Daten zum Coronavirus sammeln: Rechtliche Grenzen
Auch wenn der Lockdown inzwischen gelockert worden ist: Die persönliche Bewegungsfreiheit ist nach wie vor eingeschränkt. Sogenannte Contact Tracing Apps könnten möglicherweise helfen, Kontakte zwischen Infizierten und gesunden Bevölkerungsgruppen besser zu kanalisieren. Doch was sagt der Datenschutz dazu?
Die Idee ist natürlich bestechend: einfach um jene Personen einen weiten Bogen machen zu können, die sich mit dem Coronavirus infiziert haben. Doch wie weiss man, wer das Virus in sich trägt, aber keine Krankheitszeichen aufweist? Woran erkennt man jemanden, der immun ist? Und überhaupt: Welche Übertragungswege schlägt das Virus in der Bevölkerung ein? Über diese Fragen streiten sich derzeit nicht nur viele Experten, sondern es werden auch verschiedene technologische Applikationen geprüft, welche helfen sollen, diese Fragen zu beantworten. Die Crux: Es geht dabei um Gesundheits- bzw. Patientendaten. Diese gelten datenschutztechnisch als besonders schützenswert. Und schützenswerte Daten dürfen ohne Einwilligung des/der Betroffenen nicht weitergegeben werden. Dies scheint nun in Konflikt zu stehen mit vielen Massnahmen, die im Rahmen der Covid-19-Verordnung des Bundesrats beschlossen worden sind resp. vom BAG empfohlen werden. Ein Webinar von Weblaw AG befasste sich am 21. April 2020 mit Praxisfragen rund um das Coronavirus aus rechtlicher Sicht. Ein paar Erörterungen haben wir in den folgenden Abschnitten zusammengetragen.
Datenschutz im Betrieb
Im Zuge der Covid-19-Pandemie erhalten Fragen rund um das betriebliche Gesundheitsmanagement sprichwörtlich eine erhöhte Virulenz. Arbeitgeber sind darauf angewiesen, dass nicht zu viele Mitarbeitende krankheitshalber ausfallen. Vorbeugende Massnahmen wie z.B. Split Work, Homeoffice, wo dies möglich ist, oder gar die komplette Einstellung des Betriebs scheinen sich bisher bewährt zu haben. Doch was, wenn nun in einer Firma tatsächlich ein Covid-19-Fall auftritt? Welche Gesundheitsangaben dürfen, ja müssen Arbeitgeber und betroffene Mitarbeitende weitergeben? Diese Fragen regeln im Grundsatz Art. 328b im Obligationenrecht sowie die den Gesundheitsschutz betreffenden Artikel im Arbeitsgesetz. «Was arbeitsrechtlich geboten ist, bedarf keiner Einwilligung», erklärt Jurist Dr. David Vasella, Partner bei der Kanzlei Walder Wyss AG in Zürich. Mitarbeitende müssen demnach im Rahmen ihrer Treuepflicht gegenüber dem Arbeitgeber informieren, wenn sie unter Covid-19 leiden. Und zwar müssen sie Angaben machen betreffend Dauer der Arbeitsunfähigkeit, mögliche Infektionen Dritter, oder auch mitteilen, wenn sie sich kürzlich in einem Risikogebiet aufgehalten haben oder eine im gleichen Haushalt lebende Person an Covid-19 erkrankt ist. Mit diesen Informationen leisten Mitarbeitende einen Beitrag zur Risikobeurteilung durch den Arbeitgeber für den gesamten Betrieb. Umgekehrt muss der Arbeitgeber den Mitarbeitenden informieren, wie er diese Informationen verwendet. Im Zusammenhang mit seiner Fürsorgepflicht muss der Arbeitgeber zudem andere Mitarbeitende über Verdachtsfälle und Infektionen informieren. Auch hier ist also die Weitergabe von Gesundheitsdaten erlaubt, «in sinnvollem Rahmen und nach Ankündigung gegenüber dem betroffenen Mitarbeitenden», erläutert David Vasella. «Grundsätzlich hat aber eine solche Information ohne Namensnennung zu erfolgen», so der Experte weiter. Es sei denn, es gehe um die Prüfung von Kontakten mit anderen Mitarbeitenden, die dann allenfalls in Quarantäne geschickt werden müssten.
Covid-19-Tests durch Arbeitgeber?
In China sind viele Unternehmen, die nach dem vollständigen Shutdown ihren Betrieb wieder aufgenommen haben, dazu übergegangen, Mitarbeitende vor Arbeitsbeginn auf Symptome zu testen. Wäre dies aus Sicht des Datenschutzes auch in der Schweiz zulässig? Darf ein Arbeitgeber nach Symptomen fragen? «Ja», sagt Experte David Vasella. Auch das Messen von Fieber sowie der Einsatz thermografischer Kameras ist zulässig, «soweit es auch sinnvoll ist», wie er ergänzt. Auch Speichel- und Bluttests wären zulässig, wenn sich diese Methode besser eignet als Fiebermessen. Allerdings dürfen diese Tests nur durch geschultes Personal durchgeführt werden. Grenzen setzt das Datenschutzgesetz hier aber, wenn es um die Weitergabe von personalisierten Informationen geht. Dies wäre etwa dann der Fall, wenn solche Tests in ausländischen Labors ausgewertet werden müssen. Zu diesem Zweck müssen die Daten anonymisiert werden, etwa durch einen Barcode.
Doch wie steht es um die Daten, die das BAG täglich als «Fallzahlen» publiziert? Sind das nicht auch Patientendaten, die dem Datenschutz unterstehen? Die Antwort darauf liefert das Epidemiegesetz (EpG). Dieses verpflichtet Ärzte und Laboratorien, klinische Befunde via ein Meldeformular ans BAG weiterzuleiten. Das Ziel dahinter besteht in der Früherkennung und Überwachung übertragbarer Krankheiten. Zu diesem Zweck sind Bekanntgaben von Personendaten im Sinne eines Informationsaustauschs zwischen Behörden zulässig (EpG Art. 59).
Contact Tracing Apps: «Emotional geladenes Thema»
Umstritten – nicht nur in der Schweiz – ist der mögliche Einsatz von sogenannten Contact Tracing Apps. Epidemiologen wie z.B. Marcel Salathé von der EPFL sehen darin ein taugliches Mittel, um die Verbreitungswege des Virus besser erkennen zu können. Es gibt bereits etliche Anbieter von Apps, die vor Kontakten mit möglicherweise infizierten Personen warnen. Auch die EPFL und die ETH arbeiten an einer solchen Lösung, sind kürzlich aber aus einem internationalen Projekt wieder ausgestiegen – wegen mangelnder Transparenz darüber, was mit den notwendigerweise gesammelten Daten passieren soll. Und gerade diese Frage lässt die Diskussion über solche Apps «emotional» werden, wie lic. iur. David Rosenthal, Sekretär des Vereins Unternehmens-Datenschutz (VUD), feststellt. Er verweist dabei auf kürzlich in der Tagespresse erschienene Artikel über die Gefahr von möglichen Übergriffen auf Personen, die via App als «infiziert» gemeldet werden. Und auch die Frage, ob solch breite Überwachungsmöglichkeiten nicht weiteren Missbräuchen Tür und Tor öffnen würden, spaltet Befürworter und Gegner.
Technisch existieren zwei Lösungsansätze: Südkorea, das häufig als Beispiel zitiert wird, praktiziert etwa das GPS Location Tracking. Dort werden Aufenthaltsorte von Personen, die sich via App als «infiziert » oder «nicht infiziert» deklarieren, aufgezeichnet. Aus diesen Informationen können z.B. Karten mit «Gefährdungspunkten», also Orten, wo sich eine infizierte Person aufhält, generiert werden. Der in Europa favorisierte Lösungsansatz basiert auf der Bluetooth-Technologie. Die Tracing App sendet dabei eine anonyme, wechselnde Kennung an alle Mobilgeräte in der nahen Umgebung aus. Befindet sich also die Kennung einer infizierten Person in der Nähe, erfolgt eine Warnung. Voraussetzung ist aber, dass positiv getestete Personen diesen Befund einem zentralen Server mitteilen.
Welche Lösung auch immer propagiert wird: Sie muss «datenschutzkonform » sein. Gemäss David Rosenthal ist dies weitgehend der Fall, denn meistens liegen keine gar keine Personendaten vor. Das heisst, das Datenschutzgesetz würde hier gar keine Anwendung finden. Anders aber der «gefühlte Datenschutz»: Dort geht es im Wesentlichen um die Fragen, wie wohl es den Benutzern bei der Sache ist und für wie wahrscheinlich sie einen Missbrauch durch die Provider der App erachten. Hierüber streiten sich gegenwärtig die Experten. «Und das ist Gift für den gefühlten Datenschutz», betont David Rosenthal.
Freiwilligkeit setzt Grenzen
Damit Contact Tracing Apps überhaupt etwas bringen, müssten über 60 Prozent der Bevölkerung als Nutzer mitmachen. Ob sich dies durch Freiwilligkeit erreichen lässt, darf bezweifelt werden. Dass man freiwillig eine App installiert, mag wohl noch kein Problem darstellen. Aber: Wer meldet schon gerne freiwillig eine Diagnose? Und wer begibt sich freiwillig darauf in Quarantäne, besonders wenn er sich nicht krank fühlt? Hier würde wohl nur eine autoritäre Lösung «à la chinoise» praktikabel sein … Und wer legt die Parameter fest und betreibt die zentrale Infrastruktur? Wie sieht ein Schutz vor sogenannten Trollen, also Nutzern, die aus Jux mit falschen Angaben operieren, aus? Solche Fragen bedürfen noch der Klärung.
Ebenfalls noch nicht geklärt ist die Frage, ob es sich bei solchen Contact Tracing Apps um Medizinprodukte handelt. Wenn ja, müssten diese einen Zulassungs- bzw. Zertifizierungsprozess durchlaufen. Das heisst, ein App-Hersteller müsste erst ein entsprechendes Gesuch an die Swissmedic richten. Aufgrund der aktuellen Lage würde aber ein solcher Prozess wohl recht unbürokratisch laufen und schnell eine Zulassung erteilt.
«An technischen Lösungen und Experten fehlt es nicht», bilanziert David Rosenthal. «Man sucht die perfekte Lösung, diese wird sich aber nicht finden lassen. Es besteht eine Gefahr des Overengineerings », so der Experte weiter. Nötig sei ein Reality Check, der auch plausible Missbrauchsszenarien vorsieht. Den rechtlichen Datenschutz erachtet Rosenthal nicht wirklich als Problem. «Der Bundesrat muss nun Nägel mit Köpfen machen, sonst bleibt es bloss eine Spielerei », mahnt er. Denn je länger man darüber diskutiert, desto höher wird das Misstrauen. Bis Redaktionsschluss war Folgendes bekannt: Gemäss Informationen aus dem BAG soll eine Eigenentwicklung der ETH ab 11. Mai in der Schweiz eingeführt werden.