Bedürfen Corona-Tracing-Apps einer gesetzlichen Grundlage?

Zu Beantwortung dieser Frage hat der Europäische Datenschutzausschuss eine Stellungnahme veröffentlicht. Die “Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak” vom 21. April 2020 enthalten sowohl Hinweise zum Rechtsrahmen als auch Empfehlungen und funktionelle Anforderungen an die Entwicklung von Contact-Tracing-Apps. Der Europäische Datenschutzausschuss betont, dass der Rechtsrahmen für den Datenschutz flexibel gestaltet wurde und als solcher sowohl eine effiziente Reaktion zur Eindämmung der Pandemie als auch den Schutz der grundlegenden Menschenrechte und -freiheiten ermöglichen kann.

Die bloße Tatsache, dass die Contact-Tracing-App freiwillig genutzt wird, bedeutet nicht, dass die betroffene Person damit in die konkrete Verarbeitung ihrer personenbezogenen Daten einwilligt. Wenn Behörden einen Dienst erbringen, der ihre gesetzliche Aufgabe erfüllen und der mit den gesetzlich festgelegten Anforderungen übereinstimmen soll, ist die relevanteste rechtliche Grundlage für die Datenverarbeitung nach der Datenschutz-Grundverordnung die Notwendigkeit, eine Aufgabe im öffentlichen Interesse im Sinne des Erlaubnistatbestands von Art. 6 Abs. 1 UAbs. 1 lit. e DSGVO zu erfüllen. In diesem Fall aber fordert Art. 6 Abs. 3 DSGVO, dass die Datenverarbeitung auf einer gesetzlichen Grundlage der Union oder der Mitgliedstaaten erfolgen muss.

Darüber hinaus kann die Verwendung einer App zur Bekämpfung der COVID-19-Pandemie zur Erhebung von Gesundheitsdaten (z.B. den Status einer infizierten Person) führen. Dies sind besonders schützenswerte Daten im Sinne von Art. 9 Abs. 1 DSGVO. Die Verarbeitung solcher Daten ist jedoch nur in zwei Fällen zulässig: erstens, wenn sie nach Art. 9 Abs. 2 lit. h DSGVO für Zwecke der Gesundheitsvorsorge erforderlich ist und die Daten von Personen verarbeitet werden, die einer Berufsgeheimnispflicht unterliegen, oder zweitens, wenn sie nach Art. 9 Abs. 2 lit. i DSGVO aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit erforderlich ist – wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren.

Die Verwendung einer staatlich geförderten Corona-Tracing-App bedarf daher dann schon alleine nach der Datenschutz-Grundverordnung einer normenklaren nationalen gesetzlichen Regelung. Nach der Empfehlung des Europäischen Datenschutzausschusses sollte ein solches Corona-Tracing-App-Gesetz, unabhängig von deren technischer Ausgestaltung im Einzelnen, u.a. folgende Regelungen treffen.

Verantwortlichkeit
Das Gesetz muss die Institution bestimmen, die technisch und datenschutzrechtlich für die App verantwortlich ist. Identifiziert werden müssen die an der Verarbeitung beteiligten Stellen.

Rechtsgrundlage
Es muss eine rechtmäßige Rechtsgrundlage zur Datenverarbeitung enthalten, um Kontaktpersonen zu ermitteln.

Freiwilligkeit
Das Gesetz sollte bestimmen, dass die Verwendung der App durch die Bürger freiwillig ist. Freiwilligkeit besteht sowohl hinsichtlich des Downloads der App auf das Endgerät als auch der Verwendung der App einschließlich der Meldung der Infektion in der App.

Diskriminierungsverbot
Die Freiwilligkeit sollte dadurch abgesichert werden, dass überall, auch im privaten Rechts- und Geschäftsverkehr, niemand zur Verwendung der App gezwungen werden darf. Die Nicht-Verwendung der App darf z.B. weder arbeitsrechtliche Folgen haben noch das Betreten bestimmter Institutionen (z.B. eines Geschäfts oder eines Lokals) verhindern.

Zweckspezifikation
Das Gesetz muss normenklar und bestimmt den Zweck festlegen, dass die App nur für das Verfolgen von Kontaktpersonen verwendet werden darf.

Datenkategorien
Das Gesetz muss die zu verarbeitenden Daten klar benennen und definieren.

Speicherbegrenzung
Das Gesetz sollte für die Datenkategorien Löschfristen oder Kriterien bestimmen, anhand derer Löschroutinen definiert werden können.

Offenlegung
Das Gesetz muss die Stellen, denen personenbezogene Daten offengelegt werden können, und die Zwecke, zu denen dies erfolgen darf, abschließend benennen. Je nach Grad der Einflussnahme sind zusätzliche Schutzvorkehrungen unter Berücksichtigung von Art, Umfang und Zweck der Verarbeitung vorzusehen.

Einschränkungen der Weiterverarbeitung
Die Möglichkeit, die Daten für weitere Zwecke zu verwenden, ist eng – z.B. nur für bestimmte Forschungseinrichtungen – und abschließend zu regeln und durch effektive Schutzmaßnahmen, insbesondere die Anonymisierung, abzusichern.

Veröffentlichung der Algorithmen und Quellcodes

Um Transparenz zu gewährleisten, müssen unabhängigen Experten die zur Anwendung kommenden Algorithmen regelmäßig überprüfen. Der Quellcode der Anwendung sollte für eine möglichst umfassende Prüfung öffentlich zugänglich sein.

Datenschutz-Folgenabschätzung

Außerdem sollte der Gesetzgeber eine Datenschutz-Folgenabschätzung durchführen, bevor eine Corona-Tracing-App eingeführt wird, da die Verarbeitung eine hohes Risiko für die Rechte und Freiheiten der Nutzer birgt.

Auslaufklausel
Das Gesetz muss Kriterien benennen, anhand derer bestimmt wird, wann die App nicht mehr eingesetzt werden soll und welche Stelle dafür verantwortlich und rechenschaftspflichtig ist.

Diese Empfehlungen des Europäischen Datenschutzausschusses sind nicht auf spezifische App-Architekturen bezogen, die derzeit im Streit sind (siehe den Beitrag zum Richtungsstreit unter den App-Entwicklern), sondern sehr allgemein gehalten. Sie umfassen alle denkbaren Varianten staatlicher Beteiligung am Betrieb des Contact-Tracing-Systems. Je nach Ausgestaltung sind z.B. Regelungen zur Offenlegung, zur Zweckänderung oder zur Weiterverarbeitung der Daten nicht in der Form notwendig, wie der Ausschuss empfohlen hat, weil etwa bei einem dezentralen Ansatz keine Daten entstehen, die offengelegt, weiterverarbeitet und zweckentfremdet werden können.