Als zu Beginn des vergangenen Jahres die Pandemie über China hereinbrach, beschloss die Regierung Taiwans drastische Maßnahmen: Sie führte den "digitalen Zaun" ein, ein System zur Überwachung von Quarantänemaßnahmen.

Die Gesundheitsbehörden können seither auf Handy-Ortungsdaten zurückgreifen und damit den Standort von Infizierten und Kontaktpersonen bestimmen. Verlässt eine quarantänepflichtige Person das Haus, bekommt sie eine Nachricht mit der Aufforderung, zurückzukehren. Tut sie das nicht, werden lokale Polizeibeamte informiert.

Mit seiner digitalen Bekämpfungsstrategie hielt Taiwan das Coronavirus weitestgehend in Schach. Die geografische Lage als Insel erleichterte den Umgang mit der Pandemie. Aber Taiwan war mit seiner Herangehensweise nicht allein – auch Staaten wie Südkorea oder Singapur erweckten den Anschein, die Infektionszahlen durch die Überwachung ihrer Bürger in den Griff zu bekommen. Oft werden die Länder daher als Vorbilder genannt. In Europa behindere dagegen der Datenschutz die Pandemiebekämpfung, heißt es dann. Aber ist das wirklich der Fall?

Einschränkungen möglich

So wie jedes Grundrecht kann auch der Datenschutz unter bestimmten Umständen beschränkt werden – nämlich dann, wenn der Schutz anderer Grundrechte eine Abwägung notwendig macht. Die Pandemie ist ein Paradebeispiel für solche Konflikte: Das Recht auf Leben steht auf der einen Seite. Die Rechte auf Datenschutz, Privatsphäre und Freiheit auf der anderen.

Damit ein staatlicher Eingriff gerechtfertigt sein kann, muss er stets verhältnismäßig sein, sagt Michael Lysander Fremuth, wissenschaftlicher Direktor des Ludwig-Boltzmann-Instituts für Grund- und Menschenrechte. Für sensible Daten, wie solche zur Gesundheit, sind die Anforderung besonders hoch.

Eingriffe sind aber jedenfalls möglich – in den Erwägungsgründen der DSGVO werden Maßnahmen gegen Epidemien sogar explizit als Ausnahmen angeführt, sagt Angelika Pallwein-Prettner, Anwältin für Datenschutz bei Binder Grösswang.

Weitreichende Melde- und Auskunftspflichten

Das österreichische Epidemiegesetz und die einschlägigen Covid-19-Bestimmungen sehen weitreichende Melde- und Auskunftspflichten sowie Möglichkeiten zur Datenauswertung vor. Auch Privatpersonen, etwa Restaurants oder Kulturbetriebe, können verpflichtet werden, bestimmte Informationen zu erheben und an die Behörden zu übermitteln.

Eingriffe in das Grundrecht auf Datenschutz sind also weniger eine Frage des Ob, sondern eher eine Frage des Wie. So wäre eine verpflichtende Corona-App durchaus möglich gewesen. Dabei wäre es vor allem auf die konkrete Ausgestaltung angekommen – etwa darauf, welche Daten erhoben werden und welchen Schutz vor Missbrauch es gibt.

Im Fall der zuletzt häufig diskutierten Vernetzung von Gesundheitsdaten muss unterschieden werden. Sind Daten ausreichend anonymisiert, ist das Grundrecht auf Datenschutz gar nicht anwendbar. Das gilt etwa für Big-Data-Auswertungen, die herangezogen werden, um mit anonymen Bewegungsprofilen die Wirksamkeit der Lockdowns zu überprüfen.

Organisatorische Probleme

Die Vernetzung solch anonymisierter Gesundheitsdaten scheitere oft weniger am Datenschutz als an den organisatorischen Problemen bei den Behörden, sagt Georg Markus Kainz vom Datenschutzverein Quintessenz.

Bei der Vernetzung von personenbezogenen Daten stellen sich dagegen Fragen der Verhältnismäßigkeit. Im Fall von ansteckenden Krankheiten sah das Gesetz immer schon eine Meldepflicht des Arztes an die lokale Behörde vor. Dafür, dass auch übergeordnete Instanzen genau wissen müssen, welche Person erkrankt sei, gebe es aber keinen Grund, sagt Kainz. "Eine dezentrale Struktur reicht hier völlig aus. Alles andere wäre unverhältnismäßig."

Dass die datenschutzrechtliche Beurteilung einer Maßnahme stets von deren konkreter Ausgestaltung abhängt, zeigt auch die aktuelle Diskussion um den grünen Pass. Die Grundrechts-NGO Epicenter Works sieht die geplante Regelung zumindest auf EU-Ebene grundsätzlich nicht problematisch, wie der Aktivist Thomas Lohninger sagt: "Die DSGVO hat explizite Bestimmungen für Epidemien. Hier gibt es also keinen Widerspruch, sondern diese Krisentauglichkeit ist in der DSGVO von vornherein mit eingebaut", erläutert er.

"Ein vertrauensvoller Umgang mit Daten ist eine Voraussetzung für die Akzeptanz staatlicher Maßnahmen in der Bevölkerung." Problematisch sei allerdings die österreichische Umsetzung, die in ihrer Konzeption immer wieder beträchtliche Datenschutzprobleme aufgewiesen hat. Der aktuellste Entwurf würde Lohninger zufolge einem "Panoptikum" gleichen.

Gesellschaftlicher Konsens

Bisher wurde keine Corona-Maßnahme, die in das Grundrecht auf Datenschutz eingriff, vom Verfassungsgerichtshof als unverhältnismäßig aufgehoben. Die Datenerhebung in der Wiener Gastronomie wurde zwar gekippt, dies allerdings nur aus formalen Gründen. "Das Datenschutzrecht hätte durchaus Möglichkeiten geboten, im Interesse der öffentlichen Gesundheit weitere Maßnahmen zu setzen", sagt Pallwein-Prettner.

Der Gesetzgeber hätte die gesetzlichen Grundlagen dafür schaffen können, "das war politisch aber nicht gewollt". Ähnlich sieht das Fremuth: "Die Politik hätte womöglich auch anders abwägen und entscheiden können. Sie wollte sich allerdings nicht gegen einen weitreichenden gesellschaftlichen Konsens stellen."

Fragen des Datenschutzes scheinen gerade bei der Pandemiebekämpfung besondere Besorgnis auszulösen, meint Fremuth. Eingriffe in andere Grundrechte, etwa die Bewegungs- oder Erwerbsfreiheit, fielen allerdings deutlich intensiver aus. "Die Bewertung des Datenschutzes unterscheidet sich bei uns erheblich von der Haltung in anderen Weltregionen."

In Taiwan und Südkorea, wo es keine vergleichbaren Standards gebe, stoße sich die Bevölkerung mehrheitlich auch nicht an den intensiven Eingriffen in den Datenschutz. "Wir unterscheiden in Europa strikter zwischen dem Individuum, der Gesellschaft und der staatlichen Sphäre", sagt Fremuth. "Auch im Hinblick auf die europäische Geschichte ist die ausgeprägte Skepsis vor einem Staat, der alles weiß, aber verständlich." (Jakob Pflügl, Muzayen Al-Youssef, 22.5.2021)