Datenschützer im Interview: „Corona-Warn-App spielt jetzt ihre Stärken aus“

Frage: Herr Kelber, welche Lehren ziehen Sie als Datenschutzbeauftragter aus bald zweieinhalb Jahren Pandemie?

Ulrich Kelber: Dass Gesetzesvorhaben und Projekte bei Datenschutzfragen immer dann gut laufen, wenn meine Behörde frühzeitig eingebunden wird. Je früher man uns beteiligt, umso wahrscheinlicher ist es, dass man kostspielige und zeitfressende Korrekturen am Ende vermeidet. Außerdem brauchen wir mehr durchdachte Digitalisierung, die in vielen Fällen sogar datenschutzfreundlicher wäre als eine Papierlösung. Und natürlich, dass eine Behörde selbst im Homeoffice-Modus weiter funktioniert, wenn man die entsprechenden Vorbereitungen getroffen hat.

Frage: Kritiker sagen, der Datenschutz habe den Kampf gegen das Virus ausgebremst. Was ist da dran?

Kelber: Ich glaube, was uns wirklich ausgebremst hat, waren kaputtgesparte und unzureichend ausgestattete Gesundheitsämter. Ich kann es nicht oft genug wiederholen: Keine einzige Maßnahme zur Pandemiebekämpfung ist am Datenschutz gescheitert. Es gab und gibt viele Falschinformationen, wo der Datenschutz angeblich gebremst hätte. Tatsache ist, dass die Datenschutzaufsichtsbehörden bei manchen Projekten vorher überhaupt nicht gefragt wurden. Manchmal haben wir sogar frühzeitig auf Probleme hingewiesen, wie beispielsweise bei einer fehlenden Rechtsgrundlage zu 3G am Arbeitsplatz. Das wurde leider erst sehr spät und dann mit viel Zeitdruck umgesetzt.

Frage: Sollte die Corona-Warn-App weiter genutzt werden?

Kelber: Auf jeden Fall. Die Corona-Warn-App spielt gerade jetzt ihre Stärken aus. Die Infektionszahlen sinken und es findet immer weniger Kontaktnachverfolgung statt. Andere Eingriffe in die Grundrechte der Bürgerinnen und Bürger wären jetzt nicht mehr verhältnismäßig, zum Beispiel die Erfassung von Kontaktdaten beim Restaurantbesuch. Die Corona-Warn-App warnt auch dann, wenn alle anderen Maßnahmen nicht mehr greifen.

Frage: Viele Daten sind ja aufgelaufen, in Teststationen, Restaurants, bei Arbeitgebern. Was muss damit geschehen?

Kelber: Bei einigen der Daten ist gesetzlich geregelt, dass sie noch für eine Weile gespeichert werden. Das gilt zum Beispiel für die Abrechnungsdaten von Schnelltests, damit man auch später noch möglichen Abrechnungsbetrug nachweisen könnte. Andere personenbezogene Daten, für die es keinen Speicherzweck mehr gibt, müssen gelöscht werden.

Frage: Das andere große Thema ist der Ukraine-Krieg. Hat die Bedrohung durch Cyberangriffe Auswirkungen auf den Datenschutz?

Kelber: Beim Datenschutz hat sich nichts an der Situation geändert. Sowohl die Ukraine als auch Russland sind datenschutzrechtlich sogenannte Drittstaaten ohne Angemessenheitsbeschluss. Die Übertragung personenbezogener Daten ist also nicht ohne weiteres erlaubt.

Frage: Was sollten Bürger und Unternehmen dennoch beachten?

Kelber: Privatpersonen sollten auf sichere verschlüsselte Kommunikation achten, wenn sie mit Personen aus der Ukraine oder Russland kommunizieren. Unternehmen können jetzt natürlich auch zum Ziel von Hackerangriffen werden. Deshalb sollten sie ihre IT-Infrastruktur endlich entsprechend schützen. Und sie sollten ihr Personal informieren und warnen. Man sieht gerade, dass es in den letzten Monaten verstärkt gut gemachte Phishing-Mails gab, also Emails, mit denen die Angreifer versuchen, Logindaten zu erbeuten. Wenn möglich sollte deshalb zusätzlich immer auf die Warnungen und Hinweise des Bundesamts für Sicherheit in der Informationstechnik geachtet werden.