Datenschutzerklärung

Contact Tracing App – Belgien

Version 1.2 14 April 2022

Die genaue Funktionsweise von Coronalert und der zugrundeliegenden Datenbanken sowie die diesbezüglichen Zuständigkeiten werden durch ein Zusammenarbeitsabkommen zwischen dem Föderalstaat, der Flämischen Gemeinschaft, der Wallonischen Region, der Deutschsprachigen Gemeinschaft und der Gemeinsamen Gemeinschaftskommission regelt für die gemeinsame Verarbeitung von Daten durch Sciensano und die von den zuständigen föderierten Teilgebieten oder von den zuständigen Agenturen bestimmten Kontaktzentren, Gesundheitsinspektionsdienste und mobilen Teams im Rahmen einer Kontaktermittlung bei (vermutlich) mit dem Coronavirus COVID–19 infizierten Personen auf der Grundlage einer Datenbank bei Sciensano.

Dieses Zusammenarbeitsabkommen regelt die verwendeten Datenbanken, insbesondere durch Artikel 14. Aus Gründen der Lesbarkeit wird in diesem Text systematisch auf Sciensano als die für die Bearbeitung der Datenbanken verantwortliche Person verwiesen. Aus Gründen der Lesbarkeit wird in diesem Text systematisch auf Sciensano als Verantwortlichen für die Datenbanken Bezug genommen, unbeschadet der Tatsache, dass die genannten Verordnungen den föderalen Einheiten bestimmte Verantwortlichkeiten in Bezug auf die Anwendung selbst zuweisen.

1. Einführung In Die Contact Tracing App

Die Contact Tracing App wurde im Zusammenhang mit dem Ausbruch des Coronavirus und auf Initiative der belgischen Regierung und der föderalen Einheiten entwickelt.

Die Contact Tracing App basiert auf einem Proximity Tracing System namens “Decentralized Privacy-Preserving Proximity Tracing” (“DP-3T-System”), das von einem internationalen Konsortium von Technologen, Rechtsexperten, Ingenieuren und Epidemiologen verschiedener Universitäten entwickelt wurde. Ausführlichere Informationen über das DP-3T-System sind öffentlich zugänglich unter https://github.com/DP-3T/documents. Darüber hinaus verwendet die Contact Tracing App das von Google und Apple entwickelte Exposure Notification System. Dieses Benachrichtigungssystem ermöglicht es der Anwendung zur Ermittlung von Kontaktpersonen, Benachrichtigungen an den Benutzer zu senden, wie weiter unten näher erläutert wird. Weitere Informationen über das Expositionsbenachrichtigungssystem finden Sie unter https://www.google.com/covid19/exposurenotifications/.

Die Benutzung der Contact Tracing App ist vollkommen freiwillig. Mit anderen Worten, es besteht keinerlei Verpflichtung, diese App zur Ermittlung von Kontaktpersonen zu installieren.

Die Contact Tracing App ist für den Einsatz in allen Ländern vorgesehen, die ebenfalls ein DP-3T-System verwenden. Das bedeutet, dass ein Benutzer der belgischen App zur Ermittlung von Kontaktpersonen, der ein solches Land besucht, auch Benachrichtigungen erhalten kann, dass er in einem solchen Land einem Risiko ausgesetzt war.

 

2. Wer ist der Verantwortlicher für die Anwendung zur Ermittlung von Kontaktpersonen?

Diese Anwendung zur Ermittlung von Kontaktpersonen unterliegt dem Zusammenarbeitsabkommen vom 25 August 2020zwischen dem Föderalstaat, der Flämischen Gemeinschaft, der Wallonischen Region, der Deutschsprachigen Gemeinschaft und der Gemeinsamen Gemeinschaftskommission in Bezug auf die gemeinsame Verarbeitung von Daten durch Sciensano und die von den zuständigen föderierten Teilgebieten oder von den zuständigen Agenturen bestimmten Kontaktzentren, Gesundheitsinspektionsdienste und mobilen Teams im Rahmen einer Kontaktermittlung bei (vermutlich) mit dem Coronavirus COVID–19 infizierten Personen auf der Grundlage einer Datenbank bei Sciensano (im Folgenden „Zusammenarbeitsabkommen vom 25. August 2020“ genannt.

Diese App zur Ermittlung von Kontaktpersonen wird von den regionalen Gesundheitsverwaltungen angeboten und Sciensano ist für die Server-Infrastruktur der App verantwortlich. Sciensano ist eine öffentliche Einrichtung mit Rechtspersönlichkeit, die durch das Gesetz vom 25. Februar 2018 über die Gründung von Sciensano gegründet wurde, mit eingetragenem Sitz in der rue Juliette Wytsman 14, B-1050 Ixelles, und bei der Kreuzungsbank für Unternehmen unter der Nummer 0693.876.830 registriert ist (nachstehend “Sciensano” genannt).

Gemäß dem Zusammenarbeitsabkommen vom 25 August 2020 fungiert Sciensano als Verantwortlicher für die Erhebung und Verarbeitung personenbezogener Daten im Sinne der Allgemeinen Datenschutzverordnung (im Folgenden als “GDPR” bezeichnet).

Sciensano kann auf dem Postweg unter der oben angegebenen Adresse und per E-Mail unter [email protected] kontaktiert werden.

Sie hat einen Datenschutzbeauftragten ernannt, der unter folgender Adresse kontaktiert werden kann, [email protected].

 

3. Was ist der Zweck der App zur Ermittlung von Kontaktpersonen und wie funktioniert sie?

Nahbereichsverfolgung

Das Ziel der App zur Ermittlung von Kontaktpersonen besteht darin, Bürger zu informieren, die sich in unmittelbarer physischer Nähe einer COVID-19-positiven Person befunden haben und somit dem Virus ausgesetzt waren, ohne die Identität der Kontaktperson oder den Ort und Zeitpunkt des Kontakts preiszugeben. Die verschiedenen Verarbeitungen von Personendaten, die im Rahmen dieses Meldeverfahrens und im Rahmen der Registrierung als Benutzer des Apps zur Ermittlung von Kontaktpersonen erfolgen, beruhen auf Gründen des öffentlichen Interesses (Art. 6.1 (e) GDPR) und, soweit es sich um Gesundheitsdaten handelt, auf Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit (9.2 (i) GDPR). Die Contact Tracing App wird durch das Zusammenarbeitsabkommen vom 25 August 2020 geregelt. Die Verarbeitung erfolgt in der Tat im öffentlichen Interesse, da sie darauf abzielt, die Verbreitung von COVID-19 einzudämmen und die Bevölkerung vor dieser Epidemie zu schützen.

Um dieses Ziel zu erreichen, generiert die Contact Tracing App geheime Schlüssel und berechnet aus diesen Schlüsseln flüchtige (d.h. vorübergehende), zufällige IDs, die das Telefon des Benutzers repräsentieren. Diese IDs sind vorübergehend, da sie mit einer hohen Frequenz (alle 10-20 Minuten) aktualisiert werden, d.h. mit der gleichen Frequenz wie die Bluetooth-MAC-Adresse (d.h. die temporären Identifikatoren, die Bluetooth-Geräte verwenden, um den Absender oder Empfänger von Nachrichten anzuzeigen).

Das Telefon des Benutzers sendet diese zufälligen IDs und zeichnet auch die von anderen Telefonen in der Nähe beobachteten zufälligen IDs auf und speichert diese während 14 Tagen zusammen mit dem Datum, der Signalstärke und der Dauer.

Um auf COVID-19 getestet zu werden, muss sich ein Anwender mit einem Arzt in Verbindung setzen, der eine Probe entnimmt. Entweder registriert der Arzt des Benutzers selbst eine pseudonyme Kennung vom Telefon des Benutzers im Testserver. Von da an, wird die Contact Tracing App den Testserver regelmäßig anhand dieser anonymen Kennung überprüfen, um festzustellen, ob das Testergebnis verfügbar ist. Sobald das Testergebnis verfügbar ist, wird die Contact Tracing App den Benutzer über das Testergebnis informieren: negativ oder positiv. Wenn das Ergebnis positiv ist, sollte der Benutzer den Arzt kontaktieren. Der Benutzer kann dann entscheiden, die Geheimschlüssel hochzuladen, um die zuvor (wie in Abschnitt 4 näher beschrieben) gesendeten Zufalls-IDs auf den zentralen Server zu generieren. Um Fehlbenutzungen zu minimieren, wird dieser Upload durch den Testserver autorisiert, der einen Autorisierungscode an den zentralen Server sendet. Unmittelbar nach dem Hochladen werden dann alle diese Geheimschlüssel vom Telefon entfernt.

Außer wenn sie hochgeladen werden, bleiben die Geheimschlüssel zur Generierung der gesendeten Zufalls-IDs für einen Zeitraum von maximal 14 Tagen auf dem Telefon. Die aufgezeichneten Zufalls-IDs anderer Benutzer verlassen das Telefon nie und werden nach 14 Tagen vernichtet.

Sobald die Geheimschlüssel zur Generierung der gesendeten Zufalls-IDs von einem infizierten Benutzer auf den zentralen Server hochgeladen wurden, kann die Contact Tracing App anderer Benutzer diese Geheimschlüssel vom Server abrufen, um zu beurteilen, ob diese anderen Benutzer dem Virus durch die unmittelbare Nähe zu einer COVID-19-positiven Person, die ihre Daten hochgeladen hat, ausgesetzt waren. Wenn die Contact Tracing App, die die Daten vom Server abruft, ein erhebliches Infektionsrisiko feststellt (d.h. der Benutzer hat sich während eines Zeitraums von mindestens 15 Minuten in der Nähe einer COVID-19-positiven Person aufgehalten), informiert sie den Benutzer über die Contract Tracing App und empfiehlt bestimmte Aktionen mittels einer von der Contact Tracing App generierten Push-Benachrichtigung. Es liegt in der alleinigen Verantwortung des Benutzers, diese Empfehlungen zu befolgen.

Um Klarheit zu schaffen und Zweifel zu vermeiden, leistet die Contact Tracing App Folgendes NICHT:

  • die Einhaltung staatlich verhängter Quarantäne-, Einsperrungs- oder sozialer Distanzierungsmaßnahmen zu überwachen;
  • COVID-19 positive Patienten zu verfolgen;
  • in Echtzeit Informationen über einen Hochrisikokontakt mit einem positiven Patienten zu übermitteln;
  • Informationen zu Benutzern ohne positives Testergebnis zu senden;
  • Hotspots oder Verlaufe von COVID-19-positiven Patienten identifizieren.

 

Begrenzte Verarbeitung für statistische Zwecke

Auf der Grundlage der auf den zentralen Server hochgeladenen Informationen kann Sciensano begrenzte aggregierte Statistiken erstellen, wie z.B. die Zählung der Anzahl der pro Tag hochgeladenen Schlüssel und die Anzahl der Personen, die die Contract Tracing App nutzen und jeden Tag positiv getestet haben. Sciensano wird diese Zahlen nur auf der Grundlage zuvor anonymisierter Daten erstellen. Sciensano hat keinen Zugriff auf die Namen, Telefonnummern oder andere “persönliche Daten”, die von den Benutzern zur Verfügung gestellt oder durch die Nutzung der App zur Ermittlung von Kontaktpersonen generiert wurden.

 

4. Welche persönlichen Daten werden bei der Nutzung der App zur ermittlung von Kontaktpersonen erhoben und verarbeitet?

Das DP-3T-System ist speziell darauf ausgelegt, die Datenerhebung und -verarbeitung auf ein Minimum zu reduzieren. Bei der Verwendung der Contact Tracing App werden nur Daten gesammelt, die es ermöglichen, den Benutzer darüber zu informieren, dass er dem Virus ausgesetzt gewesen sein könnte. Die Contact Tracing App verrät dem Benutzer nicht, wer der potenziell ansteckende Kontakt war, oder wann genau und wo der Kontakt stattgefunden hat.

Eine detaillierte Beschreibung der gesammelten Daten ist unten aufgeführt. Die gesammelten Daten erlauben es nicht, Personen direkt oder indirekt zu identifizieren. Sciensano hat weder Zugriff auf die Namen der Benutzer der Contact Tracing App noch auf andere persönliche Daten, die eine Identifizierung ermöglichen (Telefonnummer, nationale Registrierungsnummer, IP-Adresse usw.). Es kann jedoch nicht ausgeschlossen werden, dass z.B. ein Benutzer, dem mitgeteilt wird, dass er in engem Kontakt mit einer positiv auf COVID-19 getesteten Person stand, diese Person identifizieren kann. Daher werden die Daten im Allgemeinen als persönliche Daten betrachtet, wenn auch pseudonymisiert. Die im Telefon gespeicherten Schlüssel und zufälligen IDs (wie weiter unten näher erläutert) gelten als gesundheitsbezogene Daten im Falle dass  (i) die Contact Tracing App feststellt, dass eine Person einem Infektionsrisiko ausgesetzt ist, (ii) die Person einen Test aufzeichnet und (iii) die Person ein positives Testergebnis mitteilt.

Geheimer Schlüssel

Telefone mit der installierten Contact Tracing App senden zufällige Identifikatoren, die Kombinationen aus Einsen und Nullen sind, über Bluetooth. Diese IDs werden aus den Geheimschlüsseln berechnet. Nach der Ausstrahlung werden diese IDs vom Telefon gelöscht.

Das Telefon empfängt die IDs, die von nahe gelegenen Telefonen ausgestrahlt werden, und speichert die empfangenen IDs lokal mit folgenden Informationen: empfangene ID, Signalstärke, Dauer und Datum.

Diese Aufzeichnungen der empfangenen IDs werden auf dem Telefon gespeichert und niemals an irgendjemanden gesendet.

Labor-Testergebnisdaten

Benutzer haben die Möglichkeit, das Ergebnis ihres COVID-19-Labortests über die App abzufragen, die sich mit dem Testergebnis-Server verbindet.

Die IP-Adresse

IP-Adressen von Benutzern, die Schlüssel herunterladen/hochladen, werden explizit aus allen Protokollen oder Speichern entfernt. In der belgischen Architektur kümmert sich ein PROXY-Server um die Entfernung der IP-Adresse des Uploaders (alternativ macht der Server dies selbst und dies ist zu überprüfen).

Verkehrsdaten über den Upload

Benutzer, die ihre Geheimschlüssel auf den zentralen Server hochladen, tun dies über den Webdienst zusammen mit dem Datum, an dem der Geheimschlüssel benutzt wurde, und dem geschätzten Datum, an dem der Benutzer ansteckend wurde.

Die Contact Tracing App sammelt keine Standortdaten. Der Benutzer kann jedoch innerhalb der App zur Ermittlung von Kontaktpersonen angeben, in welchem Land/in welchen Ländern er sich zu einem bestimmten Zeitpunkt aus Gründen der Interoperabilität mit den Apps zur Ermittlung von Kontaktpersonen anderer Länder aufgehalten hat. In diesem Fall wird der geheime Schlüssel an das vom Benutzer angegebene Land gesendet. Dies bedeutet, dass er an das “European Federation Gateway Service” und von dort aus an das Backoffice der App des Landes, in dem der Schlüssel verwendet wurde (Pendant zu Sciensano), und von dort aus an alle App-Benutzer dieses Landes gesendet wird. Die technischen und organisatorischen Einzelheiten dieser europäischen Zusammenarbeit werden in einem Beschluss der EU-Kommission festgelegt (Durchführungsbeschluss (EU) 2020/1023 vom 15. Juli 2020, abrufbar unter https://eur-lex.europa.eu/eli/dec_impl/2020/1023/oj). Weitere Informationen über den “European Federation Gateway Service” finden Sie unter https://ec.europa.eu/health/ehealth/covid-19_de. Weitere Informationen über die Identität des gemeinsamen Controllers, der für die Anwendung zur Ermittlung von Kontaktpersonen pro Land verantwortlich ist, finden Sie unter https://ec.europa.eu/health/sites/health/files/ehealth/docs/gateway_jointcontrollers_en.pdf.

Nur Benutzer, für die der Testserver einen Autorisierungscode (nach Bestätigung, dass der Benutzer positiv getestet wurde) an den zentralen Server gesendet hat, können erfolgreich Daten auf den zentralen Server hochladen.

Autorisierungs-Code

Wenn ein Benutzer COVID-19 positiv getestet wird, sendet der Testserver einen Autorisierungscode an den zentralen Server. Wenn ein Benutzer seine Geheimschlüssel hochladen möchte, prüft der zentrale Server, ob er einen Autorisierungscode für diesen spezifischen Benutzer erhalten hat. Wenn der zentrale Server tatsächlich einen Autorisierungscode für diesen spezifischen Benutzer erhalten hat, kann der Benutzer die Geheimschlüssel hochladen.

Besuchte Länder

Der Benutzer kann in der App zur Ermittlung von Kontaktpersonen angeben, welche Länder er besucht hat. Darüber hinaus werden in der App zur Ermittlung von Kontaktpersonen keine weiteren Standortdaten erfasst oder verarbeitet.

Persönliche Daten von Kindern

Unter Berücksichtigung der Tatsache, dass die Contact Tracing App auf den Schutz der Gesundheit abzielt und angesichts der Garantien, die gegeben werden, um die Risiken für die Nutzer der App stark zu reduzieren (freiwillige Nutzung, begrenzte und pseudonymisierte Daten, reduzierte Datenspeicherungszeit), wurde davon ausgegangen, dass ein Kind ab dem Alter von 13 Jahren allein der Installation der Anwendung zustimmen kann. Unterhalb dieses Alters ist die Einwilligung des gesetzlichen Vertreters erforderlich.

 

5. Trifft die Anwendung zur Ermittlung von Kontaktpersonen automatisierte Entscheidungen?

Die App zur Ermittlung von Kontaktpersonen trifft keine automatisierten Entscheidungen in Bezug auf einen Benutzer im Sinne von Artikel 22 der Allgemeinen Datenschutzverordnung.

 

6. Mit wem werden Personenbezogene (Pseudonyme) Daten ausgetauscht?

Hochladen auf den zentralen Server

Wie in den Absätzen 3 und 4 beschrieben, kann der Benutzer Daten auf den zentralen Server hochladen. Dieser zentrale Server wird von Sciensano in der Europäischen Union gehostet.

Der zentrale Server speichert nur dann Informationen von infizierten Benutzern, wenn diese sich entscheiden, die Geheimschlüssel auf diesen Server hochzuladen.

Verteilung an alle Anwendungen

Wie in den Absätzen 3 und 4 beschrieben, werden die auf den zentralen Server hochgeladenen Schlüssel täglich an alle Anwendungen verteilt. Aus Effizienzgründen kann diese Verteilung über ein Content Distribution Network erfolgen, d.h. über einen Replikationsdienst, der sicherstellt, dass alle die gleichen Daten erhalten, ohne das Netzwerk zu überlasten.

Austausch von Personendaten mit nationalen Anbietern von europäischen Datenbanken im Zusammenhang mit ähnlichen Anwendungen zur Ermittlung von Kontaktpersonen in anderen Ländern.

Wenn der Nutzer in der Anwendung für die Auftragsverfolgung angibt, dass er ein anderes EU-Land besucht hat, können die geheimen Schlüssel direkt oder über das EU-Gateway, d.h. einen Server, der diese Schlüssel an die anderen EU-Server weiterleitet, an die zentralen Server ähnlicher Anwendungen für die Auftragsverfolgung in diesen EU-Ländern gesendet werden. Ein Schlüssel wird nur dann an Land A weitergeleitet, wenn ein Benutzer angibt, dass er Land A besucht hat.

Weitergabe persönlicher Daten an IKT-Anbieter

Durch die Installation der Contact Tracing App können Google und Apple sehen, wer die Contact Tracing App installiert hat. Sie stellen jedoch sicher, dass das System die Identität der Benutzer nicht mit ihnen teilt.

 

7. Werden personenbezogene Daten in Länder ausserhalb der Europäischen Union übermittelt?

Personenbezogene Daten werden nicht in Länder außerhalb der Europäischen Union übertragen, mit Ausnahme des Vereinigten Königreichs im Zusammenhang mit dem Content Distribution Network. Die Europäische Kommission hat eine Angemessenheitsentscheidung für das Vereinigte Königreich erlassen. Eine solche Entscheidung bedeutet, dass das Schutzniveau für personenbezogene Daten im Vereinigten Königreich dem der Europäischen Union gleichwertig ist.

 

8. Wie lange werden die Personenbezogenen Daten aufbewahrt?

Die auf dem Telefon jedes Benutzers und auf dem zentralen Server gespeicherten persönlichen Daten werden nach 14 Tagen automatisch gelöscht.

Die Anwendung zur Ermittlung von Kontaktpersonen wird in jedem Fall zu dem durch das geltende belgische Recht festgelegten Zeitpunkt deaktiviert.

 

9. Wie werden die persönlichen Daten geschützt?

Die Entwickler des DP-3T-Systems haben dem Schutz der persönlichen Daten große Bedeutung beigemessen. Das DP-3T-System sieht die folgenden Schutzvorkehrungen für die Privatsphäre und die Sicherheit vor:

  • Das System ist so konzipiert, dass es dem neuesten Stand der kryptographischen Techniken und Maßnahmen entspricht.
  • Alle Übertragungen von persönlichen Daten werden durch Verschlüsselung geschützt und bei Bedarf authentifiziert.
  • Persönliche Daten werden hauptsächlich auf dem Telefon des Benutzers gespeichert, und nur begrenzte Informationen werden an den zentralen Server gesendet, wenn sich der Benutzer entscheidet, sie zu senden (dezentraler Ansatz).
  • Der dezentralisierte Ansatz mindert das Risiko des Missbrauchs der persönlichen Daten durch eine zentrale Behörde.

Darüber hinaus ist der zentrale Server durch geeignete technische und organisatorische Maßnahmen geschützt, einschließlich eines strikten Zugriffsmanagements.

 

10. Welche Rechte haben die Benutzer?

Unter den in der Allgemeinen Datenschutzverordnung vorgesehenen Bedingungen haben die Nutzer das Recht, auf ihre personenbezogenen Daten zuzugreifen, die Berichtigung, Löschung oder Einschränkung der Verarbeitung zu beantragen oder gegen die Verarbeitung ihrer personenbezogenen Daten Widerspruch einzulegen (“Rechte der betroffenen Person”).

Sciensano kann nur dann auf Anfragen von Benutzern antworten, wenn Sciensano in der Lage ist, die im Rahmen der Anwendung zur Ermittlung von Kontaktpersonen verarbeiteten Daten mit dem jeweiligen Benutzer in Verbindung zu bringen. Um die Daten mit dem Benutzer in Verbindung bringen zu können, müsste Sciensano zusätzliche Daten beschaffen. Da die Contact Tracing App auf einer Technologie basiert, die darauf abzielt, die Privatsphäre der Benutzer so weit wie möglich zu schützen, ist es nicht wünschenswert, dass Sciensano zusätzliche Daten lediglich zur Identifizierung des Benutzers verarbeitet. Gemäß Artikel 11 GDPR kann Sciensano nicht verpflichtet werden, solche zusätzlichen Daten zu verarbeiten, um den Nutzer allein zum Zwecke der Erfüllung der Rechte der betroffenen Person nach dem GDPR zu identifizieren. Dies bedeutet in der Praxis, dass die Nutzer ihre Rechte als betroffene Person nicht ausüben können, wenn Sciensano keine zusätzlichen Informationen zur Verfügung gestellt werden.

Benutzer haben das Recht, eine Beschwerde bei der belgischen Aufsichtsbehörde einzureichen (https://www.gegevensbeschermingsautoriteit.be / https://www.autoriteprotectiondonnees.be / https://www.dataprotectionauthority.be / https://www.datenschutzbehorde.be/).

 

11. Änderungen dieser Datenschutzerklärung

Sciensano kann diese Datenschutzerklärung von Zeit zu Zeit ändern. In diesem Fall wird Sciensano den Benutzer durch eine Mitteilung in der Contact Tracing App über diese Änderung informieren.

Verbesserungsvorschläge für die Datenschutzerklärung können jederzeit an [email protected] gemeldet werden.