlreiche
       Sicherheitslücken und Datenschutzverstöße.
       
       Dass dennoch diverse Kommunen und Bundesländer sie einsetzen wollen oder
       das bereits tun, hat – neben gutem Marketing der App-Unternehmer:innen –
       einen politischen Grund. Die Infektionsschutzverordnungen der Bundesländer
       sahen standardmäßig vor, bei dem Besuch eines Veranstaltungsorts oder
       Restaurants die persönlichen Daten von Besucher:innen erfasst werden
       müssen.
       
       ## Es ist noch nicht vorbei
       
       Angelehnt war diese Vorschrift an die Bedürfnisse der Gesundheitsämter.
       Doch das lässt außer Acht, dass Kontaktnachverfolgung spätestens mit der
       Corona-Warn-App auch ohne die Angabe persönlicher Daten machbar ist.
       
       Diese Erkenntnis kommt jedoch erst langsam in den entsprechenden
       Landesverordnungen an. Die Folge ist: Es wurden Gelder ausgegeben und
       politische Weichen gestellt für die Nutzung einer mutmaßlich nicht legal
       nutzbaren, weil datenschutzverletztenden App. Diese Weichen – Stichwort
       Pfadabhängigkeit – werden wiederum die Grundlage dafür legen, dass
       weitaus mehr Datensammlungen entstehen werden, als für die
       Pandemiebekämpfung notwendig wäre.
       
       Die Pandemie wird nicht morgen vorbei sein. Die Maßnahmen, von Schnelltests
       bis zur Kontaktnachverfolgung, werden noch eine Weile erhalten bleiben. Um
       so wichtiger ist es, den Schutz der Privatsphäre mitzudenken.
       
       29 May 2021
       
       ## LINKS
       
 (DIR) [1] https://www.datenschutz-notizen.de/corona-schnelltests-in-schulen-datenschutz-nicht-vergessen-1929779/
 (DIR) [2] https://www.datenschutz-notizen.de/datentransfer-zu-aws-in-den-usa-rechtmaessig-unter-bedingungen-4929420/
 (DIR) [3] https://praxistipps.chip.de/luca-app-kritik-datenschutz-so-sicher-ist-die-luca-app_131927
       
       ## AUTOREN
       
 (DIR) Svenja Bergt
       
       ## TAGS
       
 (DIR) Schwerpunkt Coronavirus
 (DIR) Datenschutz
 (DIR) Schwerpunkt Coronavirus
 (DIR) Schwerpunkt Coronavirus
 (DIR) Schwerpunkt Coronavirus
 (DIR) Schwerpunkt Coronavirus
 (DIR) Schwerpunkt Coronavirus
 (DIR) Schwerpunkt Coronavirus
 (DIR) Datenschutz
 (DIR) Datenschutz
 (DIR) Schwerpunkt Coronavirus
 (DIR) Schwerpunkt Coronavirus
 (DIR) Michael Müller
       
       ## ARTIKEL ZUM THEMA
       
 (DIR) Neues Infektionsschutzgesetz: Nächstes Level für die Corona-App
       
       Das neue Infektionsschutzgesetz erlaubt es den Bundesländern, zur
       Kontaktverfolgung stärker auf eine datensparsame App zu setzen.
       
 (DIR) Corona-App zur Kontakverfolgung: Klage gegen Luca-Lizenz abgelehnt
       
       Ein Konkurrent klagte gegen die Beschaffung der umstrittenen App. Nun
       urteilte das Gericht, der Kläger hätte die Ausschreibung eh nicht gewonnen.
       
 (DIR) Sicherheitsmängel beim Schnelltest: Konsequent ungeschützt
       
       Datenschutz und Corona-Schnelltest gehen aktuell kaum zusammen. Das ist
       gefährlich. Wenn private Daten im Netz kursieren, droht
       Identitätsdiebstahl.
       
 (DIR) Corona-Schnelltestzentren: Datenlecks bei Gesundheitsdiensten
       
       IT-Expert:innen entdecken Sicherheitslücken bei zwei Anbietern.
       Gesundheitsdaten und persönliche Daten könnten an Unbefugte gelangt sein.
       
 (DIR) Big Brother Award für Online-Plattform: Negativpreis für Doctolib
       
       Der Datenschutzverein Digitalcourage zeichnet die Online-Plattform in der
       Kategorie Gesundheit aus. Es gebe zahlreiche Probleme mit der Transparenz.
       
 (DIR) Tracking im Netz: Beschwerdewelle gegen Cookies
       
       Die Banner auf Webseiten sind selten legal. Datenschützer:innen gehen
       daher nun gegen mehrere hundert Unternehmen vor.
       
 (DIR) Datenschutzexperte über die Luca-App: „Haufenweise Sicherheitslücken“
       
       Bei der Kontaktverfolgungs-App Luca werden immer mehr Probleme deutlich.
       Der Datenschutzexperte Malte Engeler beschreibt die App als
       Überwachungssystem.
       
 (DIR) Luca-App startet in Berlin: Konsum first, Datenschutz second
       
       Die App zur Kontaktverfolgung ist Ende der Woche in ganz Berlin
       einsatzbereit, sagt die Senatskanzlei. Dabei sind viele Datenschutzfragen
       ungeklärt.
       
 (DIR) Diskussion über Luca-App in Berlin: Linke fordert Nachbesserungen
       
       In Berlin hat der Regierende die Luca-App offenbar im Alleingang bestellt.
       Die Linke kritisiert nun den mangelhaften Datenschutz.