Datenschutzrechtliche Risiken & Nebenwirkungen der Corona-App

veröffentlicht am 23. Juni 2020 | von Bastian Schönnenbeck

Die Covid-19-Pandemie ist seit Monaten das global beherrschende Thema, mit massiven gesellschaftlichen und politischen Auswirkungen. Weltweit arbeiten Regierungen und Krisenstäbe an der Eindämmung der Weiterverbreitung des Virus und greifen dabei zu teils radikalen Maßnahmen, um die Quarantäne- und Ausgangsbeschränkungen zu überwachen. So müssen z.B. in Quarantäne befindliche Einwohner Singapurs über Videoaufnahmen nachweisen, dass sie sich tatsächlich in ihrer Wohnung befinden. Derartig weitreichende Kontrollen sind in Deutschland – vor allem angesichts der sich langsam beruhigenden Situation hinsichtlich Reisewarnungen, Ausgangssperren etc. – zwar nicht geplant, doch auch die Bundesregierung plant eine Initiative: Gemäß des Vorbildes der Pan-European Privacy Preserving Proximity Tracing (PEPP-PT) – Konsortiums, wurde mit Hilfe von SAP und der Telekom unter der Leitung des Robert-Koch-Institutes eine datenschutzfreundliche Corona-Tracing-App veröffentlicht. Diese soll zwar datenschutzrechtliche Konformität aufweisen, dennoch fehlt es bisher von offizieller Seite an einer Datenschutzfolgenabschätzung. Stellt ein Einsatz der Corona-App Unternehmen und Organisationen vor rechtliche Herausforderungen? Zweifelsohne müssen die geltenden Normen aus Arbeits- und Datenschutzrecht beachtet werden.

Kurz erklärt: Wie funktioniert die Corona-app?

Die Corona-App, soll auf einer dezentralen Software-Architektur basieren, was bedeutet, dass die gespeicherten Daten eben nicht an einer zentralen Stelle liegen. Teils sollen Datensätze auf mehrere Server und teils direkt auf dem Mobilgerät des Nutzers gespeichert werden. Die App misst, basierend auf der Bluetooth-Funktion der mobilen Endgeräte, die Abstände zu weiteren, in direkter Umgebung befindlicher Geräte. Voraussetzung für diese Messung ist, dass die Corona-App installiert ist.

Die „Begegnungen” zwischen den verschiedenen Geräten, die mit der App operieren, werden anonymisiert und mit Zeitstempel versehen als ID-Wert gespeichert. Ein kryptografisch generierter ID-Wert funktioniert dabei wie eine Art „Schloss”. Werden nun Nutzer der Corona-App positiv auf das Corona-Virus getestet, werden ihre Kontakte bzw. Begegnungen durch die App informiert. Dabei versendet die App des Infizierten über einen Server einen ID-Schlüssel. Passt dieser Schlüssel auf ein lokal gespeichertes Begegnungs-Schloss, wird die App eine Warnung ausgeben, dass ein Kontaktrisiko mit einem Infizierten bestand. Der Infizierte erfährt dabei nicht, welche seiner Kontakte informiert werden und die Kontaktierten erfahren nicht, wer der Infizierte ist.

Corona-App vs. Datenschutzfolgenabschätzung

Eine Datenschutzfolgenabschätzung muss gemäß Art. 35 DSGVO immer dann durchgeführt werden, wenn ein Datenverarbeiter eine riskante Verarbeitung von personenbezogenen Daten vornimmt. Dies dürfte bei der Corona-App alleine schon deshalb der Fall sein, weil Gesundheitsdaten gemäß Art. 9 Abs. 1 DSGVO als besonders schützenswert eingestuft werden. Eine Datenschutzfolgenabschätzung (DSFA) ist ein spezielles Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung ihrer personenbezogener Daten. Ihr Ziel besteht darin, Kriterien für den Schutz der betroffenen Daten zu definieren und die Folgen der Datenverarbeitung möglichst umfassend zu erfassen.

Bisher gibt es von offizieller Herstellerseite keine DSFA

Hinsichtlich der Tatsache, dass nur Transparenz Vertrauen schaffen kann, wird die Kritik an einer bisher fehlenden DSFA durch das Robert-Koch-Institut zur Corona-App zunehmend lauter. Angesichts dieser Tatsache, hat eine Gruppe von Datenschutzexperten ein ca. 100-Seiten starkes Dokument veröffentlicht, welches einer DSFA nahe kommt. Was sind die Ergebnisse?

Hauptrisiko: Fehlende Freiheit

Zunächst einmal wurde grundsätzlich festgestellt, dass die Frage nach der Datenschutzkonformität nicht einfach mit Ja oder Nein zu beantworten ist. Vielmehr bedarf es einer tiefgehenden juristischen, möglicherweise gesetzanpassenden Prüfung, Bewertung und Abwägung.

Dass ein faktischer Nutzungszwang entstehen könnte, würde sicherlich eines der Hauptrisiken der Corona-App darstellen. Ein Nutzungszwang ist dann denkbar, wenn die App z.B. durch den Arbeitgeber bei der Wiederkehr an den Büroarbeitsplatz vorausgesetzt wird oder Restaurant, Gebäude, Räume, Veranstaltungen oder öffentliche Verkehrsmittel nur dann betreten bzw. benutzt werden dürfen, wenn eine entsprechende App-Nutzung nachgewiesen wird.

Risiko: Diensthandy

Sollte der Einsatz der Corona-App arbeitsrechtlich bedenkenlos gewährleistet werden, können Arbeitgeber den Einsatz der App während der Büroarbeit auf den bereitgestellten Diensthandys verlangen, stellt sich die Frage, wie mit dem dienstlichen Smartphone nach dem Feierabend umgegangen wird. Der Arbeitgeber kann demnach verlangen, dass während der Arbeitszeit die App auf dem dienstlichen Smartphone genutzt wird. Die App funkt auch nach Feierabend weiter und kann damit private Kontakte des Mitarbeiters erfassen. Dies stellt einen Eingriff in das Persönlichkeitsrecht des Mitarbeiters dar, der nur durch besondere Interessen des Arbeitgebers gerechtfertigt sein kann.

Ein solches Interesse kann der Gesundheitsschutz gegenüber Dritten sein. Solange ein Mitarbeiter ein Einzelbüro besetzt, keinen Kundenkontakt hat oder sogar weiterhin im Home Office tätig ist und sich an die behördlichen Maßgaben (Hygiene, Abstand etc.) hält, dürfte der Gesundheitsschutz wiederrum keinen zwanghaften App-Einsatz rechtfertigen. Es lässt sich vermuten, dass Organisationen Betriebsvereinbarungen treffen müssen. Sofern ein Betriebsrat vorhanden ist, müsste diesem ein Mitbestimmungsrecht gemäß § 87 Abs. 1 Nr. 1 BetrVG eingeräumt werden. Sofern der Arbeitgeber die technische Möglichkeit hat, festzustellen, ob der Mitarbeiter die App auf dem dienstlichen Smartphone installiert hat, liegt eine technische Überwachung nach § 87 Abs. 1 Nr. 6 BetrVG vor.

Risiko: Fehlalarm

Technisch gesehen ist es denkbar, dass es zu einer Kontaktmessung durch die Wand zwischen zwei Wohnungen oder bei vorbeilaufenden Passanten bei Erdgeschossräumlichkeiten sowie fehlerhaften Positivtests von Laboren kommt. Da bisher nicht definiert wurde, welche Maßnahmen aus einem „Corona-Kontakt-Alarm” resultieren, drohen hier tiefgehende ungerechtfertigte Freiheitsbeschränkungen, sofern der alarmierte in Quarantäne müsste. Auch die DSGVO sieht in Art. 22 Abs. 3 bei Entscheidungen aufgrund automatisierter Verarbeitungen eine Anfechtungsmöglichkeit vor. Bisher ist völlig ungeklärt, wie die eingesetzten Systeme dies sicherstellen können.

Risiko: Verhaltensprüfung

Durch den Begegnungs-Daten-Austausch der App-Nutzer wird eine potenzielle Nachverfolgung der Kontaktanzahl möglich. Behörden könnte diese Funktion nutzen, um auferlegte Restriktionen (wie z.B. das maximale Treffen zweier Haushalte) zu kontrollieren und Sanktionen einzuleiten. „Es könnten damit statistische Verhaltensprofile hinsichtlich der Regelbefolgung mit den Kontaktauflagen und des Risikoverhaltens ermittelt werden. Man wird dies leicht mit dem Zweck epidemiologischer Untersuchungen rechtfertigen können.

Allerdings können die Verhaltensprofile, wenn sie mit weiteren, demographischen und sozio-ökonomischen Daten korreliert werden, selektive Politiken motivieren, in denen Personengruppen, die als durchschnittlich risikofreudiger gemessen wurden, durch zukünftige Verordnungen unter Berufung auf das Infektionsschutzgesetz anders behandelt werden als andere Gruppen, deren Regelbefolgung vermeintlich höher ist”, heißt es. Weiterhin ist bisher unklar, ob es eine potenzielle Informations-Schnittstelle zwischen App und den App-Store-Betreibern (Apple, Google etc.) geben wird. Zumindest wird dies durch das Robert-Koch-Institut verneint.

Risiko: Unbefristete Speicherung von Daten

Grundsätzlich sollen die erfassten Corona-App-Daten nach 14 Tagen automatisiert gelöscht werden. Es ist denkbar, dass auf die Löschung der erfassten Daten nach 14 Tagen verzichtet wird (z.B. weil Server durch ein Backup gedoubelt werden). Sollten die Daten nicht nach 14 Tagen gelöscht werden, wäre es möglich, sie rückwirkend mit anderen Daten in Verbindung zu bringen.

Braucht es ein Corona-App-Gesetz?

Sofern eine Person als infiziert gemeldet wurde, werden ihre Gesundheitsdaten übertragen. Gesundheitsdaten sind gemäß DSGVO Daten besonderer Kategorie, deren Verarbeitung gemäß Art. 9 Abs. 2 (a) eine ausdrückliche Einwilligung der betroffenen Person erfordert. Diese Einwilligung muss freiwillig erfolgen. Es ist fraglich, ob die Installation und Nutzung der App einer Einwilligung gemäß Art. 9. Abs. (a) gleichkommt. Auch ist fraglich, wie mit der Tatsache umgegangen wird, dass Nutzer jederzeit die App löschen können. Ein wesentlicher Grundsatz der Datenschutzgrundverordnung ist die Datensparsamkeit, also das absolut nötige Maß an Verarbeitungen personenbezogener Daten.

Im Zusammenhang mit der Corona-App stellt sich die Frage nach dem absolut nötigen Maß und auch der Speicherdauer und Weiterverarbeitung von Personendaten, bei denen eine Infektion nachgewiesen wurde. Da die DSGVO keine zeitlichen und zweckgebundenen Maßnahmen ausdrücklich regelt, stellt sich auch hier die Frage, ob ein Corona-App-Gesetz ein richtiger Ansatz wäre. Die DSGVO enthält zwar schon viele der dort geregelten Grundsätze. Die Schaffung eines Gesetzes könnte aber eine politische Auseinandersetzung zu den Vorteilen und Risiken einer Corona-App entfachen. Im Zusammenhang mit Datenschutzkonformität wäre in jedem Fall ein Transparenzansatz inkl. Transparenzbericht über die genutzten Daten das richtige Vorgehen.