Jusletter IT

Proximity Tracing per Smartphone-App

  • Author: Simon Schlauri
  • Category of articles: TechLawNews by Ronzani Schlauri Attorneys
  • Region: Switzerland
  • Field of law: Data Protection
  • DOI: 10.38023/7c5e50b4-7601-4992-b5d9-8e87220e6874
  • Citation: Simon Schlauri, Proximity Tracing per Smartphone-App, in: Jusletter IT 27 Mai 2020

Inhaltsverzeichnis

  • 1. Was ist «Proximity Tracing»?
  • 2. Wie funktioniert ein Proximity-Tracing-System?
  • 3. Bedeutung des Nutzervertrauens für den Erfolg von Proximity Tracing
  • 4. Rechtliche Fragen
  • 4.1. Gesetzliche Grundlage
  • 4.2. Datenschutz
  • 4.3. Heilmittelrecht
  • 5. Das Problem der «Freiwilligkeit» der Nutzung der App insbesondere

1.

Was ist «Proximity Tracing»? ^

[1]

Die Hoffnung, die Corona-Pandemie bald unter Kontrolle zu bringen, wächst angesichts der stets abnehmenden Zahlen von Neuinfektionen. Mit einer Smartphone-App, mit der sogenanntes «Proximity Tracing» durchgeführt werden kann,1 soll der Kampf gegen ein Wiederaufflammen der Pandemie unterstützt werden.

[2]

Schon zu Beginn des Ausbruchs versuchten die Kantone, mit manuellem «Contact Tracing» mögliche Kontakte infizierter Personen ausfindig zu machen und in Quarantäne zu setzen, um die Verbreitung des Virus zu verlangsamen. Proximity Tracing ist ein Instrument, um diesen sehr aufwändigen manuellen Prozess durch Technik zu unterstützen.

[3]

Dabei sollen möglichst viele Personen (die Rede ist von sechzig und mehr Prozent der Bevölkerung, damit die Methode erfolgreich sein kann) auf ihrem Smartphone die App installiert haben.

2.

Wie funktioniert ein Proximity-Tracing-System? ^

[4]

Diese App erkennt über die «Bluetooth»-Kurzstreckenfunktechnologie, ob sich ein anderes Smartphone in der Nähe befindet, auf dem dieselbe App installiert ist.2 Dabei werden die Kontaktzeit und die Distanz der beiden Geräte gemessen. Werden eine vordefinierte Zeit über- und eine vordefinierte Distanz unterschritten (die Rede ist von 15 Minuten mit weniger als zwei Metern Abstand), so tauschen die beiden Geräte anonyme Codes aus, mit denen später erkannt werden kann, dass ein Kontakt bestand. Damit ein Nutzer nicht im Lauf der Zeit anhand seines Codes identifiziert werden kann, werden die von den Smartphones ausgesendeten Codes in zeitlich kurzen Abständen nach dem Zufallsprinzip erneuert.

[5]

Die ausgetauschten Codes werden nach dem Konzept «DP^3T» («Decentralized Privacy-Preserving Proximity Tracing»), welches insbesondere von einer Gruppe von Fachleuten rund um EPFL-Professor Marcel Salathé verfolgt wird, lokal in den Mobiltelefonen gespeichert. Wird beim Nutzer der App eine Infektion festgestellt, werden die anonymen Codes, die dessen App seit der Infektion an andere übermittelt hat, nach der Bestätigung durch einen Arzt in einer zentralen Datenbank abgelegt. Die Geräte der anderen Nutzer können diese Codes danach abrufen und mit den von ihnen beim Kontakt mit dritten Geräten übermittelten und lokal gespeicherten Codes vergleichen. Im Fall einer Übereinstimmung wird der Nutzer durch die App alarmiert, dass er mutmasslich mit einer infizierten Person in Kontakt war. Zugleich erhält der Nutzer Verhaltensanweisungen, beispielsweise die Empfehlung, eine Hotline anzurufen, wo dann insbesondere weiter abgeklärt werden kann, ob der Nutzer sich in Quarantäne begeben soll (die Einzelheiten dieses Verfahrens sind noch offen), und von wo aus ein «Handover» an die Behörden des zuständigen Kantons erfolgen kann.

[6]

Die zentrale Datenbank enthält ausschliesslich die nicht-personenbezogenen Codes der infizierten Personen, nicht aber Daten, die einen Rückschluss auf die infizierten Personen erlauben würden. Es werden m.a.W. keine Personendaten gespeichert. Weil sich die personenbezogenen Daten ausschliesslich lokal auf dem Mobiltelefon des Nutzers befinden, wird dieser Ansatz auch als «dezentral» bezeichnet. Dies im Gegensatz zu in der Anfangsphase des Proximity Tracing verfolgten Ansätzen mit zentraler Speicherung von Daten der betroffenen Personen.

3.

Bedeutung des Nutzervertrauens für den Erfolg von Proximity Tracing ^

[7]

Der Einsatz der App soll freiwillig erfolgen, weshalb das Vertrauen der Nutzer von grösster Bedeutung ist. Datenschutz und Geheimhaltung der Identität der Nutzer sind damit sehr wichtig.

[8]

Die App ist denn auch ein gutes Beispiel dafür, wie mit einer von Anfang an verfolgten Ausrichtung auf konsequenten Datenschutz (Privacy by Design; Art. 25 EU-DSGVO) die Verwendung von Personendaten auf ein absolutes Minimum reduziert werden kann (Datenminimierung; Art. 4 Abs. 2 DSG; Art. 5 (1)(c) EU-DSGVO): Personendaten werden überhaupt erst dann ausgetauscht, wenn die Person sich über die nächsten Schritte, wie etwa eine Quarantäne, informieren will. Das ganze Tracing bis und mit Feststellung möglicher Ansteckungsrisiken läuft bis zum Anruf bei der Hotline vollständig anonym.

4.

Rechtliche Fragen ^

[9]

Aus rechtlicher Sicht ergeben sich einige spannende Fragen.

4.1.

Gesetzliche Grundlage ^

[10]

Um das Vertrauen in das System zu stärken, soll zudem der Bund als Herausgeber der App fungieren. Zunächst stellt sich damit die Frage nach der gesetzlichen Grundlage, gestützt auf die der Bund ein solches System betreiben könnte.

[11]

Art. 31 Abs. 2 des Epidemiengesetzes EpG ist nach der hier vertretenen Auffassung eine genügende gesetzliche Grundlage für den Betrieb einer Tracing-App und einer Hotline durch den Bund. Die Norm regelt nämlich Contact Tracing («die Unterstützung der Kantone bei der Identifizierung und Benachrichtigung» möglicherweise infizierter Personen),3 und zwar in einer technologieneutralen Form. Die Details des Betriebs des Systems können gestützt auf diese Norm mittels Verordnung geregelt werden.4

[12]

Nach Art. 30 ff. EpG sind die Kantone grundsätzlich für den Vollzug der übrigen Massnahmen zuständig (so etwa medizinische Überwachung, Quarantäne, u.dgl.). Im Rahmen des aktuellen Notrechtsregimes («Ausserordentliche Lage» nach Art. 7 EpG) kann der Bundesrat zudem bei Bedarf im Prinzip zusätzliche Kompetenzen an den Bund ziehen. Dies ist jedoch nach der hier vertretenen Auffassung nicht nötig, weil das EpG bereits eine gesetzliche Grundlage bietet.

[13]

Die Entscheidung der beiden Parlamentskammern, vom Bundesrat für den Betrieb eines Systems für Proximity-Tracing eine gesonderte gesetzliche Grundlage zu fordern und dabei insbesondere darauf zu verweisen, dass man Notrecht für unangebracht halte,5 war m.E. insofern problematisch, als man sich damit womöglich eine nicht unerhebliche Verzögerung bei der Einführung des Proximity Tracing eingehandelt hat. Der Bundesrat wehrte sich denn auch gegen die entsprechenden Vorstösse.6

4.2.

Datenschutz ^

[14]

Aus Perspektive Datenschutz sind zwei Phasen zu unterscheiden:

[15]

In einer ersten Phase (eigentliches Proximity Tracing) wird die Anonymität strikt gewahrt. Es erfolgt nur ein Austausch anonymer Codes zwischen den Handys der Kontaktpersonen. Genau besehen könnte man daher vielleicht argumentieren, für diese Phase sei das Datenschutzgesetz gar nicht anwendbar, weil keine Personendaten bearbeitet werden. Im Prinzip ist aber beispielsweise durch das Betriebssystem eines Mobiltelefons ein Zusammenführen der Codes mit der betroffenen Person möglich, sodass im Zweifel von einer Anwendbarkeit des Gesetzes auszugehen ist.

[16]

In der zweiten Phase (ab dem Hotlineanruf des Nutzers) muss der Nutzer aber selbstverständlich identifiziert werden, um die genannten Schritte (Tests, Qurantäne, etc.) durchzuführen, sodass Personendaten vorliegen.

[17]

Dabei muss zu jedem Zeitpunkt, also auch während der zweiten Phase, sichergestellt werden, dass die während der ersten Phase erhobenen anonymen Daten (zwischen den Mobiltelefonen ausgetauschte Codes) nicht mit der betroffenen Person in Verbindung gebracht werden können.

[18]

Die in der zweiten Phase bearbeiteten Daten unterstehen auf jeden Fall dem Datenschutzgesetz. Weil die Nutzung der App, und auch die weiteren Schritte freiwillig sind, und weil es sich dabei um (besonders schützenswerte) Gesundheitsdaten handelt, ist eine ausdrückliche, informierte Einwilligung der betroffenen Person für die Bearbeitung dieser Daten nötig (Art. 17 Abs. 2 Bst. c i.V.m. 4 Abs. 5 DSG; vgl. auch Art. 9(2)(a) EU-DSGVO). Diese könnte aber beispielsweise in der App eingeholt werden, bevor die Hotline angerufen wird.

[19]

Gestützt auf Art. 17a DSG können Pilottests durchgeführt werden, obwohl die vom Parlament geforderte formell-gesetzliche Grundlage für Proximity Tracing noch fehlt.

[20]

Der Bundesrat hat denn auch am 14. Mai 2020 eine Verordnung verabschiedet, um einen solchen Testbetrieb aufzunehmen.7 Anders als im Parlament teils zu hören war,8 geht der Bundesrat aber offenbar nicht davon aus, dass gestützt auf Art. 17a DSG auch ein breiter Test oder gar normaler Rollout der App unter Mitwirkung der ganzen Bevölkerung möglich wäre. Immerhin sieht Art. 6 Abs. 1 Bst. e der Verordnung aber eine Mitwirkung von Mitgliedern von Vereinigungen der Zivilgesellschaft vor (zu denken ist etwa an das Rote Kreuz, Pro Senectute oder die Digitale Gesellschaft). Das ursprüngliche Ziel, mit der App bereits während der Testphase eine positive Wirkung auf die Verbreitung des Virus zu erreichen, ist damit aber nicht erreichbar.

[21]

Es wäre zu hoffen, dass der Bundesrat hier angesichts der klaren Auffassung des Parlaments, den Rollout der App mit seiner Forderung nach einer gesetzlichen Grundlage nicht zu verzögern, Pragmatismus walten lässt und die Testmöglichkeiten möglichst weit öffnet.

4.3.

Heilmittelrecht ^

[22]

Die App ist nach der vorliegend vertretenen Auffassung nicht als Medizinprodukt zu sehen (im Sinne von Art. 4 Abs. 1 Bst. b Heilmittelgesetz bzw. Abs. 1 Medizinprodukteverordnung), denn sie wird nicht für diagnostische oder therapeutische Zwecke eingesetzt (wie dies Art. 1 Abs. 1 Ingress Medizinprodukteverordnung voraussetzen würde), sondern nur zur Bestimmung des Risikos, ob eine Person dem Virus ausgesetzt worden sein könnte. Die eigentliche Diagnose einer COVID-19-Erkrankung erfolgt nicht gestützt auf die Tracing-App, sondern in jedem Fall durch einen nachgelagerten, gesonderten Test.

[23]

Ein heilmittelrechtliches Zulassungsverfahren ist damit nicht nötig.9

5.

Das Problem der «Freiwilligkeit» der Nutzung der App insbesondere ^

[24]

Sowohl das Parlament10 als auch die involvierten Kreise legten von Anfang an grossen Wert auf die Feststellung, dass nur ein freiwilliger Betrieb einer Proximity-Tracing-App überhaupt in Frage käme. Dies ergibt sich schon aus der pragmatischen Perspektive, dass eine zwangsweise Installation eine App auf Mobilgeräten der ganzen Bevölkerung kaum vorstellbar ist, beispielsweise weil es auch heute noch viele Personen gibt, die auf die Nutzung eines Smartphones ganz verzichten.

[25]

Ein weiterer Grund dafür, dass zumindest nach geltendem Recht nur eine freiwillige Nutzung des Systems überhaupt vorstellbar ist, liegt darin, dass das EpG – im Gegensatz zu Massnahmen wie ärztlichen Untersuchungen oder Quarantäne – im Fall des Contact Tracings keinen Zwang vorsieht, zumindest soweit der Bund wie vorliegend nach Art. 31 Abs. 2 EpG involviert ist.

[26]

Neben der Frage, ob die Installation der App freiwillig erfolgen soll, stellt sich die weitere Frage, ob diese Freiwilligkeit möglicherweise indirekt ausgehebelt werden könnte. So könnten öffentliche Verkehrsbetriebe auf die Idee kommen, die Benützung ihrer Verkehrsmittel nur noch zu erlauben, wenn der Kunde die Tracing-App installiert hat. Angesichts des Problems, dass manche Leute gar nicht über ein Smartphone verfügen, auf dem sie eine Tracing-App installieren könnten, liefe eine solche Vorgabe durch einen Staatsbetrieb jedoch auf eine unzulässige Diskriminierung bzw. Verletzung des verfassungsmässigen Gleichbehandlungsgrundsatzes hinaus (Art. 8 BV).

[27]

Weitere Bedenken wurden dahingehend geäussert, dass beispielsweise Arbeitgeber geneigt sein könnten, von ihren Mitarbeitern den Einsatz der App zu verlangen.11 Eine entsprechende Kontrolle könnte indessen nicht ohne eine Bearbeitung besonders schützenswerter Personendaten (Gesundheitsdaten) des Mitarbeiters durchgeführt werden. Die Bearbeitung von Personendaten ist jedoch nach Art. 328b Obligationenrecht ausschliesslich im Bewerbungsprozess und zur Durchführung des Arbeitsvertrags zulässig (also etwa für Lohn- und Stundenabrechnung, o.dgl.). Nachdem die Überprüfung des Gesundheitszustandes des Mitarbeiters für die Durchführung des Arbeitsvertrages nicht direkt notwendig ist (vorstellbar wären vielleicht Einzelfälle bei Mitarbeitern, die Risikogruppen betreuen, etwa in Altersheimen), und nachdem die App insbesondere gar keine Sicherheit über das Fehlen einer Infektion liefert, sondern nur Hinweise darauf, dass ein Risiko einer Ansteckung besteht,12 würde ein solcher Zwang nach der hier vertretenen Meinung Art. 328b OR verletzen.

[28]

Ein Risiko, dass auch in anderen privatrechtlichen Vertragsverhältnissen, etwa im Verkauf oder bei Dienstleistungen, die Vorweisung der App verlangt würde,13 liegt m.E. eher fern, zumal der Anbieter bei einem solchen Vorgehen auf einen nicht unerheblichen Anteil seiner Kunden verzichten müsste (bei der geforderten Durchdringung der Bevölkerung mit der App von 60% wären das 40%), und zumal auch eine App wie gesagt keine wirkliche Sicherheit bietet, dass eine Person auch gesund ist. Dennoch sieht der Bundesrat in seinem Entwurf für eine Revision des EpG vom 20. Mai 2020 vor (FN 9), dass, mit Busse bestraft werden soll, wer eine von ihr oder ihm angebotene Leistung, die für die Allgemeinheit bestimmt ist, einer Person verweigert, weil diese am PT-System nicht teilnimmt (Art. 60a Abs. 3).

Simon Schlauri

  1. 1 Diverse Autoren (darunter Marcel Salathé, EPFL), Decentralized Privacy-Preserving Proximity Tracing, D3TP Whitepaper, abrufbar auf Github, tinyurl.com/ybbq6n5b.
  2. 2 Details etwa bei Bundesamt für Gesundheit, Fragen und Antworten, Swiss Proximitiy-Tracing-App (Swiss PT-App), 13. Mai 2020, tinyurl.com/yc25mmej. Einen guten Überblick verschafft auch die Darstellung unter tinyurl.com/ya4opuq9 (YouTube-Video).
  3. 3 Vgl. auch die Botschaft EpG, BBl 2010, 311 ff., 386.
  4. 4 Im Ergebnis gleich Kerstin Noëlle Vokinger, Die digitale Bekämpfung von Covid-19 und die Rolle des Bundes(-rates), sjz «Recht Aktuell», tinyurl.com/y8jwmwfw, Abschnitt II.C.
  5. 5 So die beiden gleich lautenden Motionen von SPK N und S, 20.3144 und 20.3168, Gesetzliche Grundlagen zur Einführung der Corona-Warn-App (Corona-Proximity-Tracing-App), tinyurl.com/y9dr394v.
  6. 6 Stellungnahme des Bundesrates vom 1. Mai 2020 zu den Motionen gem. FN 5.
  7. 7 Verordnung über den Pilotversuch mit dem «Swiss Proximity-Tracing-System» zur Benachrichtigung von Personen, die potenziell dem Coronavirus (Covid-19) ausgesetzt waren, AS 2020 1589 ff.
  8. 8 So etwa NR Balthasar Glättli, Nationalrat, Ausserordentliche Session Mai 2020, Dritte Sitzung, 05. Mai 2020, 15h30 (provisorischer Text);
  9. 9 Anders Vokinger (FN 4), Abschnitt II.B.; vgl. auch die Botschaft des Bundesrates vom 20. Mai 2020 zu einer dringlichen Änderung des Epidemiengesetzes im Zusammenhang mit dem Coronavirus (Proximity-Tracing-System), BBl 2020, 4471, sowie den zugehörigen Entwurf, BBl 2020, 4481.22.
  10. 10 Motionen SPK N und SPK S, 20.3144 und 20.3168; vorstehend FN 5.
  11. 11 Statt vieler etwa Adrienne Fichter, Es gibt gute Gründe, weshalb die Corona-App später kommt, in: Republik, 9. Mai 2020, tinyurl.com/ycq53tyk.
  12. 12 Insbesondere kann jederzeit eine Ansteckung durch einen Kontakt erfolgt sein, der das App nicht installiert hatte und somit keinen «Alarm» auslöst.
  13. 13 Vgl. Fichter (FN 11).