EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 32020H0518

Empfehlung (EU) 2020/518 der Kommission vom 8. April 2020 für ein gemeinsames Instrumentarium der Union für den Einsatz von Technik und Daten zur Bekämpfung und Überwindung der COVID-19-Krise, insbesondere im Hinblick auf Mobil-Apps und die Verwendung anonymisierter Mobilitätsdaten

C/2020/3300

OJ L 114, 14.4.2020, p. 7–15 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

ELI: http://data.europa.eu/eli/reco/2020/518/oj

14.4.2020   

DE

Amtsblatt der Europäischen Union

L 114/7


EMPFEHLUNG (EU) 2020/518 DER KOMMISSION

vom 8. April 2020

für ein gemeinsames Instrumentarium der Union für den Einsatz von Technik und Daten zur Bekämpfung und Überwindung der COVID-19-Krise, insbesondere im Hinblick auf Mobil-Apps und die Verwendung anonymisierter Mobilitätsdaten

DIE EUROPÄISCHE KOMMISSION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 292,

in Erwägung nachstehender Gründe:

(1)

Die aktuelle COVID-19-Pandemie hat zu einer Krisensituation in der öffentlichen Gesundheit geführt (im Folgenden „COVID-19-Krise“), die die Union und die Mitgliedstaaten unvermittelt vor eine beispiellose Herausforderung für ihre Gesundheitssysteme, ihre Lebensweise, ihre wirtschaftliche Stabilität und ihre Werte stellt. Kein Mitgliedstaat kann die COVID-19-Krise alleine erfolgreich bekämpfen. Eine außergewöhnliche Krise dieses Ausmaßes erfordert entschlossenes und gemeinsames Handeln aller Mitgliedstaaten, EU-Organe und -Einrichtungen im Geiste echter Solidarität.

(2)

Digitaltechnik und Daten kommt bei der Bekämpfung der COVID-19-Krise eine bedeutende Rolle zu, da viele Menschen in Europa über mobile Geräte mit dem Internet verbunden sind. Diese Technik und Daten können ein wichtiges Instrument sein, um die Öffentlichkeit zu informieren, die zuständigen Behörden in ihren Bemühungen um die Eindämmung der Ausbreitung des Virus zu unterstützen oder Gesundheitseinrichtungen den Austausch von Gesundheitsdaten zu ermöglichen. Eine fragmentierte und unkoordinierte Vorgehensweise birgt jedoch das Risiko, dass die Wirksamkeit der Maßnahmen zur Bekämpfung der COVID-19-Krise beeinträchtigt und gleichzeitig der Binnenmarkt und Grundrechte und -freiheiten untergraben werden könnten.

(3)

Daher ist die Entwicklung eines gemeinsamen Konzepts für den Einsatz von Digitaltechnik und Daten als Reaktion auf die derzeitige Krise angezeigt. Mit diesem Konzept sollten die zuständigen nationalen Behörden, insbesondere die Gesundheitsbehörden und die Entscheidungsträger, wirksam unterstützt werden, indem ihnen hinreichende und genaue Daten zur Verfügung gestellt werden, um die Entwicklung und Ausbreitung des COVID-19-Virus sowie seine Auswirkungen zu verstehen. Zudem kann diese Technik den Bürgern die notwendigen Mittel an die Hand geben, um wirksame und gezieltere Maßnahmen zur sozialen Distanzierung zu ergreifen. Gleichzeitig sollen mit dem vorgeschlagenen Konzept die Integrität des Binnenmarkts und die Grundrechte und -freiheiten, insbesondere das Recht auf Privatsphäre und den Schutz personenbezogener Daten, gewahrt werden.

(4)

Mobil-Apps können den Gesundheitsbehörden auf nationaler und EU-Ebene bei der Beobachtung und Eindämmung der aktuellen COVID-19-Pandemie eine Hilfe sein. Sie können den Bürgern als Orientierungshilfe dienen und die Organisation der medizinischen Betreuung von Patienten erleichtern. Warn- oder Kontaktnachverfolgungs-Apps können beim Nachvollziehen von Kontakten, der Eindämmung der Ausbreitung der Krankheit und der Unterbrechung von Übertragungsketten eine wichtige Rolle spielen. In Kombination mit geeigneten Strategien für die Durchführung von Tests und der Kontaktnachverfolgung kann solchen Apps daher besondere Bedeutung für die Sammlung von Informationen über das Ausmaß der Zirkulation des Virus, die Bewertung der Wirksamkeit der räumlichen Trennung und der Ausgangsbeschränkungen und die Information bezüglich Strategien zur Aufhebung der Maßnahmen zukommen.

(5)

Im Beschluss Nr. 1082/2013/EU des Europäischen Parlaments und des Rates (1) sind spezifische Vorschriften für die epidemiologische Überwachung, Beobachtung, frühzeitige Meldung und Bekämpfung schwerwiegender grenzüberschreitender Gesundheitsgefahren festgelegt. Gemäß Artikel 2 Absatz 5 soll die Kommission im Benehmen mit den Mitgliedstaaten die Koordinierung und den Informationsaustausch zwischen den gemäß dem genannten Beschluss eingerichteten Mechanismen und Strukturen und den vergleichbaren auf Unionsebene oder gemäß dem Euratom-Vertrag geschaffenen Mechanismen und Strukturen gewährleisten, deren Tätigkeiten für die Bereitschafts- und Reaktionsplanung, Beobachtung, frühzeitige Meldung sowie die Bekämpfung schwerwiegender grenzüberschreitender Gesundheitsgefahren relevant sind. Die Arbeit im Zusammenhang mit schwerwiegenden grenzüberschreitenden Gesundheitsgefahren wird im mit Artikel 17 des genannten Beschlusses eingesetzten Gesundheitssicherheitsausschuss koordiniert. Zugleich wird mit Artikel 6 Absatz 1 des Beschlusses ein Netz zur epidemiologischen Überwachung übertragbarer Krankheiten errichtet, das vom Europäischen Zentrum für die Prävention und die Kontrolle von Krankheiten (ECDC) betrieben und koordiniert wird.

(6)

Gemäß der Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates (2) über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung soll das Netzwerk für elektronische Gesundheitsdienste das Ziel verfolgen, auf die Schaffung eines nachhaltigen wirtschaftlichen und sozialen Nutzens der europäischen elektronischen Gesundheitssysteme und -dienste und der interoperablen Anwendungen hinzuwirken, sodass ein hohes Niveau an Vertrauen und Sicherheit erzielt wird, die Kontinuität der Behandlung gefördert wird und der Zugang zu einer sicheren und hochwertigen Gesundheitsversorgung sichergestellt ist.

(7)

In der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates (3) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sind die Bedingungen für die Verarbeitung personenbezogener Daten, unter anderem von Gesundheitsdaten, festgelegt. Solche Daten dürfen unter anderem verarbeitet werden, wenn die betroffene Person ausdrücklich eingewilligt hat oder wenn die Verarbeitung auf Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats im öffentlichen Interesse ist, insbesondere für die Zwecke der Beobachtung und Warnung sowie der Prävention oder Kontrolle ansteckender Krankheiten und anderer schwerwiegender Gesundheitsgefahren.

(8)

Mehrere Mitgliedstaaten haben spezifische Rechtsvorschriften eingeführt, die ihnen die Verarbeitung von Gesundheitsdaten im öffentlichen Interesse ermöglichen (Artikel 6 Absatz 1 Buchstabe c oder e und Artikel 9 Absatz 2 Buchstabe i der Verordnung (EU) 2016/679). In jedem Fall sollte eindeutig und präzise angegeben werden, zu welchen Zwecken und mit welchen Mitteln die Datenverarbeitung erfolgt und welche Daten von wem verarbeitet werden sollen.

(9)

Die Kommission kann im Einklang mit Artikel 42 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates (4) und Artikel 70 der Verordnung (EU) 2016/679 den Europäischen Datenschutzbeauftragten und den Europäischen Datenschutzausschuss anhören.

(10)

In der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates (5) sind die für Verkehrs- und Standortdaten sowie für die Speicherung von Informationen und den Zugriff auf im Endgerät eines Nutzers oder Teilnehmers, etwa in einem mobilen Gerät, gespeicherten Informationen geltenden Vorschriften festgelegt. Gemäß Artikel 5 Absatz 3 der Richtlinie sind eine solche Speicherung und ein solcher Zugriff im Einklang mit den Anforderungen der Verordnung (EU) 2016/679 nur unter genau festgelegten Umständen zulässig, oder wenn der betreffende Teilnehmer oder Nutzer klare und umfassende Informationen erhält und auf dieser Grundlage seine Einwilligung gegeben hat. Zudem können die Mitgliedstaaten nach Artikel 15 Absatz 1 der Richtlinie Rechtsvorschriften erlassen, die bestimmte Rechte und Pflichten gemäß der Richtlinie, einschließlich derer nach Artikel 5, beschränken, sofern eine solche Beschränkung in einer demokratischen Gesellschaft notwendig, angemessen und verhältnismäßig ist, um bestimmte Ziele zu erreichen.

(11)

In ihrer Mitteilung „Eine europäische Datenstrategie“ (6) kündigte die Europäische Kommission an, dass die EU einen Binnenmarkt schaffen werde, in dem Daten innerhalb der EU und branchenübergreifend zum Vorteil aller weitergegeben werden können, europäische Vorschriften, insbesondere zum Schutz der Privatsphäre und zum Datenschutz, sowie das Wettbewerbsrecht in vollem Umfang eingehalten werden und die Regeln für Datenzugang und Datennutzung gerecht, praktikabel und eindeutig sind. Die Kommission erklärte insbesondere, sie werde den Bedarf an gesetzgeberischen Maßnahmen zur Förderung der gemeinsamen Nutzung von Daten zwischen Unternehmen und Behörden im öffentlichen Interesse prüfen.

(12)

Seit Beginn der COVID-19-Krise wurden verschiedenste Mobil-Apps entwickelt, manche davon von Behörden, und sowohl aus den Mitgliedstaaten als auch aus der Privatwirtschaft wird Koordinierung auf Unionsebene gefordert, auch im Hinblick auf die Bedenken bezüglich der Cybersicherheit, der Sicherheit und des Schutzes der Privatsphäre. Diese Apps haben in der Regel drei Grundfunktionen: i) Information und Beratung der Bürger und Erleichterung der Organisation der medizinischen Betreuung von Personen mit Symptomen, oft in Verbindung mit einem Fragebogen zur Selbstdiagnose, ii) Warnung von Personen, die sich in der Nähe einer infizierten Person aufgehalten haben, um Ansteckungsketten zu unterbrechen und ein erneutes Auftreten von Infektionen bei der schrittweisen Aufhebung der Maßnahmen zu verhindern und iii) Überwachung und Durchsetzung der Quarantäne infizierter Personen, möglicherweise in Verbindung mit Funktionen zur Bewertung ihres Gesundheitszustands während der Quarantäne. Bestimmte Apps stehen der breiten Öffentlichkeit zur Verfügung, andere, auf die Kontaktnachverfolgung am Arbeitsplatz ausgerichtete hingegen nur geschlossenen Nutzergruppen. In der Regel gibt es keine Bewertung der Wirksamkeit dieser Apps. Apps zu Informationszwecken und zur Kontrolle auf Symptome könnten dazu beitragen, das Bewusstsein der Bürger zu schärfen. Stellungnahmen von Sachverständigen deuten jedoch darauf hin, dass Apps zur Information und Warnung der Nutzer das größte Potenzial zur Verhinderung der Ausbreitung des Virus haben, auch unter Berücksichtigung ihrer geringeren Auswirkungen auf die Privatsphäre; mehrere Mitgliedstaaten testen derzeit deren Einsatz.

(13)

Einige dieser Mobil-Apps könnten als Medizinprodukte angesehen werden, wenn sie vom Hersteller unter anderem zur Diagnose, Verhütung, Überwachung, Vorhersage, Prognose, Behandlung oder Linderung von Krankheiten bestimmt sind und daher unter die Verordnung (EU) 2017/745 des Europäischen Parlaments und des Rates (7) oder die Richtlinie 93/42/EWG des Rates (8) fallen. Bei Apps für die Selbstdiagnose und Kontrolle auf Symptome, die Informationen über Diagnose, Verhütung, Überwachung, Vorhersage oder Prognose liefern, sollte die mögliche Einstufung als Medizinprodukte gemäß dem Rechtsrahmen für Medizinprodukte (Richtlinie 93/42/EWG oder Verordnung (EU) 2017/745) bewertet werden.

(14)

Die Wirksamkeit dieser Mobil-Apps hängt von einer Reihe von Faktoren ab. Dazu gehört die Durchdringung bei den Nutzern, d. h. der Prozentsatz der Bevölkerung, der ein mobiles Gerät nutzt, und davon wiederum der Anteil der Personen, die die App heruntergeladen, der Verarbeitung der sie betreffenden personenbezogenen Daten zugestimmt und diese Einwilligung nicht widerrufen haben. Weitere wichtige Faktoren sind das Vertrauen der Öffentlichkeit, dass die Daten durch geeignete Sicherheitsmaßnahmen geschützt werden und ausschließlich dazu dienen, Personen zu warnen, die möglicherweise mit dem Virus in Berührung gekommen sind, die Befürwortung durch die Gesundheitsbehörden und ihre Fähigkeit, Maßnahmen auf der Grundlage der von der App generierten Daten zu ergreifen, die Integration und der Datenaustausch mit anderen Systemen und Apps sowie die grenz- und regionenübergreifende Interoperabilität mit anderen Systemen.

(15)

Warn- und Kontaktnachverfolgungs-Apps helfen den Mitgliedstaaten, Kontakte nachzuvollziehen und können im Zuge der Aufhebung der Maßnahmen eine wichtige Rolle bei der Eindämmung spielen. Zudem können sie für die Bürger ein wertvolles Instrument für eine wirksame und gezieltere soziale Distanzierung sein. Ihre Wirkung lässt sich mit einer Strategie für die Durchführung breiter angelegter Tests steigern. Die Kontaktnachverfolgung schließt ein, dass die Gesundheitsbehörden alle Kontakte eines bestätigten COVID-19-Patienten rasch ermitteln, sie auffordern, sich selbst zu isolieren, und sie zeitnah testen und isolieren, wenn sie Symptome entwickeln. Darüber hinaus könnten anonymisierte und aggregierte Daten aus solchen Apps, kombiniert mit Informationen über die Inzidenz der Krankheit, verwendet werden, um die Wirksamkeit von Maßnahmen in den Gemeinschaften und von Maßnahmen zur räumlichen Trennung zu bewerten. Diese Apps sind von offenkundigem Nutzen für die Mitgliedstaaten, können aber auch einen Mehrwert für die Arbeit des ECDC bedeuten.

(16)

Apps für die Selbstdiagnose und Kontrolle auf Symptome könnten relevante Informationen über die Zahl der Fälle mit Symptomen liefern, die dem Krankheitsbild von COVID-19 entsprechen, aufgeschlüsselt nach Alter und Woche, und zwar aus genau definierten Gebieten, in denen die Nutzung der App hoch ist. Wenn diese Apps erfolgreich eingesetzt werden, können die nationalen Gesundheitsbehörden entscheiden, die einschlägigen Daten zur Überwachung der COVID-19-Grundversorgung heranzuziehen. Diese Daten könnten dem ECDC wöchentlich in aggregierter Form zur Verfügung gestellt werden (z. B. Zahl der grippeähnlichen Erkrankungen (ILI) oder akuten Atemwegsinfektionen (ARI), die in der Berichtswoche in der durch die zuständigen Ärzte betreuten Gesamtbevölkerung auftreten, aufgeschlüsselt nach Altersgruppen). Dies würde es den nationalen Behörden und dem ECDC ermöglichen, den positiven prädiktiven Wert von Atemwegssymptomen in einer bestimmten Gemeinschaft zu schätzen und somit Informationen über das Ausmaß der Zirkulation des Virus auf der Grundlage der App-Daten bereitzustellen.

(17)

Angesichts der oben beschriebenen Funktionen von Smartphone-Apps kann sich ihre Nutzung auf bestimmte Grundrechte, u. a. das Recht auf Achtung des Privat- und Familienlebens, auswirken. Da jedweder Eingriff in diese Rechte im Einklang mit dem Gesetz stehen sollte, sollten die Rechtsvorschriften der Mitgliedstaaten, die Beschränkungen bei der Ausübung bestimmter Grundrechte vorsehen oder zulassen, mit den allgemeinen Grundsätzen des Unionsrechts gemäß Artikel 6 des Vertrags über die Europäische Union, ihren verfassungsrechtlichen Traditionen und ihren Verpflichtungen aus dem Völkerrecht vereinbar sein.

(18)

Die zuständigen nationalen Gesundheitsbehörden müssen die einschlägigen Strategien, Anforderungen und Kontrollen abstimmen und koordiniert umsetzen, damit verschiedene Arten von Apps (und die zugrunde liegenden Informationssysteme zu Übertragungsketten) angenommen werden und gewährleistet ist, dass sie dem angegebenen Zweck der epidemiologischen Überwachung entsprechen. Wie die Erfahrung aus mehreren Mitgliedstaaten zeigt, die mit der Einführung von Kontaktnachverfolgungs-Apps begonnen haben, ist im Hinblick auf eine erhöhte Akzeptanz eine ganzheitliche Steuerungsstruktur für die Vorbereitung und Umsetzung der Maßnahmen nützlich, an der nicht nur Gesundheitsbehörden, sondern auch andere Behörden (einschließlich Datenschutzbehörden) sowie der Privatsektor, Experten, Wissenschaftler und Interessenträger wie Patientengruppen beteiligt sind. Weiterhin ist eine umfassende Kommunikation über die App von entscheidender Bedeutung für ihre Verwendung und mithin für ihren Erfolg.

(19)

Um Kontakte zwischen Nutzern verschiedener Kontaktnachverfolgungs-Apps zu erkennen (ein Szenario, das bei Personen, die sich über nationale/regionale Grenzen hinweg bewegen, wahrscheinlich ist), sollte die Interoperabilität der Apps vorgesehen werden. Die mit der Überwachung von Übertragungsketten befassten nationalen Gesundheitsbehörden sollten in der Lage sein, systemübergreifend Informationen über Nutzer auszutauschen, die in anderen Mitgliedstaaten oder Regionen positiv getestet wurden, um bei grenzüberschreitenden Übertragungsketten eingreifen zu können.

(20)

Bestimmte Unternehmen, darunter Telekommunikationsanbieter und wichtige Technologieplattformen, haben anonymisierte und aggregierte Standortdaten veröffentlicht oder solche Daten den Behörden zur Verfügung gestellt. Derartige Daten sind für die Forschung notwendig, damit das Virus bekämpft werden kann, für die Modellierung, um zu verstehen, wie sich das Virus ausbreiten wird, und für die Modellierung der wirtschaftlichen Auswirkungen der Krise. Insbesondere werden die Daten dazu beitragen, die räumliche Dynamik der Epidemie zu verstehen und darzustellen sowie die Auswirkungen der Maßnahmen zur sozialen Distanzierung (Reisebeschränkungen, Einstellung nicht wesentlicher Tätigkeiten, vollständige Abriegelung usw.) auf die Mobilität zu bewerten. Dies ist von wesentlicher Bedeutung, um zum einen die Auswirkungen des Virus einzudämmen und den Bedarf insbesondere an persönlicher Schutzausrüstung und Intensivbehandlungseinheiten abzuschätzen und zum anderen die Ausstiegsstrategie mit datenbasierten Modellen zu unterstützen, die Aufschluss über die potenziellen Auswirkungen der Lockerung der Maßnahmen zur sozialen Distanzierung geben.

(21)

Die derzeitige Krise macht deutlich, dass Gesundheitsbehörden und Forschungseinrichtungen von einem weiter gehenden Zugang zu wesentlichen Informationen profitieren würden, um die Entwicklung des Virus zu analysieren und die Wirksamkeit der Maßnahmen im Bereich der öffentlichen Gesundheit zu bewerten.

(22)

Einige Mitgliedstaaten haben Maßnahmen ergriffen, um den Zugang zu notwendigen Daten zu vereinfachen. Jedoch werden die gemeinsamen Anstrengungen der EU zur Bekämpfung des Virus durch die derzeitige Fragmentierung der Konzepte behindert.

(23)

Ein gemeinsames Konzept der Union in der COVID-19-Krise ist ebenfalls notwendig geworden, da die in bestimmten Ländern ergriffenen Maßnahmen, wie die Nachverfolgung von Einzelpersonen mit Geolokalisierungsdaten, der Einsatz von Technik zur Bewertung des Gesundheitsrisikos einer Person und die Zentralisierung sensibler Daten, Fragen unter dem Gesichtspunkt mehrerer Grundrechte und -freiheiten aufwerfen, die in der Rechtsordnung der EU garantiert sind, darunter das Recht auf Privatsphäre und das Recht auf den Schutz personenbezogener Daten. In jedem Fall müssen gemäß der Charta der Grundrechte der Europäischen Union Beschränkungen der Ausübung der in der Charta verankerten Grundrechte und -freiheiten gerechtfertigt und verhältnismäßig sein. Solche Beschränkungen sollten insbesondere insofern befristet sein, als sie strikt auf das zur Bekämpfung der Krise erforderliche Maß beschränkt bleiben und nach der Krise nicht ohne angemessene Begründung fortbestehen.

(24)

Darüber hinaus haben die Weltgesundheitsorganisation und andere Einrichtungen vor dem Risiko gewarnt, dass Apps und ungenaue Daten aufgrund eines scheinbaren Zusammenhangs mit der Krankheit zu einer Stigmatisierung von Personen führen könnten, die bestimmte Merkmale aufweisen.

(25)

Im Einklang mit dem Grundsatz der Datenminimierung sollten Gesundheitsbehörden und Forschungseinrichtungen personenbezogene Daten nur dann verarbeiten, wenn dies angemessen, relevant und auf das erforderliche Maß beschränkt ist, und geeignete Sicherheitsmaßnahmen wie Pseudonymisierung, Aggregation, Verschlüsselung und Dezentralisierung anwenden.

(26)

Wirksame Maßnahmen zur Gewährleistung der Cyber- und Datensicherheit sind von grundlegender Bedeutung für den Schutz der Verfügbarkeit, Authentizität, Unversehrtheit und Vertraulichkeit von Daten.

(27)

Die Konsultation von Datenschutzbehörden im Einklang mit den unionsrechtlichen Vorschriften über den Schutz personenbezogener Daten ist von wesentlicher Bedeutung, um sicherzustellen, dass personenbezogene Daten rechtmäßig verarbeitet werden und die Rechte der betroffenen Personen geachtet werden.

(28)

Mit Artikel 14 der Richtlinie 2011/24/EU wurde die Union beauftragt, die Zusammenarbeit und den Informationsaustausch zwischen den Mitgliedstaaten im Rahmen eines freiwilligen Netzwerks, mit dem die von den Mitgliedstaaten benannten, für elektronische Gesundheitsdienste zuständigen nationalen Behörden vernetzt werden, zu unterstützen und zu erleichtern („Netzwerk für elektronische Gesundheitsdienste“). Zu den Zielen des Netzwerks gehört das Hinwirken auf die Schaffung eines nachhaltigen wirtschaftlichen und sozialen Nutzens der europäischen elektronischen Gesundheitssysteme und -dienste und der interoperablen Anwendungen, sodass ein hohes Niveau an Vertrauen und Sicherheit erzielt wird, die Kontinuität der Behandlung gefördert wird und der Zugang zu einer sicheren und hochwertigen Gesundheitsversorgung sichergestellt ist; Der Durchführungsbeschluss (EU) 2019/1765 (9) der Kommission enthält Vorschriften für die Errichtung, die Verwaltung und die Funktionsweise des Netzwerks für elektronische Gesundheitsdienste. Aufgrund seiner Zusammensetzung und seines Fachgebiets sollte das Netzwerk für elektronische Gesundheitsdienste das Hauptforum für Diskussionen über den Datenbedarf der öffentlichen Gesundheitsbehörden und Forschungseinrichtungen sein, wobei auch Angestellte nationaler Regulierungsbehörden für elektronische Kommunikation, der für den digitalen Bereich zuständigen Ministerien und der Datenschutzbehörden einbezogen werden sollten.

(29)

Das Netzwerk für elektronische Gesundheitsdienste und die Kommission sollten auch eng mit anderen Einrichtungen und Netzen zusammenarbeiten, die den für die Umsetzung dieser Empfehlung erforderlichen Input liefern können, einschließlich des Gesundheitssicherheitsausschusses, des Netzes für die epidemiologische Überwachung übertragbarer Krankheiten, des ECDC, des Europäischen Datenschutzausschusses, des Gremiums europäischer Regulierungsstellen für elektronische Kommunikation und der Kooperationsgruppe für Netz- und Informationssysteme.

(30)

Transparenz und klare und regelmäßige Kommunikation sowie die Einbeziehung der am stärksten betroffenen Personen und Gemeinschaften sind von entscheidender Bedeutung, um das Vertrauen der Öffentlichkeit bei der Bekämpfung der COVID-19-Krise zu gewährleisten.

(31)

Angesichts der raschen Entwicklung der Lage in den einzelnen Mitgliedstaaten in Bezug auf die COVID-19-Krise ist es von wesentlicher Bedeutung, dass — solange die Krise anhält — die Mitgliedstaaten rasch und regelmäßig Bericht erstatten und die Kommission das in dieser Empfehlung enthaltene Konzept ebenso rasch und regelmäßig überprüft.

(32)

Diese Empfehlung sollte erforderlichenfalls durch zusätzliche Leitlinien der Kommission ergänzt werden, darunter Leitlinien zu den Auswirkungen, die sich aus dem Einsatz von Mobil-Apps zur Warnung und Prävention auf den Datenschutz und die Wahrung der Privatsphäre ergeben —

HAT FOLGENDE EMPFEHLUNG ABGEGEBEN:

ZWECK DIESER EMPFEHLUNG

1.

Mit dieser Empfehlung wird ein Prozess für die Entwicklung eines gemeinsamen Konzepts (im Folgenden „Instrumentarium“) für den Einsatz digitaler Mittel zur Bewältigung der Krise eingeführt. Das Instrumentarium umfasst praktische Maßnahmen für einen wirksamen Einsatz von Technik und Daten, deren Schwerpunkt auf zwei Bereichen liegt:

1)

ein auf Unionsebene koordiniertes, europaweites Konzept für die Nutzung von Mobil-Apps, damit die Bürger in die Lage versetzt werden, wirksame und gezieltere Vorkehrungen zur sozialen Distanzierung zu treffen, und damit die Warnung, die Prävention und die Nachverfolgung von Kontakten ermöglicht wird, um zur Eindämmung der Ausbreitung der COVID-19-Erkrankung beizutragen. Dies umfasst auch eine methodische Überwachung und eine gemeinsame Betrachtung von Bewertungen der Wirksamkeit solcher Apps, ihrer Interoperabilität und ihrer grenzüberschreitenden Auswirkungen sowie der Sicherheit, der Wahrung der Privatsphäre und des Datenschutzes;

2)

ein gemeinsames System für die Verwendung anonymisierter und aggregierter Daten über die Mobilität der Bevölkerungen, um i) die Entwicklung der Krankheit zu modellieren und vorherzusagen, ii) die Wirksamkeit der von den Behörden der Mitgliedstaaten getroffenen Entscheidungen über Maßnahmen wie soziale Distanzierung und Ausgangsbeschränkungen zu verfolgen und iii) Zuarbeiten zu einer koordinierten Strategie für die Überwindung der COVID-19-Krise zu leisten.

2.

Die Mitgliedstaaten sollten diese Maßnahmen dringend und in enger Abstimmung mit anderen Mitgliedstaaten, der Kommission und anderen einschlägigen Interessenträgern und unbeschadet der Zuständigkeiten der Mitgliedstaaten im Bereich der öffentlichen Gesundheit ergreifen. Sie sollten dabei gewährleisten, dass alle ergriffenen Maßnahmen im Einklang mit dem Unionsrecht stehen, insbesondere mit den Vorschriften über Medizinprodukte, dem Recht auf Privatsphäre und dem Schutz personenbezogener Daten sowie mit anderen in der Charta der Grundrechte der Union verankerten Rechten und Freiheiten. Das Instrumentarium wird durch Leitlinien der Kommission ergänzt, darunter Leitlinien zu den Auswirkungen auf den Datenschutz und die Privatsphäre, die sich aus dem Einsatz von Mobil-Apps zur Warnung und Prävention ergeben.

BEGRIFFSBESTIMMUNGEN

3.

Für die Zwecke dieser Empfehlung gelten folgende Begriffsbestimmungen:

a)

„Mobil-Apps“ sind Softwareanwendungen, die in intelligenten Geräten, insbesondere in Smartphones, laufen und in der Regel für eine vielfältige und gezielte Interaktion mit Webressourcen konzipiert sind, mit denen die von vielen in einem intelligenten Gerät vorhandenen Sensoren erfassten Näherungsdaten und andere kontextbezogene Informationen verarbeitet werden und die über viele Netzschnittstellen Informationen mit anderen vernetzten Geräten austauschen können;

b)

„Netzwerk für elektronische Gesundheitsdienste“ ist das Netzwerk, das gemäß Artikel 14 der Richtlinie 2011/24/EU eingerichtet wurde und dessen Aufgaben durch den Durchführungsbeschluss (EU) 2019/1765 präzisiert wurden;

c)

„Gesundheitssicherheitsausschuss“ ist das Gremium aus Vertretern der Mitgliedstaaten, das gemäß Artikel 17 des Beschlusses Nr. 1082/2013/EU eingesetzt wurde;

d)

„Netz für die epidemiologische Überwachung“ ist das Netz für die epidemiologische Überwachung übertragbarer Krankheiten und damit zusammenhängender besonderer Gesundheitsrisiken, das vom ECDC betrieben und koordiniert wird; es gewährleistet eine ständige Kommunikation zwischen Kommission, ECDC und den auf nationaler Ebene für die epidemiologische Überwachung zuständigen Behörden und wurde gemäß Artikel 6 des Beschlusses Nr. 1082/2013/EU eingerichtet.

PROZESS ZUR ENTWICKLUNG EINES INSTRUMENTARIUMS FÜR DEN EINSATZ VON TECHNIK UND DATEN

4.

Dieser Prozess sollte die rasche Entwicklung und Annahme eines Instrumentariums praktischer Maßnahmen durch die Mitgliedstaaten und die Kommission erleichtern, wozu ein europäisches Konzept für COVID-19-Mobil-Apps und für die Verwendung von Mobilitätsdaten zur Modellierung und Vorhersage der Entwicklung des Virus gehört.

5.

Zur Entwicklung des Instrumentariums sollten die im Netzwerk für elektronische Gesundheitsdienste vertretenen Mitgliedstaaten mit Vertretern der Kommission und des Europäischen Zentrums für die Prävention und die Kontrolle von Krankheiten unverzüglich und danach häufig zusammentreffen. Sie sollten Meinungen darüber austauschen, wie Daten aus verschiedenen Quellen bestmöglich verwendet werden können, um die COVID-19-Krise zu bewältigen, und gleichzeitig ein hohes Maß an Vertrauen und Sicherheit in einer mit dem Unionsrecht zu vereinbarenden Weise erreicht werden kann, insbesondere in Bezug auf den Schutz personenbezogener Daten und der Privatsphäre, sowie im Hinblick auf den Austausch bewährter Verfahren und die Förderung gemeinsamer diesbezüglicher Ansätze.

6.

Das Netzwerk für elektronische Gesundheitsdienste sollte unverzüglich zusammentreten, um diese Empfehlung umzusetzen.

7.

Bei der Umsetzung dieser Empfehlung sollten die im Netzwerk für elektronische Gesundheitsdienste vertretenen Mitgliedstaaten gegebenenfalls den Gesundheitssicherheitsausschuss, das Gremium europäischer Regulierungsstellen für elektronische Kommunikation, die NIS-Kooperationsgruppe und die einschlägigen Agenturen der Kommission, einschließlich ENISA, Europol und die Arbeitsgruppen des Rates unterrichten und deren Beiträge einholen.

8.

Der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte sollten ebenfalls eng eingebunden werden, um sicherzustellen, dass die Grundsätze des Datenschutzes und des eingebauten Datenschutzes in dem Instrumentarium verankert werden.

9.

Die Behörden der Mitgliedstaaten und die Kommission sollten dafür sorgen, dass die Öffentlichkeit regelmäßig, klar und umfassend über die aufgrund dieser Empfehlung ergriffenen Maßnahmen informiert wird, und der Öffentlichkeit Gelegenheit zur Mitwirkung und zur Beteiligung an Diskussionen geben.

10.

Während des gesamten Prozesses sollten alle Grundrechte geachtet werden, insbesondere in Bezug auf die Privatsphäre und den Datenschutz, die Verhinderung von Überwachung und die Vermeidung einer Stigmatisierung. In Bezug auf diese besonderen Probleme sollte das Instrumentarium daher

1)

die Verarbeitung personenbezogener Daten strikt auf die Zwecke der Bekämpfung der COVID-19-Krise beschränken und gewährleisten, dass die personenbezogenen Daten nicht für andere Zwecke wie Strafverfolgung oder kommerzielle Zwecke verwendet werden;

2)

eine regelmäßige Überprüfung der fortdauernden Notwendigkeit der Verarbeitung personenbezogener Daten zur Bekämpfung der COVID-19-Krise gewährleisten und geeignete Beendigungsklauseln enthalten, damit die Datenverarbeitung nicht über das für diese Zwecke unbedingt erforderliche Maß hinausgeht;

3)

Maßnahmen vorsehen, damit die Datenverarbeitung tatsächlich beendet und die betreffenden personenbezogenen Daten unwiederbringlich vernichtet werden, sobald die Verarbeitung nicht mehr unbedingt erforderlich ist, es sei denn, ihr wissenschaftlicher Wert im Dienste des öffentlichen Interesses überwiegt nach Einschätzung von Ethikräten und Datenschutzbehörden die Auswirkungen auf die betreffenden Rechte, und vorausgesetzt, dass angemessene Schutzvorkehrungen getroffen werden.

11.

Das Instrumentarium sollte im Lichte der Erörterungen mit allen interessierten Kreisen und der Beobachtung der Lage, der bewährten Verfahren, der Probleme und Lösungen bezüglich der Datenquellen und ‐arten, die für Gesundheitsbehörden und öffentliche Gesundheitsforschungseinrichtungen zur Bekämpfung der COVID-19-Pandemie erforderlich und verfügbar sind, schrittweise aufgebaut werden.

12.

Das Instrumentarium sollte mit den internationalen Partnern der Europäischen Union geteilt werden, um bewährte Verfahren auszutauschen und der Ausbreitung des Virus weltweit entgegenzuwirken.

EIN EUROPAWEITES KONZEPT FÜR COVID-19-MOBIL-APPS

13.

Die erste Priorität des Instrumentariums sollte ein europaweites Konzept für COVID-19-Mobil-Apps sein, das bis zum 15. April 2020 gemeinsam von den Mitgliedstaaten und der Kommission zu entwickeln ist. Der Europäische Datenschutzausschuss und der Europäische Datenschutzbeauftragte werden in das Verfahren einbezogen. Dieses Konzept sollte Folgendes umfassen:

1)

Spezifikationen zur Gewährleistung der Wirksamkeit von Mobil-Apps zur Information, Warnung und Kontaktnachverfolgung zur Bekämpfung von COVID-19 mithilfe von Medizin und Technik;

2)

Maßnahmen zur Verhinderung der Verbreitung von Apps, die nicht mit dem Unionsrecht vereinbar sind, zur Unterstützung der Anforderungen an die Barrierefreiheit für Menschen mit Behinderungen sowie für die Interoperabilität und Förderung gemeinsamer Lösungen, wobei eine möglicherweise europaweite App nicht ausgeschlossen wird;

3)

von den Gesundheitsbehörden anzuwendende Governance-Mechanismen und Zusammenarbeit mit dem ECDC;

4)

Ermittlung bewährter Verfahren und Mechanismen für den Austausch von Informationen über die Funktionsweise der Apps und

5)

Datenaustausch mit einschlägigen im Bereich der Epidemiologie tätigen öffentlichen Stellen und im Bereich der öffentlichen Gesundheit forschenden Einrichtungen, einschließlich der Weitergabe aggregierter Daten an das ECDC.

14.

Die Behörden der Mitgliedstaaten, vertreten im Netzwerk für elektronische Gesundheitsdienste, sollten ein Verfahren für den Informationsaustausch und zur Gewährleistung der Interoperabilität der Apps schaffen, wenn grenzüberschreitende Verwendungen vorgesehen sind.

ASPEKTE DER WAHRUNG DER PRIVATSPHÄRE UND DES DATENSCHUTZES BEI DER NUTZUNG VON MOBIL-APPS

15.

Die Entwicklung des Instrumentariums sollte sich an den Grundsätzen der Wahrung der Privatsphäre und des Datenschutzes orientieren.

16.

Im Hinblick auf den Einsatz von Mobil-Apps zur Warnung und Prävention im Zusammenhang mit COVID-19 sollten folgende Grundsätze beachtet werden:

1)

Vorkehrungen zur Gewährleistung der Achtung der Grundrechte und zur Verhinderung von Stigmatisierung, insbesondere Einhaltung geltender Vorschriften über den Schutz personenbezogener Daten und der Vertraulichkeit der Kommunikation;

2)

Bevorzugung der am wenigsten einschneidenden, aber dennoch wirksamen Maßnahmen, einschließlich der Verwendung von Näherungsdaten und der Vermeidung der Verarbeitung von Standort- und Bewegungsdaten einzelner Personen sowie Verwendung anonymisierter und aggregierter Daten soweit möglich;

3)

technische Anforderungen an geeignete Technologien (z. B. Bluetooth Low Energy) für die Gerätenäherungserkennung, Verschlüsselung, Datensicherheit, Speicherung von Daten auf dem Mobilgerät, den möglichen Zugriff von Gesundheitsbehörden und die Datenspeicherung;

4)

wirksame Anforderungen an die Cybersicherheit zum Schutz der Verfügbarkeit, Authentizität, Unversehrtheit und Vertraulichkeit von Daten;

5)

Auslaufen der ergriffenen Maßnahmen und Löschung der durch diese Maßnahmen gewonnenen personenbezogenen Daten, spätestens sobald die Pandemie als unter Kontrolle gebracht gilt;

6)

Hochladen von Näherungsdaten im Falle einer bestätigten Infektion und geeignete Methoden zur Warnung von Personen, die in engem Kontakt mit der infizierten Person standen, wobei die infizierte Person anonym bleibt, und

7)

Transparenzanforderungen in Bezug auf die Datenschutzeinstellungen, um das Vertrauen in die Apps zu gewährleisten.

17.

Die Kommission wird Leitlinien veröffentlichen, in denen die Grundsätze der Wahrung der Privatsphäre und des Datenschutzes im Lichte praktischer Überlegungen, die sich aus der Entwicklung und Umsetzung des Instrumentariums ergeben, näher ausgeführt werden.

NUTZUNG VON MOBILITÄTSDATEN ALS GRUNDLAGE FÜR MAßNAHMEN UND FÜR DIE AUSSTIEGSSTRATEGIE

18.

Die zweite Priorität des Instrumentariums sollte ein gemeinsames Konzept für die Verwendung anonymisierter und aggregierter Mobilitätsdaten sein, die für Folgendes erforderlich sind:

1)

Modellierung zur Kartierung und Vorhersage der Ausbreitung der Krankheit und der Auswirkungen auf die Belastung der Gesundheitssysteme in den Mitgliedstaaten, z. B. Intensivpflegestationen in Krankenhäusern, und in Bezug auf persönliche Schutzausrüstungen;

2)

Optimierung der Wirksamkeit der Maßnahmen zur Eindämmung der Verbreitung des COVID-19-Virus und zur Bekämpfung seiner Auswirkungen, einschließlich Ausgangsbeschränkungen (und deren Aufhebung), sowie zur Gewinnung und Nutzung dieser Daten.

19.

Bei der Entwicklung dieses Konzepts sollten die Mitgliedstaaten (vertreten im Netzwerk für elektronische Gesundheitsdienste, das sich mit dem Gesundheitssicherheitsausschuss, dem Epidemiologie-Netz, dem ECDC und falls erforderlich der ENISA abstimmen wird) bewährte Verfahren für die Nutzung von Mobilitätsdaten austauschen, Modelle und Vorhersagen zur Verbreitung des Virus gemeinsam nutzen und vergleichen und die Auswirkungen von Maßnahmen zur Eindämmung seiner Verbreitung überwachen.

20.

Das angestrebte Ergebnis sollte auch Folgendes umfassen:

1)

angemessene Nutzung anonymer und aggregierter Mobilitätsdaten für die Modellierung, um zu verstehen, wie sich das Virus ausbreiten wird, und Modellierung der wirtschaftlichen Folgen der Krise;

2)

Beratung der Behörden bezüglich der Befragung der Datenlieferanten zur Methodik, die sie für die Anonymisierung der Daten angewandt haben, und der Durchführung einer Plausibilitätsprüfung der angewandten Methodik;

3)

Vorkehrungen, die getroffen werden müssen, um eine De-Anonymisierung und Re-Identifizierung einzelner Personen zu vermeiden, einschließlich Garantien für ein angemessenes Niveau der Daten- und IT-Sicherheit und Bewertung der Gefahr einer Re-Identifizierung, wenn die anonymisierten Daten mit anderen Daten verknüpft werden;

4)

unverzügliche und unumkehrbare Löschung aller unabsichtlich verarbeiteten Daten, mit denen einzelne Personen identifiziert werden können, und Unterrichtung der Datenlieferanten sowie der zuständigen Behörden über die unabsichtliche Verarbeitung und Löschung;

5)

grundsätzliche Löschung der Daten nach einem Zeitraum von 90 Tagen oder jedenfalls spätestens zu dem Zeitpunkt, zu dem die Pandemie als unter Kontrolle gebracht gilt, und

6)

Beschränkung der Datenverarbeitung ausschließlich für die genannten Zwecke und Ausschluss der Weitergabe der Daten an Dritte.

BERICHTERSTATTUNG UND ÜBERPRÜFUNG

21.

Das europaweite Konzept für COVID-19-Mobil-Apps wird am 15. April veröffentlicht und durch Leitlinien der Kommission zur Wahrung der Privatsphäre und zum Datenschutz ergänzt.

22.

Die Mitgliedstaaten sollten der Kommission bis zum 31. Mai 2020 über die nach dieser Empfehlung getroffenen Maßnahmen Bericht erstatten. Diese Berichterstattung sollte für die Dauer der COVID-19-Krise regelmäßig fortgeführt werden.

23.

Ab dem 8. April 2020 sollten die Mitgliedstaaten die in den von dieser Empfehlung abgedeckten Bereichen ergriffenen Maßnahmen den anderen Mitgliedstaaten und der Kommission zur gegenseitigen Begutachtung (Peer Review) zur Verfügung stellen. Die Mitgliedstaaten und die Kommission können innerhalb einer Woche Bemerkungen zu diesen Maßnahmen abgeben. Der betreffende Mitgliedstaat sollte diesen Bemerkungen weitestgehend Rechnung tragen.

24.

Die Kommission wird ab Juni 2020 auf der Grundlage dieser Berichte der Mitgliedstaaten die erzielten Fortschritte und die Wirkung dieser Empfehlung bewerten. Die Kommission kann weitere Empfehlungen an die Mitgliedstaaten richten, unter anderem zum Zeitplan für die Maßnahmen in den von dieser Empfehlung abgedeckten Bereichen.

Brüssel, den 8. April 2020

Für die Kommission

Thierry BRETON

Mitglied der Kommission


(1)  Beschluss Nr. 1082/2013/EU des Europäischen Parlaments und des Rates vom 22. Oktober 2013 zu schwerwiegenden grenzüberschreitenden Gesundheitsgefahren und zur Aufhebung der Entscheidung Nr. 2119/98/EG (ABl. L 293 vom 5.11.2013, S. 1).

(2)  Richtlinie 2011/24/EU des Europäischen Parlaments und des Rates vom 9. März 2011 über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung (ABl. L 88 vom 4.4.2011, S. 45).

(3)  Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1).

(4)  Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG (ABl. L 295 vom 21.11.2018, S. 39).

(5)  Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) (ABl. L 201 vom 31.7.2002, S. 37).

(6)  Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen: Eine europäische Datenstrategie, COM(2020) 66 final.

(7)  Verordnung (EU) 2017/745 des Europäischen Parlaments und des Rates vom 5. April 2017 über Medizinprodukte, zur Änderung der Richtlinie 2001/83/EG, der Verordnung (EG) Nr. 178/2002 und der Verordnung (EG) Nr. 1223/2009 und zur Aufhebung der Richtlinien 90/385/EWG und 93/42/EWG des Rates (ABl. L 117 vom 5.5.2017, S. 1).

(8)  Richtlinie 93/42/EWG des Rates vom 14. Juni 1993 über Medizinprodukte (ABl. L 169 vom 12.7.1993, S. 1).

(9)  Durchführungsbeschluss (EU) 2019/1765 der Kommission vom 22. Oktober 2019 mit Vorschriften für die Errichtung, die Verwaltung und die Funktionsweise des Netzwerks der für elektronische Gesundheitsdienste zuständigen nationalen Behörden und zur Aufhebung des Durchführungsbeschlusses 2011/890/EU (ABl. L 270 vom 24.10.2019, S. 83).


Top