Die französische Mobilanwendung zum Nachverfolgen von Corona-Infektionsfällen hat generell grünes Licht von der nationalen Datenschutzbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) bekommen. Die CNIL erklärte, dass die App "StopCovid" auf Basis einer Regierungsverordnung und einer "vorübergehenden, freiwilligen Vereinbarung" mit den Nutzern rechtlich umgesetzt werden kann.

Frankreich will – im Gegensatz etwa zu Deutschland und vielen anderen EU-Staaten – über Bluetooth ausgetauschte Kennungen von Smartphone-Besitzern, die sich nahegekommen sind, zentral auf Servern der Regierung speichern und die Kontakte dort verfolgen. Die CNIL erinnert nun daran, dass eine Anwendung, die Kontaktdaten ihrer Benutzer automatisch aufzeichnet, einen Eingriff in deren Privatsphäre darstellt und daher "nur unter bestimmten Bedingungen zulässig ist". Darüber hinaus würden sensible Gesundheitsinformationen verarbeitet, sodass die Anforderungen an den Betrieb besonders hoch seien.

Privacy by Design

Die CNIL berücksichtigt dabei, dass keine Liste infizierter Personen erstellt werde, "sondern lediglich eine Liste von Kontakten, für die alle Daten pseudonymisiert sind". Das mit der Datenschutz-Grundverordnung (DSGVO) vorgeschriebene "Privacy by Design" werde so eingehalten. Die Anwendung könne so legal als "ergänzendes Instrument" zum manuellen Kontakt-Tracing durch die Gesundheitsbehörden und für eine schnellere Warnung möglicherweise Infizierter eingesetzt werden.

Um die "vollständige Übereinstimmung" der Datenverarbeitung mit der DSGVO zu gewährleisten, hat die CNIL aber einige Anforderungen an den Verordnungsentwurf und zu den Betriebspraktiken aufgestellt. Demnach muss der tatsächliche Nutzen des Systems nach seiner für Anfang Juni geplanten Einführung rasch "genauer untersucht werden". Die Dauer des Einsatzes der App sollte von den Ergebnissen solcher regelmäßigen Evaluierungen abhängig gemacht werden.

Die CNIL empfiehlt, vor allem die Nutzungsbedingungen des Antrags und die Verfahren zum Löschen personenbezogener Daten zu verbessern, spezifische Informationen für Minderjährige und deren Eltern bereitzustellen, das Widerspruchsrecht und andere Betroffenenansprüche nach der DSGVO in der Verordnung zu bestätigen. Zudem sollen die Entwickler einen "freien Zugriff auf den gesamten Quellcode der mobilen Anwendung und des Servers" ermöglichen.

(anw)