24. Apr 2020, Paul Johannes und Alexander Roßnagel
Alle Vorschläge zur Einführung von Corona-Tracing-Apps stimmen in einem Punkt überein: Die Nutzung dieser App soll freiwillig sein. Reicht dann die freiwillige Installation der App und ihre selbstbestimmte Nutzung nicht als Rechtsgrundlage aus?
Zu Beantwortung dieser Frage hat der Europäische Datenschutzausschuss eine Stellungnahme veröffentlicht. Die “Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak” vom 21. April 2020 enthalten sowohl Hinweise zum Rechtsrahmen als auch Empfehlungen und funktionelle Anforderungen an die Entwicklung von Contact-Tracing-Apps. Der Europäische Datenschutzausschuss betont, dass der Rechtsrahmen für den Datenschutz flexibel gestaltet wurde und als solcher sowohl eine effiziente Reaktion zur Eindämmung der Pandemie als auch den Schutz der grundlegenden Menschenrechte und -freiheiten ermöglichen kann.
Die bloße Tatsache, dass die Contact-Tracing-App freiwillig genutzt wird, bedeutet nicht, dass die betroffene Person damit in die konkrete Verarbeitung ihrer personenbezogenen Daten einwilligt. Wenn Behörden einen Dienst erbringen, der ihre gesetzliche Aufgabe erfüllen und der mit den gesetzlich festgelegten Anforderungen übereinstimmen soll, ist die relevanteste rechtliche Grundlage für die Datenverarbeitung nach der Datenschutz-Grundverordnung die Notwendigkeit, eine Aufgabe im öffentlichen Interesse im Sinne des Erlaubnistatbestands von Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO zu erfüllen. In diesem Fall aber fordert Art. 6 Abs. 3 DSGVO, dass die Datenverarbeitung auf einer gesetzlichen Grundlage der Union oder der Mitgliedstaaten erfolgen muss.
Darüber hinaus kann die Verwendung einer App zur Bekämpfung der COVID-19-Pandemie zur Erhebung von Gesundheitsdaten (z.B. den Status einer infizierten Person) führen. Dies sind besonders schützenswerte Daten im Sinne von Art. 9 Abs. 1 DSGVO. Die Verarbeitung solcher Daten ist jedoch nur in zwei Fällen zulässig: erstens, wenn sie nach Art. 9 Abs. 2 lit. h DSGVO für Zwecke der Gesundheitsvorsorge erforderlich ist und die Daten von Personen verarbeitet werden, die einer Berufsgeheimnispflicht unterliegen, oder zweitens, wenn sie nach Art. 9 Abs. 2 lit. i DSGVO aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit erforderlich ist – wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren.
Die Verwendung einer staatlich geförderten Corona-Tracing-App bedarf daher dann schon alleine nach der Datenschutz-Grundverordnung einer normenklaren nationalen gesetzlichen Regelung. Nach der Empfehlung des Europäischen Datenschutzausschusses sollte ein solches Corona-Tracing-App-Gesetz, unabhängig von deren technischer Ausgestaltung im Einzelnen, u.a. folgende Regelungen treffen.
Verantwortlichkeit
Das Gesetz muss die
Institution bestimmen, die technisch und datenschutzrechtlich für die
App verantwortlich ist. Identifiziert werden müssen die an der
Verarbeitung beteiligten Stellen.
Rechtsgrundlage
Es muss eine rechtmäßige Rechtsgrundlage zur Datenverarbeitung enthalten, um Kontaktpersonen zu ermitteln.
Freiwilligkeit
Das Gesetz sollte bestimmen, dass
die Verwendung der App durch die Bürger freiwillig ist. Freiwilligkeit
besteht sowohl hinsichtlich des Downloads der App auf das Endgerät als
auch der Verwendung der App einschließlich der Meldung der Infektion in
der App.
Diskriminierungsverbot
Die Freiwilligkeit sollte
dadurch abgesichert werden, dass überall, auch im privaten Rechts- und
Geschäftsverkehr, niemand zur Verwendung der App gezwungen werden darf.
Die Nicht-Verwendung der App darf z.B. weder arbeitsrechtliche Folgen
haben noch das Betreten bestimmter Institutionen (z.B. eines Geschäfts
oder eines Lokals) verhindern.
Zweckspezifikation
Das Gesetz muss normenklar und
bestimmt den Zweck festlegen, dass die App nur für das Verfolgen von
Kontaktpersonen verwendet werden darf.
Datenkategorien
Das Gesetz muss die zu verarbeitenden Daten klar benennen und definieren.
Speicherbegrenzung
Das Gesetz sollte für die
Datenkategorien Löschfristen oder Kriterien bestimmen, anhand derer
Löschroutinen definiert werden können.
Offenlegung
Das Gesetz muss die Stellen, denen
personenbezogene Daten offengelegt werden können, und die Zwecke, zu
denen dies erfolgen darf, abschließend benennen. Je nach Grad der
Einflussnahme sind zusätzliche Schutzvorkehrungen unter Berücksichtigung
von Art, Umfang und Zweck der Verarbeitung vorzusehen.
Einschränkungen der Weiterverarbeitung
Die
Möglichkeit, die Daten für weitere Zwecke zu verwenden, ist eng – z.B.
nur für bestimmte Forschungseinrichtungen – und abschließend zu regeln
und durch effektive Schutzmaßnahmen, insbesondere die Anonymisierung,
abzusichern.
Veröffentlichung der Algorithmen und Quellcodes
Um Transparenz zu gewährleisten, müssen unabhängigen Experten die zur Anwendung kommenden Algorithmen regelmäßig überprüfen. Der Quellcode der Anwendung sollte für eine möglichst umfassende Prüfung öffentlich zugänglich sein.
Datenschutz-Folgenabschätzung
Außerdem sollte der Gesetzgeber eine Datenschutz-Folgenabschätzung durchführen, bevor eine Corona-Tracing-App eingeführt wird, da die Verarbeitung eine hohes Risiko für die Rechte und Freiheiten der Nutzer birgt.
Auslaufklausel
Das Gesetz muss Kriterien
benennen, anhand derer bestimmt wird, wann die App nicht mehr eingesetzt
werden soll und welche Stelle dafür verantwortlich und
rechenschaftspflichtig ist.
Diese Empfehlungen des Europäischen Datenschutzausschusses sind nicht auf spezifische App-Architekturen bezogen, die derzeit im Streit sind (siehe den Beitrag zum Richtungsstreit unter den App-Entwicklern), sondern sehr allgemein gehalten. Sie umfassen alle denkbaren Varianten staatlicher Beteiligung am Betrieb des Contact-Tracing-Systems. Je nach Ausgestaltung sind z.B. Regelungen zur Offenlegung, zur Zweckänderung oder zur Weiterverarbeitung der Daten nicht in der Form notwendig, wie der Ausschuss empfohlen hat, weil etwa bei einem dezentralen Ansatz keine Daten entstehen, die offengelegt, weiterverarbeitet und zweckentfremdet werden können.
Paul C. Johannes ist stellv. Geschäftsführer der Projektgruppe verfassungsverträgliche Technikgestaltung (provet) im Wissenschaftlichen Zentrum für Informationstechnikgestaltung (ITeG) der Universität Kassel.
Prof. Dr. Alexander Roßnagel ist Senior-Professor für öffentliches Recht mit dem Schwerpunkt Recht der Technik und des Umweltschutzes im Wissenschaftlichen Zentrum für Informationstechnikgestaltung (ITeG) der Universität Kassel und Sprecher des vom Bundesministerium für Bildung und Forschung (BMBF) geförderten „Forum Privatheit“.
Wie bgründet sich die Forderung nach Freiwilligkeit? Wenn wir statt auf die Technik mal auf den Anwendungskontext schauen, haben wir es mit einer meldepflichtigen Erkrankung zu tun und mit gesundheitsbehördlichem Handeln zur Gefahrenabwehr. Im weiteren Kontext finden wir außerdem vorübergehend erhebliche allgemeine Grundrechtseinschränkungen mit dem Ziel der Seuchenbekämpfung. Viel Raum für Freiwilligkeit bleibt da bei einer effektiven Lösung kaum, oder?
Ich habe den Eindruck, dass wir über das Thema Contact Tracing eine Schönwetterdiskussion führen als handle es sich um ein beliebiges Smartphonespiel wie Pokémon Go oder so. Angesichts der sehr fraglichen Wirksamkeit der automatisierten Kontaktverfolgung ist das nachvollziehbar – aber dann kann man es halt auch einfach lassen oder erst einmal nach einem wirklich nützlichen Ansatz suchen.
Diese Sicht beleuchtet nur die datenschutzrechrechtliche Perspektive, nicht aber die verfassungsrechtlichen Anforderungen an derartige Grundrechtseingriffe. Diese wären nach meinem Dafürhalten ebenfalls zu erfüllen. Erst dann stellt sich die Frage der bereichsdpezifsischen, datenschutzrechtlichen Anforderungen.
Sicherlich. Zu klären ist auch wer die Gesetzgebungskompetenz hätte. Die Verhältnismäßigkeit der Maßnahme “Tracing-App” bemisst sich natürlich nach deren konkreten Ausgestaltung, inkl. gesetzlicher Eingrenzung. Bei der vorgeschlagenen Ausgestaltung, insbesondere der Freiwilligkeit, besteht jedenfalls die Chance, Eingriffe gesetzlich zu legitimieren und Verhältnismäßigkeit zu wahren.